Руководства Руководство по безопасности Windows Server® 2008

реклама
Руководства
Реагируй быстро. Достигай большего.
Руководство по безопасности
Windows Server® 2008
Версия 1.0
Опубликовано: февраль 2008
Самую свежую информацию можно найти на сайте
microsoft.com/wssg
Copyright © 2008 Microsoft Corporation. Все права защищены. Вы несете полную ответственность за
выполнение законов об авторском праве. Если вы используете данную документацию и предоставляете
отзывы, вы принимаете лицензионное соглашение, представленное ниже.
Использование данной документации исключительно в некоммерческих целях внутри ВАШЕЙ компании
или организации регламентируется лицензионным соглашением Creative Commons «Некоммерческая
лицензия с указанием авторства». Копию этой лицензии можно найти по адресу
http://creativecommons.org/licenses/by-nc/2.5/ или получить по почте, отправив письмо в Creative
Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.
Данная документация предоставляется исключительно в информационных целях и «КАК ЕСТЬ». Эти
материалы не могут заменить специальное обслуживание и документацию, которые может разработать
Корпорация Microsoft для конкретного пользователя, исходя из конкретных требований его среды. В той
мере, в какой это позволяет закон, MICROSOFT НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ, НЕ БЕРЕТ НА СЕБЯ
НИКАКОЙ ОТВЕТСТВЕННОСТИ ЗА ВСЕ ВЫСКАЗАННЫЕ, ПОДРАЗУМЕВАЕМЫЕ И УСТАНОВЛЕННЫЕ ГАРАНТИИ
И НЕ НЕСЕТ ПЕРЕД ВАМИ НИКАКОЙ ОТВЕТСТВЕННОСТИ ЗА ЛЮБОЙ УЩЕРБ, ПОНЕСЕННЫЙ В СВЯЗИ С
ИСПОЛЬЗОВАНИЕМ ДАННЫХ МАТЕРИАЛОВ ИЛИ ЛЮБОЙ ВКЛЮЧЕННОЙ В НИХ ИНТЕЛЛЕКТУАЛЬНОЙ
СОБСТВЕННОСТИ.
Microsoft может располагать патентами, заявками на патент, торговыми марками или другими правами
интеллектуальной собственности на темы, рассматриваемые в данной документации. Если это не
оговорено в отдельном соглашении с Microsoft, использование этого документа не дает никакого права на
эти патенты, торговые марки или другую интеллектуальную собственность.
Информация, представленная в данной документации, включая URL и другие ссылки на Веб-узлы, может
изменяться без уведомления. Если не указано обратное, используемые примеры компаний, организаций,
продуктов, доменных имен, адресов электронной почты, логотипы, люди, места и события являются
вымышленными.
Microsoft, Active Directory, Authenticode, MS-DOS, Win32, Windows, Windows Server, Windows Vista и
Windows XP являются или зарегистрированными торговыми марками, или торговыми марками корпорации
Microsoft в Соединенных Штатах и/или других странах.
Упоминаемые названия реальных компаний и продуктов могут являться торговыми марками их
владельцев.
Вы не обязаны предоставлять Microsoft какие-либо предложения, комментарии или отзывы (Отзыв)
относительно данной документации. Однако если вы все-таки предоставили Отзыв Microsoft, вы
безвозмездно предоставляете Microsoft право использовать, распространять и получать прибыль от этого
любым способом и в любых целях. Также вы безвозмездно предоставляете третьим лицам все патентные
права, необходимые для использования или взаимодействия их продуктов, технологий и служб с
определенными частями программного обеспечения или службы Microsoft, включающими ваш Отзыв. Вы
не должны предоставлять Отзыв, использование которого в ПО или документации потребует от Microsoft
лицензирования от третьих лиц.
Обзор
Добро пожаловать в Руководство по безопасности Windows Server 2008. В нем
представлены инструкции и рекомендации по повышению безопасности
компьютеров, на которых установлена Windows Server® 2008 и которые являются
участниками домена Active Directory®.
Кроме методологических принципов, данное руководство включает инструменты,
пошаговые процедуры, рекомендации и процессы, существенно упрощающие
развертывание. Это не просто руководство по эффективной настройке системы
безопасности, вам предлагается воспроизводимый метод для применения этих
рекомендаций, как к среде тестирования, так и к рабочей среде.
Ключевым инструментом, предоставляемый данным руководством, является
GPOAccelerator. С его помощью можно выполнять сценарий, который
автоматически создает все объекты групповой политики (Group Policy objects,
1
GPOs), необходимые для реализации данного руководства по безопасности . Книга
«Сборник параметров используемых в руководстве по безопасности Windows
Server 2008», сопровождающая данное Руководство по безопасности Windows
Server 2008, является еще одним ресурсом, который может использоваться для
определения и сравнения настроек групповой политики.
Данное нормативное руководство было представлено на рассмотрение проектным
группам, консультантам, специалистам технической поддержки, партнерам и
клиентам Microsoft, что обеспечило его:
 Достоверность. Руководство основывается на практическом опыте.
 Авторитетность. Руководство предлагает лучшие из существующих
рекомендаций.
 Точность. Руководство проверено и протестировано с технической точки
зрения.
 Практическую применимость. Руководство предлагает конкретные шаги
для достижения успеха.
 Уместность. Руководство решает реальные вопросы, связанные с
обеспечением безопасности.
Microsoft были опубликованы руководства по безопасности для Windows
Server 2003 и Windows 2000 Server. Данное руководство описывает значительные
улучшения в обеспечении безопасности, внесенные в Windows Server 2008.
Руководство было разработано и протестировано на компьютерах с Windows
Server 2008, объединенных в домен, использующий Службы каталогов Active
Directory® (Active Directory® Domain Services, AD°DS).
Операционная система продолжает развиваться и изменяться, поэтому с выходом
следующих ее версий можно ожидать появления и обновленных версий данного
руководства, которые будут включать новые возможности, связанные с
обеспечением безопасности. Также предлагаются руководства по развертыванию и
эксплуатации Windows Server 2008. Больше информации обо всех доступных
руководствах представлено на сайте TechNet в разделе Solution Accelerators.
1
В русской версии ОС не все объекты могут быть созданы из-за проблем с
именованием (прим. научного редактора).
Краткий обзор
ИТ-безопасность касается всех. Каждый день рекламодатели пытаются проникнуть
в ваши сети и получить доступ к вашим серверам, чтобы взломать их,
инфицировать вирусами или похитить информацию о клиентах и служащих. Угроза
поступает со всех сторон: от служащих, находящихся внутри сети и посещающих
Веб-сайты, инфицированные вредоносными программами, до внешних
подключений пользователей через виртуальные частные сети (virtual private
networks, VPNs), подключений сети филиала к серверам предприятия или прямых
нападок на уязвимые компьютеры или серверы вашей сети. Сегодня любые
организации, как большие, так и маленькие, также сталкиваются с повышенными
требованиями аудита.
Вы не понаслышке знаете, какую важную роль в обеспечении нормального
функционирования организации играют серверы. Данные, которые на них хранятся,
и службы, которые они предоставляют, – это жизнь организации. А ваша задача –
обеспечить безопасность этих жизненно важных элементов, не допустить, чтобы
они были взломаны или пали жертвой атак извне и изнутри организации, и доказать
контролирующим органам, что вы предпринимаете все необходимые шаги для
обеспечения их безопасности.
Windows Server 2008 с самого начала разрабатывалась с учетом вопросов
безопасности и предлагает целый ряд новых и улучшенных технологий
безопасности и компонентов, которые обеспечивают надежную базу для ведения и
построения вашего бизнеса. Руководство по безопасности Windows Server 2008
создано с учетом всех преимуществ компонентов и опций безопасности в
Windows Server 2008, что будет еще более способствовать улучшению
безопасности серверов вашей организации.
Данное руководство построено на базе Windows Server 2003 Security Guide
(Руководство по безопасности Windows Server 2003), в котором представлены
специальные рекомендации по повышению уровня защиты серверов с
Windows Server 2003 и Пакетом обновления 2 (SP2). Windows Server 2003 Security
Guide предлагает рекомендации по повышению безопасности серверов,
использующих базовые настройки безопасности для двух сред:
 Среда корпоративных клиентов (Enterprise Client, EC). Серверы в
данной среде располагаются в домене, который использует AD DS и
обменивается информацией с серверами с установленными Windows
Server 2008 или Windows Server 2003 SP2 или более поздними версиями.
Клиентские компьютеры в этой среде могут работать с разными ОС: на
некоторые установлена Windows Vista®, тогда как на другие – Windows XP с
SP2 или более поздние версии. Информация о базовых настройках
безопасности, используемых в этой среде, представлена в Приложении А
«Параметры групповой политики, связанные с безопасностью».
 Специальная безопасная среда с ограниченной функциональностью
(Specialized Security – Limited Functionality, SSLF). Безопасность этой
среды настолько важна, что допускается существенное ограничение
функциональности и управляемости. Например, компьютеры военных и
разведывательных органов работают в такой среде. На серверы в данной
среде устанавливается только Windows Server 2008. Информацию о
параметрах SSLF, используемых этой средой, можно найти в Приложении А
«Параметры групповой политики, связанные с безопасностью».
Внимание Параметры безопасности SSLF предназначены лишь для ограниченного
круга организаций. Конфигурация этих параметров разработана для организаций, в
которых обеспечение безопасности важнее, чем обеспечение функциональности.
Данное руководство организовано таким образом, чтобы можно было без труда
находить необходимую информацию. Руководство и прилагаемые к нему
инструментальные средства помогут:
 Установить и развернуть в вашей сетевой среде любые заданные базовые
настройки безопасности.
 Определить и использовать компоненты безопасности Windows Server 2008
для основных сценариев безопасности.
 Определить назначение каждого отдельного параметра любых базовых
настроек безопасности и понять их важность.
Для создания, тестирования и развертывания параметров безопасности любой из
представленных сред, среды EC или среды SSLF, вам понадобиться скачать
GPOAccelerator для Руководства по безопасности Windows Server 2008 и
практическое руководство по работе с этим инструментом. Данный инструмент
автоматически создает все объекты GPO для рекомендуемых этим руководством
параметров безопасности. Инструкции по выполнению этих задач с помощью
данного инструмента можно найти в руководстве How to Use the GPOAccelerator
(Как использовать GPOAccelerator).
Данное руководство ориентировано, главным образом, на корпоративных
заказчиков. Чтобы извлечь максимальную пользу из этого материала, его
необходимо прочитать полностью. Однако при выполнении конкретных задач
можно знакомиться с отдельными частями. В разделе «Обзор глав» кратко
представлена информация, предлагаемая в руководстве. Больше информации по
безопасности и параметрам безопасности, связанными с Windows Server 2008,
можно найти в книге «Сборник параметров используемых в руководстве по
безопасности Windows Server 2008» и сопроводительном руководстве Threats and
Countermeasures (Угрозы и контрмеры).
Кто должен прочитать это руководство
Руководство по безопасности Windows Server 2008 предназначено, главным
образом, для ИТ-специалистов, специалистов по безопасности, архитекторов
сетей, специалистов по вычислительной технике и других консультантов по
вопросам ИТ, которые занимаются планированием разработки приложений или
сред и развертывания Windows Server 2008 для серверов в среде предприятия.
Данное руководство не для пользователей домашних ПК, оно ориентировано на
тех, в чьи профессиональные обязанности входит одна или более из следующих
ролей:
 Специалист по обеспечению безопасности. Пользователи,
выполняющие эту роль, занимаются обеспечением безопасности между
разными платформами в рамках организации. Специалистам по
обеспечению безопасности необходимо надежное справочное руководство,
рассматривающее задачи по обеспечению безопасности на всех уровнях
организации и также предлагающее проверенные методы реализации
защитных контрмер по усилению безопасности. Специалисты по
безопасности определяют компоненты и параметры безопасности и дают



рекомендации того, как клиенты могут наиболее эффективно их
использовать в среде с повышенными рисками безопасности.
ИТ-специалисты, сотрудники службы технической поддержки и
специалисты по развертыванию. Основной задачей ИТ-специалистов
является интеграция безопасности и управление изменениями в процессе
развертывания, тогда как специалисты по развертыванию занимаются
оперативным обеспечением обновлений безопасности. Сотрудники,
выполняющие эти роли, также выявляют проблемы безопасности
приложений, связанные с установкой, настройкой и улучшением
используемости и управляемости программного обеспечения. Они
отслеживают этот тип проблем, чтобы найти возможность улучшения
безопасности с минимальным изменением важных бизнес-приложений.
Архитектор и планировщик сетей. Пользователи, выполняющие эту роль,
управляют процессами построения архитектуры компьютерных сетей в
своих организациях
Консультант. Пользователи, выполняющие эту роль, занимаются
сценариями безопасности, которые распространяются на все бизнес-уровни
организации. ИТ-консультанты, как из служб Microsoft, так и со стороны
партнеров, используют инструменты передачи знаний корпоративным
заказчикам и партнерам.
Примечание Желающие применить представленное здесь нормативное руководство на
практике, должны, как минимум, прочитать руководство How to Use the GPOAccelerator (Как
использовать GPOAccelerator) и выполнить все предлагаемые в нем шаги по организации
среды EC.
Навыки и подготовка
Перечисленными ниже знаниями и навыками должны обладать консультанты,
персонал, штат службы технической поддержки и развертывания и специалисты по
безопасности, которые занимаются разработкой, развертыванием и обеспечением
безопасности серверных систем с установленной Windows Server 2008 в
организации предприятия:
 Сертификат MCSE по Microsoft Windows Server 2003 или более поздней
версии и два или более года опыта работы с безопасностью или
эквивалентные этим знания.
 Доскональное знание домена и среды Active Directory организации.
 Опыт работы с Консолью управления групповой политикой (Group Policy
Management Console, GPMC)
 Опыт администрирования Групповой политики с использованием GPMC,
обеспечивающей единое решение для управления всеми связанными с
групповой политикой задачами.
 Опыт использования инструментов управления, включая Консоль
управления Microsoft (Microsoft Management Console, MMC), Gpupdate и
Gpresult.
 Опыт использования Мастера настройки безопасности (Security
Configuration Wizard, SCW)
 Опыт развертывания приложений и серверов в средах предприятий.
Цели руководства
Основной целью данного руководства является научить вас:
 С помощью руководства эффективно создавать и применять прошедшие
тестирование базовые конфигурации, используя групповую политику.
 Понимать, почему в руководстве предлагаются именно такие рекомендаций
по настройке параметров безопасности в базовых конфигурациях, и
результаты их использования.
 Выявлять и рассматривать основные сценарии безопасности и затем
использовать специальные компоненты безопасности, предлагаемые в
Windows Server 2008, для управления сценариями в вашей среде.
 Понимать ролевую безопасность для разных рабочих нагрузок в Windows
Server 2008.
Данное руководство спланировано так, что можно использовать только отдельные
его части, которые помогут выполнить требования конкретной организации. Тем не
менее, максимальную пользу принесет прочтение всего руководства.
Область рассмотрения руководства
Основное внимание данное руководство уделяет созданию и обслуживанию
безопасной среды для серверов с установленной Windows Server 2008.
Руководство объясняет разные этапы обеспечения безопасности двух разных сред
и то, что определяет каждый параметр безопасности для серверов, развернутых в
каждой из сред. Руководство предлагает нормативные сведения и рекомендации по
обеспечению безопасности.
На клиентских компьютерах в среде EC может быть установлена:

либо Windows XP с SP2 или более поздняя версия,
 либо Windows Vista.
Тем не менее, на серверах, управляющих этими клиентскими компьютерами в
сети, должны быть установлены:

Windows Server 2008 или
 Windows Server 2003 с SP2 или более поздняя версия.
На клиентских компьютерах в среде SSLF может быть установлена только
Windows Vista, а на управляющих ими серверах – только Windows Server 2008.
В данное руководство включены главы с рекомендациями по безопасности,
касающимися повышения уровня защиты следующих ролей сервера и служб роли,
которые они предоставляют:
 Доменных служб Active Directory (AD DS)
 DHCP-сервера
 DNS-сервера
 Веб-сервера (IIS)
 Файловых служб
 Служб печати
 Служб сертификации Active Directory (AD CS)
 Служб политики сети и доступа

Служб терминалов
Примечание Сведения о настройке роли сервера, такие как пошаговое руководство по
настройке конкретных ролей, не представлены в данном руководстве. Сюда включены
только параметры безопасности, доступные в рекомендуемой операционной системе. Больше
сведений о настройке для Windows Server 2008 можно найти на Веб-странице Windows
Server 2008 Step-by-Step Guides (Пошаговые руководства Windows Server 2008) Центра
загрузки Microsoft.
В данное руководство не включены рекомендации по повышению уровня защиты
для следующих ролей сервера:
 Службы федерации Active Directory
 Службы Active Directory облегченного доступа к каталогам
 Службы управления правами Active Directory
 Сервера приложений
 Факс-сервера
 Hyper-V
 Службы потоковой передачи медиаданных
 Службы UDDI
 Службы развертывания Windows
Все параметры безопасности Windows Server 2008 подробно обсуждаются в
сопроводительном руководстве Threats and Countermeasures (Угрозы и контрмеры).
Необходимые руководства и инструменты
Пакет руководства включает следующие документы и книги:
 «Руководство по безопасности Windows Server 2008»
 Приложение А, «Параметры групповой политики, связанные с
безопасностью»
 «Справочник по поверхности атаки для Windows Server 2008»
 «Сборник параметров используемых в руководстве по безопасности
Windows Server 2008»
Примечание В книге «Справочник по поверхности атаки для Windows Server 2008»
(Windows Server 2008 Attack Surface Reference) представлены уникальные
идентификаторы CCE для каждого параметра. Идентификаторы CCE можно
использовать для обеспечения быстрого и точного согласования данных множества
информационных источников и инструментов.
Скачав руководство Windows Server 2008 Security Guide (Руководство по
безопасности Windows Server 2008) в Центре загрузки Microsoft, с помощью файла
Установщика Microsoft Windows (.msi) установите эти ресурсы на свой компьютер в
каталог по своему выбору. После этого можете скачать GPOAccelerator и
руководство по созданию, тестированию и развертыванию параметров
безопасности, описанных в «Руководстве по безопасности Windows Server 2008»,
для данного инструмента.
Примечание Для получения доступа к инструменту GPOAccelerator и документу How to Use
the GPOAccelerator, извлеките архив GPOAccelerator.zip для этих ресурсов.
Обзор глав
Данное издание «Руководства по безопасности Windows Server 2008» включает 11
глав и приложение, которое можно использовать как справочник по описаниям,
рекомендациям по применению и значениям параметров. Файл книги «Сборник
параметров используемых в руководстве по безопасности Windows Server 2008»,
сопровождающий руководство, предоставляет другой ресурс, который может
использоваться для сравнения и оценки параметров групповой политики. Кроме
того, в книге «Справочник по поверхности атаки для Windows Server 2008» сведена
воедино вся информация о службах, файлах и правилах брандмауэра, характерных
для каждой рассматриваемой в руководстве роли сервера. На следующем рисунке
представлена структура руководства, которая поможет найти оптимальные пути
реализации и развертывания нормативного руководства.
Обзор
В обзоре обозначены цель и область рассмотрения данного руководства,
определена целевая аудитория руководства и представлена его схема, чтобы
помочь читателю быстро находить необходимую информацию. Также описываются
инструменты и шаблоны, сопровождающие руководство, и предварительные
условия для работы с ним. Далее следует краткое описание каждой из глав и
приложения.
Глава 1: Реализация базовых настроек безопасности
В данной главе обозначены преимущества, которые организация получает от
создания и развертывания базовых настроек безопасности. Эта глава включает
общие рекомендации по проектированию безопасности, которым можно следовать
при подготовке к реализации базовой безопасности EC или SSLF. В главе
объясняются подходы к обеспечению безопасности для обеих сред, EC и SSLF, и
основные отличия этих сред.
Сопровождающий данное руководство «Сборник параметров используемых в
руководстве по безопасности Windows Server 2008» является еще одним
источником, который может использоваться для сравнения и оценки параметров
групповой политики. Инструмент GPOAccelerator доступен как отдельный пакет для
загрузки в Центре загрузки Microsoft. Инструкции по применению этого инструмента
представлены в книге How to Use the GPOAccelerator.
Внимание Данная глава ориентирует вашу организацию на установку среды SSLF, которая
отличается от среды EC. Руководство по SSLF предназначается только для сред с высоким
уровнем безопасности. Оно не является дополнением руководства для среды EC. Параметры
безопасности, определенные для среды SSLF, ограничивают ключевую функциональность в
среде. Поэтому базовые настройки безопасности SSLF не годятся для большинства
организаций. Прежде чем реализовывать базовые настройки безопасности SSLF в
производственной среде, они должны быть тщательнейшим образом протестированы.
Глава 2: Сокращение поверхности атаки посредством
роли сервера
В данной главе представлен обзор встроенных инструментов Windows Server 2008,
с помощью которых можно быстро настроить, сохранить и активировать всю
необходимую функциональность для серверов среды. В этой главе обсуждается,
как с помощью Диспетчера сервера можно сократить поверхность атаки ваших
серверов за счет настройки только необходимой функциональности каждой роли
сервера.
Также в главе обсуждается использование Мастера настройки безопасности (SCW)
для сохранения и активации настроек, реализованных Диспетчером сервера. В
главе представлена информация о Server Core, новой опции установки в Windows
Server 2008.
Глава 3: Повышение уровня защиты доменных служб
Active Directory
В данной главе обсуждаются возможности повышения уровня защиты Доменных
служб Active Directory (AD DS) для управления пользователями и ресурсами,
такими как компьютеры, принтеры и приложения в сети. AD DS в Windows
Server 2008 включают ряд новых возможностей, которые были недоступны в
предыдущих версиях Windows Server, и основной задачей некоторых из них
является более безопасное развертывание AD DS. К функциям, повышающим
безопасность в AD DS, относятся возможности аудита, расширенные политики
паролей и возможность использования контроллеров домена только для чтения
(RODCs).
Глава 4: Повышение уровня защиты служб DHCP
Данная глава предлагает нормативное руководство по повышению уровня защиты
роли DHCP-сервер. В главе обсуждаются службы DHCP-сервер и DHCP-клиент в
Windows Server 2008, включающие улучшения безопасности для Защищенного
сетевого доступа (Network Access Protection, NAP) и функциональность DHCPv6.
Глава 5: Повышение уровня защиты DNS-служб
Данная глава предлагает нормативное руководство по повышению уровня защиты
роли DNS-сервер. Windows Server 2008 обеспечивает улучшения DNS-сервера,
направленные, главным образом, на улучшение производительности или
обеспечение новых функций, включая фоновую загрузку зон, которая помогает
предотвратить потенциальные атаки типа отказ в обслуживании (DoS), и поддержку
контроллеров RODC, размещаемых на сетевом периметре, филиалов или других
небезопасных сред.
Глава 6: Повышение уровня защиты Веб-служб
Данная глава предлагает нормативное руководство по повышению уровня защиты
роли Веб-сервер. В главе обсуждается, как роль Веб-сервер устанавливает
Microsoft® Internet Information Services (IIS) 7.0, структура которой изменена и
разбита на сорок модульных компонентов, устанавливаемых по запросу.
Глава 7: Повышение уровня защиты файловых служб
Данная глава предлагает нормативное руководство по повышению уровня защиты
роли файлового сервера. Повышение уровня защиты файловых серверов может
представлять особую сложность, потому что обеспечение баланса между
безопасностью и функциональностью предоставляемых ими фундаментальные
служб – тонкое искусство. Windows Server 2008 представляет ряд новых
возможностей, которые помогут в управлении и улучшении защиты файлового
сервера в вашей среде.
Глава 8: Повышение уровня защиты служб печати
Данная глава предлагает нормативное руководство по повышению уровня защиты
роли сервера печати. Безопасность служб печати в операционной системе
Windows Vista претерпела существенные изменения. Эти изменения также
включены в Windows Server 2008, чтобы ваша организация могла в полной мере
воспользоваться обеспечиваемыми ими преимуществами.
Глава 9: Повышение уровня защиты служб
сертификации Active Directory
Данная глава предлагает нормативное руководство по повышению уровня защиты
служб сертификации Active Directory (AD CS) на сервере с установленной Windows
Server 2008. AD CS предоставляют настраиваемые службы для создания и
управления сертификатами открытого ключа, которые используются в программных
системах безопасности, построенных на технологиях открытого ключа. В главе
обсуждается, как организации могут повышать безопасность с помощью AD CS,
связывая удостоверение человека, устройства или службы с соответствующим
закрытым ключом.
Глава 10: Повышение уровня защиты служб политики
сети и доступа
Данная глава предлагает нормативное руководство по повышению уровня защиты
служб Политики сети и доступа на серверах с установленной Windows Server 2008.
Службы политики сети и доступа (Network Policy and Access Services, NPAS) в
Windows Server 2008 предоставляют технологии, обеспечивающие возможность
развертывания и работы виртуальной частной сети (VPN), удаленного доступа к
сети, защищенного по стандарту 802.1X проводного и беспроводного доступа и
устройств на базе технологии управления доступа в сеть (Network Admission
Control, NAC) Cisco.
В данной главе обсуждаются возможности использования NPAS для определения и
применения политик аутентификации и авторизации сетевого доступа, а также
безопасности клиента для сети с помощью Сервера сетевой политики (Network
Policy Server, NPS), Службы маршрутизации и удаленного доступа, Центра
регистрации работоспособности (Health Registration Authority, HRA) и протокола
авторизации учетных данных узла (Host Credential Authorization Protocol, HCAP).
Глава 11: Повышение уровня защиты служб
терминалов
Данная глава предлагает нормативное руководство по повышению уровня защиты
служб терминалов на серверах с установленной Windows Server 2008. Эти серверы
обеспечивают основные службы, с помощью которых пользователи получают
возможность доступа к программам Windows или всему рабочему столу Microsoft
Windows® из разных мест. Вы можете использовать ряд входящих в Windows
Server 2008 специальных служб роли, включая лицензирование служб терминалов
(TS Licensing) для управления клиентскими лицензиями служб терминалов
(Terminal Server client access licenses, TS CALS), которые необходимы устройствам
и пользователям для подключения к серверу терминалов.
В главе также обсуждается, как служба роли посредник сеансов службы
терминалов (Terminal Services Session Broker, S Session Broker) поддерживает
повторное подключение в существующему сеансу на сервере терминалов,
входящим в состав фермы серверов терминалов с балансировкой нагрузки; как
служба роли Шлюз служб терминалов (Terminal Services Gateway, TS Gateway)
позволяет авторизованным пользователям подключаться к серверам терминалов и
удаленным рабочим столам сети предприятия по Интернету, используя RDP через
HTTPS; и как служба роли Веб-доступ к службе терминалов (Terminal Services Web
Access,(TS Web Access) позволяет авторизованным пользователям получить
доступ к серверам терминалов через Веб-браузер.
Приложение А: Параметры групповой политики,
связанные с безопасностью
Приложение включает описания и таблицы, представляющие подробную
информацию о параметрах, определенных для базовой безопасности сред EC и
SSLF в данном руководстве. В приложении описываются все параметры и
основания применения заданных значений. Также в приложении обозначены
различия между Windows Server 2008 и Windows Server 2003.
Принятые обозначения
В данном руководстве действуют следующие соглашения о шрифтовом
оформлении.
Таблица 1.1. Принятые обзначения
Элемент
Значение
Жирный шрифт
Применяется для обозначения символов, вводимых точно,
как они представлены, включая команды, ключи и имена
файлов. Элементы пользовательского интерфейса также
выделяются жирным шрифтом.
Курсив
Названия книг и других важных публикаций выделяются
курсивом.
<Курсив>
Заполнитель, выделенный курсивом и заключенный в
угловые скобки <имяфайла>, представляет переменные.
Моноширинный
шрифт
Используется для примеров кода и сценариев.
Примечание
Обращает внимание читателя на дополнительную
информацию.
Важно
Важное примечание предлагает сведения, необходимые для
выполнения задачи.
Предупреждение
Обращает внимание читателя на важную дополнительную
информацию, которую нельзя проигнорировать.
‡
Символ, указывающий на специальные изменения или
рекомендации параметра групповой политики.
§
Символ, обозначающий параметры групповой политики,
веденные в Windows Server 2008.
Дополнительные ресурсы
В следующих ресурсах Microsoft.com можно найти дополнительную информацию по
вопросам безопасности и всестороннее обсуждение концепций и рекомендаций по
безопасности, рассматриваемых в данном руководстве:
 GPOAccelerator, инструмент и руководство от Центра загрузки Microsoft.
 Infrastructure Planning and Design.
 Microsoft Assessment and Planning Toolkit Solution Accelerator.
 Microsoft Deployment.
 Microsoft Windows Security Resource Kit.
 Microsoft Windows Server 2003 Resource Kit: Special Promotional Edition.
 Security Guidance.
 Solution Accelerators.
 Threats and Countermeasures.
 Windows Server 2003 Security Guide.
 Windows XP TechCenter.
 Windows XP Security Guide.
Поддержка и обратная связь
Команда Solution Accelerators – Security and Compliance (SA–SC) будет рада узнать
ваше мнение об этом и других руководствах.
Пожалуйста, присылайте свои комментарии по следующим адресам:
 Электронные письма по адресу [email protected].
 Сообщения в блог Solution Accelerators – Security and Compliance на сайте
Microsoft TechNet.
С нетерпением ожидаем ваших отзывов.
Благодарности
Команда Solution Accelerators – Security and Compliance (SA–SC) выражает
признательность и благодарит всех, кто принимал участие в создании Руководства
по безопасности Windows Server 2008. Перечисленные ниже люди принимали
активное участии и внесли значимый вклад в написание, разработку и
тестирование этого решения.
Команда создателей
Разработчики содержимого
Byron Hynes – Microsoft
Benjamin Curry – Content Master
Doug Steen – Wadeware LLC
Richard Harrison – Content Master
Разработчики
José Maldonado – Microsoft
Bhakti Bhalerao – Infosys Technologies Ltd
Naresh Krishna Kumar Kulothungan – Infosys Technologies Ltd.
Редакторы
John Cobb – Wadeware LLC
Steve Wacker – Wadeware LLC
Руководители призводства
Alain Meeus – Microsoft
Jim Stuart – Microsoft
Руководители проекта
Vlad Pigin – Microsoft
Руководитель выпуска
Karina Larson – Microsoft
Руководитель группы тестирования
Gaurav Singh Bora – Microsoft
Тестировщики
Beenu Venugopal – Infosys Technologies Ltd.
Sumit Parikh – Infosys Technologies Ltd.
Swaminathan Viswanathan – Infosys Technologies Ltd.
Помощники и рецензенты
Derick Campbell, Chase Carpenter, Nils Dussart, Michiko Short, Siddharth Bhai, Brad
Mahugh, Thomas Deml, Nazim Lala, Pitchai "Elango" Elangom, Ashwin Palekar,
Sudarshan Yadav, Daniel H. Brown, Georgi Matev, David Kruse, Adrian Lannin, Frank
Olivier, Brandon Baker, Nathan Muggli, Pankaj Chhabra, Abhishek Pathak,
Ramasubramanian K. Neelmani, Jim Groves, Jeff Westhead, Dan Kaminsky, Oded Ye
Shekel, Greg Lindsay, Anthony Leibovitz, Sreenivas Addagatla, Lambert Green, Chandra
Nukala, Richard Costleigh, David Kennedy, Marco Nuijen, Robert Hoover, Sanjay Pandit,
Michiko Short, Ido Dubrawsky, Doug Neal, Roger Grimes, Eugene Siu, Richard Lewis,
Herbert Mauerer, Enrique Saggese, Manu Jeewani, Sanjay Pandit, Jan De Clercq
(Hewlett-Packard), Jorge de Almeida Pinto (MVPS), Juergen Otter (Siemens AG),
Renato Miguel de Barros (Modulo Security Solutions), John Addeo (Dimension Data
America), Derek Seaman (PointBridge)
Примечание Национальный институт стандартов и технологии (National Institute of
Standards and Technology, NIST) Министерства торговли США участвовал в рецензировании
данного руководства по безопасности Microsoft и предоставил комментарии, которые были
включены в опубликованную версию.
Примечание По запросу Microsoft Отдел контроля информации Агентства национальной
безопасности (National Security Agency Information Assurance Directorate) принял участие в
рецензировании данного руководства по безопасности Microsoft и предоставил комментарии,
которые были включены в опубликованную версию
Глава 1: Реализация базовых настроек безопасности
Windows Server® 2008 – самая безопасная операционная система, выпущенная
Microsoft на данный момент. Однако разным организациям требуется разный
уровень безопасности и функциональности, поэтому может возникнуть
необходимость изменения конфигурации соответственно требованиям конкретной
среды. В данной главе демонстрируется, как относительно просто конфигурировать
настройки безопасности для повышения уровня защиты компьютеров,
осуществляющих различные роли сервера. На каждый сервер установлена
Windows Server 2008 в стандартной конфигурации. Все серверы включены в домен
с помощью доменных служб Active Directory® (Active Directory® Domain Services,
AD DS).
Теперь существует возможность повысить уровень защиты, используя только
объекты групповой политики (Group Policy objects, GPOs). Предыдущее руководство
по безопасности от Microsoft предлагало импортировать .inf-файлы шаблонов
безопасности и вручную вносить существенные изменения в административные
шаблоны нескольких объектов GPO, теперь в этом нет необходимости. Тем не
менее .inf-файлы шаблона безопасности включены в инструмент GPOAccelerator,
так чтобы их можно было использовать для повышения уровня защиты
изолированных серверов. «Изолированный» сервер не является участником
домена AD DS. Все рекомендуемые настройки групповой политики приведены в
Приложении А, «Параметры групповой политики, связанные с безопасностью».
Для работы с данным руководством вам понадобится:
 Создать структуру подразделений (organizational unit, OU) для своей среды.
 Запустить инструмент GPOAccelerator, предоставленный для данного
руководства.
Важно Чтобы создавать, тестировать и развертывать настройки безопасности для
Руководства по безопасности Windows Server 2008, скачайте GPOAccelerator и
руководство Как использовать GPOAccelerator для данного инструмента. Этот
инструмент автоматически создает все объекты GPO для параметров безопасности,
рекомендуемых данным руководством. Также он включает .inf-файлы шаблона
безопасности, которые можно использовать для применения параметров безопасности к
изолированным серверам.

Использовать Консоль управления групповой политикой (Group Policy
Management Console, GPMC) для связывания и управления объектами
GPO.
Внимание Перед развертыванием в среде производственной эксплуатации схемы OU и
GPO должны быть тщательнейшим образом протестированы. Подробные рекомендации
по выполнению этого представлены в документе Как использовать GPOAccelerator.
Используйте данное руководство для создания и развертывания структуры
подразделений и объектов GPO безопасности, как на этапе тестирования, так и на этапе
производственной эксплуатации.
Поставляемые с данным руководством объекты GPO с набором базовых
показателей безопасности предлагают набор оттестированных настроек,
повышающих безопасность компьютеров на которых установлена ОС Windows
Server 2008, в двух различных средах:
 Среда корпоративных клиентов (Enterprise Client, EC)

Специальная безопасная среда с ограниченной функциональностью
(Specialized Security – Limited Functionality, SSLF)
Среда корпоративных клиентов
Рассматриваемая в данной главе среда корпоративных клиентов (Enterprise Client,
EC) состоит из домена, использующего AD DS, с контролерами домена под
управлением Windows Server 2008 с Active Directory. Контроллеры управляют
клиентскими компьютерами, на которых установлены ОС:

Windows Vista® или

Windows XP® с пакетом обновлений 2 (Service Pack 2, SP2) или

более поздние версии;
а также рядовыми серверами, на которых установлены ОС:

Windows Server 2008 или

Windows Server 2003 с SP2 или

более поздние версии.
Управление клиентскими компьютерами и серверами-участниками в этой среде
осуществляется посредством Групповой политики, применяемой к сайтам,
доменам и подразделениям. Групповая политика обеспечивает централизованную
инфраструктуру в рамках AD DS, что позволяет распространять изменения и
управлять настройками пользователей и компьютеров, включая данные системы
безопасности и пользовательские данные, на уровне всего каталога.
Примечание Предписанные данным руководством базовые настройки безопасности среды
Корпоративный клиент позволяют реализовать повышенную безопасность, при которой
обеспечивается достаточная функциональность операционной системы и приложений в
преимущественном большинстве организаций.
Специальная безопасная среда с ограниченной
функциональностью
Рассматриваемая в данной главе Специальная безопасная среда с ограниченной
функциональностью (Specialized Security – Limited Functionality SSLF) состоит из
домена, использующего AD DS, с контролерами домена под управлением Windows
Server 2008 с Active Directory. Контроллеры управляют клиентскими компьютерами,
на которых установлены ОС:

Windows Vista® или

Windows XP® с пакетом обновлений 2 (Service Pack 2, SP2) или

более поздние версии;
а также рядовыми серверами, на которых установлены ОС:

Windows Server 2008 или

Windows Server 2003 с SP2 или

более поздние версии.
Базовая конфигурация SSLF, описанная в данном руководстве, отвечает
требованию по созданию сред с высоким уровнем безопасности для компьютеров,
на которых установлена ОС Windows Server 2008. Безопасность таких сред
настолько важна, что допускается существенное ограничение функциональности и
управляемости. Рекомендации по применению данных параметров разработаны
при взаимодействии с несколькими правительственными агентствами разных стран
мира.
Внимание Параметры безопасности SSLF предназначены лишь для ограниченного круга
организаций. Конфигурация этих параметров разработана для организаций, в которых
обеспечение безопасности важнее, чем обеспечение функциональности.
При тестировании и развертывании параметров конфигурации SSLF на серверах
среды можно наблюдать увеличение количества обращений пользователей в
службу технической поддержки вашей организации, связанных с ограничением
функциональности, обусловленным данными настройками. Конфигурация этой
среды обеспечивает более высокий уровень безопасности данных и сети, но также
препятствует выполнению некоторых служб, которые могут быть необходимы
организации. Например, Служб терминалов (Terminal Services), которые
обеспечивают пользователям возможность интерактивного подключения к рабочим
столам и приложениям на удаленных серверах.
Важно отметить, что базовая конфигурация безопасности SSLF не является
дополнением к базовой конфигурации EC: базовая конфигурация SSLF
обеспечивает совершенно иной уровень безопасности. По этой причине не
пытайтесь применять базовую конфигурацию SSLF и базовую конфигурацию EC к
одним и тем же компьютерам. В контексте данного руководства необходимо,
прежде всего, определить необходимый вашей среде уровень безопасности и
затем принимать решение о применении базовой конфигурации либо EC, либо
SSLF. Сравнение различий базовых конфигураций EC и SSLF проведено в
Приложении А «Параметры групповой политики, связанные с безопасностью».
Сборник параметров используемых в руководстве по безопасности Windows Server
2008, также прилагаемый к данному руководству, предлагает другой ресурс для
сравнения значений параметров.
Важно Если вы предполагаете использовать базовую конфигурацию SSLF, будьте готовы к
всестороннему тестированию компьютеров своей среды, чтобы убедиться, что параметры
безопасности SSLF не препятствуют реализации компьютерами данной среды необходимой
функциональности.
Среда со специализированной безопасностью
Организации, использующие компьютеры и сети, особенно если они подключены к
внешним ресурсам, таким как Интернет, должны учитывать вопросы безопасности
при проектировании системы и сети, а также при конфигурации и развертывании
компьютеров. Возможности, включающие автоматизацию процессов, удаленное
управление, удаленный доступ, возможность доступа 24 часа в сутки, возможность
доступа из любой точки земного шара и независимость от программных средств и
устройств, упрощают жизнь предприятий и позволяют работать более эффективно
в условиях рыночной конкуренции. Однако эти возможности также являются
причиной подверженности компьютеров этих организаций потенциальным рискам.
Как правило, администраторам необходимо предпринимать меры по
предотвращению несанкционированного доступа к данным, сбоя служб и
неправомерного использования компьютеров. Некоторым организациям, например
военным, правительственным и финансовым, необходимо обеспечить
безопасность определенного уровня некоторым или всем службам, системам и
данным, с которыми они работают. Базовая конфигурация SSLF разработан с
целью обеспечить этот уровень безопасности для таких организаций. Показатели
SSLF можно найти в Приложении А «Параметры групповой политики, связанные с
безопасностью».
Среда с ограниченной функциональностью
Специализированная безопасность, которую обеспечивает набор базовых
показателей SSLF, может приводить к ограничению функциональности среды.
Причиной этому является то, что базовая конфигурация SSLF ограничивает
пользователей лишь специальными функциями, необходимыми для выполнения
требуемых задач. Доступ возможен лишь к одобренным приложениям, службам и
инфраструктурам сред. Ограничена и возможность настройки, потому что SSLF
деактивирует многие привычные пользователям страницы свойств.
Области повышенной безопасности и ограниченной функциональности,
обеспечиваемые базовой конфигурацией SSLF, описаны в следующих разделах
данной главы:
 Ограниченный доступ к службам и данным.
 Ограниченный доступ к сети.
 Надежная защита сети.
Ограниченный доступ к службам и данным
Настройки, входящие в конфигурацию SSLF, требуют от пользователей
применения надежных паролей. Однако такие пароли легко забыть или допустить
ошибку при вводе, что может привести к тому, что допустимые пользователи не
получат доступ к службам или данным. Следствием этого может стать увеличение
количества обращений в службу технической поддержки. С другой стороны, данные
настройки обеспечивают компьютерам, с установленной ОС Windows Server 2008,
защиту среды от атак злонамеренных пользователей. К опциям базовой
конфигурации SSLF, которые потенциально могут помешать доступу
пользователей к службам и данным, относятся:
 Административные группы с ограниченным доступом, такие как Операторы
архива (Backup Operators) и Операторы сервера (Server Operators).
 Параметры, вводящие требования к применению более надежных паролей.
 Параметры, вводящие более строгую политику блокировки учетной записи.
 Параметры, ужесточающие политику Назначения прав пользователей
(User Rights Assignments) и Опций безопасности (Security Options).
Примечание Эти параметры, как для базовой конфигурации EC, так и для базовой
конфигурации SSLF, подробно рассматриваются в Приложении А «Параметры групповой
политики, связанные с безопасностью». Также для сравнения значений параметров можно
использовать «Сборник параметров используемых в руководстве по безопасности Windows
Server 2008», прилагаемый к данному руководству.
При помощи групповой политики можно задавать значения по умолчанию для
многих прав пользователя и опций безопасности, а также отключать их. Это может
привести к тому, что некоторые приложения, требующие специальных прав
пользователей, не будут функционировать надлежащим образом. Поэтому важно
провести тщательный предварительный анализ требований по настройке прав
пользователя и доступа для приложений, не установленных посредством
включения различных ролей сервера. Этот набор приложений включает, но не
ограничивается приложениями, разработанными специально для вашей среды, или
инструментами, используемыми для диагностики или обновления ваших
компьютеров.
Ограниченный доступ к сети
Надежность сети и возможность подключения системы являются главными
условиями успешности бизнеса. Операционные системы Microsoft обеспечивают
расширенные возможности работы в сети, которые помогают устанавливать,
поддерживать и восстанавливать соединения в случае их нарушения. Эта
возможность полезна для обслуживания подключения к сети, но может
использоваться для атак с целью повреждения или незаконного проникновения в
компьютеры вашей сети.
В основном администраторы приветствуют функции, обеспечивающие поддержку
сетевых подключений. Однако в особых случаях первостепенное значение имеет
безопасность данных и сервисов. В таких специализированных средах допускается
некоторое ограничение возможностей подключения с целью обеспечения защиты
данных. К опциям конфигурации SSLF, которые повышают безопасность сети, но
могут потенциально препятствовать доступу пользователей к сети, относятся:
 Параметры, ограничивающие доступ к клиентским системам по сети.
 Параметры, обеспечивающие сокрытие систем в списках просмотра.
 Параметры, управляющие исключениями брандмауэра Windows.
 Параметры, реализующие безопасность соединения, например, подпись
пакетов.
Надежная защита сети
Самой распространенной стратегией атак на сетевые сервисы является
использование атаки типа Отказ в обслуживании (denial of service, DoS). Такая
атака препятствует возможности доступа к данными или сервисами или
перегружает ресурсы системы и снижает производительность. Базовая
конфигурация SSLF обеспечивает дополнительную защиту объектам системы и
распределение ресурсов, что помогает защититься от этого типа атак. К опциям
базовой конфигурации SSLF, способствующим предотвращению атак типа Отказ в
обслуживании, относятся:
 Параметры, контролирующие распределение квот памяти для процессов.
 Параметры, контролирующие создание объектов.
 Параметры, контролирующие возможности отладки программ.
 Параметры, управляющие профилированием процессов.
Все эти меры по обеспечению безопасности повышают вероятность того, что
параметры безопасности базовой конфигурации SSLF могут воспрепятствовать
нормальному выполнению приложений в вашей среде или доступу пользователей к
службам и данным. Поэтому важно провести всестороннее тестирование
реализованной базовой конфигурации SSLF перед его применением в среде
производственной эксплуатации.
Проектирование безопасности
Приведенные в этой главе рекомендации по проектированию безопасности,
являются отправной точкой для сценариев, рассматриваемых данным
руководством, и предлагают средства их защиты. В последующих разделах главы
подробно рассматривается основная структура безопасности, используемая в
данном руководстве:
 Структура подразделений
 Структура объекта групповой политики
Структура подразделения для политик безопасности
Подразделение (OU) – это контейнер в рамках домена AD DS. Подразделение
может содержать пользователей, группы, компьютеры и другие подразделения.
Если подразделение включает другие подразделения, оно называется
родительским подразделением, и подразделение в рамках родительского
подразделения называется дочерним подразделением.
Можно связать GPO с OU, что обеспечит применение настроек GPO к
пользователям и компьютерам, входящим в состав OU, и его дочерним OU. Чтобы
упростить администрирование, можно делегировать полномочия по
администрированию каждого отдельного подразделения конкретным
администраторам или группам.
Подразделения обеспечивают эффективный способ установления
административных границ между пользователями и компьютерами. Microsoft
рекомендует распределять пользователей и компьютеры в разные подразделения,
потому что существуют настройки, применяемые исключительно к пользователям
или исключительно к компьютерам.
Управление отдельным подразделением может быть делегировано в Мастере
делегирования управления (Delegation Wizard) в оснастке Active Directory Пользователи и компьютеры (Active Directory - Users and Computers) консоли
управления Microsoft (Microsoft Management Console, MMC). В разделе
«Дополнительные источники» в конце данной главы можно найти ссылки на
документацию по делегированию полномочий.
Одна из основных целей создания структуры подразделений для любой среды –
обеспечение базы для реализации Групповой политики, которая может
применяться ко всем компьютерам домена AD DS. Это помогает обеспечить
соответствие компьютеров стандартам безопасности, установленным
организацией. Схема OU также должна обеспечивать адекватную структуру для
применения параметров безопасности для определенных типов ролей сервера,
служб ролей и пользователей в организации. Например, разработчики должны
иметь намного более широкие права доступа к своему компьютеру, чем обычные
пользователи. Следующий рисунок иллюстрирует простую структуру OU,
достаточную для обсуждаемой в данной главе Групповой политики. Эта структура
OU может отличаться от требуемой для среды вашей организации.
Корень домена
Подразделение
рядовых серверов
Подразделение
контроллеров домена
Подразделение роли 1
сервера
Подразделение роли 2
сервера
Подразделение роли 3
сервера
Подразделение роли n
сервера
Рис. 1.1. Пример структуры подразделения для компьютеров, с
установленной ОС Windows Server 2008
Корень домена
Чтобы управлять общей конфигурацией домена, некоторые параметры
безопасности должны быть установлены глобально для всего домена. Эти
настройки хранятся в объектах групповой политики, применяемых к домену.
Computers and Users (Компьютеры и пользователи) располагаются в другом
контейнере.
Подразделение контроллеров домена
Контроллеры домена содержат некоторые наиболее чувствительные данные
вашей организации – данные, управляющие самой конфигурацией системы
безопасности. На этом уровне объекты GPO применяются в структуре OU для
конфигурации и защиты контроллеров домена.
Подразделение рядовых серверов
Это подразделение включает описываемые ниже дочерние подразделения. В
объекты GPO данного подразделения должны быть включены параметры,
применяемые ко всем серверам, но не к рабочим станциям.
Подразделения ролей сервера
Microsoft рекомендует для каждой роли сервера, используемой в вашей
организации, создавать отдельное подразделение. Каждое подразделение должно
включать только один тип компьютера-сервера. Тогда можно конфигурировать
параметры GPO и применять их к подразделениям, специально отведенным под
каждую роль.
Также в случае необходимости один сервер может сочетать определенные роли.
Например, можно объединить роли сервера Файлы (File) и Печать (Print). В этом
случае для этих комбинированных ролей сервера можно создать подразделение
Сервер файлов и печати (File and Print Server) и затем связать с этим
подразделением две характерных для роли политики GPO
Важно Комбинирование ролей сервера на одном компьютере требует тщательного
планирования и тестирования, чтобы гарантированно исключить негативный эффект на
общую безопасность комбинируемых ролей сервера.
Структура объектов групповой политики для политик
безопасности
Объект групповой политики (GPO) – это набор параметров Групповой политики.
Объекты GPO хранятся на уровне домена. Область их действия распространяется
на пользователей и компьютеры, содержащиеся на сайтах, в доменах и
подразделениях.
С помощью объектов GPO можно гарантировать применение определенных
параметров политики, прав пользователей и поведения компьютера к компьютерам
или пользователям подразделения. Применение Групповой политики вместо
настройки вручную существенно упрощает задачу по управлению и внесению
изменений для множества компьютеров и пользователей. Конфигурирование
вручную не только малопроизводительно, поскольку требует от технического
специалиста настройки каждой рабочей станции, но также потенциально
неэффективно. Неэффективность, главным образом, обусловлена тем, что если
параметры политики объектов GPO уровня домена отличаются от локальных
параметров, параметры политики GPO уровня домена переопределят локальные
настройки.
5 Политика дочернего
подразделения
4 Политика родительского
подразделения
3 Политика домена
2 Политика сайта
1 Локальная политика
безопасности
Рис. 1.2. Очередность применения GPO
Приведенный рисунок показывает очередность применения объектов GPO к
компьютеру, входящему в дочернее подразделение, начиная от самого низкого
приоритета (1), до самого высокого (5). Сначала применяется Групповая политика
из локальной политики безопасности каждой рабочей станции. После применения
локальной политики безопасности применяются объекты GPO на уровне сайта и
затем на уровне домена.
Для компьютеров, работающих под управлением Windows Server 2008, Windows
Server 2003 SP2 или более поздних версий и Windows Vista или Windows XP с SP2
или более поздними версиями, располагающихся в многократно вложенных
подразделениях, объекты GPO применяются в порядке от уровня родительского
подразделения к самому нижнему по иерархии дочернему подразделению.
Последним применяется GPO подразделения, включающего учетную запись
компьютера. Такой порядок обработки GPO для Групповой политики (локальная
политика безопасности, сайт, домен, родительское подразделение и дочернее
подразделение) имеет большое значение, потому что параметры объектов GPO,
применяемых позже, переопределяют предыдущие параметры. Если один и тот же
параметр имеет различные значения в разных GPO, эти значения никогда не
комбинируются. Принцип применения объектов GPO для пользователей
аналогичен.
При разработке Групповой политики необходимо учитывать следующее:
 Администратор должен задать порядок связывания нескольких GPO с
подразделением, или Групповая политика будет применена по умолчанию в
том порядке, в каком она была подключена к подразделению. Если
параметр задан в нескольких политиках, преимущественное значение будет
иметь политика, располагающаяся в списке политик контейнера выше.
 Параметры Групповой политики применяются к пользователям и
компьютерам, исходя из месторасположения объекта пользователя или
компьютера в Active Directory. В некоторых случаях приходится применять
политику к объекту пользователя на основании месторасположения
объекта компьютера. Свойство замыкания на себя Групповой политики дает
администраторам возможность применять пользовательские настройки
Групповой политики исходя из того, на каком компьютере пользователь
зарегистрирован. Более подробную информацию по этому вопросу можно
найти в статье Loopback Processing of Group Policy (Обработка замыкания
Групповой политики).
 Для GPO можно задать опцию Enforced (Принудительный). Если эта опция
выбрана, другие объекты GPO не могут переопределять параметры,
заданные в этом GPO.
 В Active Directory можно задать для сайта, домена или подразделения
опцию Block policy inheritance (Блокировать наследование политики). Эта
опция блокирует параметры GPO от объектов GPO, расположенных в
Active Directory выше по иерархии, кроме тех для которых выбрана опция
Enforced. Иначе говоря, опция Enforced имеет приоритет над опцией Block
policy inheritance.
Примечание Администраторы должны с чрезвычайной осторожностью
использовать опции Enforced и Block policy inheritance, потому что их активация
может сильно усложнить процесс поиска и устранения неисправностей в объектах
GPO.
Рекомендованные объекты GPO
Для реализации описанной выше структуры подразделений потребуются как
минимум следующие объекты GPO:
 Политика домена.
 Политика для обеспечения набора базовых показателей безопасности для
всех контроллеров доменов.
 Политика для обеспечения набора базовых показателей безопасности для
всех рядовых серверов
 Политика для каждой роли сервера в вашей организации.
Примечание Для реализации безопасности для клиентских компьютеров и пользователей в
вашей организации потребуются дополнительные объекты GPO. Более подробную
информацию можно найти в Windows Vista Security Guide (Руководство по безопасности
Windows Vista).
На следующем рисунке предварительная структура подразделений представлена
развернуто с целью показать связи между этими объектами GPO и структурой
подразделений.
Политика
домена
Базовая политика
EC или SSLF
Windows Server
2008
Корень
домена
Подразделение
рядовых серверов
Базовая политика
контроллеров
домена
Подразделение
контроллеров
домена
Политика
Подразделение серверов AD CS
Политика
Подразделение серверов DHCP
Политика
Подразделение серверов DNS
Политика
Подразделение файловых серверов
Политика
Подразделение серверов печати
Политика
Подразделение серверов служб сетевого доступа
Политика
Подразделение серверов служб терминалов
Политика
Подразделение веб-серверов
Рис. 1.3. Пример структуры подразделений и связей объектов групповой
политики для компьютеров, с установленной ОС Windows Server 2008
В примере на рис. 1.3 Сервер файлов входит в Подразделение серверов файлов.
Первой к серверу применяется локальная политика безопасности. Однако, как
правило, локальная политика выполняет лишь незначительную конфигурацию
серверов или не выполняет ее вообще. Политики и параметры безопасности всегда
должны вводиться в действие Групповой политикой.
Поскольку в данном примере всего одни Сервер файлов, объекты GPO на этом
уровне не применяются. Таким образом, следующей политикой, применяемой к
серверам, становится GPO домена. Затем к Подразделению рядовых серверов
применяется Базовая политика Windows Server 2008 EC. Наконец, к
Подразделению веб-серверов применяются все специальные политики для Вебсерверов среды.
В качестве примера очередности применения политик рассмотрим сценарий, в
котором параметр политики Allow logon through Terminal Services (Разрешить
вход в систему через службу терминалов) задан для следующих подразделений и
групп пользователей:
 Подразделение рядовых серверов – группа Администраторы
(Administrators)
 Подразделение веб-серверов – группы Пользователи удаленного
рабочего стола (Remote Desktop Users) и Администраторы
В этом примере возможность входа в систему через Службы терминалов была
предоставлена только группе Администраторы Подразделения рядовых
серверов. Однако пользователь, учетная запись которого располагается в группе
Пользователи удаленного рабочего стола, может регистрироваться на
Файловом сервере через Службы терминалов, потому что Подразделение
файловых серверов является дочерним для Подразделения рядовых серверов, и в
силу вступает дочерняя политика.
Если в GPO для Подразделения рядовых серверов активирована опция политики
Enforced, регистрироваться на компьютере, являющемся Файловым сервером,
через Службы терминалов могут только пользователи, учетные записи которых
находятся в группе Администраторы. Это объясняется тем, что опция Enforced
препятствует переопределению ранее примененной политики политикой дочернего
подразделения.
Дополнительные ресурсы
Дополнительную информацию по обеспечению безопасности Windows Server 2008
можно найти в следующих ресурсах на сайте Microsoft.com:
 Administering Group Policy (Администрирование групповой политики).
 Enterprise Management with the Group Policy (Управление предприятием с
использованием групповой политики).
 Инструмент GPOAccelerator и руководство от Центра загрузки Microsoft.
 Loopback Processing of Group Policy.
 Migrating GPOs Across Domains with GPMC (Миграция объектов GPO по
доменам с использованием GPMC).
 Step-by-Step Guide to Understanding the Group Policy (Пошаговое
руководство для понимания групповой политики).
 Step-by-Step Guide to Using the Delegation of Control Wizard (Пошаговое
руководство по использованию Мастера делегирования управления).
 Summary of New or Expanded Group Policy (Обзор новой или развернутой
Групповой политики).



Windows Server 2008 TechCenter (Центр технической поддержки Windows
Server 2008).
Windows Server Group Policy (Групповая политика Windows Server).
Windows Vista Security Guide (Руководство по безопасности Windows Vista).
Глава 2: Сокращение поверхности атаки посредством
роли сервера
Концепция ролей сервера не нова, но возможность централизованного управления
ими появилась впервые и стала основным компонентом Windows Server® 2008.
Стандартная установка Windows Server 2008 не предоставляет никаких сетевых
сервисов, кроме базовой возможности подключения к сети. Стандартный подход к
проектированию безопасности для операционной системы требует от
администраторов активации всех необходимых функций в ходе развертывания
сервера.
В данной главе предлагается обзор встроенных инструментов, которые позволяют
быстро устанавливать, конфигурировать и поддерживать все необходимые
функции серверов среды.
 В разделе «Обеспечение безопасности ролей сервера» рассматривается,
как с помощью оснастки Диспетчер сервера (Server Manager) Консоль
управления Microsoft (Microsoft Management Console, MMC) можно
уменьшить поверхность атаки ваших серверов путем настройки только
необходимой функциональности каждой конкретной роли сервера.
o В данном разделе также представлен компонент Windows
Server 2008 Server Core, который поможет еще более сократить
поверхность атаки на роли сервера вашей организации.
o В данном разделе обсуждается возможность использования
Мастера настройки безопасности (Security Configuration Wizard,
SCW) для обслуживания и введения в действие конфигурации,
реализованной в Диспетчере сервера
 В разделе «Использование Мастера настройки безопасности и Групповой
политики для повышения уровня безопасности» даются рекомендации по
созданию и применению объектов Групповой политики (GPOs) для
укрепления защиты серверов, работающих под управлением Windows
Server 2008.
Обеспечение безопасности ролей сервера
Оснастка Диспетчер сервера в Windows Server 2008 упрощает задачу по
управлению и обеспечению безопасности множества ролей, выполняемых
серверами организации. Диспетчер сервера является единым инструментом
управления идентификационной и системной информацией сервера Он
отображает состояние сервера, выявляет проблемы с конфигурацией ролей
сервера и управляет всеми ролями, установленными для сервера. Когда
безопасная конфигурация сервера создана, SCW поможет гарантировать
сохранение настроек сервера неизменными.
Диспетчер сервера
Диспетчер сервера ускоряет настройку и конфигурацию сервера и упрощает
текущее обслуживание ролей сервера. В Windows Server 2008 каждая роль сервера
предназначена для выполнения определенного класса задач. Сервер может
1
выполнять одну или множество ролей. Например, часто роли DHCP -сервер и DNS2
сервер устанавливаются на один сервер.
Однако на сервер могут быть установлены компоненты для поддержания
функциональности и повышения уровня безопасности, не относящиеся к основной
функции сервера. Например, программу шифрования дисков BitLocker™ от
Microsoft® можно установить на файловый сервер или сервер, выполняющий
любую другую роль. Эта функция помогает защитить данные сервера на случай,
если он будет украден.
Диспетчер сервера заменяет несколько компонентов Windows Server 2003, включая
Управление данным сервером (Manage Your Server), Настройка сервера (Configure
Your Server) и Установка компонентов Windows (Add or Remove Windows
Components). Он устраняет необходимость запуска SCW перед развертыванием
серверов. При использовании Диспетчера сервера в Windows Server 2008 для
установки ролей сервера роли конфигурируются с рекомендуемыми Microsoft
настройками безопасности по умолчанию. Также можно использовать SCW для
задания соответствующих настроек ролей для ваших серверов.
Стандартная установка Windows Server 2008 выполняет минимальный набор служб
и не реализовывает никаких ролей или функций сервера. Такая схема позволяет
максимально сократить поверхности атаки для каждого сервера и, таким образом,
защитить любую вновь установленную роль сервера.
Чтобы роли сервера могли выполнять полезные функции, они должны быть
соответствующим образом конфигурированы. Диспетчер сервера включает
компонент Задачи начальной настройки (Initial Configuration Tasks, ICT). Он
автоматически выводится на экран, когда администратор впервые регистрируется
на новом сервере, как показано на рисунке ниже.
1
Dynamic Host Configuration Protocol – протокол динамической настройки хостов
(прим. переводчика)
2
Domain Name System – Система именования доменов (прим. переводчика)
Рис. 2.1. Компонент Задачи начальной настройки в Диспетчере сервера
ICT выделяет и организовывает для администраторов важные задачи, которые
должны быть выполнены при установке новых серверов, обеспечивая им быстрый
доступ к наиболее часто используемым мастерам настройки в Диспетчере сервера.
Обычно все серверы можно конфигурировать и настроить в Диспетчере сервера,
доступ к которому можно получить, запустив ServerManager.msc или щелкнув ярлык
Диспетчер сервера, по умолчанию располагающийся в меню Пуск (Start).
Рис. 2.2. Консоль диспетчера сервера
При конфигурировании роли Диспетчер сервера автоматически устанавливает все
необходимые службы и компоненты. Также он автоматически настраивает все
правила брандмауэра, необходимые для обеспечения новой роли. Аналогично, при
использовании Диспетчера сервера для удаления какой-либо отдельной роли он
изменяет настройки служб и брандмауэра сервера таким образом, чтобы
гарантированно сохранить безопасную конфигурацию сервера и не затронуть
выполнение других ролей. Эти нововведения гарантируют выполнение сервером
только необходимых служб и обеспечение минимально возможной уязвимости.
В главы данного руководства, посвященные ролям сервера, включена информация
обо всех установленных службах и открытых портах, используемых каждой ролью.
Также в статье Server Manager на сайте Microsoft TechNet можно найти подробное
техническое описание Диспетчера сервера и ролей сервера, которые он
поддерживает.
Server Core
Server Core – это новый вариант установки в Windows Server 2008. Он
обеспечивает сокращение поверхности атаки на поддерживаемые роли сервера за
счет установки только необходимых для работы сервера двоичных файлов. Такой
подход также приводит к сокращению размера установки сервера, следствием чего
является уменьшение числа файлов, требующих обновления в будущем.
Например, оболочка Explorer и Microsoft Internet Explorer® не являются частью
установки Server Core.
Установка Server Core поддерживает следующие роли сервера:
 Доменные службы Active Directory
 Службы Active Directory облегченного доступа к каталогам
 DNS-сервер
 DHCP-сервер
 Файловые службы
 Службы печати
 Службы потоковой передачи медиаданных (Streaming Media Services)
 Веб-сервер (IIS)
 Hyper-V™
Также поддерживаются следующие необязательные компоненты и функции:
 Отказоустойчивый кластер Microsoft (Microsoft Failover Cluster)
 Балансировка сетевой нагрузки (Network Load Balancing)
 Подсистема для приложений UNIX
 Возможности архивации данных Windows Server
 Многопутевой ввод/вывод
 Управление съемными носителями
 Шифрование дисков BitLocker
1
 Службы SNMP
2
 WINS -сервер
 Клиент Telnet
 Качество службы (Quality of Service, QoS)
Для установки Server Core необходимо всего около 1 ГБ пространства жесткого
диска сервера и дополнительные 2 ГБ для нормальной работы. После установки и
конфигурации сервера компонентами можно управлять локально из командной
строки, удаленно, используя Удаленный рабочий стол, с помощью MMC или
инструментов командной строки, которые поддерживают удаленное использование.
В главах данного руководства, посвященных ролям сервера, обозначено, когда
установка Server Core может способствовать улучшению защиты вашей среды.
Более подробную информацию и руководство по установке Server Core можно
найти на сайте TechNet в документе Server Core Installation Option of Windows
Server 2008 Step-By-Step Guide (Пошаговое руководство по установке Server Core
для Windows Server 2008).
Мастер настройки безопасности
Функциональность Мастера настройки безопасности (SCW) в Windows Server 2008
аналогична функциональность версии этого мастера для Windows Server 2003
Service Pack 2 (SP2). По-прежнему SCW может использоваться для уменьшения
1
Simple Network Management Protocol – простой протокол управления сетью (прим.
переводчика).
2
Windows Internet Naming Service – служба присваивания имен в Интернет для
Windows (прим. переводчика).
поверхности атаки сервера путем деактивации ненужных служб и блокирования
неиспользуемых или ненужных портов. Однако теперь есть возможность
самостоятельно принимать решение о применении или неприменении мастера.
Windows Server 2003 был разработан так, чтобы администраторы использовали
SCW после установки на сервере стандартной версии операционной системы для
уменьшения поверхности атаки. Но теперь при установке Windows Server 2008
Диспетчер сервера автоматически определяет, что требуется установить на
сервер, и реализует минимально необходимую для выполнения сервером
определенной роли функциональность.
SCW последовательно проводит вас по всем аспектам процесса конфигурации, так
что вы можете анализировать и обеспечивать оптимальную настройку. SCW не
является оснасткой MMC, это независимая программа, доступ к которой можно
получить, запустив SCW.exe.
SCW может использоваться для быстрого создания политик безопасности для
множества серверов или групп серверов с одного компьютера. Эта возможность
позволяет управлять всеми политиками организации из одной точки. Политики
обеспечивают согласованные меры по повышению уровня защиты, которые
поддерживаются и подходят для функций, предоставляемых серверами в рамках
организации.
В Windows Server 2008 SCW интегрирован с новым брандмауэром Windows. Если
вы не воспрепятствуете этому, SCW конфигурирует брандмауэр Windows таким
образом, что будет разрешен необходимый операционной системе входящий
сетевой трафик на важные порты, а также слушающие приложения. Если
необходимы дополнительные фильтры для портов, их можно создать с помощью
SCW. Таким образом, создаваемые SCW политики замещают специальные
сценарии, используемые для настройки или изменения фильтров IPsec для
блокирования нежелательного трафика, что упрощает задачу по повышению
уровня защиты сети. Также с SCW проще настроить сетевые фильтры для служб,
использующих удаленный вызов процедур (remote procedure call, RPC) или
динамические порты.
Больше информации о новом брандмауэре Windows можно найти в статье The New
Windows Firewall in Windows Vista (Новый брандмауэр Windows в Windows Vista) на
сайте TechNet.
Больше нет необходимости запускать SCW для уменьшения поверхности атаки
отдельных серверов. Однако по-прежнему с помощью SCW можно создавать и
развертывать политики безопасности, которые используются для обслуживания
конфигурации, реализованной Диспетчером сервера, на одном или более серверах
через Групповую политику.
Создавая новую политику, SCW использует текущую конфигурацию сервера в
качестве исходной. Поэтому лучше всего создавать политику на сервере того же
типа, что и сервер, для которого эта политика создается. Такой подход несколько
упростит задачу, потому что начальная конфигурация должна примерно совпадать
с требуемой. При создании новой политики SCW создает XML-файл и по
умолчанию сохраняет его в папке %systemdir%\security\msscw\Policies. После того
как политики созданы, с помощью SCW или инструмента командной строки
SCWcmd.exe их можно применить непосредственно к тестовым серверам.
Следующий раздел данной главы посвящен созданию объектов GPO с помощью
SCW и SCWcmd.exe для применения ваших настроек безопасности сервера. Более
подробную информацию о SCW, включая возможности мастера и ссылки на другие
посвященные SCW ресурсы, можно найти в статье Security Configuration Wizard
Concepts (Основные принципы мастера настройки безопасности) на сайте TechNet.
Использование Мастера настройки
безопасности и Групповой политики для
повышения уровня безопасности
SCW может использоваться для создания и применения политик безопасности
непосредственно к серверам. Однако при таком подходе для настройки большого
количества серверов требовалось бы очень много времени. Microsoft рекомендует
развертывать политики SCW, используя инструмент SCWcmd.exe для
преобразования политики SCW на базе XML-файлов в объект GPO, который
впоследствии может быть применен одновременно ко множеству серверов. Хотя на
первый взгляд это преобразование может показаться ненужным, такой подход
обеспечивает следующие преимущества:
 Привычные основанные на Active Directory механизмы тиражирования,
развертывания и применения политик.
 Объекты GPO, становящиеся доступными благодаря этому
преобразованию, позволяют дополнительно применять политики к
подразделениям (OUs), а также использовать наследование политик для
более тонкой настройки и повышения уровня защиты серверов со схожей,
но, тем не менее, немного отличной конфигурацией. Например, при
использовании Групповой политики серверы можно поместить в дочернее
подразделение и применить к нему дополнительную политику. При
решении этой задачи с помощью SCW вы должны создавать новую
политику для каждой конфигурации своей среды.
 Политики автоматически применяются ко всем серверам, размещающимся
в соответствующих подразделениях. При использовании SCW политики
должны применяться или вручную, или посредством специального
сценария.
Использование Мастера настройки безопасности для
создания политик роли
Начинайте настройку в новой установке операционной системы. В этом случае
гарантируется отсутствие настроек или программного обеспечения, сохранившихся
от предыдущих конфигураций, которые могут оказывать влияние на вашу работу.
По возможности используйте оборудование, аналогичное оборудованию вашего
окружения, чтобы обеспечить максимальную совместимость.
В следующем процессе новую установку будем называть тестовым компьютером.
Чтобы создать политику роли
1. Создайте новую установку Windows Server 2008 на новом тестовом
компьютере.
2. Используя инструмент ICT, включите компьютер в домен.
3. Установите на тестовом компьютере обязательные приложения. К таким
приложениям относятся агенты программ и управления, агенты архивации
на магнитной ленте и антивирусные или антишпионские программы.
4. С помощью Диспетчера сервера установите соответствующие роли
сервера. Например, если целевые серверы будут выполнять DHCP и DNS,
установите эти роли.
Примечание Не обязательно конфигурировать каждую рабочую нагрузку в точности
аналогично развертываемым серверам, но необходимо установить роли, чтобы SCW мог
правильно определить конфигурацию каждого сервера.
5. Щелкните Пуск, Все программы (All Programs), Администрирование
(Administrative Tools) и затем щелкните Мастер настройки безопасности
(Security Configuration Wizard).
6. На странице Действие настройки (Configuration Action) выберите Создать
новую политику безопасности (Create new policy) и щелкните Далее (Next).
7. На странице Выбор сервера (Select Server) введите имя или IP-адрес
тестового компьютера и щелкните Далее.
Примечание Этим действием вводится локальное имя компьютера по умолчанию.
8. На странице Обработка базы данных настройки безопасности
(Processing Security Configuration Database) щелкните Далее и затем на
странице Настройка служб на основе ролей (Role-Based Service
Configuration) щелкните Далее.
9. На странице Выбор ролей сервера (Select Server Roles) убедитесь, что
мастер определил и выбрал все установленные на тестовом компьютере
роли сервера. После этого щелкните Далее.
Внимание Если мастер выбрал не все роли, которые вы желаете установить на сервере,
полученная в результате политика отключит службы, необходимые некоторым ролям, и
сервер будет работать неправильно.
10. На странице Выбор клиентских возможностей (Select Client Features)
убедитесь, что мастер определил и выбрал все установленные на вашем
тестовом компьютере компоненты. После этого щелкните Далее.
Внимание Если мастер выбрал не все компоненты, которые вы желаете установить на
сервере, полученная в результате политика отключит службы, необходимые некоторым
ролям, и сервер будет работать неправильно.
11. На странице Выбор управления и других параметров (Select
Administration and Other Options) убедитесь, что мастер определил и выбрал
все установленные на вашем тестовом компьютере опции. После этого
щелкните Далее.
12. На странице Выбор дополнительных служб (Select Additional Services)
убедитесь, что мастер определил и выбрал все необходимые службы на
вашем тестовом компьютере. После этого щелкните Далее.
Примечание Если вы настроили на своем тестовом компьютере все необходимые роли
и установили все необходимое дополнительное программное обеспечение, такое как
агенты архивации или антивирусные программы, вам не придется вносить изменения ни
на одной из упомянутых выше страницах настройки служб для ролей.
13. На странице Обработка неопределенных служб (Handling Unspecified
Services) щелкните Далее.
14. На странице Подтверждение изменений для служб (Confirm Service
Changes) просмотрите изменения режима службы, которые SCW включит в
результирующую политику безопасности, и щелкните Далее.
Внимание Особое внимание обратите на службы, начальный режим которых меняется с
Automatic (Автоматический) на Disabled (Деактивирован), чтобы убедиться, что вы не
отключаете необходимые функции.
15. На странице Сетевая безопасность (Network Security) щелкните Далее.
16. На странице Правила сетевой безопасности (Network Security Rules)
убедитесь, что SCW определил соответствующие порты и приложения,
которые будет использовать для настройки брандмауэра Windows. После
этого щелкните Далее.
17. На странице Параметры реестра (Registry Settings)установите флажок
Пропустить этот раздел (Skip this section) и щелкните Далее.
18. На странице Политика аудита (Audit Policy) установите флажок
Пропустить этот раздел и щелкните Далее.
19. На странице Сохранение политики безопасности (Save Security Policy)
щелкните Далее.
20. На странице Имя файла политики безопасности (Security Policy File Name)
задайте соответствующий путь, имя политики и затем щелкните Далее.
Примечание По умолчанию XML-файлы политики сохраняются в подпапку
Security\msscw\policies папки установки сервера (как правило, она располагается в
каталоге C:\Windows). Однако SCW предоставляет возможность задать другое
местоположение.
21. На странице Применение политики безопасности (Apply Security Policy)
щелкните опцию Применить позже (Apply Later). После этого щелкните
Далее.
Примечание Чтобы применить политику безопасности непосредственно в серверу,
можно выбрать опцию Применить сейчас (Apply Now). Это позволяет применять
политику безопасности к изолированным серверам.
22. Наконец, на странице Завершение мастера настройки безопасности
(Completing the Security Configuration Wizard) щелкните Готово (Finish).
Далее представлен порядок операций при использовании SCWcmd.exe для
преобразования только что созданного в SCW XML-файла политики в GPO.
Чтобы преобразовать политику роли в GPO
1. Введите следующее в командной строке и нажмите ENTER (ввод):
scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
Следующий пример создает в Active Directory GPO под именем File Server Policy
(Политика файлового сервера). Для нового GPO должно быть задано
уникальное имя, иначе в результате выполнения этой команды будет
возвращена ошибка:
scwcmd transform
/p:"C:\Windows\Security\msscw\Policies\FileServer.xml"
/g:"File Server Policy"
Примечание Этот пример представлен здесь в несколько строк из-за ограниченных
размеров страницы (экрана) и для упрощения восприятия, но в командную строку при
выполнении команды вводить информацию необходимо в одну строку.
2. Используйте Консоль управления групповыми политиками (Group Policy
Management Console, GPMC) для связывания вновь созданного GPO с
соответствующими подразделениями.
3. Упомянутый в Главе 1 «Реализация базовых настроек безопасности»
инструмент GPOAccelerator создает образцы объектов GPO, которые
изначально были созданы с использованием SCW. В эти GPO внесены
изменения, чтобы они не деактивировали службы системы и не
реализовывали правила брандмауэра. Хотя это позволяет комбинировать
объекты GPO для серверов, настроенных на выполнение нескольких ролей,
но GPO лишь гарантируют, что необходимые службы системы остаются
активными.
4. Таким образом, мы получаем механизм, обеспечивающий гарантированную
доступность системы, но, кроме того, идеальный GPO отключает все
ненужные службы. На своих серверах, находящихся в производственной
эксплуатации, можно использовать GPO, созданные инструментом
GPOAccelerator, но значительное преимущество обеспечат объекты GPO,
созданные специально для ваших серверов с использование описанных
выше процедур.
Важно Скачайте инструмент GPOAccelerator и руководство «Как использовать
GPOAccelerator» для него, чтобы создавать, тестировать и развертывать настройки
безопасности для «Руководства по безопасности Windows Server 2008». Данный
инструмент автоматически создает все объекты GPO для параметров безопасности,
рекомендованных этим руководством. Также инструмент включает .inf-файлы Шаблонов
безопасности, которые можно использовать для применения параметров безопасности к
изолированным серверам.
Общие предпосылки настройки безопасности
Microsoft рекомендует начинать работу по настройке в новой установке
операционной системы, чтобы Диспетчер сервера оптимально конфигурировал
выбираемые вами роли и компоненты. Однако если нет возможности выполнить
новую установку, приступая к настройке определенной роли, проверьте сначала
следующие общие параметры безопасности. Такой подход поможет свести до
минимума возможность влияния настроек предыдущих конфигураций на
параметры безопасности новой роли сервера.
В следующей таблице представлен список лучших практик настройки параметров
безопасности, которым рекомендует следовать Microsoft перед настройкой сервера
для выполнения определенной роли. Используйте эту таблицу как контрольный
список, который поможет гарантировать, что ваш сервер соответствующим образом
конфигурирован и защищен от злонамеренных атак.
Таблица 2.2. Рекомендации по настройке сервера
Компонент
Характеристики
Физическая
безопасность
Располагайте серверы в безопасных зонах с ограниченным
доступом, что обеспечит снижение возможности
несанкционированного доступа и сведет до минимума
возможность кражи.
Обновления
системы
После установки операционной системы для установки на
серверы последних обновлений безопасности и системы
используйте Центр обновления Windows.
Компонент
Характеристики
Роли
Для удаления с серверов всех ненужных служб или компонентов
ролей используйте Диспетчер сервера. Эта лучшая практика
поможет максимально сократить поверхность атаки для каждого
сервера.
Приложения,
службы и
устройства
Диспетчер сервера конфигурирует необходимые службы и
устройства, установленные на каждый сервер для
осуществляемых ими ролей. Однако любое приложение,
установленное на сервер, но более не используемое, может
быть угрозой для безопасности. Microsoft рекомендует удалять
со всех серверов все приложения и службы, в которых больше
нет необходимости.
Протоколы
Удалите или деактивируйте все неиспользуемые протоколы. По
умолчанию Windows Server 2008 устанавливает стандартные
протоколы TCP/IP версии 4 и 6 для использования с
установленными сетевыми платами.
Учетные записи
Удалите все неиспользуемые учетные записи пользователей.
Убедитесь, что учетная запись гостя не активирована (она
отключена по умолчанию).
Присвойте новое имя учетной записи администратора и задайте
для нее надежный пароль. Для дополнительной защиты
отключите стандартную учетную запись администратора.
Убедитесь, что применяются политики надежных паролей.
Запретите возможность удаленного входа в систему для
стандартных учетных записей пользователей.
Отключите пустые сеансы (анонимные входы в систему).
Отключите или удалите общие учетные записи администратора.
Ограничьте состав локальных групп администраторов
(идеальный вариант – до двух участников).
Потребуйте от администраторов выполнять вход в систему в
интерактивном режиме (или реализуйте безопасное решение
удаленного администрирования).
Файлы и
каталоги
С помощью Windows Explorer проверяйте жесткие диски сервера
на наличие файлов или папок, в которых больше нет
необходимости. По возможности переформатируйте диски, на
которых хранились конфиденциальные данные.
Убедитесь, что группа Все не имеет прав доступа к папкам или
ресурсам с конфиденциальными данными.
Проверка
ресурсов
Удалите с сервера неиспользуемые ресурсы.
Удалите права доступа для группы Все для всех ресурсов
сервера.
Компонент
Характеристики
Пересмотр
правил
брандмауэра
Проверьте состояние брандмауэра Windows и убедитесь, что
для доступа из сети доступны только необходимые сетевые
порты. В книге «Справочник по поверхности атаки для Windows
Server 2008», сопровождающей данное руководство, описаны
стандартные правила брандмауэра Windows, создаваемые
Диспетчером сервера при настройке роли сервера.
Проверьте конфигурацию диапазона динамических портов.
Более подробную информацию о необходимых Windows
Server 2008 динамических портах можно найти в статье 929851
Базы знаний Microsoft «The default dynamic port range for TCP/IP»
(Стандартный диапазон динамических портов для TCP/IP).
Во всех остальных главах данного руководства предполагается применение этих
лучших практик перед попыткой конфигурировать конкретные роли сервера.
Дополнительные источники
Дополнительную информацию о Диспетчере сервера и Мастере настройки
безопасности, входящих в состав Windows Server 2008, можно найти на сайте
Microsoft.com в следующих источниках:
 Security Configuration Wizard Concepts.
 Security Configuration Wizard для Windows Server 2008.
 Server Manager (Диспетчер сервера).
 Server Core Installation Option of Windows Server 2008 Step-By-Step Guide.
 The New Windows Firewall.
 Windows Server 2008: Server Management (Windows Server 2008: управление
сервером).
 Windows Server 2008 Server Manager Technical Overview (Технический обзор
диспетчера сервера Windows Server 2008).
Глава 3: Повышение уровня защиты доменных служб
Active Directory
Организации используют Доменные службы Active Directory® (Active Directory®
Domain Services, AD DS) для управления доменными пользователями и ресурсами,
такими как компьютеры, принтеры и приложения. AD DS в Windows Server® 2008
включает ряд новых компонентов и функциональных возможностей, которые не
были доступны в предыдущих версиях Windows Server. Основной задачей
некоторых из этих компонентов является более безопасное развертывание AD DS.
Как представлено на следующем рисунке, роли Доменные службы Active Directory
доступны такие службы роли:


Контроллер домена AD DS. Эта служба роли устанавливается с ролью
AD DS по умолчанию. Она позволяет серверу сохранять данные каталога и
управляет обменом информацией между пользователями и доменами,
включая процессы входа пользователей в систему, аутентификации и
поиска по каталогам.
Диспетчер удостоверений для UNIX. Эта служба роли интегрирует
компьютеры, работающие под управлением Windows®, в существующую
среду UNIX. Могут быть установлены следующие необязательные
1
подсистемы этой службы роли :
o Сервер для Сетевых информационных служб (Network
Information Services, NIS). Эта подсистема выполняет интеграцию
сетей Windows и NIS, экспортируя сопоставления доменов NIS в
записи Службы каталогов. Это позволяет контроллеру домена Active
Directory выступать в роли основного NIS-сервера.
o Синхронизация паролей. Эта подсистема гарантирует, что при
изменении пароля в одной среде (UNIX или Windows), он будет
изменен и в другой среде.
Контроллер домена AD DS
Роль доменные службы Active
Directory
Диспетчер удостоверений для UNIX
Сервер для сетевых информационных служб
Синхронизация паролей
Рис. 3.1. Иерархия служб роли для AD DS
1
В указанном перечне пропущено «Средства администрирования», которые
позволяют конфигурировать сервер NIS и синхронизацию паролей (прим. научного
редактора).
Служба роли Контроллер домена Active Directory
Служба роли Контроллер домена Active Directory в Windows Server 2008 включает
следующие связанные с обеспечением безопасности улучшения по сравнению с
предыдущими версиями Windows Server:
 Аудит изменений атрибутов. Теперь Windows Server 2008 при успешном
изменении атрибута протоколирует как новое, так и старое его значения.
Ранее в процессе аудита AD DS протоколировалось только имя
измененного атрибута. Windows Server 2008 также включает
дополнительные подкатегории для аудита AD DS. Благодаря этим
улучшениям вы получаете возможность отслеживать изменения атрибутов
Active Directory, касающихся безопасности. Больше информации по этому
вопросу можно найти в разделе «Политики и подкатегории аудита»
Приложения А, «Параметры групповой политики, связанные с
безопасностью».
Примечание Это улучшение касается текстовых атрибутов. Для двоичных
атрибутов значение не определено.


Расширенные политики паролей. Windows Server 2008 позволяет
задавать несколько политик паролей и блокировки учетных записей для
одного домена. Таким образом, к разным группам пользователей домена
можно применять разные политики паролей и блокировки учетных записей.
Контроллер домена только для чтения (Read-only domain controller,
RODC). Windows Server 2008 поддерживает этот новый тип контроллера
домена, который имеет базу данных AD DS, доступную только для чтения, и
поддерживает только входящую репликацию для всех размещенных
разделов и SYSVOL. Эти контроллеры доменов не сохраняют копии
паролей учетных записей, только специальную учетную запись компьютера
для RODC и специальную учетную запись Kerberos для RODC. Таким
образом, другие конфиденциальные данные гарантированно не копируются
в них. Контроллеры домена только для чтения особенно полезны в средах,
в которых нельзя гарантировать физической безопасности.
Примечание Служба роли Контроллер домена Active Directory устанавливается при
реализации роли AD DS, но, тем не менее, сервер не считается контроллером домена на этом
этапе. Поэтому многие службы, связанные со службой роли, деактивированы. Чтобы
использовать службу роли Контроллер домена Active Directory, на сервер необходимо
добавить функции контроллера домена с помощью Мастера установки доменных служб
Active Directory (Active Directory Domain Services Installation Wizard)
Поверхность атаки
Служба роли Контроллер домена Active Directory подвержена тем же типам атак на
систему безопасности, что и контроллеры доменов, работающие с предыдущими
версиями Windows Server. Чтобы обозначить всю поверхность атаки для этой
службы роли, необходимо определить следующее:
 Установленные файлы. Это файлы, установленные как часть службы
роли Контроллер домена Active Directory.
 Выполняющиеся службы. Это службы, выполняющиеся как часть службы
роли Контроллер домена Active Directory.
Примечание Для проверки целостности установленных файлов и файлов,
выполняемых службой, можно воспользоваться утилитами RootkitRevealer и
Sigcheck, являющимися частью пакета служебных программ Windows Sysinternals.

Правила брандмауэра. Это используемые службой роли Контроллер
домена Active Directory правила брандмауэра Windows.
 Зависимости роли. Это зависимости службы роли Контроллер домена
Active Directory.
Подробная информация о поверхности атаки для службы роли Контроллер домена
Active Directory включены в Справочник по поверхности атаки в Windows Server
2008, прилагаемый к данному руководству. Увидеть поверхность атаки для данной
службы роли можно на вкладке AD DS книги в разделах, соответствующих каждому
из пунктов предыдущего списка.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию службы роли Контроллер домена Active Directory
для защиты сервера от злоумышленных атак. Приведенные ниже рекомендации
предполагают, что на странице Выбор служб роли (Select Role Services) Мастера
добавления ролей (Add Roles Wizard) выбрана только опция Служба роли
Контроллер домена Active Directory. Рекомендации для других служб роли не
включены.
Контрольный список настройки
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности, направленные на повышение уровня защиты серверов,
выполняющих службу роли Контроллер домена Active Directory. В случае
возникновения трудностей с выполнением каких-либо пунктов контрольного списка
дополнительное описание и рекомендации можно найти в следующих разделах
данной главы.
Таблица 3.1. Контрольный список настройки
Задачи настройки
Использовать Server Core Windows Server 2008.
Использовать контроллеры RODC там, где невозможно гарантировать
физическую безопасность.
Делегировать локальное администрирование контроллеров RODC.
Ограничить количество конфиденциальных данных, хранящихся на
контроллерах RODC.
Объединить службы роли DNS и Контроллер домена.
Ограничить количество участников группы администрирования и объемы
администрирования.
Запретить администраторам служб обходить политики паролей.
Настроить расширенные политики паролей.
Потребовать многофакторную аутентификацию для пользователей с высоким
уровнем привилегий.
Задачи настройки
Управлять администраторами служб при помощи управляемой структуры
подразделений.
Управлять членством в группах для учетных записей администраторов служб.
Шифровать данные, хранящиеся на локальных дисках, с помощью Шифрования
дисков BitLocker®.
1
Архивировать информацию восстановления для BitLocker и TPM .
Защитить ключ запуска компьютера с помощью Syskey.
Использовать Server Core Windows Server 2008
Развертывание Windows Server 2008 с использованием опции установки Server
Core сокращает поверхность атаки для операционной системы за счет ограничения
числа необходимых файлов и служб. При использовании Server Core не
устанавливаются файлы и службы, необходимые для графического
пользовательского интерфейса (graphical user interface, GUI); в этом основное
преимущество этой опции.
При развертывании операционной системы с использованием опции установки
Server Core Windows Server 2008 управлять сервером можно только локально через
инструменты командной строки. Чтобы управлять сервером с помощью
инструментов GUI, необходимо установить и запустить их на другом компьютере с
GUI на базе Windows.
Для установки, удаления, запуска и остановки роли AD DS могут использоваться
следующие инструменты командной строки:
 Чтобы установить или удалить роль AD DS, выполните одну из следующих
команд:
dcpromo /unattend:<unattendfile>
или
dcpromo /unattend /option1=”value1” /option2=”value2”
/option=…”
Где unattendfile – имя файла ответов для автоматической установки
Dcpromo.exe. Установка роли AD DS должна выполняться с
использованием файла ответов, потому что графический мастер
Dcpromo.exe не поддерживается.
 Для запуска службы Доменные службы Active Directory выполните
следующую команду:
net start "Active Directory DomainServices"
 Чтобы остановить службу Доменные службы Active Directory, выполните
следующую команду:
net stop "Active Directory DomainServices"
1
Trusted Platform Module – Доверенный платформенный модуль (прим.
переводчика).
Более подробную информацию об опции установки Server Core и управлении
AD DS из командной строки можно найти в следующих источниках:
 Server Core.
 Managing Active Directory (Управление Active Directory).
Использовать RODC там, где невозможно гарантировать
физическую безопасность
По причине их большой важности Microsoft рекомендует размещать контроллеры
домена в физически защищенных местах, доступ к которым имеет только
квалифицированный административный персонал. В ситуациях, когда вашей
организации приходится размещать контроллеры домена в незащищенных
окружениях, например филиалах, можно использовать контроллеры домена только
для чтения (RODCs).
Контроллеры RODC не хранят локально копии паролей всех учетных записей,
только специальную учетную запись компьютера для RODC и специальную
учетную запись Kerberos для RODC. С помощью Политики репликации паролей
(Password Replication Policy), специально создаваемой для RODC, можно настроить
пароли каких учетных записей будут храниться на том или ином RODC. Обычно
большинство контроллеров RODC локально кэшируют ограниченный набор
паролей учетных записей. Он содержит подмножество паролей, для которых
разрешено копирование в RODC, и тех, к которым осуществляется
непосредственный доступ в этом RODC. С помощью Отфильтрованного набора
атрибутов RODC (RODC Filtered Attribute Set) можно гарантировать, что
копирование других конфиденциальных данных выполняться не будет.
Контроллеры не допускают изменений базы данных AD DS извне по следующим
причинам:
 База данных AD DS в RODC является доступной только для чтения.
 Для всех размещенных разделов и ресурса SYSVOL поддерживается
только входящая репликация.
Таким образом, можно разместить обычные контроллеры домена в безопасных
центрах обработки данных и затем установить сетевое взаимодействие с
контроллерами RODC. Однако никогда нельзя забывать о том, что любой
компьютер, находящийся в физически незащищенном месте, представляет угрозу
для безопасности организации.
Примечание Хотя контроллеры RODC не требуют применения таких же мер безопасности,
как доступные для записи контроллеры доменов, реализация рекомендаций по обеспечению
безопасности для доступного для записи домена гарантирует самую надежную из возможных
защиту.
Делегировать локальное администрирование контроллеров
RODC
Функция Разделения Административных Ролей позволяет делегировать права
администратора RODC любому пользователю домена или группе доступа без
предоставления им каких-либо дополнительных прав на доступ к домену или
другим контроллерам домена. Таким образом, администратор с делегированными
полномочиями может регистрироваться на RODC для выполнения работ по
обслуживанию сервера, таких как обновление драйвера.
Однако администратор с делегированными полномочиями не сможет
регистрироваться на любом другом контроллере домена или выполнять какие-либо
другие административные задачи в домене. То есть можно делегировать
полномочия группе доступа, в состав которой входят не участники группы Domain
Admins (Администраторы домена), а пользователи из филиала, и предоставить ей
возможность эффективно управлять RODC в филиале, не подвергая рискам
безопасность остального домена.
Ограничить количество конфиденциальных данных, хранящихся
на контроллерах RODC
Некоторые приложения, использующие AD DS как хранилище данных, могут иметь
подобные удостоверениям данные или атрибуты, такие как пароли, учетные
данные или ключи шифрования, которые нежелательно хранить в RODC по
причине его возможного похищения или взлома. Чтобы защитить подобные
атрибуты приложений можно предпринять следующие действия:
 Добавить все атрибуты в отфильтрованный набор атрибутов RODC, чтобы
предотвратить их копирование в контроллеры RODC леса.
 Пометить каждый атрибут как конфиденциальный, что устраняет
возможность чтения этих данных для членов группы Прошедшие проверку
(Authenticated Users), включая любые контроллеры RODC.
Более подробную информацию о том, как ограничить доступ к конфиденциальной
информации, хранящейся в контроллерах RODC, можно найти в статье «RODC
filtered attribute set» (Отфильтрованный набор атрибутов RODC) на странице RODC
Features (Возможности RODC) для Windows Server 2008.
Объединить службы роли DNS и Контроллер домена
Для контроллеров домена Windows Server 2008 необходима стабильная, правильно
конфигурированная служба DNS. Можно интегрировать зоны DNS в AD DS, что
является более безопасным вариантом, потому что в этом случае поддерживаются
безопасные обновления.
По этой причине многие организации сочетают на одном компьютере службы роли
Контроллер домена Active Directory и DNS-сервер, когда служба роли DNS-сервер
поддерживает Active Directory. Однако Microsoft рекомендует избегать
комбинирования службы роли Контроллер домена Active Directory с другими
ролями сервера. Единственным исключением является служба роли DNS-сервер,
поддерживающая Active Directory. Выполняя все остальные роли на других
серверах, мы максимально сокращаем уязвимость службы роли Контроллер
домена Active Directory.
Ограничить количество участников группы администрирования и
объемы администрирования
Microsoft рекомендует предоставлять доступ к обычным контроллерам домена в
вашей организации только ограниченной группе выделенных администраторов. А
также разделять административные полномочия так, чтобы никто в вашей среде
гарантированно не обладал избыточными полномочиями в Active Directory. Обычно
это подразумевает разбиение административных задач и ролей на подкатегории и
создание групп соответственно этим задачам и ролям.
К остальным административным действиям, которые можно предпринять для
повышения безопасности службы роли Контроллер домена Active Directory,
относятся:
 Деактивировать или удалить неиспользуемые учетные записи
пользователей и/или компьютеров.
 Деактивировать учетную запись гостя.
 Присвоить новое имя стандартной учетной записи администратора, задать
более сложный пароль и затем деактивировать ее с помощью объекта
групповой политики.
 Ввести в действие правила сложности паролей.
 Запретить общие учетные записи.
Запретить администраторам служб обходить политики паролей
Пользователь, обладающий более высоким уровнем привилегий, может создавать
объекты пользователя или изменять права доступа в атрибуте useraccountcontrol
(контроль учетных записей) и обходить политики паролей. Например, по
умолчанию участники группы Администраторы домена (Domain Admins) могут
восстанавливать пароль, срок действия которого истек, или могут активировать или
деактивировать расширенное право password not required (пароль не требуется)
для объектов пользователей.
Вы можете изменить это поведение по умолчанию, настраивая следующие
расширенные права в Active Directory:
 Включить отдельно для каждого пользователя обратимое
1
шифрование пароля (Enable-Per-User-Reversibly-Encrypted-Password).
Это расширенное право управления доступом дает возможность
пользователю активировать или деактивировать расширенное право на
создание пароля с возможностью обратного шифрования (reversible
encrypted password) для объектов пользователя и компьютера.
 Отмена истечение срока пароля (Unexpire-Password). Это расширенное
право управления доступом дает возможность пользователю
восстанавливать пароль, срок действия которого истек, для объекта
пользователя.
 Обновить бит запроса пароля (Update-Password-Not-Required-Bit). Это
расширенное право управления доступом дает возможность пользователю
активировать или деактивировать расширенное право пароль не
требуется (password not required) для объектов пользователя.
Больше информации о конфигурации расширенных прав в Active Directory можно
найти в следующих источниках:
 Appendix D: Active Directory (Приложение D: Active Directory).
 Best Practices for Delegating Active Directory (Лучшие практики
делегирования прав в Active Directory).
1
В русской версии ОС название данного права обрезается в некоторых
интерфейсах и выглядит как «Включить отдельно для каждого ПО» (прим.
технического редактора).
Настроить расширенные политики паролей
Windows Server 2008 позволяет задавать несколько политик паролей в рамках
одного домена. Такие политики называют расширенными политиками паролей. Тем
самым появляется возможность для домена в целом реализовывать минимальный
уровень безопасности паролей, но при этом применять более строгие политики
паролей к конкретным группам пользователей и компьютеров.
С помощью расширенных политик паролей можно налагать различные ограничения
на политики паролей и политики блокировки учетных записей для разных групп
пользователей в домене. Например, можно применить более строгие параметры к
привилегированным учетным записям и менее строгие параметры к учетным
записям остальных пользователей. В некоторых случаях может потребоваться
специальная политика паролей для учетных записей, для которых происходит
синхронизация паролей с другими источниками данных. Примером этому могут
быть учетные записи, используемые компьютерами под управлением UNIX,
которые требуют менее строгих политик паролей.
В частности, более строгие политики паролей задаются для следующих
пользователей:
 Участников группы доступа Администраторы предприятия (Enterprise
Admins).
 Участников группы доступа Администраторы домена (Domain Admins).
 Участников группы доступа Администраторы схемы (Schema Admins)
 Участников группы доступа DHCP Admins.
 Участников группы доступа DNS Admins.
 Участников группы доступа Операторы сервера (Server Operators).
 Участников группы доступа Операторы архива (Backup Operators).
 Участников группы доступа Администраторы (Administrators).
 Участников группы доступа Администраторы политики (Policy
Administrators).
 Участников группы доступа Администраторы сертификатов (Certificate
Administrators).
 Участников группы доступа Администраторы шифрования (Cryptographic
Administrators).
 Участников группы доступа Операторы печати (Print Operators).
 Участников группы доступа с делегированными правами
администрирования AD DS, таких как персонал службы технической
поддержки.
 Участников группы доступа с делегированными правами
администрирования приложений, выполняющихся на компьютерахсерверах, таких как администраторы Microsoft Exchange Server или Microsoft
SQL Server®.
Расширенные политики паролей применяются только к объектам пользователя или
объектам inetOrgPerson, если они используются вместо объектов пользователя, и
глобальным группам доступа. По умолчанию только участники группы
Администраторы домена могут создавать, конфигурировать и просматривать
расширенные политики паролей. Право на создание, конфигурацию и просмотр
этих политик можно делегировать другим пользователям, но для этого требуется
режим работы домена Windows Server 2008. Тем не менее, Microsoft рекомендует
предоставлять возможность создавать или настраивать расширенные политики
паролей только участникам группы доступа Администраторы домена.
Вы можете делегировать возможность просматривать расширенные политики
паролей пользователям, которым необходимо такое делегирование
административных прав, например, персоналу службы технической поддержки.
Чтобы предоставить таким пользователям возможность просматривать
расширенные политики паролей, необходимо сделать следующее:
1. Создать группу доступа, состоящую из пользователей, которым требуется
просматривать расширенные политики паролей.
2. Предоставить группе, созданной в Шаге 1, право на чтение Password
1
Settings Container (PSC) .
По умолчанию PSC создается в домене в контейнере System (Система).
Просматривать этот контейнер можно с помощью оснастки Active Directory –
Пользователи и компьютеры с включенными дополнительными компонентами. В
2
PSC хранятся Password Settings objects (PSOs) домена.
Возможны случаи, когда требуется делегировать не фактическую возможность
создавать расширенные политики паролей, а лишь право назначать расширенные
политики паролей определенным группам пользователей. Для этого Microsoft
рекомендует выполнить следующее:
1. Создать объект расширенной политики паролей со строгой настройкой.
2. Связать группу доступа Пользователи домена (Domain Users) с объектом
расширенной политики паролей, созданным в Шаге 1.
3. Для всех остальных создаваемых вами объектов расширенной политики
паролей делать следующее:
a. Создать объект расширенной политики паролей.
b. Создать глобальную группу доступа.
c. Связать глобальную группу доступа, созданную в Шаге b, с
объектом расширенной политики паролей, созданным в Шаге а.
d. Делегировать администрирование членства в глобальной группе
доступа пользователям, которые будут управлять пользователями
группы, вследствие чего делегируется право назначать
расширенные политики паролей пользователям, входящим в
глобальную группу доступа.
Расширенная политика паролей не может применяться непосредственно к
подразделению (OU). Чтобы применить расширенную политику паролей к
пользователям в подразделении, можно использовать скрытую группу.
Скрытая группа – это глобальная группа доступа, логически проецируемая на
подразделение для введения в действие расширенной политики паролей.
Пользователи подразделения добавляются как участники вновь созданной скрытой
группы, и затем эта скрытая группа связывается с расширенной политикой паролей.
Также можно создавать дополнительные скрытые группы для других
1
Контейнер параметров паролей (прим. переводчика).
Объекты параметров паролей (прим. переводчика).
2
подразделений. Если пользователь переходит из одного подразделения в другое,
необходимо обновить состав участников соответствующих скрытых групп.
Расширенные политики паролей не препятствуют работе специальных фильтров
паролей, которые могут использоваться в том же домене. Организации,
применяющие специальные фильтры паролей в контроллерах доменов,
выполняющих Windows 2000 или Windows Server 2003, могут продолжать
использование этих фильтров паролей для наложения дополнительных
ограничений на пароли.
Больше информации о расширенных политиках паролей можно найти в статье AD
DS: Fine-Grained Password Policies (AD DS: расширенные политики паролей).
Потребовать многофакторную аутентификацию для
пользователей с высоким уровнем привилегий
Факторы аутентификации пользователя обычно классифицируются следующим
образом:
 Пользователь располагает специальной информацией, такой как пароль,
парольная фраза или персональный идентификационный номер (personal
identification number, PIN).
 Пользователь имеет специальное устройство, такое как смарт-карта,
маркер доступа, маркер программы или мобильный телефон.
 Пользователь предоставляет биометрический параметр, такое как
отпечаток пальца или узор сетчатки глаза, последовательность ДНК,
распознавание подписи или голоса, уникальные биоэлектрические сигналы
или другие биометрические показатели.
Часто в организациях используются сочетания этих методов. Например, платежная
карта и PIN, такой способ еще называют двухфакторной аутентификацией.
Аутентификация пользователей может проводиться только по паролю, но для
повышения уровня аутентификации в организации может использоваться
многофакторная аутентификация. В многофакторной аутентификации обычно
принимает участие физическое устройство, такое как устройство чтения смарткарт, USB-маркер доступа или устройство считывания отпечатков пальцев. Выбор
физических устройств для многофакторной аутентификации часто осуществляется,
исходя из требований, не связанных с безопасностью.
Например, ваша организация могла бы потребовать, чтобы смарт-карты
пользователей включали идентификацию по фотографии, поскольку на смарт-карте
могут быть напечатаны фото и имя владельца. Однако для использования смарткарты необходимо устройство для чтения, что ведет к дополнительным расходам.
USB-маркер может включать флэш-память для хранения документов и файлов, и
пользователи могут подключать USB-маркер в существующие USB-порты своих
компьютеров.
Такая форма обеспечения безопасности рекомендуется для учетных записей с
более высоким уровнем привилегий. В частности, Microsoft рекомендует применять
многофакторную аутентификацию к таким группам пользователей:
 Участникам группы доступа Администраторы предприятия.
 Участникам группы доступа Администраторы домена.
 Участникам группы доступа Администраторы схемы











Участникам группы доступа DHCP Admins.
Участникам группы доступа DNS Admins.
Участникам группы доступа Операторы сервера.
Участникам группы доступа Операторы архива.
Участникам группы доступа Администраторы.
Участникам группы доступа Администраторы политики.
Участникам группы доступа Администраторы сертификатов.
Участникам группы доступа Администраторы шифрования.
Участникам группы доступа Операторы печати.
Участникам группы доступа с делегированными правами
администрирования AD DS, таких как персонал службы технической
поддержки.
Участникам группы доступа с делегированными правами
администрирования приложений, выполняющихся на компьютерахсерверах, таких как администраторы Microsoft Exchange Server или Microsoft
SQL Server®.
Примечание По возможности рекомендуется использовать в организации многофакторную
аутентификацию, поскольку это обеспечит требование по предоставлению самых надежных
из возможных паролей для учетных записей пользователя. Использование многофакторной
аутентификации заставляет систему автоматически формировать криптографически стойкие
случайные пароли для учетных записей.
Управлять администраторами служб при помощи управляемой
структуры подразделений
Администраторы служб отвечают за обеспечение работы службы каталогов,
параметры уровня каталога, установку и обслуживание программного обеспечения
и применение пакетов обновления и исправлений операционной системы на
контроллерах домена. Для осуществления этих функций администраторы служб
должны иметь физический доступ к контроллерам домена.
Чтобы защитить учетные записи администраторов служб, обладающие высоким
уровнем привилегий, возможность управлять этими учетными записями должны
иметь только администраторы служб. Поскольку такие учетные записи обладают
высоким уровнем привилегий, администраторы данных не должны иметь
полномочий для их изменения. Иначе это позволит администраторам данных
повышать уровень своих привилегий. Доступ и управление учетными записями
администраторов служб в любом домене должен осуществляться в управляемом
поддереве.
Чтобы получить более управляемую среду, в которой намного проще
контролировать учетные записи и рабочие станции администраторов служб,
создайте структуру подразделений, которая позволит работать с учетными
записями администраторов служб в Active Directory, как показано на следующем
рисунке. Участник группы Администраторы домена должен создать управляемую
структуру подразделений для каждого домена и сконфигурировать каждое
подразделение рекомендуемыми параметрами безопасности.
Создав структуру подразделений, содержащую учетные записи администраторов
служб и их рабочие станции, можно будет применить необходимые параметры
безопасности и повысить, таким образом, уровень защиты учетных записей и
компьютеров. На следующем рисунке представлен пример управляемой структуры
административного подразделения и применяемые к нему параметры управления
доступом.
Домен компании
Подразделение встроенных учетных
записей и других объектов
Подразделение контроллеров домена
Отключить наследование прав
доступа в этом подразделении
Администраторы
служб
Пользователи и
группы
Рабочие станции
администраторов
Пользователи
Параметры управления доступом для
подразделения администраторов службы
Администраторы предприятия:
полный доступ
Администраторы домена:
полный доступ
Администраторы:
полный доступ
Область применения:
Этот объект и все дочерние объекты.
Пред-Windows 2000 доступ:
Список содержимого
Прочитать все свойства
Чтение разрешений
Область применения:
Объекты пользователей
Рис. 3.2. Пример структуры подразделения для управления учетными
записями администраторов
Создание управляемой структуры подразделений включает следующие этапы:
1. Создание структуры подразделений.
2. Задание списков управления доступом (access control lists, ACLs) для
управляемых подразделений.
3. Добавление группы администраторов служб в управляемую структуру
подразделений.
4. Добавление учетных записей пользователей для администраторов служб в
управляемую структуру подразделений.
5. Добавление учетных записей рабочих станций администраторов в
управляемую структуру подразделений.
6. Защита групп администраторов служб вне управляемой структуры
подразделений.
Шаг 1: Создание структуры подразделения
Создайте подразделение высокого уровня для размещения в нем групп и
пользовательских учетных записей администраторов служб и их рабочих станций.
В рамках этого подразделения создайте другое подразделение, которое будет
включать учетные записи администраторов и групп, и еще одно подразделение для
рабочих станций администраторов.
На приведенном выше рисунке отражена рекомендуемая иерархия подразделений,
составляющих управляемое поддерево, для организации учетных записей
администраторов служб и рабочих станций. Она включает управляемую структуру
подразделений, корнем которой является подразделение Администраторов служб,
содержащее два дополнительных подразделения: подразделение пользователей и
групп, в котором размещаются учетные записи администраторов и групп, и
подразделение рабочих станций администраторов, в котором размещаются
учетные записи рабочих станций, используемых администраторами служб.
Шаг 2: Задание списков управления доступом (access control lists, ACLs) для
управляемых подразделений
В зависимости от остальной структуры подразделений пользователи с
делегированными административными правами могут непреднамеренно получить
право на администрирование пользователей из управляемых подразделений.
Чтобы управлять членством пользователей, групп и рабочих станций
администраторов служб могли только конкретные администраторы, необходимо
внести изменения в списки управления доступом управляемых подразделений. Это
предотвратит ошибочное наследование управляемыми подразделениями
изменений настроек прав доступа в GPO, занимающем более высокую позицию в
структуре подразделений.
Чтобы ограничить доступ к управляемым подразделениям, необходимо сделать
следующее:
 Отключить наследование прав доступа подразделением Администраторов
служб, чтобы изменения, вносимые в параметры GPO выше в структуре
подразделений, не могли наследоваться структурой, располагающейся
ниже, и приводить к изменению заблокированных параметров.
 Задать список управления доступом для подразделения Администраторов
служб, как показано в следующей таблице.
Таблица 3.2. Настройки списка управления доступом для подразделения
Администраторов служб
Тип
Имя
Доступ
Применение
Разрешить Администраторы
предприятия
Полный доступ
Этот объект и все
дочерние объекты.
Разрешить Администраторы
домена
Полный доступ
Этот объект и все
дочерние объекты.
Разрешить Администраторы
Полный доступ
Этот объект и все
дочерние объекты.
Разрешить Пред-Windows 2000
доступ
Составлять список
содержимого
Читать все
свойства
Читать права
доступа
Объекты пользователей.
Шаг 3: Добавление групп администраторов служб в управляемую структуру
подразделений
Перенесите следующие группы администраторов службы из их текущего
местоположения в каталоге в подразделение Пользователи и группы своей
управляемой структуры подразделений:
 Администраторы домена
 Администраторы предприятия (если является корневым доменом леса)
 Администраторы схемы (если является корневым доменом леса)
Чтобы полностью защитить группы администраторов служб, идеально было бы
перенести встроенные группы, а это группы Администраторы, Операторы служб,
Операторы учетных записей и Операторы архива, в управляемую структуру
подразделений. Однако вы не можете переносить встроенные группы из их
контейнера по умолчанию. Шаг 6 объясняет, как защитить учетные записи
участников этих групп.
Шаг 4: Добавление учетных записей пользователей-администраторов служб в
управляемую структуру подразделений
Перенесите все пользовательские учетные записи администраторов, являющихся
участниками любой из групп администраторов служб, перечисленных в Шаге 3, из
их текущего местоположения в каталог подразделения Пользователи и группы
своей управляемой структуры подразделений. Обязательно перенесите
встроенную учетную запись администратора домена.
Microsoft рекомендует создавать две учетные записи для каждого администратора
служб: одну для административных обязанностей и другую для обычного доступа в
качестве пользователя. Поместите административные учетные записи в
подразделение Пользователи и группы своей управляемой структуры
подразделений. Если эти учетные записи уже существуют где-то в каталоге,
перенесите их в структуру подразделений в данном шаге. Не размещайте обычные
пользовательские учетные записи администраторов в этой управляемой структуре
подразделений.
Шаг 5: Добавление учетных записей рабочих станций администраторов в
управляемую структуру подразделений
Обозначьте компьютеры администраторов как рабочие станции администраторов.
Перенесите учетные записи компьютеров этих рабочих станций в подразделение
Рабочие станции администраторов своей управляемой структуры подразделений.
Важно Ни в коем случае не переносите учетные записи контроллеров доменов из
подразделения по умолчанию Контроллеры доменов, даже если некоторые администраторы
используют их для выполнения административных задач. Перенос учетных записей
контроллеров домена нарушит согласованность применяемых политик контроллеров домена
ко всем доменам вашей среды.
Шаг 6: Защита групп администраторов служб вне управляемой структуры
подразделений
Некоторые встроенные учетные записи администраторов службы защищены
специальными стандартными дескрипторами безопасности, которые применяются
при установке Active Directory. Однако эти дескрипторы не защищают группы
Операторы сервера, Операторы архива и Операторы учетной записи.
Также поскольку эти учетные записи являются встроенными, вы не можете
защитить их, перенеся в управляемую структуру подразделения. Чтобы защитить
эти три группы, примените тот же стандартный список управления доступом,
который использовался для защиты учетных записей других администраторов
службы, перечисленных в приведенной ранее таблице.
Управлять членством в группах для учетных записей
администраторов служб
Для повышения уровня безопасности сведите количество участников в каждой из
групп администраторов служб до абсолютного минимума, допустимого логистикой
вашей организации, сохраняя при этом способность управлять функциями службы
Active Directory. Таким образом, сокращается количество учетных записей
администраторов, доступных злоумышленникам. В следующих разделах
объясняются некоторые рекомендованные практики управления членством в
группах администраторов служб.
Назначение надежного персонала
Предоставляйте право управлять конфигурацией и службой каталогов только
надежному персоналу. Такая ответственность должна возлагаться исключительно
на надежных и проверенных пользователей, показавших себя ответственными
обладателями прав, на тех, кто полностью понимает, как следует обслуживать
каталог. Эти администраторы должны прекрасно разбираться в политиках
безопасности и операционных политиках вашей организации и должны
продемонстрировать свое желание воплощать их в жизнь.
Ограничение членства в Группе обслуживания только пользователями из леса
Microsoft рекомендует включать в группы администраторов служб пользователей
или группы из другого леса, только если вы абсолютно доверяете администраторам
служб этого леса. Администраторы служб другого леса полностью контролируют
учетные записи пользователей в том лесу, поэтому они могут без труда
использовать удостоверения одного из этих пользователей для проникновения в
ваш лес. Более того, такое доверие удаленному домену (или лесу) подразумевает
доверие используемым в нем мерам безопасности, а их вы контролировать не
можете.
Примечание Если вы обнаруживаете необходимость установления отношений доверия с
другим лесом, реализуйте фильтрацию идентификаторов безопасности (security identifier,
SID) между лесами. Фильтрация SID активирована по умолчанию для внешних отношений
доверия, но не для отношений доверия между лесами. Это не дает администратору одного
леса (Лес А) получить более высокий уровень привилегий в другом лесу (Лес В) путем
вставки SID группы Администраторы домена в атрибут sidhistory Леса А своей учетной
записи в Лесу В.
Если администратору из другого леса необходимо выступать в роли
администратора служб в вашем домене, создайте в своем домене учетную запись,
которую этот администратор может использовать для выполнения
административных задач. Создание такой учетной записи устраняет вашу
зависимость от мер безопасности другого леса.
Ограничение группы Администраторы схемы временными участниками
Группа Администраторы схемы – это особая группа в корневом домене леса,
которая обеспечивает административные права доступа к схеме Active Directory.
Участники этой группы обладают необходимыми правами пользователя для
внесения изменений в схему. Как правило, поскольку схема меняется очень редко,
нет необходимости в том, чтобы администратор схемы был доступен постоянно.
Эта учетная запись нужна только в момент обработки обновления схемы или
внесения изменений в конфигурацию хозяев операций схемы.
Чтобы свести до минимума возможность атак на Active Directory через учетную
запись администратора, Microsoft рекомендует оставлять группу Администраторы
схемы пустой и добавлять в нее пользователя, которому можно доверять, только
когда требуется выполнить задачу по администрированию схемы. После
завершения выполнения задачи, этот участник должен быть удален из группы.
Предоставление администраторам лишь тех прав, которые действительно
необходимы
В Active Directory есть встроенная группа Операторы архива. Участники этой группы
считаются администраторами служб, потому что обладают правом выполнять
локальный вход в систему и восстанавливать файлы, в том числе и системные, на
контроллерах домена. Microsoft рекомендует ограничить членство в группе
Операторы архива лишь теми участниками, которые выполняют резервное
копирование и восстановление данных контроллеров домена.
На каждом рядовом сервере также имеется встроенная локальная группа
Операторы архива. Microsoft рекомендует не вводить лиц, ответственных за
резервное копирование данных приложений, таких как SQL Server, в группу
Операторы архива в Active Directory, а сделать их участниками локальной группы
Операторы архива данного сервера. Членство в группе Операторы архива в Active
Directory следует ограничить лишь теми участниками, которые архивируют и
восстанавливают данные контроллеров домена.
На выделенном контроллере домена можно сократить количество участников
группы Операторы архива. Когда контроллер домена используется для выполнения
других приложений, как это может иметь место в филиале, лица, ответственные за
архивацию данных приложений, должны обладать правами администраторов
служб, необходимыми для восстановления файлов, в том числе и системных,
контроллеров домена.
Необходимо избегать прямого делегирования задач по «администрированию
данных», таких как управление учетными записями, группе Операторы учета.
Стандартные разрешения для каталога обеспечивают этой группе возможность
изменять состав участников других групп администраторов служб, таких как
Операторы сервера, поэтому участники группы Операторы учета могут расширить
свои права до уровня администраторов служб. По умолчанию группа Операторы
учета пуста, и список ее участников должен оставаться пустым.
Существующие встроенные группы обычно имеют больше прав и разрешений, чем
это необходимо для осуществления определенной роли. Поэтому Microsoft
рекомендует использовать не встроенные группы, а создавать специальные группы
доступа и назначать им необходимые права и разрешения. Создавая специальные
группы, вы можете назначить им лишь те права, которые необходимы для
выполнения определенной роли в вашей организации. Например, можно создать
новую группу доступа Персонал службы технической поддержки и предоставить ей
только те права и разрешения, которые необходимы ее участникам для
выполнения их роли.
Шифровать данные, хранящиеся на локальных дисках, с
помощью шифрования дисков BitLocker
Шифрование дисков BitLocker – это компонент защиты данных, доступный в
операционных системах Windows Vista® Enterprise и Windows Vista® Ultimate для
клиентских компьютеров и в Windows Server 2008. BitLocker предоставляет
улучшенную защиту против хищения данных или использования компьютера в
случае его потери или кражи, а также более безопасное удаление данных при
списании компьютеров, защищенных BitLocker.
В случае потери или кражи компьютера хранящиеся на нем данные оказываются
уязвимыми для несанкционированного доступа, как путем использования
программных средств для несанкционированного доступа, так и путем переноса
жесткого диска на другой компьютер. Сочетая два основных механизма защиты
данных, BitLocker помогает сократить вероятность доступа к данным на потерянных
или похищенных компьютерах:
 Шифрование всего тома операционной системы Windows и томов данных
на жестком диске. BitLocker шифрует в томе операционной системы все
файлы пользователя и системные файлы, включая файлы подкачки и
данных спящего режима, также могут шифроваться тома данных.
 Проверка целостности компонентов загрузки и конфигурационных данных
загрузки в самом начале загрузки. На компьютерах с Доверенным
платформенным модулем (Trusted Platform Module, TPM) версии 1.2
BitLocker, используя расширенные возможности безопасности TPM,
гарантирует, что ваши данные доступны только при условии целостности
компонентов загрузки компьютера и размещения шифрованного диска на
исходном компьютере.
Доступный для записи контроллер домена содержит все пароли учетных записей
домена, сертификаты X.509 и другую касающуюся безопасности информацию.
Поэтому использование BitLocker для шифрования томов обеспечивает
дополнительную защиту на случай кражи контроллера домена или его жесткого
диска. В контроллерах RODC хранится лишь часть этой информации, но Microsoft
все равно рекомендует использовать шифрование томов с помощью BitLocker.
Более подробную информацию о настройке BitLocker для Windows Server 2008
можно найти в статье BitLocker Drive Encryption (Шифрование дисков BitLocker).
Примечание Обезопасьте основные ключи тома BitLocker в контроллерах домена с
помощью TPM и ключа запуска или TPM и PIN. TPM не должен быть единственным методом
защиты основных ключей тома для контроллеров домена.
Больше информации о лучших практиках использования BitLocker представлено в
следующих источниках:
 IT Showcase: Optimizing Client Security by Using Windows Vista (Демонстрация
для ИТ-специалистов: оптимизация безопасности клиента с использованием
Windows Vista).
 Secure Hardware - Overview (Обзор аппаратных средств защиты).
Архивировать информацию восстановления для BitLocker и TPM
Во время установки для каждого тома с поддержкой BitLocker создается пароль
восстановления. Если используется и TPM, требуется также задать пароль
владельца TPM. Необходимую для этих технологий информацию восстановления
можно хранить в AD DS.
Сохранение резервной копии паролей восстановления для тома диска,
защищенного BitLocker, позволяет администраторам восстанавливать том в случае
его блокировки. Это гарантированно обеспечивает возможность доступа к
шифрованным данным предприятия авторизованным пользователям.
Примечание Этот метод создания резервной копии паролей восстановления предполагает
наличие в организации нескольких контроллеров домена. Если имеется только один
контроллер домена, пароли восстановления необходимо копировать и на съемные носители.
Резервное копирование сведений о владельце TPM для компьютера позволяет
администраторам локально и удаленно конфигурировать оборудование
безопасности TPM этого компьютера. Например, при выводе из эксплуатации или
изменении назначения компьютера администратор может восстановить для TPM
значения по умолчанию.
Больше информации о конфигурировании AD DS для резервного копирования
информации восстановления BitLocker и TPM можно найти в статье Configuring
Active Directory (Настройка Active Directory).
Защитить ключ запуска компьютера с помощью Syskey
Как правило, в безопасных средах центров обработки данных выполнять
перезапуск контроллеров домена может только авторизованный персонал. Однако
в среде, в которой невозможно строго выполнить эти рекомендации, например в
филиалах, существует повышенная вероятность того, что перезапуск контроллера
выполнит неавторизованное лицо.
Незапланированный или неожиданный перезапуск контроллера домена может
свидетельствовать о том, что он был запущен злоумышленником в альтернативной
операционной системе и его безопасность нарушена. С другой стороны, перезапуск
может произойти всего лишь из-за отключения электропитания или планового
обслуживания контроллера домена. В следующих разделах рассматриваются
методы, зависимости и соображения относительно SYSKEY, на основании которых
можно определить оптимальный вариант использования SYSKEY в вашей среде.
Можно ли применять SYSKEY для вашей среды?
Системный ключ (system key, SYSKEY) в операционной системе Windows
защищает информацию системы безопасности, включая хранящиеся в базе данных
Active Directory пароли, а также данные службы Локальной проверки подлинности
(Local Security Authority, LSA), от физического несанкционированного доступа путем
кодирования их хранилища в контроллере домена. SYSKEY может базироваться на
заданном вами пароле, или храниться на съемном носителе, таком как гибкий диск
или USB-накопитель.
Примечание SYSKEY защищает только информацию системы безопасности в Active Directory
или другие данные LSA. BitLocker защищает все данные, хранящиеся в шифрованных
BitLocker томах. SYSKEY должен использоваться для защиты информации Active Directory и
данных LSA в тех случаях, когда невозможно шифрование всего тома.
При запуске контроллера домена, защищенного этим методом, для успешного
перезапуска компьютера необходимо ввести пароль или применить съемный
носитель с SYSKEY. Чтобы выбрать, какой из этих методов будет применяться для
запуска компьютера, можно использовать утилиту системного ключа (Syskey.exe),
которая устанавливается в контроллере домена вместе с Windows Server 2008.
Применение SYSKEY обеспечивает следующие преимущества в обеспечении
безопасности:
 Управление моментом перезапуска контроллера домена, что позволяет
установить причину перезапуска контроллера домена и определить, не
была ли нарушена безопасность.
 Защиту паролей, хранящихся в базе данных каталога, от физического
несанкционированного доступа в случае похищения контроллера домена
или диска.
При использовании SYSKEY существуют определенные логистические проблемы,
связанные с эксплуатацией. Первая из них – управление паролями или съемными
носителями SYSKEY. Например, довольно проблематично требовать от
руководителя филиала или локальных администраторов приходить в офис в 3 утра,
чтобы ввести пароль или вставить съемный носитель.
Чтобы решить эту проблему, можно разрешить ИТ-персоналу по эксплуатации из
центрального офиса предоставлять пароль SYSKEY удаленно. Для обеспечения
удаленного управления потребуется дополнительное оборудование. Таким
образом, ИТ-персонал по эксплуатации может вводить пароль или подключать
виртуальные образы гибких дисков, содержащие SYSKEY.
Другая потенциальная проблема – если пароль или съемный носитель SYSKEY
утеряны, никто не сможет перезапустить контроллер домена. Невозможно
восстановить контроллер домена, если пароли или съемный диск SYSKEY
утрачены. В этом случае придется полностью перестраивать контроллер домена.
У каждого метода есть преимущества и потенциальные недостатки. Если принято
решение применять для защиты контроллеров домена SYSKEY, проведите анализ
своей среды, чтобы определить наиболее подходящий для вашей организации
метод.
Задание паролей SYSKEY для перезапусков контроллеров домена
Преимущество паролей SYSKEY в том, что для них не требуется физических
носителей, которые могут быть утеряны. Когда требуется перезапустить
контроллер домена, проверенный персонал должен ввести пароль в консоль,
подключенную к контроллеру домена. Пароль должна знать только небольшая
группа проверенных администраторов, желательно, только участникам группы
Администраторы домена. Недостаток применения пароля для защиты SYSKEY –
администраторы должны запоминать еще один пароль, и для применения пароля
требуется их личное присутствие.
Для поддержки филиалов, возможно, понадобиться предоставлять пароль SYSKEY
удаленно с помощью проверенного ИТ-персонала центрального офиса. Однако
удаленное управление потребует дополнительного оборудования.
Поскольку злоумышленники могут раскрыть пароли, Microsoft рекомендует
повышать безопасность паролей SYSKEY для перезапусков SYSKEY следующим
образом:
 Использовать надежные пароли.
 Хранить пароли в безопасном месте, таком как банковский депозитарий.
 Выдвинуть требование о периодическом изменении паролей SYSKEY.
Предоставление SYSKEY для перезапусков контроллеров домена на съемном
носителе
Преимущество предоставления SYSKEY на съемном носителе в том, что
администраторам не придется запоминать пароль. Однако при реализации
SYSKEY с использованием съемного носителя возникает риск потери или
повреждения этого физического носителя. Более того, при перезагрузках
контроллера домена съемный носитель необходимо вставлять в компьютер. Опять
же, только проверенный персонал, желательно участники группы Администраторы
домена, должен иметь доступ к съемному носителю SYSKEY.
Для поддержки удаленного управления филиалами, вероятно, придется установить
оборудование сторонних производителей, чтобы можно было удаленно передавать
образы гибких дисков в контроллер домена. Используя эти устройства,
проверенный ИТ-персонал центрального офиса может передавать копию образа
диска SYSKEY в удаленный контроллер домена. После перезапуска контроллера
домена удаленный образ гибкого диска SYSKEY может быть уничтожен ИТперсоналом по эксплуатации.
Поскольку съемный носитель содержит ключ шифрования для SYSKEY,
необходимо предпринять меры по предотвращению кражи, потери, повреждения
или копирования данных съемного носителя неавторизованными лицами. Microsoft
рекомендует следующие меры по устранению этих рисков:
 Создать копию съемного носителя и хранить ее вне организации, например,
в банковском депозитарии.
 Хранить рабочую копию съемного носителя в безопасном месте в
организации.
 Убирать съемный носитель сразу после перезапуска контроллера домена.
Соответствующие параметры групповой политики
Domain Controller Baseline Policy (Базовая политика контроллера домена, DCBP),
дополняющая Default Domain Controller Policy (Стандартная политика контроллера
домена), связывается с подразделением Domain Controllers (Контроллеры домена).
Параметры DCBP повышают общий уровень безопасности контроллеров домена в
любой среде. Использование лишь двух объектов GPO для реализации
безопасности контроллеров домена обеспечивает защиту стандартной среды и
упрощает поиск и устранение неисправностей.
Более подробную информацию об этих параметрах можно найти в следующих
источниках:
 Приложении А «Параметры групповой политики, связанные с
безопасностью», сопровождающем данное руководство.
 Прилагаемом к данному руководству «Сборнике параметров, используемых
в руководстве по безопасности Windows Server 2008».
Дополнительные источники
Более подробные сведения из лучших практик по повышению уровня защиты
серверов, выполняющих службу роли Контроллер домена Active Directory, можно
найти в следующих источниках:
 Active Directory.
 AD DS: Fine-Grained Password Policies.
 Приложение D: Active Directory.
 Best Practices for Delegating Active Directory.
 BitLocker Drive Encryption.
 Configuring Active Directory.
 IT Showcase: Optimizing Client Security by Using Windows Vista.
 Managing Active Directory.
 «RODC filtered attribute set» (Отфильтрованный набор атрибутов
контроллера домена только для чтения) в RODC Features.
 Secure Hardware - Overview.
 Server Core.
 Set computer-specific synchronization properties (Задание специальных
свойств синхронизации компьютера).
Служба роли Диспетчер удостоверений для
UNIX
Используя службу роли Диспетчер удостоверений для UNIX, можно выполнять
1
аутентификацию учетных данных в Active Directory по протоколу NIS и выполнять
синхронизацию паролей учетных записей, хранящихся в Active Directory, с
паролями учетных записей, которые хранятся на NIS-серверах, работающих под
1
Network Information Services – сетевые информационные службы (прим.
переводчика).
управлением UNIX. Служба роли Диспетчер удостоверений для UNIX включает
следующие подсистемы службы роли:
 Сервер для сетевых информационных служб (Server for Network
Information Services)
 Синхронизация паролей (Password Synchronization)
Этим подсистемам службы роли посвящены следующие разделы. Более
подробную информацию о службе роли Диспетчер удостоверений для UNIX можно
найти в разделе Обзор диспетчера удостоверений для UNIX службы Справка и
поддержка Windows Server 2008.
Сервер для сетевых информационных служб
Подсистема службы Сервер для NIS интегрирует сети Microsoft Windows® и NIS,
предоставляя контроллеру домена AD DS на базе Windows возможность выступать
в роли основного NIS-сервера для одного или более доменов NIS.
Сервер для NIS хранит и стандартные, и нестандартные сопоставления данных NIS
с AD DS и создает единое пространство имен для доменов Windows и NIS.
Администратор Windows может управлять этим пространством имен, используя
один набор инструментов, и без труда создавать, изменять и удалять учетные
записи пользователей для доменов Windows и UNIX с поддержкой NIS
одновременно. Управление пользователем, имеющим учетные записи в обеих
средах, и в Windows, и в UNIX, может осуществляться AD DS с использованием
всех атрибутов, необходимых для соответствующего домена и пространства имен.
Сервер для NIS обычно используется в сочетании с Сервером для Network File
1
System (NFS) . NFS предоставляет общий доступ к файлам клиентам NFS, которые
обычно располагаются на компьютерах, работающих под управлением UNIX.
Поверхность атаки
Служба роли Сервер для сетевых информационных служб (NIS) подвержен тем же
атакам на систему безопасности, что и NIS-сервер. Чтобы определить поверхность
атаки для этой службы роли, необходимо установить следующее:
 Установленные файлы. Это файлы, установленные как часть службы
роли Сервер для NIS.
 Выполняющиеся службы. Это сервисы, выполняющиеся как часть службы
роли Сервер для NIS.
Примечание Для проверки целостности установленных файлов и файлов, выполняемых
службами, можно воспользоваться утилитами RootkitRevealer и Sigcheck, являющимися
частью пакета служебных программ Windows Sysinternals.

Правила брандмауэра. Это правила брандмауэра Windows, используемые
службой роли Сервер для NIS.
 Зависимости роли. Это зависимости службы роли Сервер для NIS.
Более подробная информация о службе роли Сервер для NIS представлена в
Справочнике по поверхности атаки для Windows Server 2008, прилагаемом к
данному руководству. Оценить поверхность атаки для данной службы роли можно
1
Сетевая файловая система (прим. переводчика).
при помощи вкладки AD DS книги в разделах, соответствующих каждому из пунктов
предыдущего списка.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию службы роли Сервер для NIS для защиты сервера
от злоумышленных атак. Приведенные далее рекомендации предполагают, что на
странице Выбор служб роли Мастера добавления ролей была выбрана только
служба роли Сервер для сетевых информационных служб. Рекомендации для
других служб роли не включены.
Контрольный список настройки
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности для повышения уровня защиты серверов, выполняющих службу роли
Сервер для NIS. При возникновении каких-либо трудностей по выполнению этих
задач, обратитесь к следующим разделам данной главы за дополнительной
информацией и рекомендациями.
Таблица 3.3. Контрольный список настройки
Задачи настройки
Конфигурировать компьютер для выполнения Сервера для NIS в режиме
главного сервера.
Потребовать от пользователей изменения их паролей Windows.
Примечание Служба роли Сервер для сетевых информационных служб недоступна в
установке Server Core Windows Server 2008.
Конфигурировать компьютер для выполнения Сервера для NIS в
режиме главного сервера
Для работы Сетевых информационных служб (NIS) компьютер может выполнять их
в режиме главного или подчиненного сервера. Основное отличие этих двух
режимов в том, что и подчиненный, и главный серверы могут читать данные
сопоставлений, но только главный сервер может обновлять их. Кроме того, главный
NIS-сервер обеспечивает периодические обновления сопоставлений для
подчиненных серверов.
Конфигурируйте один из компьютеров, выполняющих Сервер для NIS, как главный
NIS-сервер. Таким образом, главный NIS-сервер, выполняющийся под управлением
Windows, будет гарантированно получать обновления от других NIS-серверов,
выполняющихся в подчиненном режиме. Хранение данных в Active Directory
обеспечивает им более надежную защиту, чем обычно, когда они хранятся на
файловой системе UNIX.
Боле подробную информацию о режимах основного и подчиненного сервера и о
взаимодействии между компьютерами, работающими в этих режимах, можно найти
в разделе «Главный и подчиненный режимы работы сервера» службы Справка и
поддержка для Windows Server 2008.
Потребовать от пользователей изменения их паролей Windows
Обычно пользователи, работающие в операционных системах UNIX или LINUX,
меняют свои пароли NIS с помощью команды yppasswd. Эта команда используется
для обновления пароля пользователя в NIS. Команда yppasswd посылает старый
пароль на NIS-сервер в простой текстовой форме, поэтому эта команда может
стать причиной раскрытия паролей Windows пользователей.
Вместо применения этой команды пользователи должны изменять NIS-пароль,
меняя пароли Windows, а Сервер для Сетевых информационных служб будет
синхронизировать изменение пароля с подчиненными NIS-серверами.
Соответствующие параметры групповой политики
Не существует параметров групповой политики для службы роли Сервер для NIS.
Дополнительные источники
В этом источнике предлагается дополнительная информация по лучшим практикам
повышения уровня защиты компьютеров-серверов, выполняющих службу роли
Сервер для NIS.
 В разделе «Сервер для NIS» службы Справка и поддержка для Windows
Server 2008.
Синхронизация паролей
Служба роли Синхронизация паролей помогает интегрировать сети Windows и
UNIX, упрощая процесс обслуживания безопасных паролей в обеих средах. Она
устраняет необходимость обслуживать отдельные пароли для учетных записей
Windows и UNIX и меняет пароли в обеих системах. Когда используется служба
роли Синхронизация паролей, при изменении пользователем паролей в
компьютере домена, работающем под управлением Windows, пароли
автоматически меняются на всех UNIX-хостах, на которых имеются учетные записи
этого пользователя. Также можно настроить службу роли Синхронизация паролей
на автоматическое изменение паролей Windows пользователя при любом
изменении им паролей UNIX.
Больше информации о службе роли Синхронизация паролей можно найти в
разделе «Синхронизация паролей с NIS-доменом» службы Справка и поддержка
для Windows Server 2008.
Поверхность атаки
Служба роли Синхронизация паролей подвержена тем же атакам на систему
безопасности, что и любой контроллер домена AD DS. Чтобы определить
поверхность атаки для этой службы роли, необходимо установить следующее:


Установленные файлы. Это файлы, установленные как часть службы
роли Синхронизация паролей.
Выполняющиеся службы. Это сервисы, выполняющиеся как часть службы
роли Синхронизация паролей.
Примечание Для проверки целостности установленных файлов и файлов, выполняемых
службами, можно воспользоваться утилитами RootkitRevealer и Sigcheck, являющимися
частью пакета служебных программ Windows Sysinternals.

Правила брандмауэра. Это правила брандмауэра Windows, используемые
службой роли Синхронизация паролей.
 Зависимости роли. Это зависимости службы роли Синхронизация
паролей.
Более подробная информация о службе роли Синхронизация паролей
представлена в Справочнике по поверхности атаки для Windows Server 2008,
прилагаемому к данному руководству. Оценить поверхность атаки для данной
службы роли можно при помощи вкладки AD DS книги в разделах,
соответствующих каждому из пунктов предыдущего списка.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию службы роли Синхронизация паролей для защиты
сервера от злоумышленных атак. Приведенные далее рекомендации
предполагают, что на странице Выбор служб роли Мастера добавления ролей
была выбрана только служба роли Синхронизация паролей. Рекомендации для
других служб роли не включены.
Контрольный список настройки
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности для повышения уровня защиты серверов, выполняющих службу роли
Синхронизация паролей. При возникновении каких-либо трудностей по выполнению
этих задач, обратитесь к следующим разделам данной главы за дополнительной
информацией и рекомендациями.
Таблица 3.4. Контрольный список настройки
Задачи настройки
Гарантировать согласованность политик паролей Windows и UNIX.
Задать для компьютера собственный уникальный ключ шифрования паролей.
Явно перечислить пользователей, для которых разрешена или заблокирована
синхронизация паролей.
Блокировать синхронизацию паролей деактивированных учетных записей
пользователей UNIX.
Избегать синхронизации паролей пользователей с расширенными
привилегиями.
Не использовать стандартный номер порта и ключ шифрования.
Защитить файл sso.conf.
Обеспечить соответствующую защиту каталогу на хосте UNIX,
идентифицированному константой TEMP_FILE_PATH.
Задачи настройки
Обеспечить соответствующую защиту файлам журнала на хосте UNIX.
Примечание Служба роли Синхронизация паролей недоступна в установке Server Core
Windows Server 2008.
Гарантировать согласованность политик паролей Windows и UNIX
Предоставляя только одностороннюю синхронизацию паролей, убедитесь, что
политика паролей на компьютере, с которого будет выполняться синхронизация, по
крайней мере, обладает таким же уровнем ограничений, что и политика на
компьютере, на котором будут синхронизироваться пароли. Например, если задать
синхронизацию Windows-UNIX, политика паролей Windows должна быть, по
крайней мере, настолько же строгой, как и политика компьютеров под управлением
UNIX, на которых будут синхронизироваться пароли.
Если поддерживается двухсторонняя синхронизация, политики паролей должны
быть одинаково строгими в обеих системах. Несогласованность политик может
привести к сбою синхронизации при изменении пароля в системе с менее строгой
политикой, или пароль может быть изменен в системе с более строгими
политиками, несмотря на его несоответствие им.
Также обеспечьте осведомленность пользователей Windows обо всех специальных
ограничениях для паролей в системах UNIX, с которыми они будут
синхронизировать пароли. Например, в некоторых версиях UNIX максимальная
длина пароля – восемь символов. Если вы не уверены в том, что все системы UNIX
вашей среды поддерживают более длинные пароли, для обеспечения
максимальной совместимости стандартной политики паролей Windows и таких
ограничений UNIX определите максимальную длину паролей в семь или восемь
символов.
Задать для компьютера собственный уникальный ключ
шифрования паролей
Компьютер под управлением Windows может посылать и принимать обновленные
пароли с компьютеров, работающих под управлением UNIX, только в виде
шифрованного текста. Управляющая программа единого входа (single sign-on
daemon, SSOD) службы роли Синхронизация паролей получает шифрованный
пароль, дешифрует его и только потом запрашивает изменение пароля в хосте
UNIX.
Аналогично, если служба роли Синхронизация паролей настроена на поддержку
синхронизации UNIX-Windows, подключаемый модуль аутентификации (pluggable
authentication module, PAM) шифрует пароль перед его отправкой в службу
Синхронизации паролей на компьютере, работающем под управлением Windows.
Служба Синхронизации паролей сначала дешифрует пароль, а потом пошлет
запрос на изменение пароля в компьютер Windows.
Для обеспечения дополнительной безопасности можно задать ключ шифрования,
который будет использоваться только между конкретным компьютером,
выполняющим Windows, и UNIX-хостом. Таким образом, дешифрация паролей
будет возможна только между определенными компьютерами. Дополнительную
информацию можно найти в статье Set computer-specific synchronization properties.
Явно перечислить пользователей, для которых разрешена или
заблокирована синхронизация паролей
Чтобы получить максимальный контроль над тем, кто из пользователей может
синхронизировать пароли, не применяйте ключевое слово ALL к списку
SYNC_USERS в файле sso.conf на UNIX-хосте. Лучше явно перечислить всех
пользователей, которым вы хотите разрешить или запретить синхронизацию
паролей.
На компьютере, работающем под управлением Windows и выполняющем службу
Синхронизация паролей, создайте группу PasswordPropAllow и добавьте в нее
учетные записи тех пользователей, пароли которых вы хотите синхронизировать.
Дополнительную информацию по этой теме можно найти в статье Controlling
password synchronization for user accounts (Управление синхронизацией паролей
для учетных записей пользователей).
Блокировать синхронизацию паролей деактивированных
учетных записей пользователей UNIX
В некоторых версиях UNIX изменение пароля деактивированной учетной записи
пользователя приводит к активации этой учетной записи. Таким образом, если
пользователь деактивировал учетную запись на UNIX-компьютере, который
конфигурирован на синхронизацию паролей с Windows-компьютером, пользователь
или администратор может активировать учетную запись UNIX, изменив пароль
пользователя в Windows.
Чтобы предотвратить это и блокировать синхронизацию для деактивированных
учетных записей UNIX, используйте группу PasswordPropDeny. Также при
деактивации учетной записи UNIX не забудьте блокировать для нее синхронизацию
паролей, используя запись SYNC_USERS в файле sso.conf.
Избегать синхронизации паролей пользователей с
расширенными привилегиями
Не выполняйте синхронизацию паролей для участников групп Windows с
расширенными привилегиями или владельцев учетных записей суперпользователь или root в UNIX, потому что расширенные права этих учетных
записей не распространяются на другую систему. Например, участники группы
Администраторы домена не обладают по умолчанию более высоким уровнем
привилегий на компьютерах, выполняющих UNIX.
Не использовать стандартный номер порта и ключ шифрования
В случае использования стандартного номера порта и ключа шифрования
злоумышленник может настроить подставной UNIX-хост для перехвата паролей.
Чтобы предотвратить такую возможность, измените порт и стандартный ключ
шифрования паролей, используемые службой синхронизации.
Примечание Используемые для синхронизации паролей номера портов и ключи
шифрования должны быть защищены так же, как сами пароли.
Более подробную информацию по этим вопросам можно найти в следующих
разделах службы Справка и поддержка для Windows Server 2008:
 «Setting the default port» (Настройка порта по умолчанию)

«Setting the password encryption key» (Установка ключа шифрования
пароля).
Защитить файл sso.conf
В файле sso.conf на каждом UNIX-хосте содержится важная конфигурационная
информация, которая может быть использована злоумышленниками для
нарушения безопасности. Microsoft рекомендует для усиления защиты этого файла
задать для нее битовую маску состояния равную 600.
Обеспечить соответствующую защиту каталогу на хосте UNIX,
идентифицированному константой TEMP_FILE_PATH
Временные файлы, создаваемые на UNIX-хостах службой Синхронизации паролей,
содержат важную информацию, которая может быть использована
злоумышленниками для нарушения безопасности системы. По этой причине все
каталоги, указанные в TEMP_FILE_PATH в файле sso.conf, должны гарантированно
иметь доступ только для чтения для учетной записи администратора, и никто из
пользователей не должен иметь доступа к этой учетной записи.
Обеспечить соответствующую защиту файлам журнала на хосте
UNIX
Для протоколирования сообщений, формируемых в ходе операций синхронизации,
служба Синхронизации паролей использует службу syslogd. В получаемых в
результате журналах регистрации содержится такая информация, как имена
пользователей, синхронизация паролей которых выполнялась, компьютеры, с
которыми выполнялась синхронизация, накапливающиеся ошибки и т.д. Чтобы
гарантировать невозможность доступа к файлам журнала остальных
пользователей, кроме администратора, предоставьте возможность доступа к
каталогу с файлами журналов только учетной записи администратора. В
настройках службы syslogd задайте каталог, в который будут сохраняться файлы
журнала.
Соответствующие параметры групповой политики
Не существует параметров групповой политики для службы роли Синхронизация
паролей.
Дополнительные ресурсы
Более подробные сведения из лучших практик по повышению уровня защиты
серверов можно найти в следующих источниках:
 Для компьютеров, выполняющих службу роли Контроллер домена Active
Directory:
o Active Directory.
o AD DS: Fine-Grained Password Policies.
o Приложение D: Active Directory.
o Best Practices for Delegating Active Directory.
o BitLocker Drive Encryption.


o Configuring Active Directory.
o IT Showcase: Optimizing Client Security by Using Windows Vista.
o Managing Active Directory.
o «RODC filtered attribute set» в RODC Features.
o Secure Hardware - Overview.
o Server Core.
o Set computer-specific synchronization properties.
Для получения информации о службе роли Сервер сетевых
информационных служб (NIS) обратитесь к:
o «Сервер для NIS» в разделе Справка и поддержка для Windows
Server 2008.
Для получения информации о службе роли Синхронизация паролей
обратитесь к:
o Controlling password synchronization for user accounts.
o «Синхронизация паролей» в разделе Справка и поддержка для
Windows Server 2008.
o Set computer-specific synchronization properties.
o «Настройка порта по умолчанию» в разделе Справка и поддержка
для Windows Server 2008.
o «Установка ключа шифрования пароля» в разделе Справка и
поддержка для Windows Server 2008.
Глава 4: Повышение уровня защиты служб DHCP
Серверы DHCP (Dynamic Host Configuration Protocol) используются в сетях
организаций для автоматической выдачи корректных IP-адресов для клиентских
компьютеров и других сетевых устройств, работающих по протоколу TCP/IP. DHCP
также могут предоставлять дополнительные параметры настройки, так называемые
опции DHCP, которые обеспечивают возможность клиентским компьютерам и
устройствам соединяться с другими сетевыми ресурсами, такими как DNS-серверы
и маршрутизаторы.
Служба DHCP-сервер и служба DHCP-клиент в Windows Server® 2008 включают
следующие связанные с обеспечением безопасности новые возможности, которых
не было в предыдущих версиях Windows Server:
 Функциональность DHCPv6. В Windows Server 2008 Microsoft была
введена функциональность DHCPv6 для DHCP-сервера. Клиентские
компьютеры используют режим без состояния DHCPv6 для получения
только параметров конфигурации сети без IPv6-адреса. В данном сценарии
IPv6-адрес настраивается через механизм, не основанный на DHCPv6,
например, через автонастройку IPv6-адреса на базе IPv6-префиксов,
включенных в объявления маршрутизатора (Router Advertisements), или
через статическую конфигурацию. В режиме с состоянием клиентские
компьютеры получают через DHCPv6 и IPv6-адрес, и остальные параметры
конфигурации сети. Если IPv6 не развернут в вашей среде, DHCP
обеспечивает настройку IP только для IPv4-адресов. Больше информации о
DHCPv6 можно найти в статье The DHCPv6 Protocol (Протокол DHCPv6) на
сайте TechNet.
 Защищенный сетевой доступ (Network Access Protection, NAP). NAP
интегрирован с DHCP и вынуждает клиентов при получении IP-адреса для
доступа в интрасеть подтверждать безопасное состояние своей системы
для сети. NAP поддерживается в DHCP для адресов IPv4, не IPv6. Больше
информации о NAP можно найти в следующих ресурсах:
o Статья «Network Access Protection» (Защищенный сетевой доступ)
на сайте Microsoft TechNet.
o Step-by-Step Guide: Demonstrate NAP DHCP Enforcement in a Test
Lab (Пошаговое руководство: как обеспечить работоспособность
DHCP с помощью NAP в лабораторных условиях).
В данной главе дается нормативное руководство по повышению уровня защиты
роли DHCP-сервер. У роли DHCP-сервер нет подчиненных служб роли.
Поверхность атаки
Роль DHCP во многом подвержена тем же атакам на систему безопасности, что и
любой сервер, предоставляющий службы DHCP. Чтобы обозначить всю
поверхность атаки для этой роли, необходимо определить следующее:
 Установленные файлы. Это файлы, установленные как часть роли DHCPсервера.
 Выполняющиеся службы. Это службы, выполняющиеся как часть роли
DHCP-сервера.
Примечание Для проверки целостности установленных файлов и файлов, выполняемых
службой, можно воспользоваться утилитами RootkitRevealer и Sigcheck, являющимися
частью пакета служебных программ Windows Sysinternals

Правила брандмауэра. Это используемые ролью DHCP-сервера правила
брандмауэра.
 Зависимости роли. Это зависимости роли DHCP-сервера.
Подробная информация о поверхности атаки для роли DHCP-сервера включена в
книгу «Справочник по поверхности атаки в Windows Server 2008», прилагаемой к
данному руководству. Оценить поверхность атаки для данной службы роли можно
при помощи вкладки AD DS книги в разделах, соответствующих каждому из пунктов
предыдущего списка.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию роли DHCP-сервера для защиты сервера от
злоумышленных атак. Приведенные ниже рекомендации предполагают, что на
странице Выбор служб роли Мастера добавления ролей выбрана только опция
DHCP-сервер. Рекомендации для других служб роли не включены.
Контрольный список настройки
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности для повышения уровня защиты серверов, выполняющих роль DHCPсервера. При возникновении каких-либо трудностей по выполнению этих задач
обратитесь к следующим разделам данной главы за дополнительной информацией
и рекомендациями.
Table 4.1. Контрольный список настройки
Задачи настройки
Использовать выделенный компьютер для выполнения роли DHCP-сервера.
Развернуть установку Server Core Windows Server 2008.
Использовать функциональность DHCPv6.
Исключить компьютеры, выполняющие неавторизованные DHCP-службы.
Добавить DHCP-диапазоны резервирования и исключения для IP-адресов.
Использовать NAP для обеспечения безопасности конфигурации компьютера.
Ограничить количество участников группы доступа DHCP.
Настроить принадлежность записей DNS, чтобы предотвратить возникновение
устаревших записей DNS.
Использовать выделенный компьютер для выполнения роли
DHCP-сервера
Как правило, комбинировать роли сервера не рекомендуется, за исключением
особых обстоятельств. Например, в некоторых организациях можно было бы
совмещать роли серверов DNS и AD DS. Однако DHCP-серверы часто
представляют критическую нагрузку для среды. Комбинирование ролей серверов
увеличивает поверхность атаки и повышает шансы на успех в реализации атак
типа отказ в обслуживании (Denial of Service, DoS). По этим причинам Microsoft
обычно не рекомендует сочетать роль DHCP-сервера с какой-либо иной ролью.
Но если по финансовым или другим соображениям организация вынуждена
комбинировать роли сервера, роль DHCP-сервер можно сочетать с другими ролями
сервера среды. Подходящим вариантом могла бы быть роль сервера Windows
1
Internet Name Service (WINS) , хотя многие среды Windows Server 2008 больше не
нуждаются в WINS-сервере. Microsoft рекомендует избегать комбинирования роли
DHCP-сервера с такими ролями:
 С ролями сервера, характеризующимися менее строгими политиками,
такими как роль Веб-сервер или роль Сервер служб терминалов
 С ролью AD DS, поскольку для этой роли сервера очень важно
максимально сократить поверхность атаки.
 С ролью AD CS, поскольку для этой роли сервера очень важно
максимально сократить поверхность атаки.
1
Служба имeн в Интернете для Windows (прим. переводчика).
Развернуть установку Server Core Windows Server 2008
Развертывание Windows Server 2008 с использованием опции установки Server
Core обеспечивает сокращение поверхности атаки для операционной системы за
счет ограничения числа необходимых файлов и служб. Преимущество опции Server
Core в том, что в случае ее применения не устанавливаются файлы и службы для
графического пользовательского интерфейса (GUI).
Если для развертывания операционной системы Windows Server 2008 используется
опция установки Server Core, управлять сервером можно только локально с
помощью инструментов командной строки. Чтобы управлять сервером через
инструменты графического пользовательского интерфейса, необходимо установить
и запустить их на другом компьютере, на котором установлен GUI на базе Windows.
Для управления ролью DHCP-сервер используются следующие инструменты
командной строки:
 Чтобы установить роль DHCP-сервер, выполните следующую команду:
start /w ocsetup DHCPServerCore
 Чтобы настроить службу DHCP-сервер, выполните следующую команду:
sc config dhcpserver start = auto
Примечание Пробел между "start" и "=" обязателен. Также необходим пробел
между "=" и "auto".
 Чтобы запустить службу DHCP-сервер, выполните следующую команду:
net start dhcpserver
 Чтобы конфигурировать DHCP-серверы, области действия DHCP и опции
областей действия DHCP, выполните следующие команды:
netsh DHCP
netsh DHCP server
netsh DHCP server scope
netsh DHCP server mscope
Дополнительную информацию по управлению ролью DHCP-сервер с
помощью netsh можно найти в статье Netsh commands for DHCP
(Использование команды Netsh для настройки DHCP).
 Чтобы установить роль DHCP-сервер, выполните следующую команду:
start /w ocsetup DHCPServerCore /uninstall
Дополнительную информацию по установке и управлению ролью DHCP-сервер с
использованием опции установки Server Core можно найти в материале Server Core
Installation Option of Windows Server 2008 Step-By-Step Guide.
Использовать функциональность DHCPv6
Протокол IPv6 обеспечивает компьютерам возможность автоматически получать
IP-адреса, используя автоматическую настройку режима без состояния. Этот
протокол не требует наличия DHCP-сервера и гарантирует уникальность IPадресов, потому что использует MAC-адрес сетевого адаптера как часть адреса и
затем рассылает многоадресный пакет, чтобы убедиться, что этот IP-адрес не
используется ни одним другим хостом в сегменте сети.
Даже если DHCP-сервер использует автоматическую настройку режима без
состояния, его все равно можно применять для предоставления дополнительных
опций настройки сети. Windows Server 2008 поддерживает автоматическую
настройку режима без состояния, тем не менее, для обеспечения распределения
IPv6-адресов используйте в DHCP режим с состоянием.
Сформированные DHCPv6-сервером адреса хаотично распределены по
доступному адресному пространству подсети. Вероятность того, что
злоумышленники подберут сетевой IPv6-адрес, очень мала, потому что 64разрядный префикс IPv6 обеспечивает большой диапазон адресов, по которому
DHCP-сервер распределяет адреса случайным образом.
Роль DHCP-сервер посредством DHCPv6 также поддерживает постоянные и
временные адреса. Для динамической регистрации DNS можно использовать
постоянный IPv6-адрес, так что клиентский компьютер будет «известен» под этим
адресом. Но в сценариях, в которых требуется обеспечить конфиденциальность
постоянных адресов, для установления исходящего соединения можно
воспользоваться временным IPv6-адресом. С помощью Объявлений
маршрутизатора (Router Advertisements) администраторы могут автоматизировать
настройку IPv6 компьютеров на использование режима с и без состояния.
Исключить компьютеры, выполняющие неавторизованные
DHCP-службы
Одна из самых распространенных атак с участием DHCP-серверов –
использование неавторизованных серверов для выдачи адресов клиентским
компьютерам. В большинстве случаев такую атаку легко осуществить, потому что
для ее организации необходимо просто добавить в сеть, обслуживающую
клиентские компьютеры, дополнительный DHCP-сервер.
Для предотвращения возможности внедрения неавторизованных DHCP-серверов
Windows Server 2008 поддерживает авторизацию серверов в Active Directory®.
Чтобы компьютер, являющийся частью домена и работающий под управлением
Windows Server 2008, мог выдавать адреса, он должен быть зарегистрирован в
Active Directory.
Изолированным серверам с Windows Server® для выдачи предоставляемых в
аренду DHCP-адресов не требуется регистрация в Active Directory. Однако если
изолированный DHCP-сервер обнаруживает существующий домен в той же
подсети, он прекращает выдачу IP-адресов.
Если DHCP-сервер работает под управлением операционной системы отличной от
Windows Server, он не может быть оповещен о необходимости прекращения
выдачи IP-адресов. Чтобы компьютер, работающий не под управлением Windows,
прекратил предоставлять DHCP-сервис, необходимы другие механизмы
предотвращения его доступа во внутреннюю сеть, такие как физический контроль
над Ethernet и беспроводными соединениями.
С помощью инструмента командной строки DHCPLoc, который составляет список
всех DHCP-серверов в локальной подсети, можно выявлять неавторизованные
DHCP-серверы. Инструмент DHCPLoc доступен на компакт-диске продуктов
Windows® XP, Windows Vista®, Windows Server® 2003 и Windows Server 2008 в
разделе Windows Support Tools (Средства поддержки Windows) в папке
\Support\Tools.
Более подробную информацию об утилите DHCPLoc можно найти в статье Dhcploc
Overview (Обзор Dhcploc) на сайте TechNet.
Добавить DHCP-диапазоны резервирования и исключения для IPадресов
Гарантировать присвоение компьютерам корректных IP-адресов можно следующим
образом:
 Зарезервировав статические адреса, чтобы они случайно не были
присвоены другим IP-устройствам.
 Задав диапазон IP-адресов, чтобы предварительно выделить их для других
устройств.
Примечание Если IP-адрес зарезервирован и попадает в диапазон исключений,
резервирование будет иметь больший приоритет.
Использовать NAP для обеспечения безопасности конфигурации
компьютера
В случае применения DHCP в Windows Server 2008, прежде чем компьютеру будет
присвоена конфигурация IPv4, которая обеспечит ему доступ к вашей интрасети, он
подвергается проверке безопасности состояния для сети, осуществляемой NAP.
Если компьютер не проходит проверки безопасности, ему присваивается
конфигурация IPv4, обеспечивающая доступ только к изолированной сети. В ходе
проверки безопасности состояния выясняется, удовлетворяет ли или превышает
конфигурация целевого компьютера требованиям безопасности вашей
организации, таким как наличие последних пакетов обновлений или файлов
сигнатур антивирусов.
Если DHCP обеспечивает безопасность состояния клиента для сети посредством
NAP, требования политики проверки безопасности состояния контролируются при
каждой попытке DHCP-клиента получить в аренду или обновить IP-адрес. Если
DHCP-клиент не проходит проверку безопасности его состояния для сети, ему
предоставляет доступ только к изолированной сети.
К подсистемам DHCP обеспечения безопасности состояния клиента для сети
посредством NAP относятся DHCP-сервер проверки условий карантина (Quarantine
Enforcement Server, QES), который является частью службы DHCP-сервер в
Windows Server 2008, и DHCP-клиент проверки условий карантина (Quarantine
Enforcement Client, QEC), который является частью службы DHCP-клиент. Больше
информации о NAP можно найти в Главе 10 «Повышение уровня защиты служб
сетевого доступа» и в статье Network Access Protection.
Ограничить количество участников группы доступа DHCP
Можно создать следующие группы доступа для DHCP:
 Администраторы DHCP. Участники этой группы имеют право
администрировать DHCP-серверы, но обладают более низким уровнем
привилегий, чем группа Администраторы домена. Включая пользователей,
выполняющих конфигурирование и обслуживание DHCP, в группу
Администраторы DHCP, а не в группу Администраторы домена, вы
реализуете принцип предоставления минимальных прав. Применение
компонента групповой политики Группы с ограниченным доступом

гарантированно обеспечит неизменность участников группы
Администраторы DHCP. Более подробную информацию по этой теме
можно найти далее в данной главе в разделе «Соответствующие
параметры групповой политики».
Пользователи DHCP. Участники этой группы имеют возможность доступа
только для чтения к информации через консоль управления Microsoft
Администрирование DHCP.
Настроить принадлежность записи DNS, чтобы предотвратить
возникновение устаревших записей DNS
DHCP-сервер можно конфигурировать так, чтобы он динамически регистрировал
записи хостов (А) и указателей на ресурсы (PTR) от лица DHCP-клиентов. При
такой конфигурации использование безопасного динамического обновления для
DNS-серверов может привести к появлению устаревших записей ресурсов.
В некоторых условиях это может привести к возникновению проблем. Например,
если сервер DHCP1 выходит из строя и к сети подключается резервный сервер
DHCP2, второй сервер не может обновлять имя клиента, потому что не является
владельцем имени.
Другой пример: если DHCP-сервер выполняет динамические обновления DNS для
DHCP-клиентов устаревшей версии (клиентских компьютеров, выполняющих
версии Windows®, предшествующие Windows® 2000), и впоследствии эти
клиентские компьютеры обновляются до операционной системы Windows 2000,
Windows XP или Windows Server 2003, обновленный клиентский компьютер не
может вступать во владение обновлением или обновлять собственные DNS-записи.
Для решения этой проблемы предоставляется группа доступа DnsUpdateProxy.
Если сделать все DHCP-серверы участниками группы DnsUpdateProxy, один сервер
сможет обновлять записи другого сервера в случае сбоя последнего. Также
поскольку все объекты, создаваемые участниками группы DnsUpdateProxy, не
защищены, сервер (не являющийся участником группы DnsUpdateProxy), который
изменит ассоциированный с именем DNS набор записей первым, становится его
владельцем.
Таким образом, после обновления клиентских компьютеров, выполняющих
устаревшие версии операционной системы, они могут стать владельцами записи об
их именах на DNS-сервере. Чтобы исключить потенциальную возможность
возникновения таких проблем, все регистрационные записи ресурсов DHCPсервера для клиентов устаревших версий необходимо сделать участником группы
DnsUpdateProxy. Настраивать группу доступа DnsUpdateProxy можно через Active
Directory - Пользователи и компьютеры.
Соответствующие параметры групповой политики
В следующей таблице перечислены параметры групповой политики, относящиеся к
службе роли DHCP-сервер. Используйте параметры групповой политики для
реализации необходимую конфигурацию системы безопасности своей среды.
Приведенные в следующей таблице параметры групповой политики можно найти в
Редакторе объектов групповой политики (Group Policy Object Editor) в разделе:
Конфигурация компьютера\Настройки Windows\Настройки
безопасности\Группы с ограниченным доступом
Таблица 4.2. Параметры групповой политики службы роли DHCP-сервер
Объект политики Описание
Стандартные
настройки
Windows Server
2008
Администраторы Добавляйте учетные записи пользователей в
DHCP
эту группу по мере необходимости. Если
учетная запись добавлена в эту группу, но не
добавлена в данный объект политики, она
автоматически удаляется, и в журнале
безопасности, если вы активировали аудит
для этого объекта политики, регистрируется
событие ID 637.
Не создается.
Пользователи
DHCP
Не создается.
Добавляйте учетные записи пользователей в
эту группу по мере необходимости. Если
учетная запись добавлена в эту группу, но не
добавлена в данный объект политики, она
автоматически удаляется, и в журнале
безопасности, если вы активировали аудит
для этого объекта политики, регистрируется
событие ID 637.
Дополнительные ресурсы
Более подробные сведения из лучших практик по повышению уровня защиты
компьютеров, выполняющих роль DHCP-сервера, можно найти в следующих
источниках на сайте Microsoft.com:
 Dhcploc Overview.
 Dynamic Host Configuration Protocol (DHCP) NAP Components (Компоненты
NAP протокола динамической настройки хостов).
 Netsh commands for DHCP.
 Network Access Protection.
 The DHCPv6 Protocol.
 Server Core.
 Services and Service Accounts Security Planning Guide (Руководство по
планированию безопасности служб и учетных записей служб).
 Step-by-Step Guide: Demonstrate DHCP NAP.
Глава 5: Повышение уровня защиты DNS-служб
Служба доменных имен (Domain Name System, DNS) – это система для
присваивания имен компьютерам и сетевым службам, организованным в иерархию
доменов. Чтобы упростить работу с сетевыми ресурсами, такие системы имен как
DNS являются средством связывания понятного для пользователей имени
компьютера или службы с другими данными, ассоциированными с этим именем,
такими как IP-адрес. При использовании в приложении понятного для пользователя
DNS-имени, DNS-службы выполняют его сопоставление с числовым адресом.
DNS является обязательной службой в доменах, использующих Windows
Server® 2008, потому что контроллеры домена и клиентские компьютеры в домене
Active Directory® используют DNS-службу и другие службы, предоставляемые через
Active Directory.
Служба DNS-сервера и служба DNS-клиента в Windows Server 2008 включают
следующие связанные с обеспечением безопасности новые возможности, которых
не было в предыдущих версиях Windows Server®:
 Фоновая загрузка зон. DNS-серверы, размещающие большие DNS-зоны,
которые они хранят, используя доменные службы Active Directory (AD DS),
теперь могут быстрее отвечать на запросы клиентских компьютеров после
перезапуска, потому что данные зоны загружаются в фоновом режиме.
Используя загрузку зон в фоновом режиме, DNS-сервер может отвечать на
запросы практически сразу же после перезагрузки и не ожидать, когда зоны
полностью загрузятся. DNS-сервер может отвечать на запросы к узлам,
которые уже загрузились или которые он может извлечь из AD DS. Фоновая
загрузка зон помогает обойти потенциальные атаки типа Отказ в
обслуживании (DoS), реализуемые путем простой перезагрузки DNSсерверов с большими зонами.
 Поддержка контроллеров домена только для чтения (RODCs). Роль
DNS-сервер в Windows Server 2008 позволяет использовать основные
доступные только для чтения зоны на контроллерах RODC. Это делает
возможным копирование DNS-зон на контроллеры RODC, размещенные в
сетевых периметрах, филиалах или других небезопасных окружениях.
Данная глава обеспечивает нормативное руководство по повышению уровня
защиты роли DNS-сервера. Роль DNS-сервер не имеет подсистем служб роли.
Поверхность атаки
Роль DNS-сервер во многом подвержена тем же атакам на систему безопасности,
что и любой компьютер-сервер, предоставляющий службы DNS. Чтобы обозначить
всю поверхность атаки для этой роли, необходимо определить следующее:
 Установленные файлы. Это файлы, установленные как часть роли DNSсервера.
 Выполняющиеся службы. Это службы, выполняющиеся как часть роли
DNS-сервера.
Примечание Для проверки целостности установленных файлов и файлов, выполняемых
службой, можно воспользоваться утилитами RootkitRevealer и Sigcheck, являющимися
частью пакета служебных программ Windows Sysinternals

Правила брандмауэра. Это используемые ролью DNS-сервера правила
брандмауэра.
 Зависимости роли. Это зависимости роли DNS-сервера.
Подробная информация о поверхности атаки для роли DNS-сервера включена в
книгу «Справочник по поверхности атаки в Windows Server 2008», прилагаемой к
данному руководству. Оценить поверхность атаки для данной роли сервера можно
при помощи вкладки DNS книги в разделах, соответствующих каждому из пунктов
предыдущего списка.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию роли DNS-сервера для защиты сервера от
злоумышленных атак. Приведенные ниже рекомендации предполагают, что на
странице Выбор служб роли Мастера добавления ролей выбрана только опция
DNS-сервер. Рекомендации для других служб роли не включены.
Контрольный список настройки
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности для повышения уровня защиты серверов, выполняющих роль DNSсервера. При возникновении каких-либо трудностей по выполнению этих задач
обращайтесь к следующим разделам данной главы за дополнительной
информацией и рекомендациями.
Таблица 5.1. Контрольный список настройки
Задачи настройки
Развернуть установку Server Core Windows Server 2008.
Защитить DNS-зоны в небезопасных окружениях путем использования
контроллеров домена только для чтения (RODCs).
Установить роли DNS-сервер и AD DS-сервер на одном сервере.
Настроить зоны на использование безопасных динамических обновлений.
Разрешить передачу зон фиксированной группе DNS-серверов.
Развернуть разные серверы для внутреннего и внешнего распознавания DNS.
Настроить брандмауэр для защиты внутреннего пространства имен DNS.
Активировать рекурсию только для соответствующих DNS-серверов.
Настроить DNS таким образом, чтобы игнорировались записи ресурсов, которые
не являются доверенными.
Настроить корневые ссылки для внутреннего пространства имен DNS.
Развернуть установку Server Core Windows Server 2008
Развертывание Windows Server 2008 с использованием опции установки Server
Core обеспечивает сокращение поверхности атаки для операционной системы за
счет ограничения числа необходимых файлов и служб. Преимущество опции Server
Core в том, что в случае ее применения не устанавливаются файлы и службы для
графического пользовательского интерфейса (GUI).
Если для развертывания операционной системы Windows Server 2008 используется
опция установки Server Core, управлять сервером можно только локально с
помощью инструментов командной строки. Чтобы управлять сервером через
инструменты графического пользовательского интерфейса, необходимо установить
и запустить их на другом компьютере, на котором установлен GUI на базе Windows.
Для управления ролью DNS-сервер используются следующие инструменты
командной строки:
 Чтобы установить роль DNS-сервер, выполните следующую команду:
start /w ocsetup DNS-Server-Core-Role
 Чтобы конфигурировать службу DNS-сервер, выполните следующую
команду:
sc config dnsserver start = auto
Примечание Пробел между "start" и "=" обязателен. Также необходим пробел между
"=" и "auto".
 Чтобы запустить службу DNS-сервер, выполните следующую команду:
net start dnsserver
 Чтобы конфигурировать DNS-зоны, выполните следующую команду:
dnscmd
 Чтобы удалить роль DNS-сервер, выполните следующую команду:
start /w ocsetup DNS-Server-Core-Role /uninstall
Дополнительную информацию по установке и управлению ролью DNS-сервер с
использованием опции установки Server Core можно найти в материале Server Core
Installation Option of Windows Server 2008 Step-By-Step Guide. И подробнее об
управлении DNS-зонами с помощью команды dnscmd рассказывает статья Dnscmd
Overview (Обзор Dnscmd) в разделе Microsoft Windows Server сайта TechCenter.
Защитить DNS-зоны в небезопасных окружениях путем
использования контроллеров домена только для чтения (RODCs)
По причине их большой важности Microsoft рекомендует обеспечивать физическую
безопасность DNS-серверов в среде и размещать их там, где доступ к ним будет
иметь только квалифицированный административный персонал. В ситуациях, когда
вашей организации приходится предоставлять DNS-службы в незащищенных
окружениях, например филиалах, защищайте DNS-зоны, используя копии
интегрированных в Active Directory зон на контроллерах RODC.
На контроллерах RODC располагается доступная только для чтения копия
разделов каталога приложения, используемого DNS для хранения
интегрированных в Active Directory зон, включая раздел домена, ForestDNSZones и
DomainDNSZones. Это гарантирует, что выполняющийся на контроллере RODC
DNS-сервер располагает доступной только для чтения копией всех DNS-зон,
хранящихся на центральном контроллере домена в этих разделах каталога.
Администратор RODC может лишь просматривать содержимое доступной только
для чтения копии зоны. Однако администратор может менять содержимое зоны на
контроллере домена, для которого разрешен доступ для записи.
AD DS посредством DNS предоставляет сетевым клиентам сервис преобразования
имен. Изменения службы роли DNS-сервера необходимы для поддержки RODC
доменными службами AD DS.
Примечание Любой компьютер, находящийся в физически незащищенном месте,
представляет угрозу для безопасности организации.
Установить роли DNS-сервер и AD DS-сервер на одном сервере
Microsoft рекомендует разворачивать роль DNS-сервер на тот же сервер, который
выполняет роль AD DS в вашей среде. Сочетание этих ролей на одном сервере
позволяет обезопасить динамические обновления записей DNS.
Однако Microsoft рекомендует избегать комбинирования роли DNS-сервер с
остальными ролями сервера. Это поможет максимально сократить поверхность
атаки на сервере. Очень важно максимально сократить поверхность атаки для
ролей DNS и AD DS, выполняющихся на одном сервере, потому что
функциональность всего леса или домена зависит от выполняемых этим сервером
служб.
В небольших организациях администраторы вынуждены комбинировать роли
сервера по финансовым соображениям. Если такая необходимость возникает в
вашей организации, RODC и DNS можно сочетать с другими ролями сервера.
Только контроллеры RODC обеспечивают возможность делегирования прав
локального администрирования компьютера без делегирования прав
администрирования AD DS.
Но если необходима возможность управления DNS-зонами на контроллере домена,
Microsoft рекомендует сочетать роль DNS-сервер только с контроллерами домена,
доступными для записи, потому что на RODC вы не можете создаватьи
редактировать интегрированные в Active Directory зоны.
Настроить зоны на использование безопасных динамических
обновлений
Часто домены Windows включают сотни или тысячи подлежащих регистрации DNSклиентов, в том числе серверы, контроллеры доменов и рабочие станции. На
обслуживание этих ресурсов вручную может уходить слишком много времени,
поэтому DNS поддерживает динамические обновления. Динамические обновления
гарантируют ответственность DNS-клиента за обновление его регистрационной
информации, а это также сокращает затраты на администрирование.
Однако динамические обновления могут использоваться для реализации атак на
DNS-сервер. Введение в сеть подставных DNS-клиентов может привести к
заполнению базы данных DNS ложными записями. Безопасные динамические
обновления снижают риск этого, поскольку требуют, чтобы все DNS-клиенты были
участниками домена Windows Server 2008. Безопасные динамические обновления
требуют от сервера использовать Active Directory совместно с DNS. Поэтому
преимуществом данной меры по обеспечению безопасности воспользоваться
нельзя, если DNS-служба установлена на изолированном компьютере.
Разрешить передачу зон фиксированной группе DNS-серверов
Можно определять серверы, которые будут передавать зоны. По умолчанию любой
DNS-сервер может передавать информацию зоны на любой другой DNS-сервер.
Однако изменяя свойства DNS-сервера, можно сохранить возможность
запрашивать передачу зоны только некоторым серверам.
Интегрированные в Active Directory зоны тиражируют зоны, используя репликацию
Active Directory, что обеспечивает большую защищенность зон. Также Active
Directory автоматически копируется во все остальные контроллеры домена.
Поэтому для интегрированных в Active Directory зон нельзя ограничить передачу
зон.
Но в тех случаях, когда информация зоны должна проходить по общедоступной
сети, или когда вы не можете использовать контроллеры домена AD DS,
ограничивать передачи зон необходимо другим способом. Один из вариантов –
использовать для связи с DNS-сервером IPsec, что позволит защитить
информацию зоны при передаче по сети.
Развернуть разные серверы для внутреннего и внешнего
распознавания DNS
Microsoft рекомендует размещать внутреннее пространство имен DNS на DNSсерверах, находящихся за брандмауэром вашей сети. Внешний DNS
обеспечивается за счет использования DNS-сервера в сетевом периметре (также
известном как DMZ, демилитаризованная зона или промежуточная подсеть).
Чтобы обеспечить разрешение Internet-имен для внутренних хостов, можно
конфигурировать внутренние DNS-серверы на использование сервера пересылки
для пересылки внешних запросов на внешние DNS-серверы. Сервер пересылки –
это DNS-сервер в сети, который перенаправляет DNS-запросы для внешних DNSимен на DNS-серверы, находящиеся вне этой сети. Также можно использовать
серверы пересылки по условию и пересылать запросы соответственно
определенным именам доменов. Больше информации о серверах пересылки
можно найти в статье Using forwarders (Использование серверов пересылки) на
сайте Microsoft TechNet.
Примечание Во многих средах не требуется, чтобы внутренние компьютеры разрешали
Internet-имена. Если перед такими компьютерами возникает данная необходимость, это
может выполнить для них прокси-сервер. Больше информации по этой теме можно найти в
статье Configuring DNS Servers for ISA Server 2004 (Настройка DNS-серверов для ISAсервера 2004).
Microsoft рекомендует настраивать DNS-серверы так, чтобы они самостоятельно
выполняли запросы распознавания имен, а не перенаправляли их на ненадежные
DNS-серверы. Однако в некоторых случаях, таких как распознавание пространств
доменных имен для Интернет-хостов, это может быть невозможным. Для DNSсерверов вашей сети, открытых для доступа из Интернета, ограничьте передачи
DNS-зон либо DNS-серверами, идентифицированными в зоне записями ресурса
сервер имен (name server, NS), или определенными DNS-серверами своей сети.
Настроить брандмауэр для защиты внутреннего пространства
имен DNS
Чтобы предотвратить возможность получения информации о внутреннем
пространстве имен DNS кем бы то ни было вне вашей организации, настройте свои
маршрутизаторы и брандмауэры на обеспечение только исходящего DNS-трафика
между вашими внутренними DNS-серверами и внешними DNS-серверами,
находящимися во внешней сети или Интернет. Такая конфигурация обеспечит
возможность вашим внутренним DNS-серверам пересылать DNS-запросы во
внешнюю сеть, но предотвратит передачу внешних запросов на ваши внутренние
DNS-серверы. В случае использования сервера Microsoft Internet Security and
Acceleration (ISA) определять допустимый трафик через ISA-серверы можно с
помощью фильтров блокировки.
Если в прокси-сервере имеется две сетевых интерфейсных платы (network interface
cards, NICs) – одна для внутренней сети, и одна для Интернета – и прокси-сервер
также выполняет роль DNS-сервера, можно настроить сервер так, чтобы он слушал
только DNS-трафик на IP-адрес, используемый NIC внутренней сети.
Активировать рекурсию только для соответствующих DNSсерверов
Рекурсия должна быть включена только на серверах, которые отвечают DNSклиентам напрямую. Для обмена информацией DNS-серверы используют
итерационные запросы. Microsoft рекомендует отключать в своей среде рекурсию
на DNS-серверах, которые не общаются с DNS-клиентами напрямую и не
конфигурированы на использование серверов пересылки.
В качестве альтернативы можно развертывать следующие типы DNS-серверов:
 Серверы, размещающие на себе определенный набор имен, которые
обслуживаются другими серверами имен.
 Серверы, разрешающие имена путем поиска полномочного сервера.
Чтобы включить или выключить рекурсию, на вкладке Дополнительные
параметры (Advanced) страницы Свойства (Properties) для DNS-сервера уберите
или установите флажок Отключить рекурсию (Disable recursion). Больше
информации по этой теме можно найти в статье «Configure a DNS server to use
forwarders» (Настройка DNS-сервера на использование серверов пересылки)
раздела Справка и поддержка для Windows Server 2008.
Настроить DNS таким образом, чтобы игнорировались записи
ресурсов, которые не являются доверенными
DNS-серверы должны игнорировать записи ресурсов от серверов, не являющихся
полномочными серверами для этих записей. Информацию таких записей
неполномочных ресурсов называют загрязнением имен (name pollution). Если на
вкладке Дополнительные параметры диалогового окна свойств DNS-сервера
установлен флажок Включить безопасный кэш (Secure cache against pollution),
что является настройкой по умолчанию, это защитит ваш DNS от загрязнения имен.
Также убедитесь, что для всех DNS-серверов вашей среды установлен флажок
Включить безопасный кэш.
Настроить корневые ссылки для внутреннего пространства имен
DNS
Для закрытого внутреннего пространства имен DNS, и когда компьютеры
внутренней сети не нуждаются в связи с Интернет, корневые ссылки на внутренних
DNS-серверах должны быть настроены так, чтобы указывали только на DNSсерверы, на которых располагается ваш внутренний корневой домен, а не на DNSсерверы с корневым доменом Интернет.
Соответствующие параметры групповой политики
Хотя существуют параметры групповой политики для службы DNS-клиента,
параметров групповой политики для службы DNS-сервера нет.
Дополнительные ресурсы
Более подробные сведения из лучших практик по повышению уровня защиты
компьютеров, выполняющих роль DNS-сервера, можно найти в следующих
источниках на сайте Microsoft.com:
 Configuring DNS Servers for ISA Server 2004.
 Dnscmd Overview.
 New features for DNS (Новые возможности DNS).
 Server Core.
 Using DNS Security Extensions (DNSSEC) (Использование безопасных
расширений DNS).
 Using forwarders.
Глава 6: Повышение уровня защиты Веб-служб
Данная глава посвящена повышению уровня защиты Веб-серверов с
установленной ОС Windows Server® 2008. По умолчанию роль Веб-сервер
устанавливает на компьютер с Windows Server® 2008 Microsoft® Internet Information
Services (IIS) 7.0
Структура IIS 7.0 была переработана и разбита на 40 модульных компонентов,
каждый из которых устанавливается по необходимости. Чем меньше компонентов
устанавливается, тем меньше поверхность атак.
По умолчанию Программа установки IIS 7.0 устанавливает на Веб-сервер
минимальную функциональность, обеспечивающую поддержку статических Вебстраниц, фильтрацию запросов, сжатие статических файлов и графический
пользовательский интерфейс IIS Manager. Существует множество сценариев IIS
7.0, которые организации могут использовать для обеспечения Веб-сервисов, но
ключевыми при планировании структуры Веб-сервера являются следующие два
аспекта:
 Чувствительность данных, которые будет представлять сервер. Зная это,
можно оценить, какую опасность представляет утечка этих данных, и какие
усилия должна предпринять ваша организация для их защиты.
 Необходимый уровень взаимодействия пользователя с системой: от этого
зависят требования, предъявляемые к функциональности самого Веб-узла,
и то, какие компоненты необходимо установить для его защиты.
В данной главе рассматривается типовой сценарий размещения в интрасети
предприятия Веб-сервера с особо важной информацией и данными. Доступ
пользователей к серверу или приложениям на сервере ограничен и
предоставляется, исходя из необходимости, обусловленной занимаемой ими
должностью. Веб-сервер такого типа нуждается в специальных механизмах
аутентификации и авторизации, применяемых для пользователей и групп Active
Directory®. Эти группы могут использоваться для формирования сертификатов для
идентификации пользователей после предоставления им права доступа к
информации на сервере.
В данной главе обсуждается применение лучших практик для этого сценарии
направленных на повышение уровня защиты Веб-сервера от злонамеренных атак,
как от анонимных, так и от зарегистрированных пользователей. При использовании
стандартных модулей, устанавливаемых с IIS 7.0, Веб-сервер будет предоставлять
только статические HTML-страницы и изображения. В книге «Справочник по
поверхности атаки для Windows Server 2008», прилагаемой к данному руководству,
перечислены файлы и службы, которые устанавливаются с каждым компонентом.
Как и в предыдущих версиях IIS, при выполнении стандартной установки IIS 7.0 на
компьютер с Windows Server 2008 устанавливается и запускается служба Worldwide
Web Publishing (W3SVC).
Кроме того, программа установки IIS 7.0 устанавливает и запускает службу
активации Windows (Windows Process Activation Service, WAS). WAS обобщает
модель процесса IIS, делая IIS 7.0 HTTP-независимым. Благодаря этому сервер IIS
может размещать службы Windows Communication Foundation (WCF), используя
отличные от HTTP протоколы. Он также включает настройку прикладных
программных интерфейсов (application programming interfaces, APIs), с помощью
которых можно конфигурировать настройки WAS программно. Служба W3SVC
зависит от службы WAS.
Наконец, стандартная установка IIS 7.0 также включает Application Host Helper
Service (AppHostSvc). Эта служба обеспечивает механизм хранения истории
изменений настроек, который позволяет возвращаться к более ранней версии
конфигурации Веб-сервера. Служба Application Host Helper Service сохраняет файл
ApplicationHost.config в разные подкаталоги историю изменений настроек с
заданной периодичностью. Предыдущие параметры конфигурации для данной
службы по умолчанию сохранялись в подкаталог
\inetpub\history\CFGHISTORY_xxxxxxxxxx, где каждый x представляет число,
увеличивающееся на единицу для каждой последующей версии конфигурации.
Если скопировать конфигурационный файл IIS в каталог
%windir%\system32\inetsrv\config, IIS возвратиться к состоянию, описанному в
восстановленном файле.
Безопасность по умолчанию
На концептуальном уровне подходы к обеспечению безопасности для роли Вебсервера при использовании IIS 7.0 на компьютере с Windows Server 2008
существенным образом не отличаются от применяемых на сервере IIS 6.0 под
управлением Windows Server® 2003. По-прежнему важно максимально сократить
поверхность атак.
Однако на уровне реализации для версий IIS 6.0 и IIS 7.0 многое изменилось.
Основное изменение в том, что вместо того, чтобы устанавливать множество
компонентов и затем активировать или деактивировать их, как это было с IIS 6.0,
IIS 7.0 по умолчанию использует минимальную установку. Устанавливаются только
компоненты, работающие со статическими сайтами. В стандартную установку IIS
7.0 входят следующие функциональные модули:
 Модуль Статическое содержимое
 Модуль Стандартный документ
 Модуль Обзор каталогов
 Модуль Ошибки HTTP
 Модуль Ведение журнала HTTP
 Модуль Монитор запросов
 Модуль Фильтрация запросов
 Модуль Сжатие статического содержимого
 Модуль Консоль управления IIS
Стандартная установка IIS 7.0 не поддерживает функциональность ASP.NET или
ASP. Чтобы включить эти технологии в Веб-сервер IIS 7.0, их необходимо явно
указать при выборе ролей. На следующем рисунке представлены службы ролей,
составляющие роль Веб-сервера (IIS) Windows Server 2008.
Примечание На рисунке полужирным шрифтом выделены компоненты, которые
устанавливаются по умолчанию при выборе роли Веб-сервера.
Стандартный документ
Обзор каталогов
Ошибки HTTP
Основные
возможности HTTP
Перенаправление HTTP
Статическое содержимое
ASP
ASP.NET
CGI
Расширения ISAPI
Фильтры ISAPI
Разработка
приложений
Расширяемость .NET
Включения на стороне сервера (SSI)
Особое протоколирование
Ведение журнала HTTP
Средства ведения журналов
Работоспособность и
диагностика
Ведение журнала ODBC
Слежение
Монитор запросов
Роль Веб-сервера
Безопасность
Обычная проверка подлинности
Проверка подлинности с сопоставлением сертификата клиента
Дайджест-проверка подлинности
Ограничения IP-адресов и доменов
Проверка подлинности путем сопоставления сертификата клиента IIS
Фильтрация запросов
Проверка подлинности Url
Проверка подлиности Windows
Сжатие динамического содержимого
Быстродействие
Сжатие статического содержимого
Консоль управления IIS
Сценарии и средства управления IIS
Средства управления
Служба управления
Совместимость управления IIS 6.0
FTP-сервер
Служба FTP-публикации
Консоль управления FTP
Консоль управления IIS 6.0
Совместимость метабазы IIS 6.0
Службы сценариев IIS 6.0
Совместимость WMI IIS 6.0
Рис. 6.1. Иерархия служб роли для роли Веб-сервера
Поверхность атаки
IIS 7.0 характеризуется модульной архитектурой и минимальным количеством
зависимостей между модулями или компонентами. При настройке конкретного Вебсервера соответственно нуждам приложений предоставляется возможность
выбирать из 40 модулей.
Стандартная установка IIS 7.0 поддерживает только функции для обслуживания
статического содержимого, такого как файлы HTML и изображений. Это
максимально сокращает поверхность атаки, обеспечивая при этом
функциональность Веб-сервера.
Установка IIS 7.0 организована Microsoft в семь функциональных областей. К ним
относятся Основные возможности HTTP (Common HTTP Features), Разработка
приложений (Application Development), Работоспособность и диагностика (Health
and Diagnostics), Безопасность (Security), Быстродействие (Performance), Средства
управления (Management Tools) и Служба FTP-публикации (FTP Publishing Service).
То, какие модули и компоненты должны быть установлены, определяется тем, как
будет осуществляться управление Веб-сервером IIS 7.0, и требованиями сайтов и
приложений, которые планируется размещать на Веб-сервере IIS 7.0. Но чем
больше модулей и компонентов устанавливается, тем больше поверхность атаки
Веб-сервера.
Программа установки IIS 7.0 в зависимости от выбранных компонентов и модулей
устанавливает разные наборы файлов, служб и правил брандмауэра. Чтобы
обозначить поверхность атаки для этой службы роли, необходимо определить
следующее:
 Установленные файлы. Это файлы, установленные как часть роли Вебсервера.
 Установленные службы. Это службы, установленные как часть роли Вебсервера.
Примечание Для проверки целостности установленных файлов и файлов, выполняемых
службой, можно воспользоваться утилитами RootkitRevealer и Sigcheck, являющимися
частью пакета служебных программ Windows Sysinternals

Правила брандмауэра. Это установленные (или активированные) для
роли Веб-сервера правила брандмауэра.
Подробная информация о поверхности атаки для роли Веб-сервера включена в
книгу «Справочник по поверхности атаки в Windows Server 2008», прилагаемой к
данному руководства. Оценить поверхность атаки для данной службы роли можно
при помощи вкладки Web книги в разделах, соответствующих каждому из пунктов
предыдущего списка.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию Веб-сервера (IIS) для защиты сервера от
злоумышленных атак. Приведенные ниже рекомендации предполагают, что на
странице Выбор служб роли Мастера добавления ролей выбрана только опция
Веб-сервер, приняты все настройки по умолчанию и включена опция ASP.NET.
Дальнейшие рекомендации по Основным возможностям HTTP, Разработке
приложений, Работоспособности и диагностике, Безопасности, Быстродействию,
Средствам управления и Службе FTP-публикации здесь не приводятся.
Дополнительную информацию по настройке этих служб можно найти в статье IIS
7.0: Configure Web Server Security (IIS 7.0: настройка безопасности Веб-сервера).
Существует множество вариантов настройки Веб-сервера, использующего IIS, но
данное руководство рассматривает основной сценарий, в котором используется
ASP.NET приложение, которое подключается к базе данных. Например, такой
базой данных могли бы быть внутренняя система заказов или приложение
управления персоналом.
Веб-узел такого типа обычно включает следующее:
 Статические страницы (HTML-страницы).
 Изображения в форматах .jpg и .gif.
 Динамические страницы ASP.NET.
В ходе планирования установки Веб-сервера убедитесь, что разработчики
приложений вашей организации придерживаются лучших практик безопасности.
Дополнительную информацию по лучшим практикам в этой области можно найти в
статье Improving Web Application Security: Threats and Countermeasures (Повышение
безопасности Веб-приложений: угрозы и контрмеры).
Важно понимать, что если ваша организация не использует лучшие практики
безопасности, ваш Веб-сервер станет легкой добычей для злонамеренных атак.
Даже если при разработке Веб-приложения применялись лучшие практики,
необходимо предпринять несколько шагов по обеспечению безопасности Вебсервера.
Контрольный список настройки
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности для повышения уровня защиты серверов, выполняющих службу роли
Веб-сервер. При возникновении каких-либо трудностей по выполнению этих задач
обращайтесь к следующим разделам данной главы за дополнительной
информацией и рекомендациями.
Таблица 6.1. Контрольный список настройки
Задачи настройки
Рассмотреть возможность развертывания установки Server Core Windows Server
2008.
Установить среду выполнения приложений.
Настроить механизм аутентификации.
Удалить неиспользуемые компоненты IIS.
Настроить уникальную привязку.
Перенести корневые каталоги в отдельный раздел или диск.
Настроить разрешения учетной записи пользователя.
Задачи настройки
Активировать Secure Sockets Layer (SSL).
Рассмотреть дополнительные специализированные меры по настройке
безопасности.
Рассмотреть возможность развертывания установки Server Core
Windows Server 2008
Рассмотрите возможность развертывания Windows Server 2008 с использованием
опции установки Server Core, чтобы еще больше сократить поверхность атаки на
операционную систему за счет сокращения количества установленных файлов и
выполняющихся служб. Преимущество опции установки Server Core в том, что при
ее использовании не устанавливается графический пользовательский интерфейс
(GUI), т.е. не устанавливаются файлы и службы, необходимые обычному GUI.
При использовании установки Server Core Windows Server 2008 для роли Вебсервер (IIS) необходимо помнить две вещи. Первое, вы не можете управлять
установкой напрямую через GUI. Вместо этого должны удаленно использоваться
инструменты Консоли управления Microsoft (MMC) с компьютера, на который они
установлены, или инструменты командной строки для прямого управления
установкой сервера. Второе, Server Core не поддерживает связанные с ASP.NET и
.NET Framework возможности. Если вашим приложениям требуется
функциональность .NET, установку Server Core Windows Server 2008 использовать
нельзя.
Поскольку рассматриваемый в данной главе сценарий требует ASP.NET, вы не
сможете реализовать эти процедуры с помощью установки Server Core. Однако
установка Server Core позволит применить общие принципы, определенные для
любой роли Веб-сервера (IIS).
Для установки роли Веб-сервера на компьютер с Windows Server 2008 можно
использовать следующие инструменты командной строки:
 Чтобы установить стандартную роль Веб-сервера (IIS) и связанные с ней
службы, выполните следующую команду:
start /w pkgmgr /iu:IIS-WebServerRole;WASWindowsActivationService;WAS-ProcessModel
 Чтобы установить все доступные службы и компоненты для роли Вебсервера (IIS), выполните следующую команду:
start /w pkgmgr /iu:IIS-WebServerRole;IIS-WebServer;IISCommonHttpFeatures;IIS-StaticContent;IIS-DefaultDocument;IISDirectoryBrowsing;IIS-HttpErrors;IIS-HttpRedirect;IISApplicationDevelopment;IIS-ASP;IIS-CGI;IISISAPIExtensions;IIS-ISAPIFilter;IIS-ServerSideIncludes;IISHealthAndDiagnostics;IIS-HttpLogging;IIS-LoggingLibraries;IISRequestMonitor;IIS-HttpTracing;IIS-CustomLogging;IISODBCLogging;IIS-Security;IIS-BasicAuthentication;IISWindowsAuthentication;IIS-DigestAuthentication;IISClientCertificateMappingAuthentication;IISIISCertificateMappingAuthentication;IIS-URLAuthorization;IIS-
RequestFiltering;IIS-IPSecurity;IIS-Performance;IISHttpCompressionStatic;IIS-HttpCompressionDynamic;IISWebServerManagementTools;IIS-ManagementScriptingTools;IISIIS6ManagementCompatibility;IIS-Metabase;IISWMICompatibility;IIS-LegacyScripts;IISFTPPublishingService;IIS-FTPServer;WASWindowsActivationService;WAS-ProcessModel
Больше информации о том, как устанавливать роль Веб-сервера (IIS) с
использованием установки Server Core Windows Server 2008, можно найти в статье
Server Core Installation Option of Windows Server 2008 Step-By-Step Guide.
Кроме того, для управления ролью Веб-сервера можно использовать инструмент
командной строки appcmd. Инструкции по использованию appcmd приведены в
разделе Администрирование (Administrative Tools) «IIS 7.0: Operations Guide»
(Руководство по эксплуатации IIS 7.0) в Windows Server 2008 Technical Library
(Техническая библиотека Windows Server 2008).
Также для локального или удаленного управления ролью Веб-сервера (IIS),
выполняющейся на установках Server Core Windows Server 2008, можно
использовать WMI.
Больше информации о WMI можно найти в статье Windows Management
Instrumentation (Инструментарий управления Windows) и в разделе WMI «IIS 7.0
Operations Guide» в Windows Server 2008 Technical Library.
Установить среду выполнения приложений
В рассматриваемом в данной главе сценарии применяется ASP.NET, потому что
это самая популярная из предоставляемых IIS сред разработки. ASP.NET
использует .NET Framework 2.0, которая доступна в Windows Server 2008.
В разделе Выбор служб роли процесса установки Веб-сервера при выборе
ASP.NET обязательными являются следующие компоненты IIS 7.0:
 ASP.NET: Включает файлы и параметры конфигурации для активации
поддержки ASP.NET в IIS.
 Фильтры ISAPI: ASP.NET требует наличия фильтра с именем
«ASPNET_FILTER.DLL».
 Расширения ISAPI: Базовая функциональность ASP.NET находится в
файле ASPNET_ISAPI.DLL. Этот DLL-файл построен на базе интерфейса
ISAPI Extension (Расширения ISAPI). IIS не устанавливает интерфейс ISAPI
Extension по умолчанию.
 Расширяемость .NET: Расширяемость .NET позволяет вашему серверу
поддерживать управляемые модули, выполняющиеся с использованием
модели программирования ASP.NET. Ваши разработчики могут создавать
новые компоненты Веб-сервера, используя API .NET Framework.
 Служба активиции процессов Windows (WAS): Поддерживает активацию
управляемого кода в модели процесса IIS 7.0.
Если ваши приложения ASP.NET используют сервис ASP.NET Session state
для внепроцессного хранения сессий ASP.NET, этот компонент должен
быть активирован. Если данный компонент был активирован, но ваши
приложения ASP.NET им не пользуются, деактивируйте его.
Следующий шаг по обеспечению безопасности Веб-сервера после установки среды
разработки – установка механизма проверки подлинности, который будет
использоваться для идентификации пользователей, соединяющихся с
приложениями Веб-сервера.
Настроить механизм аутентификации
Microsoft рекомендует в качестве механизма аутентицикации пользователей для
Веб-приложений применять проверку подлинности Windows (Windows
Authentication), потому что она интегрирована с Windows и доменными службами
Active Directory (AD DS). Включая проверку подлинности Windows и отключая
анонимную проверку подлинности, вы обеспечиваете возможность доступа к Вебприложениям только аутентифицированным пользователям. Для установки,
активации и деактивации этих механизмов аутентификации можно использовать
следующие процедуры.
Чтобы установить Проверку подлинности Windows
1. Щелкните Пуск и затем щелкните Диспетчер сервера.
2. На панели Диспетчер сервера разверните Роли (Roles) и выберите Web
Server (IIS).
3. В окне Службы роли (Role Services) щелкните Добавить службы роли (Add
Role Services).
4. В мастере Добавление служб роли выберите Проверка подлинности
Windows и щелкните Далее.
5. На странице Подтвердите выбранные элементы (Confirm Installation
Selections) щелкните Установить (Install).
6. На странице Результаты установки (Installation Results) щелкните Закрыть
(Close).
Чтобы активировать Проверку подлинности Windows
1. На панели Диспетчер сервера щелкните Диспетчер служб IIS (Internet
Information Services (IIS) Manager).
2. В окне Подключения (Connections) щелкните имя сервера и затем в окне
Начальная страница (Home) щелкните двойным щелчком Проверка
подлинности (Authentication).
Рис. 6.2. Активация Проверки подлинности Windows в диспетчере IIS
3. На панели Проверка подлинности щелкните Проверка подлинности
Windows и затем на панели Действия (Actions) щелкните Включить (Enable).
Чтобы деактивировать Анонимную проверку подлинности
1. На панели Проверка подлинности диспетчера IIS щелкните Анонимная
проверка подлинности.
2. На панели Действия щелкните Отключить (Disable).
Важно Данная процедура отключает Анонимную проверку подлинности для всего Вебсервера IIS. Если имеются другие Веб-приложения, которым требуется анонимный доступ,
вероятно, следует снова включить эту возможность.
Также можно отключить анонимную проверку подлинности через командную строку.
Это может быть полезным при использовании сценария для настройки Вебсервера.
Для отключения анонимной проверки подлинности через командную строку в окне
командной строки используется следующий синтаксис:
%windir%\system32\inetsrv\appcmd set config section:anonymousAuthentication -enabled:false
Удалить неиспользуемые компоненты IIS
На этом этапе процесса настройки роли Веб-сервера необходимо проверить, какие
компоненты IIS 7.0 установлены на сервере, и убедиться в наличии всего
необходимого вашей установке. Все службы и компоненты роли, предоставляемые
IIS 7.0, устанавливаются явно. Единственная возможность службе, в которой нет
необходимости, быть установленной на вашем Веб-сервере – вы сами ее
установите. Вернитесь к разделу «Поверхность атаки» выше в данной главе, чтобы
выяснить, какие службы роли необходимы Веб-серверу, добавьте любую из тех,
которые нужны вашим приложениям, и удалите любую, в которой они не
нуждаются.
Как правило, рекомендуется проверять компоненты в таких областях:
 Стандартные основные модули HTTP, установленные программой
установки IIS 7.0.
 Неиспользуемые компоненты среды выполнения приложений.
 Компоненты управления.
Настроить уникальную привязку
По умолчанию Веб-узел IIS слушает соединения по всем конфигурированным IPадресам Веб-сервера. Сайт также обслуживает все запросы, использующие порт
80 независимо от заданного заголовка хоста. Вредоносные программы, вирусы или
черви, могут делать попытки перебирать подряд IP-адреса в определенном
диапазоне в поисках новых Веб-серверов для атаки. Сократить риск или количество
подобных атак, можно настроив Веб-узел на прослушивание только определенного
имени хоста. Это называется уникальной привязкой.
Например, если слушать не все имена хостов (*:80:*), а задать имя хоста
*:80:myWebServer, можно предотвратить автоматизированные атаки, в которых для
попытки доступа к серверу используется только IP-адрес. Обычно в ходе
автоматизированных атак последовательно перебираются адреса пространства
имен IP-адресов. Например, сначала делается попытка выполнить доступ по
адресу 1.1.1.1, потом 1.1.1.2, 1.1.1.3 и т.д.
Если не задать уникальную привязку, ваш Веб-узел, в конце концов, будет
атакован. Однако если настроить сервер так, чтобы для соединения требовалось
имя хоста, автоматизированные атаки станут невозможными, потому что запрос к
IP-адресу будет давать сбой, и червь, не имея более сложного кода для
разрешения имен хостов, не сможет определить имя хоста сервера. Для настройки
уникальной привязки можно использовать следующую процедуру.
Чтобы настроить уникальную привязку
1. Откройте Диспетчер служб IIS.
2. Выберите имя своего Веб-сервера и в ветке Узлы (Sites) щелкните правой
кнопкой мыши необходимый Веб-узел.
3. В контекстном меню выберите Изменить привязки (Edit Bindings).
4. В диалоговом окне Привязки сайта (Edit Site Binding) выберите в списке типов
http и щелкните Изменить (Edit).
5. Выберите для Веб-узела сервера необходимый IP-адрес и задайте
соответствующий необходимому имени хоста Заголовок хоста, как показано на
следующем рисунке.
Рис. 6.3. Диалоговое окно Изменить привязки сайта
Исходя из предыдущего рисунка, возможность доступа к сайту имеют только
приложения, запрашивающие полный URL для «http://contoso». Если
автоматизированный Интернет-червь выполняет доступ к сайту, используя IPадрес, например «http://10.10.10.20», соединение установлено не будет.
Также можно конфигурировать эту настройку из командной строки, используя
следующий синтаксис:
%windir%\system32\inetsrv\appcmd set site "Default Web Site" bindings:http/10.10.10.20:80:contoso
Перенести корневые каталоги в отдельный раздел или диск
Уязвимость системы безопасности в прошлом позволяла злоумышленнику
переходить из пространства имен URL в каталоги файловой системы ОС.
Например, если http://contoso/cgi.exe был спроецирован в C:\inetpub\wwwroot\cgi.exe
без необходимых мер защиты, для доступа к следующему адресу злоумышленник
мог использовать этот URL для выполнения обработчика команд Windows cmd.exe,
а не CGI-программы cgi.exe:
http://contoso/../../windows/system32/cmd.exe.
IIS 7.0 спроектированы так, что предотвращают атаки такого типа по умолчанию.
Однако лучшей практикой является перенести содержимого вашего Веб-узла из
раздела, используемого операционной системой, в отдельный раздел или диск. Это
не обязательно, но многие организации предпочитают хранить содержимое Вебузла в выделенном разделе. Это может быть выгодным, как с точки зрения
производительности, так и безопасности. Далее описана процедура переноса
содержимого Веб-узла в новый раздел.
Чтобы перенести содержимое Веб-узла в новый раздел
1. Откройте Диспетчер служб IIS.
2. Щелкните имя своего Веб-сервера и в ветке Узлы щелкните правой кнопкой
мыши Default Web Site (Стандартный Веб-узел).
3. Выберите Управление Веб-узлом (Manage Web Site) и затем выберите
Дополнительные параметры (Advanced Settings).
4. Измените свойство Физический путь (Physical Path), задав в нем каталог
нового раздела данных.
Эти операции не обеспечивают перенос содержимого Веб-узла и не изменяют
права доступа к Веб-папке, поэтому для завершения переноса необходимо также
переместить эти ресурсы.
Изменить стандартный физический путь для Веб-узла, можно выполнив
следующую строку команд:
%windir%\system32\inetsrv\appcmd set vdir "Default Web Site/" physicalPath:D:\Web
Примечание Данная команда предполагает, что содержимое Веб-узла переносится в
каталог D:\Web.
Настроить разрешения учетной записи пользователя
Далее необходимо назначить разрешения для каталога содержимого Веб-узла и
выбрать учетные записи пользователей, которым будет разрешен доступ к Вебузлу. Для этого предоставьте доступ следующим объектам системы безопасности:
 Учетной записи, ассоциированной с рабочим процессом IIS, который
используется для стандартного Веб-узла.
По умолчанию это учетная запись NetworkService. Чтобы изменить данную
настройку, необходимо редактировать параметр Пул приложений. Если для
этого параметра задана особая учетная запись, вы должны предоставить
доступ ей, а не NetworkService.
Примечание Не задавайте учетные записи LocalSystem или LocalService, потому что
каждая их них обладает большими полномочиями, чем Microsoft рекомендует
предоставлять рабочим процессам IIS.

Пользователям, которые обращаются к вашему Веб-узлу.
В большинстве случаев для папки можно сохранить стандартные разрешения
группы ИмяКомпьютера\Пользователи, которые разрешают участникам домена
доступ к папке содержимого. Если группе ИмяКомпьютера\Пользователи
предоставлены какие-либо особые полномочия, их необходимо удалить.
 Администраторам Веб-узла.
Чтобы настроить разрешения для Веб-узла, используйте стандартный механизм
предоставления разрешений файловой системы Windows через Windows Explorer.
В этом случае вы можете определять конкретные разрешения безопасности для
каждой сущности системы безопасности. Для этого используется следующая
процедура.
Чтобы задать разрешения для папки D:\Web
1. Откройте Windows Explorer, щелкните правой кнопкой мыши папку Вебсодержимого (D:\Web в примере данной главы) и затем щелкните Свойства.
2. Щелкните вкладку Безопасность (Security), щелкните кнопку
Дополнительные параметры и выберите Изменить.
3. Уберите флажок Добавить разрешения, наследуемые от родительских
объектов (Include inheritable permission from this object's parent).
4. В диалоговом окне Безопасность Windows установите флажок Копировать
(Copy), чтобы копировать унаследованные разрешения для папки.
5. Установите флажок Заменить все наследуемые разрешения для всех
потомков наследуемыми разрешениями этого объекта (Replace all existing
inheritable permissions on all descendants with inheritable permissions from this
object).
6. Выберите все записи разрешений, кроме приведенных ниже, и щелкните
Удалить (Remove):

SYSTEM

Администраторы

<Имякомпютера>\Пользователи, например,
WebServer1\Пользователи
7. Щелкните Добавить и затем в окне Введите имена выбираемых объектов
(Enter the object name to select) введите Сетевая служба (Network Service).
8. Щелкните Проверить имена (Check Names), чтобы разрешить имя
NETWORK SERVICE. Это идентификатор рабочего процесса IIS по
умолчанию.
9. Щелкните OK, затем подтвердите, что под Разрешить (Allow) в окне
Элемент разрешения (Permission Entry) выбран список разрешений,
представленные на следующем рисунке, и щелкните OK.
Рис. 6.4. Настройка списков управления доступом для учетной записи
сетевой службы
10. В диалоговом окне Дополнительные параметры безопасности (Advanced
Security Settings) щелкните Добавить и затем в окне Введите имена
выбираемых объектов введите <ИмяДомена>\Пользователи.
Для используемого в данном примере домена Contoso было бы введено
Contoso\Users.
11. Щелкните Проверить имена, чтобы разрешить имя Domain Users.
Примечание Это пользователи, которым вы разрешаете доступ к Веб-узлу. Для
узла, предъявляющего особые требования к безопасности, возможно, потребуется
дать разрешения выделенной группе пользователей, в которую будут входить
пользователи, специально введенные в группу по необходимости. Если это
возможно, предоставьте группе ИмяМашины\Пользователи разрешения на чтение и
выполнение.
12. Щелкните OK и убедитесь, что в диалоговом окне Элемент разрешения
для Веб (Permission Entry for Web) выбраны те же разрешения, что
отображены на следующем рисунке.
Рис. 6.5. Настройка списков управления доступом для пользователей
домена
13. Щелкните OK, когда потребуется выйти из окна Свойства.
Активировать Secure Sockets Layer (SSL)
Если передача информации между Веб-сервером и клиентскими компьютерами
проходит по ненадежным сетям, Microsoft рекомендует активировать Secure
Sockets Layer (SSL) для шифрования трафика, что поможет обезопасить его от
анализа сетевого трафика с целью выявления конфиденциальной информации и
спуфинга хостов.
SSL требует предъявления сертификата, подтверждающего подлинность серверов
и пользующегося доверием у браузеров клиентов. Если к Веб-серверу в рамках
предприятия возможен только закрытый доступ, этот сертификат может
выдаваться существующей инфраструктурой открытых ключей (public key
infrastructure, PKI) организации. Однако если Веб-сервер доступен из Интернета,
Microsoft рекомендует получать сертификат в общедоступном центре
сертификации. Также для целей тестирования шифровать трафик можно с
помощью самозаверенного сертификата.
IIS 7.0 поддерживает несколько методов установки сертификата SSL, включая:
 С использованием GUI Диспетчер служб IIS.
 С использованием GUI Диспетчер сертификатов.
 Подача заявок через Веб и автоматически.
 С использованием инструмента командной строки appcmd.
 Программно через Microsoft.Web.Administration с использованием сценариев
Инструментария управления Windows (WMI).
Подробнее об установке сертификата SSL рассказывается в статье How to Setup
SSL on IIS7 (Как настроить SSL в IIS7) на Веб-узле Microsoft Internet Information
Services (IIS).
Установка сертификата SSL повышает уровень защиты конфигурации Веб-сервера,
при этом гарантированно обеспечивая вам возможность управлять набором
функциональных возможностей сервера.
Рассмотреть дополнительные специализированные меры по
настройке безопасности
Для сред, требующих дополнительной безопасности, существует несколько
дополнительных мер повышения уровня защиты Веб-сервера. Однако важно
отметить, что эти шаги приводят к повышению издержек на управление и могут
создавать проблемы с совместимостью Веб-приложения. Прежде чем пытаться
реализовать эти рекомендации на рабочем сервере, очень важно тщательно
протестировать Веб-приложения в тестовом окружении.
Для повышения безопасности установки своего Веб-сервера можно рассмотреть
возможность применения следующих функций и компонентов:
 Повышение уровня защиты с помощью Списка управления доступом (ACL).
Можно еще более ограничить доступ к своему Веб-узлу, задавая в ACL для
своего каталога содержимого конкретных пользователей.
 Если для ограничения доступа к своему Веб-узлу вы хотите использовать
более удобный инструмент, можно обратиться к встроенной функции
Авторизация URL-адресов IIS7. Больше информации об этой функции
можно найти в статье Understanding IIS7 URL Authorization (Понимание
авторизации URL-адресов IIS7) на Веб-узле Microsoft IIS.
 Компонент Списки ограничений по IPv4 (IPv4 Restriction Lists), позволяющий
ограничивать IP-адреса браузеров клиентов, которым разрешено
соединяться с Веб-сервером.
 Компонент Фильтрация запросов, позволяющий управлять многими
компонентами HTTP, такими как команды HTTP, заголовки HTTP и размер
URL. Больше информации об этом компоненте можно найти в статье How to
Use Request Filtering (Как использовать фильтрацию запросов) на Веб-узле
Microsoft IIS.
 Сопоставление сертификатов клиентов, что позволяет применять строгую
аутентификацию за счет требования предоставления пользователями
клиентских сертификатов при запросе доступа к вашему узлу. Больше
информации по этой функции можно найти в статье How to Setup SSL on
IIS7 на Веб-узле Microsoft IIS.
Также изменять удостоверение узла, можно меняя удостоверение Пула
приложений на менее привилегированную локальную учетную запись.
Дополнительные ресурсы
Более подробные сведения из лучших практик по проектированию и обслуживанию
Веб-серверов можно найти в следующих источниках на сайте Microsoft.com:
 How to Setup SSL on IIS7.
 How to Use Request Filtering.
 Improving Web Application Security: Threats and Countermeasures.
 IIS 7.0: Configure Web Server Security.
 Server Core Installation Option of Windows Server 2008 Step-By-Step Guide.
 Windows Management Instrumentation.
 Windows Server 2008 Technical Library.
 Understanding IIS7 URL Authorization.
Глава 7: Повышение уровня защиты файловых служб
Данная глава посвящена повышению уровня защиты компьютеров, выполняющих
роль Файловые службы, которая доступна в Windows Server® 2008. Обеспечение
безопасности компьютеров, выполняющих эту роль, является нелегкой задачей,
поскольку сохранение баланса между безопасностью и функциональностью
фундаментальных служб – тонкое искусство. Windows Server 2008 представляет
ряд новых компонентов и функций, которые помогут в управлении и повышении
защиты файловых служб в вашей среде.
Блок сообщений сервера (Server Message Block, SMB) – это протокол совместного
доступа к файлам, используемый компьютерам с ОС Windows® по умолчанию.
1
SMB – это расширение протокола Common Internet File System (CIFS) . Windows
Server 2008 включает SMB версии 2.0, что обеспечивает улучшенные рабочие
характеристики.
Большинство обсуждаемых в данной главе параметров политики можно настроить
и применить посредством объектов групповой политики. Объект групповой
политики, дополняющий базовую политику рядовых серверов (Member Server
Baseline Policy, MSBP), может быть соотнесен с подразделениями (OU), в которые
входят компьютеры с Windows Server 2008, выполняющие роль Файловые службы,
что обеспечит данной роли сервера необходимые параметры безопасности. В этой
главе обсуждаются только параметры групповой политики, отличающиеся от
параметров, определяемых для MSBP.
Роль Файловые службы также позволяет устанавливать службу роли
Распределенная файловая система (Distributed File System, DFS). DFS состоит из
следующих двух технологий. Они могут использоваться совместно или независимо
друг от друга для обеспечения отказоустойчивых и гибких служб общего доступа к
файлам и репликации в сети на базе Windows:
 Пространства имен DFS. Эта технология позволяет группировать общие
папки, находящиеся на разных серверах, в одно или несколько логически
1
Общая межсетевая файловая система (прим. переводчика).
структурированных пространств имен. Каждое пространство имен
представляется пользователям как единая общая папка с наборами
подпапок, однако лежащая в основе структура пространства имен может
состоять из множества общих папок, располагающихся на разных серверах
и множестве узлов. Поскольку базовая структура общих папок скрыта от
пользователей, одна папка в пространстве имен DFS может
соответствовать множеству общих папок с множества серверов. Такая
структура обеспечивает отказоустойчивость и возможность
автоматического соединения пользователей с локальными общими
папками, вместо того чтобы направлять их через глобальную сеть (wide
area network, WAN).
 Репликация DFS. Данная технология является механизмом репликации с
несколькими хозяевами, что обеспечивает возможность синхронизировать
папки на многих серверах по локальным или WAN-соединениям. Эта
1
служба использует протокол Remote Differential Compression (RDC) для
обновления только тех частей файлов, которые изменились с момента
последней репликации. Репликация DFS может использоваться в сочетании
с пространствами имен DFS или самостоятельно.
Кроме того, можно установить службу роли Диспетчер ресурсов файлового сервера
(FSRM), обеспечивающую набор инструментов, благодаря которым
администраторы получают возможность понимать, контролировать и управлять
количеством и типом хранящихся данных, используемых Файловыми службами. С
помощью FSRM вы можете устанавливать квоты для папок и томов, проводить
активный мониторинг файлов и формировать полные отчеты хранилища.
Служба роли Службы для NFS обеспечивает предприятиям, использующим
смешанную среду Windows и UNIX, альтернативное решение для общего доступа к
файлам. Благодаря Службам для NFS можно обмениваться файлами между
компьютерами с операционными системами Windows Server 2008 и UNIX по
протоколу NFS. Служба поиска Windows также позволяет выполнять быстрый поиск
файлов на сервере с клиентских компьютеров, совместимых с поиском Windows.
Следующие службы, предоставляемые файловым серверам Windows Server 2008
ролью Файловый сервер Windows Server® 2003, делают их совместимыми с
файловыми серверами с Windows Server 2003 и Windows® 2000:
 Служба репликации файлов (File Replication Service, FRS), которая
поддерживает синхронизацию папок с файловыми серверами,
использующими FRS, а не новую службу Репликация DFS. Чтобы сервер
мог синхронизировать папки с серверами, использующими FRS с
реализациями Распределенной файловой системы (DFS) Windows
Server 2003 или Windows 2000, установите FRS. Чтобы использовать самую
последнюю и наиболее эффективную технологию репликации, установите
Репликацию DFS.
 Служба индексирования, которая каталогизирует содержимое и свойства
файлов на локальных и удаленных компьютерах. Эта служба посредством
гибкого языка запросов также позволяет быстро находить файлы. Нельзя
устанавливать Службу индексирования и Службу репликации файлов на
один компьютер.
1
Удаленное разностное сжатие (прим. переводчика).
Также можно установить следующие необязательные подсистемы роли Файловые
службы:
 Система архивации данных Windows Server, которая помогает надежно
архивировать и восстанавливать операционную систему, приложения
Windows Server System™ и файлы и папки, хранящиеся на сервере. Эта
подсистема вводит новую технологию архивации и восстановления и
заменяет предыдущий компонент Архивации, доступный в более ранних
версиях Windows.
 Диспетчер хранилища для сетей SAN, который позволяет
обеспечивать подсистемы хранения Fibre Channel или iSCSI в сети
хранения данных (storage area network, SAN).
 Многопутевой ввод/вывод, который позволяет повышать доступность
данных за счет предоставления подсистемам хранения избыточных
соединений. Поддержка нескольких каналов ввода-вывода также может
обеспечить сбалансированную нагрузку трафика ввода-вывода, что
улучшит производительность системы и приложений.
Следующий рисунок иллюстрирует службы роли, составляющие роль Файловых
служб Windows Server 2008.
Файловый сервер
Распределенная
файловая система DFS
Пространства имен DFS
Репликация DFS
Диспетчер ресурсов
файлового сервера
Служба роли Файловые службы
Службы для NFS
Служба поиска Windows
Файловые службы Windows Server
2003
Служба репликации файлов
Служба индексации
Рис. 7.1. Иерархия служб роли Файловые службы
Поверхность атаки
Роль Файловые службы обеспечивает технологии для управления хранением и
репликацией файлов, управления распределенными пространствами имен,
быстрого поиска файлов и упрощенного доступа клиентов к файлам. Чтобы
обозначить поверхность атаки для этой службы роли, необходимо определить
следующее:
 Установленные файлы. Это файлы, установленные как часть роли
Файлового сервера.
 Установленные службы. Это службы, установленные как часть роли
Файлового сервера.
Примечание Для проверки целостности установленных файлов и файлов, выполняемых
службой, можно воспользоваться утилитами RootkitRevealer и Sigcheck, являющимися
частью пакета служебных программ Windows Sysinternals

Правила брандмауэра. Это используемые ролью Файлового сервера
правила брандмауэра.
Подробная информация о поверхности атаки для роли Файловые службы включена
в книгу «Справочник по поверхности атаки в Windows Server 2008», прилагаемой к
данному руководству. Оценить поверхность атаки для данной роли сервера можно
при помощи вкладки File (Файл) книги в разделах, соответствующих каждому из
пунктов предыдущего списка.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию службы роли Файловый сервер для защиты
сервера от злоумышленных атак. Приведенные ниже рекомендации предполагают,
что на странице Выбор служб роли Мастера добавления ролей выбрана только
опция служба роли Файловый сервер. Рекомендации для других служб роли не
включены.
Контрольный список настройки
Этот раздел включает рекомендации по настройке и контрольный список
настройки, созданный на основании лучших практик по повышению уровня защиты
файловых серверов в вашей среде. Сюда не включены рекомендации для DFS,
FSRM, служб для NFS, поисковой службы Windows и служб роли Файловые службы
Windows Server 2003. Больше информации о настройке этих служб можно найти в
разделе File Services (Файловые службы) в Windows Server 2008 Technical Library.
Описанные изменения настроек помогают защитить файловые серверы от этих
угроз, тем не менее, Microsoft рекомендует использовать дополнительную защиту
от вирусов, чтобы гарантировать файловым серверам организации отслеживание
передаваемых через них файлов в режиме реального времени. Больше
информации о защите от вирусов в режиме реального времени для
Windows Server 2008 можно найти в статье Security and Protection (Безопасность и
защита) в Windows Server 2008 Technical Library.
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности для повышения уровня защиты серверов, выполняющих службу роли
Файловый сервер. В случае возникновения трудностей с выполнением каких-либо
пунктов контрольного списка дополнительное описание и рекомендации можно
найти в следующих разделах данной главы.
Таблица 7.1. Контрольный список настройки
Задачи настройки
Развернуть установку Server Core Windows Server 2008.
Использовать цифровую подпись.
Рассмотреть возможность удаления общих административных ресурсов.
Рассмотреть возможность использования шифрования дисков и файлов.
Развернуть установку Server Core Windows Server 2008
Развертывание Windows Server 2008 с использованием опции установки Server
Core еще больше сокращает поверхность атаки операционной системы за счет
сокращения количества установленных файлов и выполняющихся служб.
Преимущество опции установки Server Core в том, что при ее использовании не
устанавливается графический пользовательский интерфейс (GUI), т.е. не
устанавливаются файлы и службы, необходимые обычному GUI.
При использовании опции установки Server Core Windows Server 2008 для
развертывания операционной системы вы можете управлять сервером только
локально, используя инструменты командной строки. Чтобы управлять сервером
инструментами GUI, необходимо установить и запустить эти инструменты на
другом компьютере с GUI на базе Windows.
Служба сервера устанавливается и запускает по умолчанию при создании
установки Server Core Windows Server 2008, и эта служба поддерживает службу
роли Файловый сервер. Если на компьютер, выполняющий установку Server Core
Windows Server 2008 необходимо установить другие службы, связанные с ролью
Файловые службы, обратитесь к руководству Server Core Installation Option of
Windows Server 2008 Step-by-Step Guide.
Для управления службами роли Файловый сервер можно использовать следующие
инструменты командной строки:
 net share
 chkdsk
 chkntfs
 dfsutil
 diskpart
 fsutil
 vssadmin
Это неполный список. Перечень всех инструментов командной строки и
информацию о том, как их использовать, можно найти в разделе «Command
Reference» (Описание команд) Windows Server 2008 Technical Library.
Для удаленного управления службой роли Файловые службы на компьютерах с
установками Server Core Windows Server 2008 можно также использовать сценарии
WMI или службу WS-Management и службу Windows Remote Shell (Удаленная
оболочка Windows).
Более подробно о WMI рассказывает статья Windows Management Instrumentation.
Больше информации о службах WS-Management и Windows Remote Shell можно
найти в статье Windows Remote Management (Удаленное управление Windows).
Примечание Далее в данном разделе предполагается, что выполняется стандартная
установка Windows Server 2008. Если для своей роли Файлового сервера вы установили
Server Core Windows Server 2008, можете следовать данным шагам, используя оснастку
Консоль управления Microsoft (MMC) с удаленного компьютера.
Использовать цифровую подпись
Протокол SMB обеспечивает базу для совместного доступа Windows к файлам,
принтерам и многим другим сетевым операциям, таким как удаленное
администрирование Windows. Для предотвращения атак с перехватом, при
которых SMB-пакеты изменяются при передаче, протокол SMB поддерживает
установку цифровой подписи для SMB-пакетов. Можно настроить групповую
политику, задавая параметр Сервер сети Microsoft: использовать цифровую
подпись (всегда) (Microsoft network server: Digitally sign communications
(always)) в следующем разделе редактора объекта групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры
безопасности\Локальные политики\Параметры безопасности
Этот параметр политики определяет, должна ли согласовываться установка
цифровой подписи SMB-пакета, прежде чем будет разрешен дальнейший обмен
информацией с клиентом SMB. В Windows Server 2008 параметру Сервер сети
Microsoft: Использовать цифровую подпись (всегда) по умолчанию
присваивается значение Отключен (Disabled). Microsoft рекомендует активировать
этот параметр для файловых серверов, выполняющихся в средах EC и SSLF,
описанных в данном руководстве.
Больше информации о настройке безопасности можно найти в статье Microsoft
network server: Digitally sign communications (always).
Рассмотреть возможность удаления общих административных
ресурсов
Windows Server 2008 создает по умолчанию ряд общих папок, доступ к которым
имеют только пользователи с правами администратора на компьютере,
выполняющем службу роли Файлового сервера. В следующей таблице описаны эти
ресурсы для файлового сервера, на котором под службу роли Файлового сервера
отведен один жесткий диск.
Таблица 7.2. Административные общие папки файлового сервера
Ресурс
Описание
Путь
Admin$
Общая папка, используемая администратором для
удаленного администрирования компьютера.
C:\Windows
БукваДиска$ Корневые разделы и тома являются общими, если к
букве диска добавлен символ $.
C:\
Для каждого создаваемого вами дополнительного тома на сервере Windows
Server 2008 создает соответствующую общую папку корня тома, чтобы сделать его
доступным администраторам по сети.
Вообще Microsoft рекомендует не изменять эти специальные общие папки. Однако
если организация предъявляет особые требования к безопасности, согласно
которым эти стандартные общие папки должны быть удалены, и не дает
операционной системе автоматически создавать их, используя Редактор реестра,
вы можете выполнить следующую процедуру.
Внимание Неправильное использование Редактора реестра может привести к серьезным
проблемам, в результате чего, возможно, придется переустанавливать операционную
систему. Microsoft не гарантирует, что вы сможете решить проблемы, возникшие в
результате неверного использования Редактора реестра, поэтому вы можете использовать
Редактор реестра на свой страх и риск.
Чтобы удалить административные общие папки и предотвратить их
автоматическое создание в Windows
1. Щелкните Пуск, щелкните Выполнить (Run) и в окне Открыть (Open) введите
regedit и нажмите ENTER.
2. Если получено предупреждение User Access Control (Управление доступом на
уровне пользователя), щелкните Продолжить (Continue).
3. Найдите и щелкните следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanSer
ver\Parameters\AutoShareServer
Примечание Если этого раздел реестра нет в списке, добавьте его вручную.
AutoShareServer должен быть задан типа REG_DWORD. Если этому разделу задано
значение 0 (нуль), Windows Server 2008 не будет автоматически создавать
административные общие папки. Это не распространяется на общую папку IPC$ или
общие папки, создаваемые вами вручную.
4. В меню Редактировать щелкните Изменить (Modify) и затем в окне вода данных
Значение (Value) введите 0 и щелкните OK.
5. Выйдите из Редактора реестра.
6. Щелкните Пуск и затем щелкните Выполнить.
7. В окне Открыть введите cmd и щелкните OK.
8. В окне командной строки введите следующее, нажимая ENTER после каждой
строки:
net stop server
net start server
9. Введите exit и нажмите ENTER.
Примечание Если остановить создание административных общих папок с помощью
пользовательского интерфейса и не изменить реестр, после перезапуска службы Сервера
или после сброса настроек севера общие папки будут создаваться вновь.
Рассмотреть возможность использования шифрования дисков и
файлов
Для сред с повышенными требованиями к безопасности следует рассмотреть
возможность использования шифрования для защиты жестких дисков и данных на
компьютерах с Windows Server 2008, выполняющих службу роли Файловый сервер.
Для этого на таких компьютерах можно использовать один из двух вариантов:
 Шифрование дисков Microsoft BitLocker™.
 Шифрующую файловую систему (Encrypting File System, EFS).
BitLocker защищает данные на сервере, предотвращая возможность нарушения
защиты файлов и системы Windows на утерянных или похищенных компьютерах
неавторизованными пользователями. BitLocker шифрует тома целиком, включая
все пользовательские и системные файлы, и среди этих файлов также файлы
подкачки и данных спящего режима.
Больше информации об использовании BitLocker для защиты данных на
компьютере, выполняющем службу роли Файловый сервер, можно найти в статье
Windows BitLocker Drive Encryption (Шифрование дисков Windows BitLocker).
EFS позволяет шифровать файлы, хранящиеся в томах, использующих файловую
систему NTFS. EFS интегрирована с NTFS, ею легко управлять и сложно атаковать.
Дополнительные возможности EFS в Windows Vista® и Windows Server 2008
включают улучшения управляемости и поддержку хранения ключей шифрования на
смарт-картах.
Дополнительную информацию по использованию EFS для защиты данных на
компьютере, выполняющем службу роли Файловый сервер, можно найти в статье
Encrypting File System (Шифрующая файловая система).
Дополнительные ресурсы
Более подробные сведения из лучших практик по проектированию и обслуживанию
сервера с Windows Server 2008, осуществляющего роль Файлового сервера, можно
найти в следующих источниках на сайте Microsoft.com:
 Encrypting File System.
 Microsoft network (Сеть Microsoft).
 Security and Protection.
 Server Core Installation Option of Windows Server 2008 Step-By-Step Guide.
 Windows BitLocker Drive Encryption.
 Windows Management Instrumentation.
 Windows Remote Management.
 Windows Server 2008 Technical Library.
Глава 8: Повышение уровня защиты служб печати
Данная глава посвящена повышению уровня защиты компьютеров, выполняющих
роль Сервера печати, которая доступна в Windows Server® 2008. В операционной
системе для Windows Vista® в службы печати Microsoft внесены существенные
изменения, связанные с безопасностью. Эти изменения также вошли в Windows
Server 2008. Более подробную информацию о новых возможностях, появившихся в
Windows Vista, можно найти в документе Point and Print Security in Windows Vista
(Безопасность функции указания и печати в Windows Vista).
Служба печати в Windows Server 2008 поддерживает клиентов предшествующих
версий, но организация сможет достичь оптимальной безопасности, только если на
все клиентские компьютеры будет установлена ОС Windows Vista.
На компьютере с Windows Server 2008 можно выбрать три службы роли,
составляющие роль Службы печати: Сервер печати, LPD (Line Printer Daemon) и
печать через Интернет.
 Служба роли Сервер печати. Установка этой службы роли не приводит к
большим изменениям на сервере. Основная служба печати – служба
Диспетчера печати (Spooler). Эта служба обеспечивает большую часть
функциональности, необходимой приложениям для управления печатью.
Кроме управления принтером, многие приложения также используют эту
службу в операциях печати и обработки страниц, таких как форматирование
страниц при их отображении на экране. Поэтому в Windows Server 2008
служба диспетчера очереди печати по умолчанию включена, независимо от
того, установлена ли роль Службы печати на сервере или нет. Однако эта
служба не включена по умолчанию для сетевого доступа, так что напрямую
ее можно использовать только из консоли сервера. Для серверов, не


предоставляющих доступа к своим принтерам по сети, это помогает
сократить поверхность атаки.
При добавлении роли Службы печати в стандартную установку Windows
Server 2008 и последующей установке и организации общего доступа к
принтерам, службы диспетчера печати становятся доступными для сетевых
соединений посредством удаленного вызова процедур (remote procedure
call, RPC). Когда эти службы становятся доступными по сети, поверхность
атаки Сервера печати увеличивается.
При установке роль Службы печати не зависит напрямую от роли Файловый
сервер, но когда на сервер добавляется общий принтер, такая зависимость
возникает. И службы печати, и файловые службы для доступа к общим
ресурсам, будь то принтеры или папки и файлы, используют одинаковые
механизмы RPC и NetBIOS по протоколу TCP/IP (NetBT). Когда вы впервые
откроете общий доступ к принтеру, вы заметите, что роль Файловый сервер
будет активирована автоматически, и вы сможете управлять ею в
Диспетчере сервера.
Правила брандмауэра для роли Службы печати определены заранее, но
выключены по умолчанию. Эти правила не активируются в процессе
установки данной службы роли. Их активация происходит в момент
установки и предоставления общего доступа к принтеру.
Более подробная информация приведена в разделе «Поверхность атаки»
данной главы.
Служба LPD. Эта служба роли активирует печать, используя базированный
на TCP/IP протокол LPD. Для данной службы роли требуется, чтобы была
установлена роль Службы печати, что приводит к небольшому увеличению
поверхности атаки на сервер. Более подробная информация представлена
в разделе «Поверхность атаки» данной главы
Служба роли Печать через Интернет. С помощью этой роли общие
принтеры можно делать доступными клиентским компьютерам путем
16
использования протокола Internet Printing Protocol (IPP) по HTTPсоединению. Клиентские компьютеры, использующие Веб-браузер, могут
подключаться и работать с принтерами, опубликованными с помощью роли
Веб-сервера, доступной в Windows Server 2008. Печать через Интернет
также обеспечивает возможность соединений между пользователями и
принтерами, находящимися в разных доменах или сетях.
Служба роли Печать через Интернет зависит от роли Веб-сервер (IIS),
которую Windows Server 2008 устанавливает автоматически при выборе
службы роли Печать через Интернет. Установка включает ряд служб роли и
компонентов Веб-сервера:

16
Разработка приложений
o ASP
o Расширяемость ISAPI
o Фильтры ISAPI
o Расширяемость .NET
Протокол печати через интернет (прим. переводчика).

Безопасность
o Фильтрация запросов
o Обычная проверка подлинности
o Windows- проверка подлинности

Основные возможности HTTP

Работоспособность и диагностика

Быстродействие
 Средства управления
Наряду с этими компонентами устанавливается и активируется Служба
процессов активации Windows (WAS), включающая прикладные
программные интерфейсы (API) для конфигурации и модель процессов для
среды .NET.
Поскольку служба роли Печать через Интернет так сильно зависит от роли
Веб-сервера, к упомянутым в этом разделе службам должна быть
добавлена поверхность атаки роли Веб-сервера. Больше информации о
поверхности атаки роли Веб-сервера можно найти в Главе 6, «Повышение
уровня защиты Веб-служб», данного руководства.
При добавлении службы роли Печать через Интернет в стандартную
установку Windows Server 2008 программа установки добавляет на сервер
IIS 7.0 ряд файлов Active Server Pages (ASP), что позволяет расширить
функциональность Веб-сервера и обеспечить поддержку IPP. Для службы
роли Печать через Интернет больше не требуется устанавливать никакие
дополнительные службы и открывать дополнительные сетевые порты,
потому что браузер клиентского компьютера для соединения с принтером
использует стандартные порты Веб-сервера (80 и 443).
После установки службы роли Печать через Интернет клиенты сервера
печати организации смогут печатать или управлять документами из своих
Веб-браузеров. Когда клиенты сервера печати пытаются подключиться к
Веб-странице принтеров, сервер создает .cab-файл, содержащий
соответствующие файлы драйверов принтера, и загружает этот .cab-файл
на клиентский компьютер. После установки драйверов принтер появляется
в папке Принтеры (Printers) на клиентском компьютере. Больше
информации можно найти в разделе «Поверхность атаки» данной главы.
На следующем рисунке проиллюстрированы службы роли, составляющие роль
Службы печати Windows Server 2008.
Сервер печати
Службы роли для
Службы печати
Служба LPD
Печать через Интернет
Рис. 8.1. Иерархия служб роли Сервера печати
Поверхность атаки
Роль Службы печати позволяет организовать общий доступ к принтерам по сети, а
также обеспечивает централизацию управления сервером печати и сетевым
принтером. Чтобы обозначить поверхность атаки для этой службы роли,
необходимо определить следующее:
 Установленные файлы. Это файлы, установленные как часть каждой
службы роли для роли Службы печати.
 Установленные службы. Это службы, установленные как часть каждой
службы роли для роли Службы печати.
Примечание Для проверки целостности установленных файлов и файлов,
выполняемых службой, можно воспользоваться утилитами RootkitRevealer и
Sigcheck, являющимися частью пакета служебных программ Windows
Sysinternals.

Правила брандмауэра. Это используемые ролью Службы печати
правила брандмауэра.
Подробная информация о поверхности атаки для роли Службы печати включена в
книгу «Справочник по поверхности атаки в Windows Server 2008», прилагаемой к
данному руководству. Оценить поверхность атаки для данной роли сервера можно
при помощи вкладки Print книги в разделах, соответствующих каждому из пунктов
предыдущего списка.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию роли Службы печати для защиты сервера от
злоумышленных атак. Приведенные ниже рекомендации предполагают, что на
странице Выбор служб роли Мастера добавления ролей выбрана только опция
Сервер печати. Рекомендации для других служб роли не включены.
Контрольный список настройки
Этот раздел включает рекомендации по настройке, основанные на лучших
практиках по повышению уровня защиты серверов печати в вашей среде. Сюда не
включены рекомендации для ролей Служба LPD и Печать через Интернет. Больше
информации о настройке этих ролей можно найти в статье Windows Server 2008:
Server Manager.
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности, направленные на повышение уровня защиты серверов,
выполняющих роль Службы печати. В случае возникновения трудностей с
выполнением каких-либо пунктов контрольного списка дополнительное описание и
рекомендации можно найти в следующих разделах данной главы.
Таблица 8.1. Контрольный список настройки
Задачи настройки
Развернуть установку Server core Windows Server 2008.
Использовать цифровую подпись.
Рассмотреть возможность использования функции указания и печати.
Управлять общим доступом к принтеру.
Переместить стандартный файл очереди печати.
Развернуть установку Server core Windows Server 2008
Развертывание Windows Server 2008 с использованием опции установки Server
Core сокращает поверхность атаки операционной системы за счет сокращения
количества установленных файлов и выполняющихся служб. Преимущество опции
установки Server Core в том, что при ее использовании не устанавливается
графический пользовательский интерфейс (GUI), т.е. не устанавливаются файлы и
службы, необходимые обычному GUI.
При развертывании операционной системы с использованием опции установки
Server Core Windows Server 2008 управлять сервером можно только локально через
инструменты командной строки. Чтобы управлять сервером с помощью
инструментов GUI, необходимо установить и запустить их на другом компьютере с
GUI на базе Windows.
Для управления ролью Службы печати могут использоваться следующие
инструменты командной строки:
 Чтобы установить службу роли Сервер печати, выполните следующую
команду:
start /w ocsetup Printing-ServerCore-Role
 Чтобы установить службу роли LPD (Line Printer Daemon), выполните
следующую команду:
start /w ocsetup Printing-LPDPrintService
Примечание Поскольку служба роли Печать через Интернет зависит от
компонентов .NET Framework, не поддерживаемых установкой Server Core Windows
Server 2008, эта служба роли недоступна на компьютерах с установками Server
Core.
Больше информации о том, как устанавливать и управлять ролью Службы печати в
установке Server Core Windows Server 2008, можно найти в руководстве Server
Core Installation Option of Windows Server 2008 Step-By-Step Guide.
Также для управления сервером печати можно использовать следующие
инструменты:
 Lpg
 Lpr
 Net print
 Print
 Prncnfg.vbs
 Prndrvr.vbs
 Prnjobs.vbs
 Prnmngr.vbs
 Prnport.vbs
 Prnqctl.vbs
 Pubprn.vbs
О том, как использовать эти инструменты, рассказывает раздел «Command
Reference» документа Windows Server 2008 Technical Library.
Управлять удаленно службой роли Сервер печати на компьютерах с Server Core
Windows Server 2008 можно с помощью сценариев WMI или удаленной оболочки
Windows.
Больше информации и WMI можно найти в статье Windows Management
Instrumentation.
Больше информации о WS-Management и удаленной оболочке Windows
представлено в статье Windows Remote Management.
Примечание В данном разделе предполагается, что выполняется стандартная установка
Windows Server 2008. Если вы создали установку Server Core Windows Server 2008 для роли
Сервер печати, вы можете следовать данным шагам, используя оснастку консоль управления
Microsoft (MMC) с удаленного компьютера.
Использовать цифровую подпись
Протокол SMB обеспечивает базу для совместного доступа Windows к файлам и
принтерам и многих других сетевых операций, таким как удаленное
администрирование Windows. Для предотвращения атак с перехватом, когда
SMB-пакеты изменяются при передаче, протокол SMB поддерживает цифровую
подпись SMB-пакетов. Групповую политику можно настроить, задавая параметр
Сервер сети Microsoft: Использовать цифровую подпись (всегда) в
следующем разделе редактора объекта групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры
безопасности\Локальные политики\Параметры безопасности
Этот параметр политики определяет необходимость согласования цифровой
подписи SMB-пакета для обмена информацией с клиентом SMB.
Microsoft рекомендует активировать параметр Сервер сети Microsoft:
Использовать цифровую подпись (всегда) для серверов печати,
выполняющихся в средах EC и SSLF, описанных в данном руководстве.
Рассмотреть возможность использования функции указания и
печати
Функция указания и печати (Point and Print) – это функция Windows®, которая
обеспечивает автоматическое скачивание и установку драйвера принтера при
подключении пользователя к общему принтеру. Функция указания и печати также
обновляет драйвер принтера на клиентском компьютере при обновлении
конфигурации драйвера на сервере печати. В Windows Server 2008 и Windows Vista
параметр групповой политики Ограничения указания и печати (Point and Print
Restrictions) был обновлен для облегчения управления улучшенной
безопасностью компонента Указания и печати.
Настроить параметры групповой политики Указания и печати можно в следующем
разделе редактора объектов групповой политики:
Конфигурация пользователя\Административные шаблоны\Панель
управления\Принтеры
В следующей таблице представлены данные по параметрам безопасности,
характерные для этой технологии в Windows Server 2008.
Таблица 8.2. Параметры указания и печати
Объект
политики
Описание
Стандартные
настройки Windows
Server 2008
Разрешить
обзор сети для
поиска
принтеров
(Browse the
network to find
printers)
Если этот параметр включен или не
задан, пользователи могут использовать
Мастер установки принтеров (Add Printer
Wizard) для вывода на экран списка
общих принтеров, имеющихся в сети.
Если этот параметр отключен, страница
обзора сетевых принтеров не
отображается в Мастере установки
принтеров, и пользователи не могут,
используя Windows Explorer,
осуществлять поиск принтеров в сети.
Не конфигурирован
Объект
политики
Описание
Стандартные
настройки Windows
Server 2008
Использовать
только
функцию
указания и
печати для
пакета (Only
use Package
Point and print)
Если этот параметр включен,
пользователи могут использовать
функцию указания и печати только на
принтерах, драйверы которых
поддерживают пакеты. При
использовании функции указания и
печати для пакета клиентские
компьютеры проверяют подписи всех
драйверов, загруженных с серверов
печати.
Если этот параметр отключен или не
задан, пользователи смогут применять
функцию указания и печати не только для
пакетов.
Этот параметр применяется только в
Windows Server 2008 и Windows Vista.
Не конфигурирован
Функция
указания и
печати для
пакетов Разрешенные
серверы
(Package Point
and print Approved
server)
Если этот параметр включен,
Не конфигурирован
пользователи могут использовать
функцию указания и печати для пакета
только на серверах печати, разрешенных
сетевым администратором. При
использовании функции указания и
печати для пакета клиентские
компьютеры проверяют подписи всех
драйверов, загруженных с серверов
печати.
Если этот параметр отключен или не
задан, функция указания и печати для
пакетов может применяться не только для
конкретных серверов печати.
Этот параметр применяется только в
Windows Server 2008 и Windows Vista.
Объект
политики
Описание
Стандартные
настройки Windows
Server 2008
Ограничения
указания и
печати (Point
and Print
Restrictions)
Если этот параметр политики включен,
клиентские компьютеры могут
использовать функцию указания и печати
только на серверах, имена которых явно
перечислены в списке.
Если этот параметр политики отключен,
клиентские компьютеры могут
использовать функцию указания и печати
на любом сервере. Компьютеры с
Windows Vista не будут выводить на
экран предупреждение или запрос на
повышение прав, когда пользователи
применяют функцию указания и печати к
серверу, или когда драйвер
существующего подключения к принтеру
требует обновления.
Не конфигурирован
Важно понимать, какие варианты доступны с этими параметрами групповой
политики, и как их можно использовать для максимального увеличения
безопасности установок принтеров клиентских компьютеров. Вариант,
предлагающий наибольшую безопасность, может не работать в среде с большим
количеством разнообразных принтеров и многофункциональных печатных
устройств, которым необходимы драйверы, не предоставляемые Windows
Server 2008. На следующем рисунке представлены возможные варианты и
обеспечиваемые ими преимущества и недостатки.
Рис. 8.2. Безопасные параметры печати
Самый безопасный вариант настройки – использовать групповую политику,
посредством которой разрешить установкам принтеров применять только
драйверы, поставляемые с Windows®. Эти драйверы подвергаются тщательному
тестированию и подписываются, что гарантирует невозможность их
фальсификации.
Однако этот вариант является ограничивающим, если в организации уже
установлены разнообразные печатные устройства. Скорее всего, для обеспечения
требований печати вам понадобятся драйверы разработанные производителями
принтеров. Для поддержки сред такого типа Microsoft были созданы пакеты
драйверов указания и печати. Такие драйверы от производителей принтеров
предлагают следующие преимущества:
 Все компоненты драйвера устанавливаются на клиент печати.
 Подпись и целостность драйвера проверяются на клиенте печати.

Функция указания и печати более надежна и более управляема в
управляемой среде.
В Windows Vista установка пакета используется как предпочтительный метод
установки драйверов. Однако клиентские компьютеры с более ранними версиями
Windows не могут использовать эти драйверы, потому что для них требуется
локальное хранилище драйверов, которое появилось только в Windows Vista. Когда
к серверу печати Windows Server 2008 подключается клиентский компьютер с более
ранней версией Windows, сервер печати устанавливает принтер на клиентский
компьютер с помощью традиционной функции указания и печати.
Последний вариант для клиентский компьютеров с Windows Vista – повышение
привилегий, чтобы разрешить установку драйверов печати, не поддерживающих
функцию указания и печати для пакетов. В этом случае пользователь должен знать
имя пользователя и пароль локальной учетной записи, имеющей привилегии
администратора, или администратор должен установить драйверы принтера от
лица пользователя. Больше информации по данным вариантам и параметрам
можно найти в документе Point and Print Security in Windows Vista.
Управлять общим доступом к принтеру
В следующей таблице представлены разрешения по умолчанию, применяемые к
новому общему принтеру на входящем в домен сервере печати.
Таблица 8.3. Разрешения принтера по умолчанию
Группа или учетная
запись
Разрешения
Все
Печать
СОЗДАТЕЛЬ ВЛАДЕЛЕЦ
Управление документами
Администратор
Печать, управление принтерами, управление
документами
Для сред, в которых требуется повышенный уровень безопасности, добиться его
можно, удалив разрешения из группы Все и создав выделенную группу
пользователей для принтера. В этом случае возникают издержки на создание и
управление доступом к принтеру, но доступ к принтеру получают только те
пользователи, которые были добавлены в выделенную группу и получили, таким
образом, права доступа. Пользователям, не являющимся участниками группы,
доступ к принтеру запрещен.
Переместить стандартный файл очереди печати
Для сред с повышенными требованиями к безопасности или производительности
Microsoft рекомендует переместить файл очереди печати в выделенный том
очереди на сервере печати.
В результате следующей процедуры создается новый стандартный каталог
очереди для всех принтеров, настроенных на данном компьютере.
Чтобы создать новый стандартный каталог очереди
1. Щелкните Пуск и введите Принтеры.
2. Откройте окно управления Принтеры.
3. В меню Файл (File) щелкните Свойства сервера (Server Properties) и затем
щелкните вкладку Дополнительные параметры.
4. В поле Папка очереди печати (Spool Folder) введите путь к выделенному тому
и затем щелкните OK.
Примечание Для нагруженных серверов печати необходимо отслеживать метрики
производительности диска, чтобы не допустить перегрузку томов сервера очередью печати.
Дополнительные ресурсы
Более подробные сведения из лучших практик по проектированию и обслуживанию
сервера с Windows Server 2008, осуществляющего роль Сервера печати, можно
найти в следующих источниках на сайте Microsoft.com:
 Документ Point and Print Security in Windows Vista.
 Server Core Installation Option of Windows Server 2008 Step-By-Step Guide.
 Windows Management Instrumentation.
 Windows Remote Management.
 Windows Server 2008: Server Manager.
 Windows Server 2008 Technical Library.
Глава 9: Повышение уровня защиты служб сертификации
Active Directory
Службы сертификации Active Directory® (Active Directory® Certificate Services,
AD CS) в Windows Server® 2008 обеспечивают службы, которые могут быть
настроены для создания и управления сертификатами открытого ключа в
программных системах безопасности, использующих технологии открытого ключа,
включая версию 3 сертификатов X.509. Организации могут применять AD CS для
повышения безопасности путем связывания удостоверения пользователя,
устройства или службы с соответствующей парой ключей. AD CS также включает
функции, позволяющие управлять подачей заявок на получение и отзыв
сертификатов в различных масштабируемых средах.
Службы роли, доступные для роли AD CS, представлены на следующем рисунке.
Центр сертификации
Служба подачи заявок в центр
сертификации через Интернет
Роль Службы сертификации Active
Directory
Сетевой ответчик
Служба подачи заявок на
сетевые устройства
Рис. 9.1. Иерархия служб роли AD CS
С помощью данной главы вы сможете повысить уровень защиты серверов,
выполняющих роль AD CS. В ней представлено нормативное руководство по
повышению защиты всех служб, доступных для роли AD CS. Каждая служба роли
AD CS выполняет определенную функцию, поэтому сначала необходимо
определиться с тем, что вы хотите настроить на своем сервере, а затем
использовать рекомендации данной главы для повышения уровня защиты
отдельных служб роли.
Примечание Служба роли AD CS недоступна в установках Server Core Windows Server 2008
или Windows Server 2008 для компьютеров на базе процессоров Itanium.
Больше информации о службе роли AD CS представлено в статье Active Directory
Certificate Services (Службы сертификации Active Directory).
Служба роли Центр сертификации
Служба роли Центр сертификации позволяет устанавливать корневые и
подчиненные центры сертификации (ЦС) для выдачи сертификатов для
пользователей, компьютеров и служб, а также для управления сроком действия
сертификатов.
Чтобы установить эти ЦС, должны быть выполнены следующие требования:
 Минимальным требованием для установки корневого ЦС является членство
в локальной группе Администраторы или эквивалентной ей группе. При
установке ЦС предприятия минимальным требованием является членство в
группе Администраторы домена. Дополнительную информацию можно
найти в разделе «Реализация администрирования на основании ролей» в
службе Справка и поддержка Windows Server 2008.
 Минимальным требованием для выполнения процедуры установки
подчиненного ЦС является членство в локальной группе Администраторы
или эквивалентной ей группе. При установке ЦС предприятия минимальным
требованием является членство в группе Администраторы домена.
Дополнительную информацию можно найти в разделе «Реализация
администрирования на основании ролей» в службе Справка и поддержка
Windows Server 2008.
Поверхность атаки
Служба роли Центр сертификации подвержена тем же атакам на систему
безопасности, что и любой Центр сертификации. Чтобы обозначить поверхность
атаки этой роли, необходимо определить следующее:
 Установленные файлы. Это файлы, установленные как часть службы
роли Центр сертификации.
 Выполняющиеся службы. Это службы, выполняющиеся как часть службы
роли Центр сертификации.
Примечание Для проверки целостности установленных файлов и файлов,
выполняемых службой, можно воспользоваться утилитами RootkitRevealer и
Sigcheck, являющимися частью пакета служебных программ Windows Sysinternals

Правила брандмауэра. Это используемые службой роли Центр
сертификации правила брандмауэра.
 Зависимости роли. Это зависимости службы роли Центр сертификации.
Подробная информация о поверхности атаки для роли Центр сертификации
включена в книгу «Справочник по поверхности атаки в Windows Server 2008»,
прилагаемой к данному руководству. Оценить поверхность атаки для данной роли
сервера можно при помощи вкладки AD CS книги в разделах, соответствующих
каждому из пунктов предыдущего списка.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию службы роли Центр сертификации для защиты
сервера от злоумышленных атак. Приведенные ниже рекомендации предполагают,
что на странице Выбор служб роли Мастера добавления ролей выбрана только
опция службы роли Центр сертификации. Рекомендации для других служб роли не
включены.
Контрольный список настройки
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности для повышения уровня защиты серверов, выполняющих службу роли
Центр сертификации. При возникновении каких-либо трудностей по выполнению
этих задач обратитесь к следующим разделам данной главы за дополнительной
информацией и рекомендациями.
Таблица 9.1. Контрольный список настройки
Задачи настройки
Развернуть автономный корневой центр сертификации (ЦС).
Защитить ЦС с помощью аппаратного модуля безопасности.
Развернуть автономный ЦС соответствия политике.
Публиковать сертификаты и списки CRL в AD DS.
Развернуть подчиненные ЦС предприятия.
Задачи настройки
Опубликовать и списки CRL, и разностные CRL.
Ограничить типы сертификатов, которые могут быть выпущены ЦС.
Реализовать разделение ролей на основании спецификаций Common Criteria.
Требовать многофакторную аутентификацию для пользователей с ролями
управления PKI.
Избегать размещения OID и CDP политик или расширений сертификатов AIA в
корневых сертификатах.
Примечание Эти рекомендации сформулированы, исходя из предположения, что ваша
инфраструктура открытых ключей (PKI) основывается на Rooted Trust Model (Корневая
доверительная модель).
Развернуть автономный корневой центр сертификации (ЦС)
Все ЦС в Инфраструктуре открытых ключей уязвимы, но корневой ЦС наиболее
уязвим, потому что если он будет скомпрометирован, скомпрометирована будет
вся PKI. Корневой ЦС – это единая точка доверия для всей структуры,
объединяющей в себе несколько организаций.
Важно В более крупномасштабных средах подчиненные ЦС соответствия политике для
разных подразделений или организационных единиц могут играть ту же роль, что и
корневые ЦС. Развертывайте эти подчиненные ЦС соответствия политике как автономные
ЦС.
Microsoft рекомендует предпринимать следующие меры по предупреждению
компрометации ЦС:
 Развернуть корневой ЦС как автономный изолированный ЦС.
Развернуть корневой ЦС как изолированный (offline) ЦС, чтобы
предотвратить сетевые атаки. Для развертывания изолированного
корневого ЦС вы должны развернуть ЦС как автономный (stand-alone) ЦС,
потому что изолированные ЦС предприятий не поддерживаются. Больше
информации о развертывании автономных ЦС можно найти в следующих
разделах службы Справки и поддержки Windows Server 2008:
o «Автономные центры сертификации».
o «Центры сертификации предприятия».
o «Установка корневого центра сертификации».
 Защитить компьютер, являющийся корневым ЦС. Для повышения
защиты корневого ЦС необходимо предпринять одну или более из
перечисленных ниже мер по обеспечению безопасности:
o Хранить компьютеры, являющиеся изолированными ЦС, в
физически защищенных помещениях. Компьютеры, являющиеся
изолированными ЦС, желательно располагать не в обычном
помещении для серверов, а в серверной комнате с ограниченным
доступом или в сейфе. Доступ в серверное помещение или к сейфу
должен быть предоставлен только лицам, занимающимся
администрированием ЦС, все случаи доступа в помещение для
серверов должны записываться. Или можно создать журналы
o
o
o
регистрации физического доступа, в которых будут
протоколироваться все случаи доступа к компьютерам ЦС.
Хранить компьютеры ЦС в безопасном серверном шкафу.
Существуют модели серверных шкафов, для открытия которых
необходимо ввести PIN-код. Некоторые модели даже отслеживают
все попытки доступа к серверному шкафу и обеспечивают
возможность извлекать журналы регистрации доступов через
последовательные соединения.
Хранить оборудование изолированных ЦС в отдельных
безопасных помещениях. В некоторых организациях из
компьютеров ЦС удаляют жесткий диск и хранят их в удаленном
сейфе. В этом случае для получения доступа к изолированному ЦС
злоумышленнику надо сначала добраться до компьютера-сервера и
жесткого диска. Такая тактика позволяет компаниям использовать
автономный компьютер-сервер в других целях, когда ЦС удален из
сети.
Устанавливать корневой ЦС в виртуальной среде и хранить
этот виртуальный образ в отдельном безопасном месте. Это
вариант хранения изолированных компьютеров ЦС в физически
защищенном помещении, но, в данном случае, изолированным
компьютером ЦС является виртуальный образ, а не физический
компьютер.
Защитить ЦС с помощью аппаратного модуля безопасности
Защищайте ЦС, особенно корневой ЦС, с помощью аппаратного модуля
безопасности (hardware security module, HSM) с маркером оборудования HSMоператора для ограничения доступа к закрытому ключу ЦС. Кроме ограничения
доступа к закрытому ключу ЦС, большинство HSM являются также аппаратными
ускорителями шифрования, обеспечивающими лучшую производительность, чем
обычная программная система шифрования. Больше информации о HSM можно
найти в разделе «Настройка центра сертификации с помощью аппаратного модуля
безопасности» службы Справка и поддержка Windows Server 2008.
Развернуть изолированный ЦС соответствия политике
ЦС соответствия политике – это тип промежуточного ЦС, который обычно
используется для классификации сертификатов при помощи политик. Например,
разделение может основываться на уровне гарантий, обеспечиваемом ЦС, или
географическом положении ЦС, по которому можно различать разные популяции
конечных субъектов. ЦС соответствия политике может быть подключенным к сети
или автономным.
Для публикации сертификата и CRL изолированного ЦС используйте безопасные
процедуры. Сертификат изолированного ЦС необходимо опубликовать только один
раз. Но CRL для изолированного ЦС должен публиковаться через равные
промежутки времени, соответствующие интервалу публикации CRL, заданному в
Свойствах отозванных сертификатов (Revoked Certificates Properties)
изолированного ЦС.
Если изолированный ЦС обслуживается в безопасном помещении, таком как центр
обработки данных или защищенное хранилище, лучше всего, когда публикацией
изолированного CRL в этом помещении занимается не один, а несколько
администраторов или доверенных лиц, как предписано политикой сертификатов и
уведомлениями о правилах работы с сертификатами для вашей организации.
После публикации CRL вы должны вручную перенести его из центра обработки
данных или защищенного хранилища туда, где он может быть развернут на точки
распространения CRL.
Изолированный CRL должен публиковаться, по крайней мере, за несколько дней до
истечения рока действия предыдущего CRL. Это дает возможность заранее
исправить любые проблемы с оборудованием или ошибки публикации, что
гарантирует непрерывность предоставления службы при публикации
изолированных CRL и их репликации на все точки распространения CRL (CDP).
Установив изолированный ЦС, конфигурируйте различные опции ограничений и
политик для выдаваемых им сертификатов. Эти расширения обеспечивают
приложениям и клиентам, использующим сертификаты в иерархии, возможность
гарантированно выполнять отзыв и построение цепочки по необходимости.
Microsoft рекомендует развертывать изолированный ЦС соответствия политике,
руководствуясь рекомендациями, приведенными ранее в этой главе в разделе
«Развернуть автономный корневой центр сертификации (ЦС)». С точки зрения
безопасности изолированный ЦС соответствия политике аналогичен корневому ЦС.
Однако ЦС соответствия политике будет переводиться в оперативный режим чаще,
чем корневой ЦС.
Публиковать сертификаты и списки CRL в AD DS
Если организация использует PKI для обеспечения сертификатами пользователей
и компьютеров домена, Microsoft рекомендует публиковать сертификаты и списки
CRL в AD DS. AD DS обеспечивает безопасное хранилище для сертификатов и
списков CRL. По умолчанию доступ к сертификатам и спискам CRL осуществляется
1
по протоколу LDAP (Lightweight Directory Access Protocol ). Бывают случаи, когда
невозможно организовать доступ к сертификатам и спискам CRL по протоколу
LDAP. Тогда, если PKI конфигурирована на публикацию сертификатов и списков
CRL другими методами, используются другие протоколы, такие как HTTP.
И ЦС предприятия, и автономные ЦС могут публиковать сертификаты и списки CRL
в Active Directory. По умолчанию ЦС предприятия публикуют сертификаты и списки
CRL в домен, в который они входят. Публикация сертификатов и списков CRL в
другие домены и леса должна осуществляться вручную. Также вручную
выполняется настройка автономного ЦС для публикации сертификатов и списков
CRL в Active Directory.
Устанавливать автономный ЦС так, чтобы он публиковал свои сертификаты и CLR
в AD DS, могут участники группы Администраторы домена родительского домена
предприятия или администратор с правом записи в AD DS. Больше информации о
публикации сертификата или CRL в Active Directory на автономном ЦС можно найти
в разделе «To publish as certificate or CRL to Active Directory» (Чтобы опубликовать
сертификат или CRL в Active Directory) материала Certutil tasks for managing CRLs
(Применение программы Certutil для управления списками CRL).
1
Протокол облегченного доступа к каталогам (прим. переводчика).
Развернуть подчиненные ЦС предприятия
Если в организации PKI используется, главным образом, в интрасети, разверните
подчиненные ЦС предприятия, потому что они автоматически публикуют
сертификаты и списки CRL в AD DS. Больше информации о преимуществах
публикации сертификатов и списков CRL в AD DS можно найти в предыдущем
разделе данной главы, «Публиковать сертификаты и списки CRL в AD DS».
Дополнительную информацию о развертывании подчиненных ЦС предприятия
можно найти в следующих разделах службы Справка и поддержка
Windows Server 2008:
 «Центры сертификации предприятия».
 «Установка подчиненного центра сертификации».
Опубликовать и списки CRL, и разностные CRL
В больших ЦС, переживших существенное число отзывов сертификатов, списки
CRL могут достигать очень больших размеров. Частая загрузка таких списков
представляет сложность для клиентских компьютеров. Чтобы максимально
сократить частоту загрузки больших списков CRL, существует возможность
публиковать разностные CRL. В этом случае клиентские компьютеры могут
загружать текущий CRL и, комбинируя его с последним базовым CRL, получать
полный список отозванных сертификатов. Поскольку клиентские компьютеры
обычно хранят списки CRL локально, использование разностных CRL потенциально
способствует улучшению производительности.
Чтобы использовать разностные CRL, клиентское приложение должно
поддерживать и явно использовать разностные CRL для проверки отзыва
сертификатов. Если клиентский компьютер не использует разностные CRL, он
будет извлекать CRL из ЦС при каждом обновлении своего кэша, независимо от
того, существует разностный CRL или нет. Поэтому убедитесь, что
соответствующие приложения используют разносные CRL, и надлежащим образом
настройте ЦС. Если клиентские компьютеры не поддерживают использование
разностных CRL, либо не конфигурируйте ЦС на публикацию разностных CRL, либо
настройте его таким образом, чтобы CRL и разностные CRL публиковались с
равной периодичностью. Таким образом, новые приложения, поддерживающие
разностные CRL, могут использовать их, а существующие приложения
обеспечиваются текущими списками CRL.
Примечание Все приложения, использующие CryptoAPI в Windows® XP, Windows Vista®,
Windows Server® 2003 и Windows Server 2008 используют разностные CRL.
Ограничить типы сертификатов, которые могут быть выпущены
ЦС
Разверните ЦС, которые будут выдавать особый тип сертификатов. Например,
если необходимо выдавать сертификаты для аутентификации смарт-карт или
подписи сообщений электронной почты, разверните выделенный ЦС для выдачи
сертификатов подлинности смарт-карт и отдельный ЦС для выдачи сертификатов
подписи сообщений электронной почты. Типы выдаваемых ЦС сертификатов
ограничиваются с помощью шаблонов сертификатов. Больше информации о
шаблонах сертификатов можно найти в материале Certificate Template Overview
(Обзор шаблонов сертификатов),
Реализовать разделение ролей на основании спецификаций
Common Criteria
Для организации администраторов ЦС в отдельные предопределенные роли на
основании задач используется ролевое администрирование. Microsoft рекомендует
распределят управление ролями между несколькими сотрудниками организации.
Это обеспечит невозможность компрометации служб PKI одним человеком.
Разделение ролей позволяет администраторам контролировать действия друг
друга.
Важно Количество пользователей, управляющих ЦС, должно быть ограниченным, потому
что ЦС играют решающую роль в обеспечении безопасности PKI.
1
К ролям управления PKI по стандарту Common Criteria относятся:
 Администратор PKI. Настраивает и обслуживает ЦС, назначает других
администраторов ЦС и диспетчеров сертификатов, обновляет сертификаты
ЦС.
 Диспетчер сертификатов. Подтверждает или отклоняет запросы на выпуск
сертификатов и отзывает выпущенные сертификаты.
 Оператор архива. Выполняет архивацию базы данных ЦС, настройки ЦС и
пары закрытого и открытого ключа ЦС (также называемой парой ключей).
 Диспетчер аудита. Определяет, какие события подлежат аудиту для
Службы сертификации, и анализирует журнал безопасности в Windows
Server 2008 на предмет успешных и неудачных событий аудита,
касающихся Службы сертификации.
 Диспетчер восстановления ключей. Запрашивает закрытый ключ
службы.
 Заявитель. Запрашивает сертификаты на ЦС.
Больше информации по реализации разделения ролей на базе спецификаций
Common Criteria можно найти в статье Defining PKI Management and Delegation
(Определение управления и делегирования в PKI).
Требовать многофакторную аутентификацию для пользователей
с ролями управления PKI
Факторы аутентификации пользователей обычно классифицируются следующим
образом:
 Пользователь знает специальную информацию, такую как пароль,
парольная фраза или персональный идентификационный номер (PIN).
 Пользователь использует специальное устройство, такое как смарт-карта,
маркер доступа, маркер программы, телефон или мобильный телефон.
 Пользователь предоставляет биометрический параметр, такое как
отпечаток пальца или узор сетчатки глаза, последовательность ДНК,
распознавание подписи или голоса, уникальные биоэлектрические сигналы
или другие биометрические показатели.
Часто в организациях используются сочетания этих методов. Например, платежная
карта и PIN, такой способ еще называют двухфакторной аутентификацией.
1
Общие критерии (прим. переводчика).
Проверка подлинности пользователей может проводиться только по паролю, но
для повышения уровня аутентификации в организации может использоваться
многофакторная аутентификация. В многофакторной аутентификации обычно
принимает участие физическое устройство, такое как устройство чтения смарткарт, USB-маркер доступа или устройство считывания отпечатков пальцев. Выбор
физических устройств для многофакторной аутентификации обычно
осуществляется, исходя из требований, не связанных с безопасностью.
Например, ваша организация могла бы потребовать, чтобы смарт-карты
пользователей включали идентификацию по фотографии, поскольку на смарт-карте
могут быть напечатаны фото и имя владельца. Однако для использования смарткарты необходимо устройство для чтения, что ведет к дополнительным расходам.
USB-маркер может включать флэш-память для хранения документов и файлов, и
пользователи могут подключать USB-маркер в существующие USB-порты своих
компьютеров.
Такая форма обеспечения безопасности рекомендуется для учетных записей,
выполняющих роли управления PKI. В частности, требуйте многофакторной
аутентификации для пользователей, выполняющих следующие роли управления
PKI:
 Администратор PKI
 Диспетчер сертификатов
 Оператор архива
 Диспетчер аудита
 Диспетчер восстановления ключей
Примечание По возможности рекомендуется использовать в организации многофакторную
аутентификацию, поскольку это обеспечит требование по предоставлению самых надежных
из возможных паролей для учетных записей пользователя. Использование многофакторной
аутентификации заставляет систему автоматически формировать криптографически стойкие
случайные пароли для учетных записей.
Избегать размещения OID и CDP политик или расширений
сертификатов AIA в корневых сертификатах
В качестве лучшей практики Microsoft рекомендует избегать размещения
идентификаторов объектов политики (OID) в корневых сертификатах. По
определению, корневой ЦС реализует все политики. Это относится как к ЦС
предприятия, так и к автономным ЦС.
Для ЦС, располагающегося в любой точке иерархии, может быть определена одна
или более политика. Если сертификат ЦС имеет какие-либо OID политики, все
сертификаты, располагающиеся ниже этого ЦС по иерархии, должны также иметь
подмножество OID этой политики. Цепочка сертификатов, не имеющая набора
действительных политик, будет считаться недействительной, тогда как цепочка
вообще без OID политики будет действительной и соответствовать OID «любой
политики». Это действительно только для Политик приложения, но не для Политик
выдачи. Отсутствие расширения certificatePolicies (политики сертификатов) в
некорневом сертификате означает отсутствие политики выдачи.
Кроме того, следует избегать размещения расширений Точка распространения
списков отзыва (CRL Distribution Point, CDP) и Доступ к информации о центрах
сертификации (Authority Information Access, AIA) в корневых сертификатах, потому
что некоторые приложения не контролируют отзыв сертификатов корневого ЦС.
Соответствующие параметры групповой политики
Не существует параметров групповой политики для службы роли Центр
сертификации.
Дополнительные ресурсы
Более подробные сведения из лучших практик по повышению уровня защиты
компьютеров-серверов, выполняющих службу роли Центр сертификации можно
найти в следующих источниках на сайте Microsoft.com:
 Active Directory Certificate Services.
 Certutil tasks for managing CRLs.
 Certificate Template Overview.
 Defining PKI Management and Delegation.
 Rooted Trust Model.
 Следующие разделы службы Справка и поддержка Windows Server 2008:
o «Автономные центры сертификации».
o «Центры сертификации предприятия».
o «Установка корневого центра сертификации».
o «Настройка центра сертификации при помощи аппаратного модуля
безопасности».
o «Установка подчиненного центра сертификации».
o «Реализация ролевого администрирования».
Служба роли Служба подачи заявок в центр
сертификации через Интернет
Служба роли Служба подачи заявок в центр сертификации через Интернет
обеспечивает механизм подачи заявок на выпуск и обновление сертификатов для
следующих ресурсов:
 Пользователей и компьютеров, являющихся участниками вашего домена.
 Пользователей и компьютеров, не входящих в ваш домен.
 Пользователей и компьютеров, не подключенных в вашу интрасеть
напрямую.
 Пользователей с операционной системой отличной от Windows®.
 А также загрузку списков доверия сертификатов.
Вместо использования функции автоматической подачи заявок ЦС или Мастера
запроса сертификатов (Certificate Request Wizard), можно предоставить
пользователям возможность запрашивать и получать новые или возобновленные
сертификаты по Интернету или соединению интрасети с помощью Службы подачи
заявок в центр сертификации через Интернет.
Устанавливать службу подачи заявок в центр сертификации через Интернет могут
пользователи, обладающие как минимум правами Администраторов домена или
эквивалентными им. Дополнительную информацию можно найти в разделе
«Реализация ролевого администрирования» службы Справка и поддержка Windows
Server 2008.
Больше информации о Службе подачи заявок в центр сертификации через
Интернет можно найти в статье AD CS: Web Enrollment (AD CS: подача заявок
через Интернет).
Поверхность атаки роли
Служба подачи заявок в центр сертификации через Интернет подвержена тем же
атакам на систему безопасности, что и любой ЦС. Чтобы обозначить поверхность
атаки этой службы роли, необходимо определить следующее:
 Установленные файлы. Это файлы, установленные как часть службы
подачи заявок в центр сертификации через Интернет.
 Выполняющиеся службы. Это службы, выполняющиеся как часть службы
подачи заявок в центр сертификации через Интернет.
Примечание Для проверки целостности установленных файлов и файлов,
выполняемых службой, можно воспользоваться утилитами RootkitRevealer и
Sigcheck, являющимися частью пакета служебных программ Windows Sysinternals.


Правила брандмауэра. Это используемые службой подачи заявок в центр
сертификации через Интернет правила брандмауэра Windows.
Зависимости роли. Это зависимости службы подачи заявок в центр
сертификации через Интернет.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию службы подачи заявок в центр сертификации
через Интернет для защиты сервера от злоумышленных атак. Приведенные ниже
рекомендации предполагают, что на странице Выбор служб роли Мастера
добавления ролей выбрана только опция Служба подачи заявок в центр
сертификации через Интернет. Рекомендации для других служб роли не включены.
Контрольный список настройки
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности, направленные на повышение уровня защиты серверов,
выполняющих службу подачи заявок в центр сертификации через Интернет. В
случае возникновения трудностей с выполнением каких-либо пунктов контрольного
списка дополнительное описание и рекомендации можно найти в следующих
разделах данной главы.
Таблица 9.2. Контрольный список настройки
Задачи настройки
Включить Проверку подлинности Windows для запросов внутри интрасети.
Задачи настройки
Защитить запросы на сертификаты и ответы на них с помощью шифрования
1
Secure Sockets Layer (SSL).
Выделить компьютер для службы подачи заявок в центр сертификации через
Интернет.
Выполнить рекомендации по повышению уровня защиты для роли сервера Вебслужб (IIS).
Настроить учетную запись пользователя соответственно предписанию центра
регистрации.
Включить Проверку подлинности Windows для запросов внутри
интрасети
При установке службы роли Подачи заявок на сертификат через Интернет на Вебузле по умолчанию (Default Web Site) создаются виртуальные каталоги CertSrv и
CertEnroll. Для доступа к этим виртуальным каталогам по умолчанию используется
анонимная проверка подлинности. Если Служба подачи заявок на сертификат
через Интернет обслуживает только компьютеры, подключенные к интрасети, эти
виртуальные каталоги можно конфигурировать на использование Проверки
подлинности Windows.
Проверка подлинности Windows для аутентификации клиентских компьютеров
использует протоколы NTLM или Kerberos. Проверка подлинности Windows лучше
всего подходит для среды интрасети и обычно не используется в Интернете. Для
проверки подлинности запросов, поступающих по Интернету, применяется обычная
или дайджест-аутентификация и с помощью SSL шифруется весь трафик.
Важно Не включайте анонимный доступ для виртуальных каталогов CertSrv и CertEnroll,
создаваемых на Веб-узле по умолчанию.
Больше информации о настройке Веб-узла для использования Проверки
подлинности Windows можно найти в статье IIS 7.0: Configuring Authentication in IIS
7.0 (IIS 7.0: настройка проверки подлинности в IIS 7.0)
Защитить запросы на сертификаты и ответы на них с помощью
шифрования Secure Sockets Layer (SSL)
По умолчанию виртуальные каталоги CertSrv и CertEnroll, созданные на Веб-узле
по умолчанию, используют HTTP. HTTP-протокол передает запросы на
сертификаты и отклики в виде открытого текста. Microsoft настоятельно
рекомендует защищать этот трафик с помощью SSL-шифрования.
Больше информации о том, как конфигурировать Веб-узел для защиты трафика
посредством SSL-шифрования, приведено в разделе «Шифрование данных,
пересылаемых между Веб-сервером и клиентом» службы Справка и поддержка
Windows Server 2008.
1
Протокол безопасных соединений (прим. переводчика).
Выделить компьютер для службы подачи заявок в центр
сертификации через Интернет
Установите службу подачи заявок в центр сертификации через Интернет на
компьютер, выделенный для этой службы роли. Данную службу можно
устанавливать на компьютер, выполняющий службу роли Центр сертификации, но
это приведет к увеличению поверхности атаки службы роли Центр сертификации.
Устанавливая службу роли Подача заявок в центр сертификации через Интернет на
отдельный компьютеры, вы отводите Веб-трафик с компьютера, выполняющего
службу роли Центр сертификации.
В зависимости от поддерживаемых типов пользователей может понадобиться
установить Службу подачи заявок в центр сертификации через Интернет на
несколько компьютеров. Например, если вы поддерживаете:
 Пользователей в интрасети, тогда, вероятно, в вашей интрасети должно
быть несколько компьютеров, выполняющих службу подачи заявок в центр
сертификации через Интернет
 Пользователей в Интернете, тогда, вероятно, на сетевом периметре или во
внешней сети вашей организации понадобится разместить один или более
компьютеров, выполняющих службу подачи заявок в центр сертификации
через Интернет.
Выполнить рекомендации по повышению уровня защиты для
роли сервера Веб-служб (IIS)
Поскольку данная служба роли выполняется в IIS 7.0, должны быть обязательно
выполнены рекомендации по повышению уровня безопасности для роли сервера
Веб-служб (IIS). Больше информации по повышению уровня защиты роли сервера
Веб-служб (IIS) можно найти в Главе 6, «Повышение уровня защиты Веб-служб»,
данного руководства.
Настроить учетную запись пользователя соответственно
предписанию центра регистрации
Службе подачи заявок в центр сертификации через Интернет необходим набор
учетных данных, которые она использует для аутентификации на Центре
сертификации при запросе сертификата. Этот набор называют назначенным
центром регистрации.
Microsoft рекомендует использовать в качестве назначенного центра регистрации
не учетную запись сетевой службы (NetworkService), а создавать для этого
специальную учетную запись пользователя. Причина в том, что учетной записи
пользователя можно присвоить только необходимые права и разрешения, тогда как
учетная запись NetworkService может обладать более широкими правами, чем
требуется. Кроме того, изменение прав и разрешений, предоставленных учетной
записи NetworkService, может повлиять на другие программы, выполняющиеся на
компьютере. Учетная запись пользователя должна быть участником Домена и
добавляется в локальную группу IIS_IUSRS.
Соответствующие параметры групповой политики
Не существует параметров групповой политики для службы роли Подача заявок в
центр сертификации через Интернет.
Дополнительные ресурсы
Более подробные сведения из лучших практик по повышению уровня защиты
серверов, выполняющих службу подачи заявок в центр сертификации через
Интернет, можно найти в следующих источниках на сайте Microsoft.com:
 Active Directory.
 AD CS: Web Enrollment (AD CS: подача заявок через Интернет).
 IIS 7.0: Configuring Authentication in IIS 7.0.
 Следующие разделы службы Справка и поддержка Windows Server 2008:
o «Шифрование данных, пересылаемых между Веб-сервером и
клиентом».
o «Реализация ролевого администрирования».
Служба роли Сетевой ответчик
Отзыв сертификатов – необходимая часть процесса управления сертификатами,
выпущенными ЦС. Обычно состояние отзыва сертификатов передается путем
распространения списков отзыва сертификатов (certificate revocation lists, CRLs).
Однако в инфраструктурах открытых ключей (public key infrastructures, PKIs), в
которых использование традиционных списков CRL не является оптимальным
решением, служба роли Сетевой ответчик может управлять и распространять
информацию о состоянии отзыва с помощью протокола Online Certificate Status
1
Protocol (OCSP) .
Основной недостаток традиционных списков CRL – их потенциально большой
размер, что является причиной ограниченной масштабируемости подхода с
использованием CRL. Большой размер требует от ЦС и участвующей стороны
наличия большой полосы пропускания для передачи и большого хранилища, таким
образом, ограничивает возможность распространения CRL системой. Также
слишком высокая частота публикации негативному сказывается на полосе
пропускания, дисковом пространстве и обрабатывающей способности ЦС.
Было предпринято множество попыток решить проблему с размером CRL через
введение секционированных CRL, разностных CRL и непрямых CRL. Все эти
подходы добавили сложности системе и повысили ее стоимость, не предоставив
идеального решения основной проблемы.
Другой недостаток традиционных CRL – задержка. Поскольку периодичность
публикации CRL определена заранее, информация, содержащаяся в CRL, может
устареть еще до выхода нового CRL или разностного CRL.
Примечание Операционные системы Microsoft до Windows Vista поддерживают только CRL и
разностный CRL. Windows Vista и Windows Server 2008 поддерживают CRL, разностный CRL и
OCSP как метод определения состояния сертификата. Поддержка OCSP включает как
клиентский компонент, так и Сетевой ответчик, который является серверным компонентом.
1
Протокол сетевого состояния сертификата (прим. переводчика).
Служба роли Сетевой ответчик декодирует запросы состояния отзыва
определенных сертификатов, оценивает состояние этих сертификатов и
возвращает подписанный ответ, содержащий запрашиваемую информацию о
состоянии сертификата.
Минимальным требованием для установки службы роли Сетевой ответчик является
членство в локальной группе Администраторы или эквивалентной ей.
Минимальным требованием для настройки в ЦС поддержки службы роли Сетевой
ответчик является членство в группе Администраторы домена или Администраторы
предприятия или эквивалентных им. Больше информации по вопросам
администрирования PKI можно найти в разделе «Реализация ролевого
администрирования» службы Справка и поддержка Windows Server 2008.
Больше информации о службе роли Сетевой ответчик можно найти в статье AD CS:
Online Certificate Status Protocol Support (AD CS: поддержка протокола сетевого
состояния сертификата).
Поверхность атаки
Служба роли Сетевой ответчик подвержена тем же атакам на систему
безопасности, что и любой компьютер-сервер, публикующий списки CRL. Чтобы
обозначить поверхность атаки этой службы роли, необходимо определить
следующее:
 Установленные файлы. Это файлы, установленные как часть службы
роли Сетевой ответчик.
 Выполняющиеся службы. Это службы, выполняющиеся как часть службы
роли Сетевой ответчик.
Примечание Для проверки целостности установленных файлов и файлов,
выполняемых службой, можно воспользоваться утилитами RootkitRevealer и
Sigcheck, являющимися частью пакета служебных программ Windows Sysinternals.


Правила брандмауэра. Это используемые службой роли Сетевой ответчик
правила брандмауэра Windows.
Зависимости роли. Это зависимости службы роли Сетевой ответчик.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию службы роли Сетевой ответчик для защиты
сервера от злоумышленных атак. Приведенные ниже рекомендации предполагают,
что на странице Выбор служб роли Мастера добавления ролей выбрана только
опция Служба роли Сетевой ответчик. Рекомендации для других служб роли не
включены.
Контрольный список настройки
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности, направленные на повышение уровня защиты серверов,
выполняющих службу роли Сетевой ответчик. В случае возникновения трудностей
с выполнением каких-либо пунктов контрольного списка дополнительное описание
и рекомендации можно найти в следующих разделах данной главы.
Таблица 9.3. Контрольный список настройки
Задачи настройки
Включить Проверку подлинности Windows для запросов внутри интрасети.
Защитить запросы состояния отзыва сертификатов и ответы на них с помощью
SSL-шифрования.
Защитить ключи подписи протокола OCSP с помощью HSM.
Защитить Сетевой ответчик в сценариях развертывания во внешней сети.
Выполнить рекомендации по повышению уровня защиты для роли сервера Вебслужбы (IIS).
Настроить учетную запись пользователя как назначенный центр регистрации.
Включить Проверку подлинности Windows для запросов внутри
интрасети
При установке службы роли Сетевой ответчик на Веб-узле по умолчанию
создается виртуальный каталог ocsp. Для доступа к этому виртуальному каталогу
по умолчанию используется анонимная проверка подлинности. Если Сетевой
ответчик обслуживает только компьютеры, подключенные к интрасети,
виртуальный каталог ocsp можно настроить на использование Проверки
подлинности Windows.
Проверка подлинности Windows для аутентификации клиентских компьютеров
использует протоколы NTLM или Kerberos. Проверка подлинности Windows лучше
всего подходит для интрасети и обычно не используется в Интернете. Для
проверки подлинности запросов, поступающих по Интернету, применяется обычная
или дайджест-аутентификация и с помощью SSL шифруется весь трафик.
Больше информации о настройке Веб-узла для использования Проверки
подлинности Windows можно найти в статье IIS 7.0: Configuring Authentication in IIS
7.0.
Защитить запросы состояния отзыва сертификатов и ответы на
них с помощью SSL-шифрования
По умолчанию виртуальный каталог ocsp, созданный на Веб-узле по умолчанию,
использует HTTP. HTTP-протокол передает запросы состояния отзыва
сертификатов и отклики в виде открытого текста. Microsoft настоятельно
рекомендует защищать этот трафик с помощью SSL-шифрования.
Больше информации о том, как конфигурировать Веб-узел для защиты трафика
посредством SSL-шифрования, приведено в разделе «Шифрование данных,
пересылаемых между Веб-сервером и клиентом» службы Справка и поддержка
Windows Server 2008.
Защитить ключи подписи протокола OCSP с помощью HSM
OCSP снабжает цифровой подписью каждый успешный запрос, таким образом,
запрашивающая сторона знает, что отклик на запрос состояния отзыва поступил с
надежного сервера. Служба роли Сетевой ответчик подписывает отклики ключом
подписи OCSP, который можно получить от ЦС или HSM.
В качестве HSM может выступать PCI-плата или внешнее устройство, такое как
устройство USB, PCMCIA, SCSI или RS232, которое формирует и хранит
долгосрочные данные, используемые для шифрования. Также HSM физически
защищает секреты от доступа. Основное преимущество HSM в том, что он
предоставляет более высокую безопасность для подписи ключей, используемых
ролью Сетевой ответчик, потому что HSM является физическим устройством.
Другое преимущество – большинство HSM также являются аппаратными
ускорителями шифрования. Поскольку HSM не допускают изъятия ключей с
устройства в нешифрованной форме, они должны уметь выполнять обычные
операции шифрования. Эти устройства обеспечивают лучшую производительность,
чем обычная программная система шифрования.
Больше информации о настройке Сетевого ответчика на использование HSM для
защиты ключей подписи OCSP можно найти в разделе «Using an HSM to protect
OCSP signing keys» (Использование HSM для защиты ключей подписи OCSP)
статьи Online Responder Installation, Configuration, and Troubleshooting Guide
(Руководство по установке, настройке и поиску и устранению неисправностей
Сетевого ответчика).
Защитить Сетевой ответчик в сценариях развертывания во
внешней сети
Одной из задач проектирования развертывания Сетевых ответчиков во внешней
сети является определение уровня защиты, который должен быть обеспечен ключу
подписи Сетевого ответчика. На следующем рисунке представлено два варианта
защиты Сетевого ответчика.
ISA
IIS
Сетевой
периметр
Сетевой
ответчик
Рис. 9.2. Варианты развертывания во внешней сети
На диаграмме 1 предыдущего рисунка Сетевой ответчик расположен в
защищенной локальной сети (local area network, LAN), тогда как все запросы
перенаправляются аутентифицированным сервером, выполняющим IIS, который
размещается на сетевом периметре (который также называют DMZ,
демилитаризованной зоной и промежуточной подсетью).
Преимущество такой модели развертывания в том, что настройка брандмауэра
заключается лишь в направлении трафика между IIS и Сетевым ответчиком через
определенные порты: HTTP-трафика через TCP-порт 80 или HTTPS-трафика через
TCP-порт443. Аналогичных результатов можно добиться, используя способность
сервера Microsoft Internet Security and Acceleration (ISA) выступать в роли обратного
прокси-сервера, как показано на диаграмме 2 предыдущего рисунка.
Больше информации о том, как защитить Сетевой ответчик в сценариях
развертывания во внешней сети, можно найти в разделе «Using an HSM to protect
OCSP signing keys» статьи Online Responder Installation, Configuration, and
Troubleshooting Guide.
Выполнить рекомендации по повышению уровня защиты для
роли сервера Веб-службы (IIS)
Поскольку данная служба роли выполняется в IIS 7.0, должны быть обязательно
выполнены рекомендации по повышению уровня безопасности для роли сервера
Веб-служб (IIS). Больше информации по повышению уровня защиты роли сервера
Веб-служб (IIS) можно найти в Главе 6, «Повышение уровня защиты Веб-служб»,
данного руководства.
Настроить учетную запись пользователя как назначенный центр
регистрации
Службе роли Сетевой ответчик необходим набор учетных данных, которые она
использует для аутентификации в Центре сертификации при запросе сертификата.
Этот набор называют назначенным центром регистрации.
Microsoft рекомендует использовать в качестве назначенного центра регистрации
не учетную запись сетевой службы (NetworkService), а создавать специальную
учетную запись пользователя для этого. Причина в том, что учетной записи
пользователя можно присвоить только необходимые права и разрешения, тогда как
учетная запись NetworkService может обладать более широкими правами, чем
требуется. Кроме того, изменение прав и разрешений, предоставленных учетной
записи NetworkService, может повлиять на другие программы, выполняющиеся на
компьютере. Учетная запись пользователя должна быть участником Домена и
добавляется в локальную группу IIS_IUSRS.
Соответствующие параметры групповой политики
Не существует параметров групповой политики для службы роли Сетевой ответчик.
Дополнительные ресурсы
Более подробные сведения из лучших практик по повышению уровня защиты
серверов, выполняющих службу роли Сетевой ответчик можно найти в следующих
источниках:
 Active Directory.
 AD CS: Online Certificate Status Protocol Support.
 IIS 7.0: Configuring Authentication in IIS 7.0.
 Online Responder Installation, Configuration, and Troubleshooting Guide.
 Раздел «Реализация ролевого администрирования» службы Справка и
поддержка Windows Server 2008.
Служба подачи заявок на сетевые устройства
Служба подачи заявок на сетевые устройства (Network Device Enrollment Service,
NDES) обеспечивает возможность маршрутизаторам и другим сетевым
устройствам, не имеющим учетных записей Windows, получать сертификаты. NDES
1
– это реализация Microsoft протокола Simple Certificate Enrollment Protocol (SCEP) ,
протокола связи, который позволяет программам, выполняющимся на сетевых
устройствах, таким как маршрутизаторы и коммутаторы, которые не могут быть
аутентифицированы в сети никаким другим образом, подавать заявку на получение
сертификатов X.509 от ЦС.
Минимальным требованием для настройки службы подачи заявок на сетевые
устройства является членство в группе Администраторы. Больше информации
можно найти в разделе «Реализация ролевого администрирования» службы
Справка и поддержка Windows Server 2008.
1
Протокол простой подачи заявки на сертификат (прим. переводчика).
Для получения дополнительной информации об этой службе роли обратитесь к
следующим ресурсам:
 AD CS: Network Device Enrollment Service (AD CS: служба подачи заявок на
сетевые устройства).
 Microsoft SCEP Implementation Whitepaper (Документация по реализации
Microsoft SCEP).
Поверхность атаки
Служба роли NDES во многом подвержена тем же атакам на систему безопасности,
что и любой ЦС. Чтобы обозначить поверхность атаки этой службы роли,
необходимо определить следующее:
 Установленные файлы. Это файлы, установленные как часть службы
роли NDES.
 Выполняющиеся службы. Это службы, выполняющиеся как часть службы
роли NDES.
Примечание Для проверки целостности установленных файлов и файлов,
выполняемых службой, можно воспользоваться утилитами RootkitRevealer и
Sigcheck, являющимися частью пакета служебных программ Windows Sysinternals.


Правила брандмауэра. Это используемые службой роли NDES правила
брандмауэра Windows.
Зависимости роли. Это зависимости службы роли NDES.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию службы роли NDES для защиты сервера от
злоумышленных атак. Приведенные ниже рекомендации предполагают, что на
странице Выбор служб роли Мастера добавления ролей выбрана только опция
Служба подачи заявок на сетевые устройства. Рекомендации для других служб
роли не включены.
Контрольный список настройки
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности, направленные на повышение уровня защиты серверов,
выполняющих службу роли NDES. В случае возникновения трудностей с
выполнением каких-либо пунктов контрольного списка дополнительное описание и
рекомендации можно найти в следующих разделах данной главы.
Таблица 9.4. Контрольный список настройки
Задачи настройки
Настроить учетную запись пользователя как назначенный центр регистрации.
Обеспечить максимальную безопасность центра сертификации.
Настроить учетную запись пользователя как назначенный центр
регистрации
Службе роли NDES необходим набор учетных данных, которые она использует для
аутентификации на Центре сертификации при запросе сертификата. Этот набор
называют назначенным центром регистрации.
Microsoft рекомендует использовать в качестве назначенного центра регистрации
не учетную запись сетевой службы (NetworkService), а создавать специальную
учетную запись пользователя для этого. Причина в том, что учетной записи
пользователя можно присвоить только необходимые права и разрешения, тогда как
учетная запись NetworkService может обладать более широкими правами, чем
требуется. Кроме того, изменение прав и разрешений, предоставленных учетной
записи NetworkService, может повлиять на другие программы, выполняющиеся на
компьютере. Учетная запись пользователя должна быть участником Домена и
добавляется в локальную группу IIS_IUSRS.
Больше информации о настройке учетной записи в качестве назначенного центра
регистрации можно найти в разделе «Настройка службы подачи заявок на сетевые
устройства» в службе Справка и поддержка Windows Server 2008.
Обеспечить максимальную безопасность центра сертификации
Для подачи заявок на сетевые устройства служба роли NDES использует два
сертификата и их ключи. Один сертификат и ключ используется, чтобы избежать
повторных подключений между ЦС и Центром регистрации. Другой сертификат и
ключ обеспечивают безопасность обмена информацией между Центром
регистрации и сетевым устройством.
Организации могут хранить эти ключи у других Поставщиков служб шифрования
(Cryptographic Service Providers, CSPs) или могут менять длину ключей,
используемых службой. Конфигурацию Центра регистрации можно задать при
установке службы роли NDES на странице Настроить шифрование для центра
регистрации (Configure Cryptography for Registration Authority). Если не
предъявляются какие-либо специальные требования, Microsoft рекомендует
сохранять стандартные настройки.
Примечание Для ключей Центра регистрации поддерживаются только Поставщики служб
криптографического прикладного программного интерфейса (Cryptographic Application
Programming Interface, CryptoAPI). Поставщики следующего поколения криптографических
API (Cryptography API: Next Generation, CNG) не поддерживаются.
Соответствующие параметры групповой политики
Не существует параметров групповой политики для службы роли NDES.
Дополнительные ресурсы
Более подробные сведения из лучших практик по повышению уровня защиты
серверов, выполняющих службу роли NDES, можно найти в следующих источниках:
 Active Directory Certificate Services.
 AD CS: Network Device Enrollment Service.
 Microsoft SCEP Implementation Whitepaper.

В службе Справка и поддержка Windows Server 2008 этим вопросам
посвящены следующие разделы:
o «Реализация ролевого администрирования».
o «Настройка службы подачи заявок на сетевые устройства».
Дополнительные ресурсы
Более подробные сведения из лучших практик по повышению уровня защиты
серверов, выполняющих службы роли AD CS, предоставляют следующие ресурсы
сайта Microsoft.com:
 Для службы роли Центр сертификации:
 Active Directory Certificate Services.
 Certutil tasks for managing CRLs.
 Certificate Template Owerview.
 Defining PKI Management and Delegation.
Разделы Справки и поддержки Windows Server 2008:
 «Центры сертификации предприятия».
 «Установка корневого центра сертификации».
 «Установка подчиненного центра сертификации».
 «Настройка центра сертификации с использованием аппаратного
модуля безопасности».
 «Автономные центры сертификации».
 «Реализация ролевого администрирования».
 Для службы подачи заявок в центр сертификации через Интернет:
 Active Directory Certificate Services.
 AD CS: Web Enrollment.
 IIS 7.0: Configuring Authentication in IIS 7.0.
Разделы Справки и поддержки Windows Server 2008:
 «Шифрование данных, пересылаемых между Веб-сервером и
клиентом».
 «Реализация ролевого администрирования».
 Для службы роли Сетевой ответчик:
 Active Directory Certificate Services.
 AD CS: Online Certificate Status Protocol Support.
 IIS 7.0: Configuring Authentication in IIS 7.0.
 Online Responder Installation, Configuration, and Troubleshooting Guide.
Разделы Справки и поддержки Windows Server 2008:
 «Реализация ролевого администрирования».
 Для службы подачи заявок на сетевые устройства:
 Active Directory Certificate Services.
 AD CS: Network Device Enrollment Service.
 Microsoft SCEP Implementation Whitepaper.
Разделы Справки и поддержки Windows Server 2008:
 «Настройка службы подачи заявок на сетевые устройства».
 «Реализация ролевого администрирования».
Глава 10: Повышение уровня защиты служб политики
сети и доступа
Службы политики сети и доступа (Network Policy and Access Services, NPAS) в
Windows Server® 2008 обеспечивают технологии, позволяющие развертывать и
работать с виртуальной частной сетью (virtual private network, VPN),
коммутационной сетью, выполнять защищенный по стандарту 802.1X проводной и
беспроводной доступ и работать с устройствами на базе Cisco Network Admission
1
Control (NAC) . Используя NPAS, можно определять и применять политики
аутентификации, авторизации и оценки безопасного состояния клиента для входа в
сеть с помощью Сервера политики сети (Network Policy Server, NPS), Службы
маршрутизации и удаленного доступа (Routing and Remote Access Service), Центра
регистрации работоспособности (Health Registration Authority, HRA) и Протокола
авторизации учетных данных узла (Host Credential Authorization Protocol, HCAP).
NPS может развертываться как сервер Службы удаленной аутентификации
пользователей, устанавливающих соединение по телефонным линиям (Remote
Authentication Dial-in User Service, RADIUS), RADIUS-прокси, одновременно сервер
и прокси-сервер RADIUS и как сервер политики безопасности клиента для сети
Защищенного сетевого доступа (Network Access Protection, NAP). NAP
обеспечивает совместимость подключающихся к сети компьютеров с сетью
организации и их соответствие политикам безопасности клиента для сети.
Примечание Роль сервера NPAS недоступна в установках Server Core Windows Server 2008.
В данной главе предлагается нормативное руководство по повышению уровня
защиты служб роли NPAS. Службы роли, составляющие роль NPAS, представлены
на следующем рисунке.
1
Управление доступом в сеть (прим. переводчика).
Сервер политики сети
Маршрутизация и удаленный доступ
Роль Службы политики
сети и доступа
Служба удаленного доступа
Служба маршрутизации
Центр регистрации работоспособности
Протокол авторизации учетных данных узла
Рис. 10.1. Иерархия служб роли NPAS
Каждая служба роли NPAS выполняет особые функции, поэтому необходимо
сначала определить, какие службы роли NPAS настроены на сервере, а потом
заниматься повышением уровня защиты каждой из них.
Служба роли NPS
NPS – это реализация Microsoft RADIUS сервера и прокси-сервера. NPS может
использоваться для централизованного управления доступом в сеть посредством
разнообразных серверов сетевого доступа, включая точки беспроводного доступа,
VPN-серверы, серверы удаленного доступа и коммутаторы, выполняющие
аутентификацию по стандарту 802.1X. Кроме того, с помощью NPS можно
реализовывать безопасную проверку паролей путем использования любого
совместимого с RFC3748 метода Протокола расширенной проверки подлинности
(Extensible Authentication Protocol, EAP), такого как Защищенный протокол
расширенной проверки подлинности (Protected Extensible Authentication Protocol,
PEAP) PEAP-MS-CHAP v2 или Облегченный протокол расширенной проверки
подлинности (Lightweight Extensible Authentication Protocol, LEAP). Также NPS
содержит ключевые компоненты для развертывания NAP в вашей сети.
Больше информации о службе роли NPS можно найти в статье Network Policy
Server (Сервер политики сети) на сайте Microsoft® TechNet.
Поверхность атаки
Служба роли NPS подвержена тем же атакам на систему безопасности, что и
любой RADIUS-сервер и прокси-сервер. Чтобы обозначить поверхность атаки этой
службы роли, необходимо определить следующее:
 Установленные файлы. Это файлы, установленные как часть службы
роли NPS.
 Выполняющиеся службы. Это службы, выполняющиеся как часть службы
роли NPS.
Примечание Для проверки целостности установленных файлов и файлов,
выполняемых службой, можно воспользоваться утилитами RootkitRevealer и
Sigcheck, являющимися частью пакета служебных программ Windows Sysinternals.

Правила брандмауэра. Это используемые службой роли NPS правила
брандмауэра Windows.
 Зависимости роли. Это зависимости службы роли NPS.
Подробная информация о поверхности атаки для роли NPS включена в книгу
«Справочник по поверхности атаки в Windows Server 2008», прилагаемой к данному
руководству. Оценить поверхность атаки для данной роли сервера можно при
помощи вкладки NPAS книги в разделах, соответствующих каждому из пунктов
предыдущего списка.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию службы роли NPS для защиты сервера от
злоумышленных атак. Приведенные ниже рекомендации предполагают, что на
странице Выбор служб роли Мастера добавления ролей выбрана только опция
служба роли NPS. Рекомендации для других служб роли не включены.
Контрольный список настройки
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности, направленные на повышение уровня защиты серверов,
выполняющих службу роли NPS. В случае возникновения трудностей с
выполнением каких-либо пунктов контрольного списка дополнительное описание и
рекомендации можно найти в следующих разделах данной главы.
Таблица 10.1. Контрольный список настройки
Задачи настройки
Ограничить трафик на основании предлагаемых служб.
Запретить запросы от устройств, поддерживающих устаревшие версии
протокола RADIUS .
Явно задать клиентов RADIUS.
Защитить компьютеры, выполняющие NPS.
Настроить правила промежуточных брандмауэров.
Использовать IPsec для защиты соединений между NPS и RADIUS-клиентами.
Включить атрибут проверки подлинности сообщения, если не используется
аутентификация по протоколу EAP.
Защитить общие секреты RADIUS.
Использовать протокол проверки подлинности PEAP или EAP-TLS для
аутентификации клиентских компьютеров и пользователей.
Ограничить трафик на основании предлагаемых служб
Можно настроить службу роли NPS так, чтобы она отвечала только на запросы на
проверку подлинности RADIUS, только на запросы учетных данных RADIUS или на
оба типа запросов.
 Изменяя правила брандмауэра Windows, на компьютерах, которые
отвечают только на запросы на проверку подлинности, запретите UDPпорты, отвечающие на запросы учетных данных (UDP-порты 1812 и 1645).
 Изменяя правила брандмауэра Windows, на компьютерах, которые
отвечают только на запросы учетных данных, запретите UDP-порты,
отвечающие только на запросы на проверку подлинности (UDP-порты 1813
и 1646).
Запрещая неиспользуемый трафик, вы уменьшаете поверхность атаки компьютера,
выполняющего службу роли NPS. Больше информации о настройке правил
брандмауэра Windows можно найти в разделе «Правила брандмауэра» службы
Справка и поддержка Windows Server 2008.
Запретить запросы от устройств, поддерживающих устаревшие
версии протокола RADIUS
Стандарт протокола RADIUS поддерживает два набора UDP-портов: одну пару для
текущего стандарта RADIUS (UDP-порты 1812 и 1813), и пару для поддержки
предыдущих версий (UDP-порты1645 и 1646). Если все устройства NAS
организации поддерживают текущую версию стандарта RADIUS, следует запретить
UDP-порты для поддержки устаревших версий, изменив правила брандмауэра
Windows и блокировав входящий трафик на UDP-порты 1645 и 1646. Больше
информации о настройке правил брандмауэра Windows можно найти в разделе
«Правила брандмауэра» службы Справка и поддержка Windows Server 2008.
Явно задать клиентов RADIUS
Можно настроить NPS на обмен информацией со всеми клиентами RADIUS
(например, устройствами NAS) в вашей интрасети. Это известно как общий доступ.
Однако такая конфигурация включает всех RADIUS-клиентов, в том числе и
подставных RADIUS-клиентов.
Чтобы предотвратить возможность подключения подставных RADIUS-клиентов к
NPS, необходимо явно задавать RADIUS-клиентов, используемых для удаленного
доступа. Больше информации о явном задании RADIUS-клиента приводится в
разделе «Добавление RADIUS-клиента» службы Справка и поддержка Windows
Server 2008.
Защитить компьютеры, выполняющие NPS
Компьютер-сервер, выполняющий роль NPS, для подтверждения подлинности
учетных данных удаленных пользователей должен обмениваться информацией с
контроллерами домена Доменных служб Active Directory® (AD DS). NPS-сервер
общается с AD DS напрямую, поэтому серверы, выполняющие службу роли NPS,
должны располагаться в защищенных сетях, таких как ваша интрасеть,
защищенная внешняя сеть или защищенный сетевой периметр. Больше
информации об обмене информацией между NPS и контроллерами домена можно
найти в статье Network Policy Server Infrastructure (Инфраструктура сервера
политики сети) на сайте Microsoft® TechNet.
Настроить правила промежуточных брандмауэров
RADIUS-клиенты обычно размещаются во внешней сети или на сетевом периметре
(также называемом DMZ, демилитаризованной зоной и промежуточной подсетью).
Компьютеры, выполняющие службу роли NPS, обычно находятся в защищенных
сетях, в которых между RADIUS-клиентом и NPS устанавливается один или более
брандмауэров.
Правила промежуточных брандмауэров настраиваются на разрешение
соответствующего типа трафика. Больше информации о типах допускаемого
трафика представлено в предыдущих разделах: «Ограничить трафик на основании
предлагаемых служб» и «Запретить запросы от устройств, поддерживающих
устаревшие версии протокола RADIUS».
Использовать IPsec для защиты соединений между NPS и
RADIUS-клиентами
RADIUS-клиенты обычно располагаются в менее безопасных средах по сравнению
со средой, в которой находится компьютер, выполняющий службу роли NPS. Для
предотвращения потенциальной возможности просмотра трафика между NPS и
RADIUS-клиентами необходимо защитить соединения с помощью IPsec, который
включает следующие протоколы:
 IPSec с использованием аутентификации заголовка (IPSec using
Authentication Header, IPSec AH). Этот протокол обеспечивает
целостность, проверку подлинности и неподдельность в случае
правильного выбора алгоритмов шифрования.
 IPSec с использованием защищенной инкапсуляции содержимого
(IPSec using Encapsulating Security Payload, IPSec ESP). Этот протокол
обеспечивает конфиденциальность, а также необязательную проверку
подлинности и защиту целостности, что настоятельно рекомендуется
Microsoft.
Для защиты соединений между NPS и RADIUS-клиентами может применяться
любой из приведенных протоколов через использование IPsec. Однако наивысший
уровень защиты IPsec обеспечивает в случае применения обоих протоколов.
Microsoft рекомендует использовать другие методы проверки подлинности IPsec
вместо предварительных ключей, такие как аутентификация по протоколу Kerberos
версии 5 или сертификату открытого ключа. Больше информации можно найти в
разделе IPsec на сайте TechNet.
Включить атрибут проверки подлинности сообщения, если не
используется аутентификация по протоколу EAP
При конфигурации RADIUS-клиента в NPS вы задаете IP-адрес клиента. Если
входящее сообщение запроса доступа RADIUS поступает не с заданного IP-адреса
клиента, NPS игнорирует это сообщение, защищая NPS-сервер. Однако
злоумышленники могут подделывать исходные IP-адреса.
Важно Клиентские компьютеры, такие как портативные компьютеры с беспроводным
подключением и другие компьютеры с клиентскими ОС, не являются RADIUS-клиентами.
RADIUS-клиенты – это серверы сетевого доступа, такие как точки беспроводного доступа,
коммутаторы, выполняющие аутентификацию по стандарту 802.1X, серверы виртуальной
частной сети и серверы удаленного доступа. Они являются RADIUS-клиентами, потому что
используют протокол RADIUS для связи с RADIUS-серверами, такими как серверы Network
Policy Server (NPS).
Чтобы обеспечить защиту от поддельных сообщений запроса доступа и искажений
сообщений RADIUS, можно дополнительно защитить каждое сообщение RADIUS
атрибутом RADIUS Message Authenticator (Удостоверение сообщения RADIUS).
Он описан в спецификации RFC 2869, RADIUS Extensions (Расширения RADIUS).
Включение атрибута Message Authenticator обеспечивает дополнительную
безопасность при использовании для аутентификации протоколов PAP, CHAP, MSCHAP и MS-CHAP v2. EAP использует атрибут Message Authenticator по
умолчанию. Поэтому если методом проверки подлинности является EAP, нет
необходимости включать атрибут Message Authenticator.
О том, как настраивать атрибут Message Authenticator для RADIUS-клиентов
сервера NPS, рассказывает раздел «Использование атрибута Message
Authenticator» службы Справка и поддержка Windows Server 2008.
Защитить общие секреты RADIUS
Общие секреты используются для проверки достоверности сообщений RADIUS. Их
рассылает устройство с поддержкой RADIUS, конфигурированное таким же общим
секретом, со всеми сообщениями, кроме сообщений запроса доступа. Общие
секреты также удостоверяют, что RADIUS-сообщение не было изменено при
передаче, и гарантируют целостность сообщения. Общий секрет используется для
шифрования некоторых атрибутов RADIUS, таких как User-Password (Пароль
пользователя) и Tunnel-Password (Пароль туннеля). Для проверки достоверности
сообщений запроса доступа можно активировать атрибут RADIUS Message
Authenticator, как для RADIUS-клиента, конфигурированного на сервере NPS, так и
для подключаемого сервера.
При создании и использовании общего секрета придерживайтесь следующих
рекомендаций и лучших практик:
 На обоих RADIUS-устройствах используйте один чувствительный к регистру
общий секрет.
 Для каждой пары RADIUS-сервер – RADIUS-клиент используйте разные
общие секреты.
 Чтобы гарантировать случайность общего секрета, генерируйте случайную
последовательность, по крайней мере, 22 символа длиной.
 Могут использоваться любые стандартные буквенно-цифровые и
специальные символы.
 Общий секрет может быть длиной до 128 символов. Чтобы защитить свой
сервер Microsoft Internet Security and Acceleration (IAS) и RADIUS-клиентов
от атак методом подбора, используйте общие секреты длинной более 22
символов.
 Чтобы защитить IAS-сервер и RADIUS-клиентов от атак перебором по
словарю, создавайте общий секрет, являющийся случайной
последовательностью букв, цифр и знаков препинания, и часто меняйте
его. Общие секреты должны содержать символы из каждой из приведенной
в следующей таблице групп:
Таблица 10.2. Символы, используемые в общих секретах
Группа
Примеры
Буквы (верхнего и нижнего регистра)
A, B, C и a, b, c
Цифры
0, 1, 2, 3
Символы (все символы, не являющиеся
буквами или цифрами)
Восклицательный знак (!), звездочка
(*), двоеточие (:)
Чем надежнее общий секрет, тем более безопасными будут атрибуты таких
сущностей как пароли и ключи шифрования, которые его используют. Примером
надежного общего секрета может быть такой секрет: 8d#>9fq4bV)H7%a3-zE13sW.
Больше информации о создании надежных общих секретов можно найти в статье
Shared secrets (Общие секреты) на сайте TechNet.
Использовать протокол проверки подлинности PEAP или EAPTLS для аутентификации клиентских компьютеров и
пользователей
Операционные системы на базе Windows®, к которым относится и Windows
Server 2008, поддерживают разнообразнейшие протоколы проверки подлинности.
Самыми надежными из поддерживаемых протоколов проверки подлинности
являются Защищенный протокол расширенной проверки подлинности (Protected
Extensible Authentication Protocol, PEAP) и Расширяемый протокол проверки
подлинности - безопасность транспортного уровня (Extensible Authentication Protocol
- Transport Level Security, EAP-TLS). Оба этих протокола обеспечивают безопасную
инфраструктуру для взаимной аутентификации между NPS и клиентскими
компьютерами.
EAP-TLS – протокол типа EAP, используемый для проверки подлинности с
использованием смарт-карт или сертификатов. Обмен сообщениями EAP-TLS
обеспечивает взаимную аутентификацию, согласование комплекта шифров с
защитой целостности и определение и обмен закрытыми ключами между
подключаемым клиентом и сервером проверки подлинности. EAP-TLS может
использоваться для аутентификации пользователей или компьютеров.
PEAP не определяет метода аутентификации, но он обеспечивает дополнительную
безопасность для других протоколов проверки подлинности EAP, которые могут
использовать кодированный TLS канал, предоставляемый PEAP. PEAP
применяется как метод аутентификации для клиентских компьютеров с
беспроводным подключением по стандарту 802.11, но он не поддерживается для
сетей VPN или других клиентов удаленного доступа.
PEAP может использоваться со следующими протоколами:
 EAP-MS-CHAPv2 (PEAP-EAP-MS-CHAPv2), который легче развертывать,
чем EAP-TLS, потому что проверка подлинности пользователя выполняется
по учетным данным на базе пароля (имя пользователя и пароль), а не с
использованием сертификатов или смарт-карт. Сертификат должен иметь
только IAS-сервер или RADIUS-сервер.
 EAP-TLS (PEAP-EAP-TLS), которые использует сертификаты для проверки
подлинности сервера и любые сертификаты или смарт-карты для
аутентификации пользовательских и клиентских компьютеров.
Сертификаты открытого ключа обеспечивают намного более надежный
метод проверки подлинности, чем методы, в которых используются учетные
данные на базе пароля. Чтобы использовать PEAP-EAP-TLS, вы должны
развернуть инфраструктуру открытых ключей (PKI).
Microsoft рекомендует использовать EAP-TLS или PEAP-EAP-TLS для обеспечения
максимальной безопасности аутентификации. Больше информации о протоколе
проверки подлинности PEAP можно найти в статье Protected Extensible
Authentication Protocol (PEAP) (Защищенный протокол расширенной проверки
подлинности) на Веб-сайте MSDN®. Больше информации о EAP-TLS можно найти в
статье Extensible Authentication Protocol (Протокол расширенной проверки
подлинности) на сайте TechNet.
Соответствующие параметры групповой политики
В следующей таблице представлены параметры политики, касающиеся службы
роли NPS. Используйте их в своем решении для реализации соответствующей
конфигурации. Параметры политики, приведенные в следующей таблице, должны
настраиваться как политика удаленного доступа на серверах, выполняющих службу
роли NPS.
Таблица 10.3. Политика удаленного доступа службы роли NPS
Объект политики
Описание
Ignore-User-Dialin-Properties
(игнорировать свойства удаленного
подключения пользователя)
Игнорируются любые связанные с
удаленным доступом свойства учетной
записи пользователя или группы.
Дополнительные ресурсы
Более подробные сведения из лучших практик по повышению уровня защиты
серверов, выполняющих роль NPS? можно найти на сайте Microsoft.com в
следующих источниках:
 Extensible Authentication Protocol (Расширяемый протокол проверки
подлинности).
 IPsec.
 Network Policy Server.
 Network Policy Server Infrastructure.
 Protected Extensible Authentication Protocol (PEAP).
 Server and Domain Isolation (Изоляция сервера и домена).
 Shared secrets.
Служба роли маршрутизации и удаленного
доступа
С помощью службы маршрутизации и удаленного доступа можно развертывать
VPN и службы коммутируемого удаленного доступа, а также службы
маршрутизации многопротокольной связи между локальными сетями (LAN-to-LAN),
между локальными и глобальными сетями (LAN-to-WAN), виртуальных частных
сетей (VPN), а также для преобразования сетевых адресов (NAT). Служба роли
маршрутизации и удаленного доступа включает следующие подсистемы:
 Служба удаленного доступа
 Маршрутизация
Каждой подсистеме службы роли посвящен отдельный раздел.
Больше информации о службе роли маршрутизации и удаленного доступа можно
найти в материалах:
 Routing and Remote Access (Маршрутизация и удаленный доступ).
 Routing and Remote Access Blog (Блог по маршрутизации и удаленному
доступу).
Служба удаленного доступа
Служба удаленного доступа является подсистемой службы роли маршрутизации и
удаленного доступа. Она отвечает за обеспечение служб коммутируемого
удаленного доступа и VPN.
Хотя многие из представленных здесь рекомендаций применимы к службам
коммутируемого удаленного доступа, основное внимание в данном руководстве
уделяется повышению уровня защиты серверов, предоставляющих службы
удаленного доступа для VPN.
Серверы, выполняющие эту службу роли, используются как NAS-устройства
(RADIUS-клиенты) и должны быть конфигурированы на использование служб
проверки подлинности и аудита, предоставляемых NPS. Больше информации о
повышении уровня защиты серверов, выполняющих службу роли NPS, можно найти
в данной главе выше в разделе «Служба роли NPS».
Больше информации о службе удаленного доступа представлено по следующим
ссылкам:
 Routing and Remote Access.
 Routing and Remote Access Blog.
Поверхность атаки
Служба удаленного доступа подвержена тем же атакам на систему безопасности,
что и любые пограничные службы сети, и службы VPN, в частности. К таким атакам
относятся попытки определения операционной системы VPN, угадывание имени
пользователя, автономный подбор пароля, атаки с перехватом и т.д. Чтобы
обозначить поверхность атаки этой службы роли, необходимо определить
следующее:
 Установленные файлы. Это файлы, установленные как часть службы
удаленного доступа.
 Выполняющиеся службы. Это службы, выполняющиеся как часть службы
удаленного доступа.
Примечание Для проверки целостности установленных файлов и файлов,
выполняемых службой, можно воспользоваться утилитами RootkitRevealer и
Sigcheck, являющимися частью пакета служебных программ Windows Sysinternals.

Правила брандмауэра. Это используемые службой удаленного доступа
правила брандмауэра Windows.
Примечание Некоторые из используемых службой удаленного доступа правила
брандмауэра Windows деактивированы. Для их активации необходимо использовать
мастер Настроить и включить маршрутизацию и удаленный доступ (Configure
and Enable Routing and Remote Access). Больше информации о запуске этого мастера
можно найти в разделе «Установка и включение службы маршрутизации и удаленного
доступа» службы Справка и поддержка Windows Server 2008.
 Зависимости роли. Это зависимости службы удаленного доступа.
Подробная информация о поверхности атаки для службы удаленного доступа
включена в книгу «Справочник по поверхности атаки в Windows Server 2008»,
прилагаемой к данному руководству. Оценить поверхность атаки для данной роли
сервера можно при помощи вкладки NPAS книги в разделах, соответствующих
каждому из пунктов предыдущего списка.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию службы удаленного доступа для защиты сервера
от злоумышленных атак. Приведенные ниже рекомендации предполагают, что на
странице Выбор служб роли Мастера добавления ролей выбрана только опция
Служба роли Служба удаленного доступа. Рекомендации для других служб роли не
включены.
Контрольный список настройки
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности, направленные на повышение уровня защиты серверов,
выполняющих службу удаленного доступа. В случае возникновения трудностей с
выполнением каких-либо пунктов контрольного списка дополнительное описание и
рекомендации можно найти в следующих разделах данной главы.
Таблица 10.4. Контрольный список настройки
Задачи настройки
Защитить компьютеры, выполняющие службу удаленного доступа.
Настроить правила промежуточных брандмауэров.
Сделать компьютеры, выполняющие службу удаленного доступа, участниками
леса внешней сети.
Использовать IPsec для защиты соединений между службой удаленного
доступа и NPS.
Защитить общие секреты RADIUS.
Требовать многофакторной аутентификации для удаленных пользователей.
Ограничить круг пользователей, имеющих возможность удаленного доступа к
вашей интрасети.
Использовать для аутентификации пользователей и клиентских компьютеров
удаленного доступа протокол проверки подлинности PEAP или EAP-TLS.
Обеспечить безопасность связи клиентов удаленного доступа.
Задачи настройки
Использовать NPS для обеспечения централизованной аутентификации
пользователей.
Защитить компьютеры, выполняющие службу удаленного
доступа
Серверу, выполняющему роль Служба удаленного доступа, необходимо
обмениваться информацией с клиентскими компьютерами удаленного доступа по
Интернету. Обычно компьютеры, выполняющие службу удаленного доступа,
располагаются непосредственно за внешними брандмауэрами, обеспечивающими
вход и выход в Интернет.
Компьютеры, выполняющие службу удаленного доступа, обмениваются
информацией с компьютерами, выполняющими службу роли NPS. NPS-сервер
связывается с AD DS напрямую, поэтому серверы, выполняющие службу роли
NPS, должны размещаться в защищенных сетях, таких как интрасеть, безопасная
внешняя сеть или безопасный сетевой периметр.
Настроить правила промежуточных брандмауэров
Компьютеры, выполняющие службу удаленного доступа, обычно располагаются в
вашей внешней сети или на сетевом периметре. Компьютеры, выполняющие
службу роли NPS, как правило, размещаются в защищенных сетях. Между
компьютерами, выполняющими службы роли Служба удаленного доступа и NPS,
устанавливается один или более брандмауэров.
Правила промежуточных брандмауэров настраиваются на разрешение
соответствующего типа трафика. Больше информации о типах допускаемого
трафика представлено ранее в данной главе в разделах «Ограничить трафик на
основании предлагаемых служб» и «Запретить запросы от устройств,
поддерживающих устаревшие версии протокола RADIUS».
Сделать компьютеры, выполняющие службу удаленного доступа,
участниками леса внешней сети
Компьютеры, выполняющие службу удаленного доступа, обычно располагаются в
средах, менее безопасных, чем те среды, в которых находятся компьютеры,
выполняющие службу роли NPS, например, на сетевом периметре или во внешней
сети. Во многих внешних сетях есть лес AD DS (лес внешней сети), который
управляет учетными данными, используемыми службами, выполняющимися на
компьютерах внешней сети.
Разверните компьютеры, выполняющие службу удаленного доступа, как участников
леса внешней сети. Обычно между лесом внешней сети и лесом AD DS вашей
интрасети устанавливается одностороннее отношение доверия.
Использовать IPsec для защиты соединений между службой
удаленного доступа и NPS
Компьютеры, выполняющие службу удаленного доступа, обычно располагаются в
менее безопасных средах по сравнению со средой, в которой находится
компьютер, выполняющий службу роли NPS. Для предотвращения потенциальной
возможности просмотра трафика между компьютерами, выполняющими службу
роли Маршрутизация и удаленный доступ и NPS, необходимо защитить
соединения с помощью IPsec. Больше информации об обеспечении безопасности
обмена информацией между службами Маршрутизация и удаленный доступ и NPS
можно найти в данной главе выше в разделе «Использовать IPsec для защиты
соединений между NPS и RADIUS-клиентами».
Защитить общие секреты RADIUS
Посредством общих секретов RADIUS выполняется проверка того, что RADIUSсообщения, кроме сообщения запроса доступа, были отправлены устройством с
поддержкой RADIUS, конфигурированным таким же общим секретом. Служба
удаленного доступа выступает в роли NAS-устройства (RADIUS-клиент), которое
связывается с NPS (RADIUS-сервер). Больше информации о защите общих
секретов RADIUS представлено ранее в данной главе в разделе «Защитить общие
секреты RADIUS».
Требовать многофакторной аутентификации для удаленных
пользователей
Существует следующая классификация методов аутентификации пользователя:
 Пользователь располагает специальной информацией, такой как пароль,
парольная фраза или персональный идентификационный номер (PIN).
 Пользователь имеет специальное устройство, такое как смарт-карта,
маркер доступа, маркер программы или мобильный телефон.
 Пользователь предоставляет биометрический параметр, такое как
отпечаток пальца или узор сетчатки глаза, последовательность ДНК,
распознавание подписи или голоса, уникальные биоэлектрические сигналы
или другие биометрические показатели.
Часто в организациях используются сочетания этих методов. Например, платежная
карта и PIN, такой способ еще называют двухфакторной аутентификацией.
Аутентификация пользователей может проводиться только по паролю, но для
повышения уровня аутентификации в организации может использоваться
многофакторная аутентификация. В многофакторной аутентификации обычно
принимает участие физическое устройство, такое как устройство чтения смарткарт, USB-маркер доступа или устройство считывания отпечатков пальцев. Выбор
физических устройств для многофакторной аутентификации обычно
осуществляется на базе требований, не связанных с безопасностью.
Например, ваша организация могла бы потребовать, чтобы смарт-карты
пользователей включали идентификацию по фотографии, поскольку на смарт-карте
могут быть напечатаны фото и имя владельца. Однако для использования смарткарты необходимо устройство для чтения, что ведет к дополнительным расходам.
USB-маркер может включать флэш-память для хранения документов и файлов, и
пользователи могут подключать USB-маркер в существующие USB-порты своих
компьютеров.
Для учетных записей, обладающих привилегиями удаленного доступа, Microsoft
рекомендует применять двухфакторную или многофакторную аутентификацию.
Ограничить круг пользователей, имеющих возможность
удаленного доступа к вашей интрасети
В большинстве сценариев необходимость в удаленном доступе имеет только
определенная подгруппа пользователей. Следует ограничить количество
пользователей, имеющих возможность удаленного доступа к вашей интрасети,
исходя из индивидуальных деловых нужд каждого из них. Как дополнительный
уровень предосторожности рассмотрите возможность реализации следующих
вариантов:
 Учредить строгий процесс утверждения, при котором рассматривается
каждый запрос пользователя на удаленный доступ. Например,
запросы на удаленный доступ должны быть утверждены
руководством.
 Автоматически выключать возможность удаленного доступа по
прошествии определенного количества времени. Такой подход
вынуждает выполнять повторную оценку деловых нужд для всех
предоставленных пользователям прав удаленного доступа.
Использовать для аутентификации пользователей и клиентских
компьютеров удаленного доступа протокол проверки
подлинности PEAP или EAP-TLS
Операционные системы на базе Windows®, к которым относится и Windows
Server 2008, поддерживают разнообразнейшие протоколы проверки подлинности.
Самыми надежными из поддерживаемых протоколов проверки подлинности
являются Защищенный протокол расширенной проверки подлинности (PEAP) и
Расширяемый протокол проверки подлинности - безопасность транспортного
уровня (EAP-TLS).
EAP-TLS – протокол типа EAP, используемый для проверки подлинности с
использованием смарт-карт или сертификатов. Обмен сообщениями EAP-TLS
обеспечивает взаимную аутентификацию, согласование комплекта шифров с
защитой целостности и определение и обмен закрытыми ключами между
подключаемым клиентом и сервером проверки подлинности. EAP-TLS может
использоваться для аутентификации пользователей или компьютеров.
PEAP не определяет метода аутентификации, но он обеспечивает дополнительную
безопасность для других протоколов проверки подлинности EAP, которые могут
использовать кодированный TLS канал, предоставляемый PEAP. PEAP
применяется как метод аутентификации для клиентских компьютеров с
беспроводным подключением по стандарту 802.11, но он не поддерживается для
сетей VPN или других клиентов удаленного доступа.
PEAP может использоваться со следующими протоколами:
 EAP-MS-CHAPv2 (PEAP-EAP-MS-CHAPv2), который легче развертывать,
чем EAP-TLS, потому что проверка подлинности пользователя выполняется
по учетным данным на базе пароля (имя пользователя и пароль), а не с
использованием сертификатов или смарт-карт. Сертификат должен иметь
только IAS-сервер или RADIUS-сервер.
 EAP-TLS (PEAP-EAP-TLS), которые использует сертификаты для проверки
подлинности сервера и любые сертификаты или смарт-карты для
аутентификации пользовательских и клиентских компьютеров.
Сертификаты открытого ключа обеспечивают намного более надежный
метод проверки подлинности, чем методы, в которых используются учетные
данные на базе пароля. Чтобы использовать PEAP-EAP-TLS, вы должны
развернуть инфраструктуру открытых ключей (PKI).
Microsoft рекомендует использовать EAP-TLS или PEAP-EAP-TLS для обеспечения
максимальной безопасности аутентификации. Больше информации о протоколе
проверки подлинности PEAP можно найти в статье Protected Extensible
Authentication Protocol (PEAP). Больше информации о EAP-TLS представлено в
статье Extensible Authentication Protocol.
Обеспечить безопасность связи клиентов удаленного доступа
Клиенты удаленного доступа обычно подключаются к компьютерам, выполняющим
службу удаленного доступа, по Интернету. Это соединение должно быть защищено
путем обеспечения безопасности трафика между компьютерами, выполняющими
службу удаленного доступа, и клиентами удаленного доступа. Обезопасить этот
трафик можно следующими методами:
 IPsec. Для обеспечения безопасности трафика используйте протоколы
IPSec AH и IPSec ESP. Больше информации представлено в разделе IPsec
на сайте Microsoft TechNet.
 Протокол безопасного туннелирования сокетов (Secure Sockets
Tunneling Protocol, SSTP). SSTP – это новая форма туннеля VPN с
возможностями, позволяющими трафику проходить через брандмауэры,
блокирующие трафик PPTP и L2TP/IPsec. SSTP обеспечивает механизм
инкапсуляции PPP-трафика по SSL-каналу протокола HTTPS.
Использование PPP обеспечивает поддержку методов строгой проверки
подлинности, таких как EAP-TLS. Применение HTTPS означает, что трафик
будет направлен через TCP-порт 443, обычно используемый для Вебдоступа. Протокол безопасных соединений (SSL) обеспечивает
безопасность транспортного уровня с улучшенным согласованием ключей,
шифрованием и контролем целостности. Больше информации можно найти
в Step-by-Step Guide: Deploying SSTP Remote Access (Пошаговое
руководство по развертыванию удаленного доступа по протоколу SSTP) на
странице Windows Server 2008 Step-by-Step Guides (Пошаговые руководства
Windows Server 2008) Центра загрузки Microsoft.
Использовать NPS для обеспечения централизованной
аутентификации пользователей
Служба удаленного доступа может проверять подлинность пользовательских
учетных записей в следующих местах:
 В локальной базе данных SAM на компьютере, выполняющем службу
удаленного доступа. Этот метод является нерекомендуемым, потому что в
случае незаконного проникновения на сервер локальная база данных SAM
может быть подвергнута атаке.
 В домене AD DS, участником которого является компьютер,
выполняющий службу удаленного доступа. Этот метод является
нерекомендуемым, потому что в случае незаконного проникновения на
сервер злоумышленник может получить доступ к учетным записям домена.

В домене AD DS, подключенном через компьютер, выполняющий
службу роли NPS. Этот метод является рекомендованным, потому что
в данном случае между компьютером, выполняющим службу
удаленного доступа, и доменом AD DS имеется дополнительный уровень
абстракции. Проверка подлинности учетных данных в домене AD DS может
выполняться только компьютером, выполняющим службу роли NPS. В
случае незаконного проникновения на компьютер, выполняющий службу
удаленного доступа, доступной оказывается очень незначительная часть
конфиденциальных данных.
Соответствующие параметры групповой политики
Не существует параметров групповой политики для службы роли Служба
удаленного доступа. Однако можно задать параметры политики NPS (RADIUS),
чтобы обеспечить безопасность пользователей, выполняющих удаленный доступ к
вашей сети.
Дополнительные ресурсы
Более подробные сведения из лучших практик по повышению уровня защиты
серверов, выполняющих роль службы удаленного доступа, можно найти в
следующих источниках на сайте Microsoft.com:
 IPsec.
 Routing and Remote Access.
 Routing and Remote Access Blog.
 Server and Domain Isolation.
 Windows Server 2008 Step-by-Step Guides: Step-by-Step Guide: Deploying
SSTP Remote Access.
 Step-by-Step Guide: Deploying SSTP Remote Access.
 Virtual Private Networks (Виртуальные частные сети).
 Virtual Private Networking with Windows Server 2003: Deploying Remote Access
VPNs (Организация виртуальных частных сетей с Windows Server 2003:
развертывание VPN удаленного доступа).
Служба роли маршрутизация
Служба роли маршрутизация является подсистемой службы роли Маршрутизация
и удаленный доступ. Служба маршрутизации обеспечивает пограничные службы
маршрутизации (edge-of-network routing services). Обычно эти службы
маршрутизации обеспечивают соединения точка-точка между географически
удаленными узлами через использование соединений по телефонной линии или
VPN вместо традиционной маршрутизации.
Больше информации о службе роли Маршрутизация можно найти в следующих
ресурсах:
 Routing and Remote Access.
 Routing and Remote Access Blog.
Поверхность атаки
Служба маршрутизации подвержена тем же атакам на систему безопасности, что и
любые пограничные службы маршрутизации. К таким атакам относятся
сканирование портов, транзитный трафик, атаки с перехватом и т.д. Чтобы
обозначить поверхность атаки этой службы роли, необходимо определить
следующее:


Установленные файлы. Это файлы, установленные как часть службы
маршрутизации.
Выполняющиеся службы. Это сервисы, выполняющиеся как часть службы
маршрутизации.
Примечание Для проверки целостности установленных файлов и файлов,
выполняемых службами, можно воспользоваться утилитами RootkitRevealer и
Sigcheck, являющимися частью пакета служебных программ Windows Sysinternals.

Правила брандмауэра. Это правила брандмауэра Windows, используемые
службой маршрутизации.
Примечание Некоторые из используемых службой удаленного доступа правила
брандмауэра Windows деактивированы. Для их активации необходимо использовать
мастер Настроить и включить маршрутизацию и удаленный доступ
(Configure and Enable Routing and Remote Access). Больше информации о
запуске этого мастера можно найти в разделе «Установка и активация службы
маршрутизации и удаленного доступа» службы Справка и поддержка Windows
Server 2008.
 Зависимости роли. Это зависимости службы маршрутизации.
Подробная информация о поверхности атаки для службы маршрутизации включена
в книгу «Справочник по поверхности атаки в Windows Server 2008», прилагаемой к
данному руководству. Оценить поверхность атаки для данной роли сервера можно
при помощи вкладки NPAS книги в разделах, соответствующих каждому из пунктов
предыдущего списка.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию службы маршрутизации для защиты сервера от
злоумышленных атак. Приведенные далее рекомендации предполагают, что на
странице Выбор служб роли Мастера добавления ролей была выбрана только
служба роли Маршрутизация. Рекомендации для других служб роли не включены.
Контрольный список настройки
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности для повышения уровня защиты серверов, выполняющих службу роли
Маршрутизация. При возникновении каких-либо трудностей по выполнению этих
задач, обратитесь к следующим разделам данной главы за дополнительной
информацией и рекомендациями.
Таблица 10.5. Контрольный список настройки
Задачи настройки
Разместить компьютеры, выполняющие службу роли маршрутизации, на
сетевом периметре.
Настроить правила промежуточных брандмауэров.
Ограничить соединения маршрутизации известными конечными точками.
Сделать компьютеры, выполняющие службу маршрутизации, участниками леса
внешней сети.
Использовать безопасные туннели для обеспечения безопасности связи между
маршрутизаторами.
Требовать многофакторную аутентификацию для проверки подлинности
маршрутизаторов.
Использовать для аутентификации маршрутизаторов протокол проверки
подлинности PEAP или EAP-TLS.
Разместить компьютеры, выполняющие службу роли
маршрутизации, на сетевом периметре
Компьютеру-серверу, выполняющему службу роли маршрутизации, необходимо
обмениваться информацией с другими компьютерами, выполняющими эту же роль,
через открытые сети, такие как Интернет. Обычно компьютеры, выполняющие
службу маршрутизации, располагаются непосредственно за внешними
брандмауэрами, обеспечивающими вход и выход в Интернет.
Также компьютеры, выполняющие службу маршрутизации, соединяются с другими
использующими эту службу устройствами в интрасети. Соединение с интрасетью
обычно выполняется через внутренние брандмауэры, обеспечивающими вход и
выход в интрасеть.
Настроить правила промежуточных брандмауэров
Компьютеры, выполняющие службу маршрутизации, обычно размещаются во
внешней сети или на сетевом периметре. Маршрутизаторы устанавливают
соединения со следующими ресурсами:
 Другими маршрутизаторами через внешние брандмауэры,
обеспечивающие вход и выход в интрасеть. Для этих брандмауэров
необходимо активировать соответствующие порты для одного из
следующих протоколов туннелирования:
o Туннельный протокол точка-точка (Point-to-Point Tunneling
Protocol, PPTP). Этот протокол использует TCP-порт 1723 и
протокол GRE (ID протокола 47)
o Туннельный протокол второго уровня (Layer 2 Tunneling
Protocol, L2TP). Этот протокол использует UDP-порт 1701 для
L2TP, UDP-порт 500 для обмена Интернет-ключами (Internet Key
Exchange, IKE) в IPsec и UDP 4500 для преобразования сетевых

адресов (Network Address Translation, NAT-T) с использованием
IPsec.
o SSTP. Этот протокол использует TCP-порт 443 для безопасного
туннелирования SSL.
o Туннельный режим IPsec (IPsec tunnel mode). Этот протокол
использует UDP-порт 500 для IKE в IPsec и UDP 4500 для IPsec
NAT-T.
Интрасетью через внутренние брандмауэры, обеспечивающие вход и
выход в интрасеть. Для этих брандмауэров необходимо активировать все
протоколы, которые предполагается использовать. Или, как
альтернативный вариант, вместо подключения к внутренним брандмауэрам
сетевой интерфейс маршрутизатора, используемый для соединений в
интрасети, можно подключать прямо к интрасети.
Ограничить соединения маршрутизации известными конечными
точками
Типовым сценарием для службы маршрутизации является маршрутизация точкаточка между филиалами организации. В таких сценариях конечные точки
маршрутов точка-точка четко определены и их количество ограничено. Служба
роли Маршрутизация и внешние брандмауэры должны быть конфигурированы так,
чтобы возможен был только трафик между конечными точками маршрутов точкаточка.
Сделать компьютеры, выполняющие службу маршрутизации,
участниками леса внешней сети
Компьютеры, выполняющие службу маршрутизации, обычно располагаются в
менее безопасных средах, таких как сетевой периметр или внешняя сеть. Во
многих внешних сетях есть лес AD DS (лес внешней сети), который управляет
учетными данными, используемыми службами, выполняющимися на компьютерах
внешней сети. К этим учетным данным относятся учетные записи пользователей и
сертификаты, используемые для проверки подлинности туннелей маршрутизации.
Выполните развертывание компьютеров, выполняющих службу маршрутизации, как
участников леса внешней сети. Обычно между лесом внешней сети и лесом AD DS
вашей интрасети устанавливается одностороннее отношение доверия.
Использовать безопасные туннели для обеспечения
безопасности связи между маршрутизаторами
Компьютеры, выполняющие службу маршрутизации, обмениваются информацией с
другими компьютерами, выполняющими службу маршрутизации, по Интернету или
другим открытым сетям. Большинство организаций развертывают службу
маршрутизации для обеспечения безопасной маршрутизации точка-точка между
филиалами организации.
Безопасность трафика между маршрутизаторами может быть обеспечена
следующими протоколами:
 PPTP. Туннельный протокол VPN на базе Протокола точка-точка (Point-toPoint Protocol, PPP), который обеспечивает возможность шифрования IPтрафика с последующей инкапсуляцией в IP-заголовок для отправки по
частным или общедоступным IP-сетям. Больше информации представлено
в разделе MSDN Understanding Point-to-Point Tunneling Protocol (PPTP)
(Понимание туннельного протокола точка-точка).
 L2TP. Туннельный протокол VPN, который, как и PPTP, также основан на
протоколе PPP. L2TP обеспечивает возможность шифрования трафика с
последующей передачей на любом носителе, поддерживающем протоколы
доставки датаграмм точка-точка, такие как IP, X.25, ретрансляция кадров
(Frame Relay, FR) или режим асинхронной передачи (asynchronous transfer
mode, ATM). Шифрование для L2TP в IPsec обычно обеспечивает ESP.
 SSTP. Новый вид туннеля VPN с функциями, обеспечивающими
возможность передачи трафика через брандмауэры, блокирующие трафик
PPTP и L2TP/IPsec. SSTP обеспечивает механизм инкапсуляции PPPтрафика по SSL-каналу HTTPS-протокола. Использование PPP
обеспечивает поддержку методов строгой проверки подлинности, таких как
EAP-TLS. HTTPS направляет трафик через TCP-порт 443, который обычно
используется для Веб-доступа. Протокол безопасных соединений (SSL)
обеспечивает безопасность транспортного уровня с улучшенным
согласованием ключей, шифрованием и контролем целостности. Больше
информации можно найти в «Step-by-Step Guide: Deploying SSTP Remote
Access» на странице Windows Server 2008 Step-by-Step Guides Центра
загрузки Microsoft.
 Туннельный режим IPsec. При маршрутизации протокол IPsec обычно
используется в сочетании с L2TP для шифрования. Однако IPsec может
выступать в роли туннельного протокола. IPsec в туннельном режиме
обеспечивает возможность шифрования IP-пакетов с последующей
инкапсуляцией в IP-заголовок для отправки по закрытым или
общедоступным сетям. Больше информации представлено в разделе IPsec
сайта TechNet.
Каждый из методов защиты трафика обеспечивает взаимную аутентификацию
маршрутизаторов и шифрование передаваемых пакетов.
Требовать многофакторную аутентификацию для проверки
подлинности маршрутизаторов
Для повышения безопасности маршрутизаторов может использоваться
многофакторная аутентификация. Для многофакторной аутентификации, как
правило, необходимо физическое устройство, такое как устройство для чтения
смарт-карт, USB-маркер доступа или устройство считывания отпечатков пальцев.
Для маршрутизаторов чаще всего применяют USB-маркер доступа или плата
PCMCIA. Без физического устройства маршрутизатор не может устанавливать
туннели с другими маршрутизаторами организации.
Использовать для аутентификации маршрутизаторов протокол
проверки подлинности PEAP или EAP-TLS
Операционные системы на базе Windows®, к которым относится и Windows
Server 2008, поддерживают разнообразнейшие протоколы проверки подлинности.
Самыми надежными из поддерживаемых протоколов проверки подлинности
являются Защищенный протокол расширенной проверки подлинности (PEAP) и
Расширяемый протокол проверки подлинности - безопасность транспортного
уровня (EAP-TLS).
Оба этих протокола обеспечивают безопасную инфраструктуру для взаимной
аутентификации компьютеров, выполняющих службу маршрутизации. Протокол
PEAP не обеспечивает такой же безопасности, как протокол транспортного уровня
(Transport Level Security, TLS), но преимущество PEAP в применении проверки
подлинности по имени пользователя/паролю вместо аутентификации по
сертификату клиента.
Больше информации о протоколе проверки подлинности PEAP можно найти в
статье Protected Extensible Authentication Protocol (PEAP) на Веб-сайте MSDN®.
Больше информации о EAP-TLS можно найти в статье Extensible Authentication
Protocol на сайте TechNet.
Соответствующие параметры групповой политики
Не существует параметров групповой политики для службы роли Маршрутизация.
Однако можно задать параметры политики NPS (RADIUS), чтобы обеспечить
безопасность аутентификации, используемой между маршрутизаторами.
Дополнительные ресурсы
Более подробные сведения из лучших практик по повышению уровня защиты
серверов, выполняющих службу маршрутизации, можно найти на сайте
Microsoft.com в следующих источниках:
 Configuring Firewalls (Настройка брандмауэров).
 Extensible Authentication (Расширяемая проверка подлинности).
 How to configure an L2TP/IPSec connection by using Preshared Key
Authentication (Как настроить соединение L2TP/IPSec с помощью проверки
подлинности с предварительным ключом).
 IPsec.
 Protected Extensible Authentication (Защищенная расширенная проверка
подлинности).
 Routing and Remote Access.
 Routing and Remote Access Blog.
 Server and Domain Isolation.
 Windows Server 2008 Step-by-Step Guides: Step-by-Step Guide: Deploying
SSTP Remote Access.
 Understanding Point-to-Point Tunneling Protocol (PPTP).
 Virtual Private Networks.
 Virtual Private Networking with Windows Server 2003: Deploying Site-to-Site
VPNs (Организация виртуальных частных сетей с Windows Server 2003:
развертывание VPN типа «сеть-сеть»).
Служба роли HRA
Центр регистрации работоспособности (HRA) – это компонент NAP, выдающий
сертификаты безопасности для клиентов, проходящих проверку политики
работоспособности клиента, которая осуществляется NPS с помощью протокола
Состояние работоспособности клиента (Statement of Health, SoH). В настоящее
время HRA используется только в случаях, когда NAP осуществляется посредством
IPsec.
Однако эту возможность можно расширить для выдачи сертификатов безопасности
клиента для сети для других применений в будущем. С помощью HRA можно
реализовывать особые требования к работоспособности через отказ выдачи
сертификатов или требование установления подключений IPsec.
В подобной конфигурации сервер, выполняющий службу роли HRA, выступает в
роли точки NAP (NAP enforcement point). Другими точками NAP являются:
 Серверы VPN с поддержкой NAP
 Серверы DHCP с поддержкой NAP
 Коммутаторы Ethernet, поддерживающие протокол проверки подлинности
802.1X или динамические назначения VLAN.
 Точки беспроводного доступа, поддерживающие протокол проверки
подлинности 802.1X
Больше информации о HRA представлено на сайте TechNet в разделах HRA Server
Role (Роль сервера HRA) и Health Registration Authority (HRA) (Центр регистрации
работоспособности). Дополнительную информацию по точкам NAP, HRA и NAP
можно найти в материалах Network Access Protection.
Поверхность атаки
Служба роли HRA подвержена тем же атакам на систему безопасности, что и
любое расширение ISAPI, выполняющееся в Internet Information Services (IIS),
которые предоставляются ролью Веб-сервер (IIS). Чтобы обозначить поверхность
атаки этой службы роли, необходимо определить следующее:
 Установленные файлы. Это файлы, установленные как часть службы
роли HRA.
 Выполняющиеся службы. Это службы, выполняющиеся как часть службы
роли HRA.
Примечание Для проверки целостности установленных файлов и файлов,
выполняемых службой, можно воспользоваться утилитами RootkitRevealer и
Sigcheck, являющимися частью пакета служебных программ Windows Sysinternals.

Правила брандмауэра. Это используемые службой роли HRA правила
брандмауэра Windows.
 Зависимости роли. Это зависимости службы роли HRA.
Подробная информация о поверхности атаки для роли HRA включена в книгу
«Справочник по поверхности атаки в Windows Server 2008», прилагаемой к данному
руководству. Оценить поверхность атаки для данной роли сервера можно при
помощи вкладки NPAS книги в разделах, соответствующих каждому из пунктов
предыдущего списка.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию службы роли HRA для защиты сервера от
злоумышленных атак. Приведенные ниже рекомендации предполагают, что на
странице Выбор служб роли Мастера добавления ролей выбрана только опция
HRA. Рекомендации для других служб роли не включены.
Контрольный список настройки
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности, направленные на повышение уровня защиты серверов,
выполняющих службу роли HRA. В случае возникновения трудностей с
выполнением каких-либо пунктов контрольного списка дополнительное описание и
рекомендации можно найти в следующих разделах данной главы.
Таблица 10.6. Контрольный список настройки
Задачи настройки
Разместить компьютеры, выполняющие службу роли HRA в интрасети.
Сделать компьютеры, выполняющие службу роли HRA, участниками леса
интрасети.
Обеспечить безопасность связи службы роли HRA с помощью IPsec.
Использовать шифрование SSL для защиты запросов и откликов клиента HRA.
Выделить компьютер для выполнения службы роли HRA.
Разрешить получение сертификатов безопасности клиента для сети только
аутентифицированным пользователям.
Выполнить рекомендации по повышению уровня защиты для роли сервера
Веб-службы (IIS).
Разместить компьютеры, выполняющие службу роли HRA в
интрасети
Сервер, выполняющий службу роли HRA, получает сертификаты безопасности
клиента для сети от лица клиентов NAP, чтобы обеспечить их соответствие
требованиям работоспособности. Эти сертификаты безопасности аутентифицируют
NAP-клиентов при установлении защищенных IPsec-соединений с другими NAPклиентами в интрасети.
Кроме того, служба роли HRA должна обмениваться информацией с
компьютерами, выполняющими роли Центр сертификации и NPS. В среде домена
службе роли HRA необходимо устанавливать соединение также и с глобальным
каталогом Active Directory для проверки подлинности учетных данных клиента.
Поэтому Microsoft рекомендует размещать компьютер, выполняющий службу роли
HRA, в защищенной подсети интрасети.
Сделать компьютеры, выполняющие службу роли HRA,
участниками леса интрасети
Компьютеры, выполняющие службу роли HRA, обычно располагаются в
защищенных подсетях интрасети. Службу роли HRA можно развернуть на
изолированном компьютере, но Microsoft рекомендует развертывать компьютеры,
выполняющие службу роли HRA, как участников домена в лесу вашей интрасети.
Обеспечить безопасность связи службы роли HRA с помощью
IPsec
Компьютеры, выполняющие службу роли HRA, устанавливают соединения с
компьютерами, выполняющими роли Центр сертификации и NPS. Чтобы
предотвратить потенциальную возможность просмотра трафика между этими
компьютерами, связь между ними должна быть защищена IPsec. Больше
информации по обеспечению безопасности путем использования IPsec можно
найти в разделе IPsec сайта TechNet.
Использовать шифрование SSL для защиты запросов и откликов
клиента HRA
Служба роли HRA обменивается информацией с клиентскими компьютерами по
протоколам HTTP или HTTPS. Microsoft рекомендует всегда конфигурировать HRA
на использование протокола HTTPS для связи с клиентскими компьютерами. Такая
конфигурация обеспечивает шифрование трафика между службой роли HRA и
клиентскими компьютерами. Более подробно об этом рассказывается в подразделе
«Сертификаты для шифрования SSL» раздела «Общее представление о
требованиях к проверке подлинности для центра регистрации работоспособности»
службы Справка и поддержка Windows Server 2008.
Выделить компьютер для выполнения службы роли HRA
Установите роль HRA и все ее зависимости на компьютер, специально выделенный
под эту службу роли. Данная служба роли может быть установлена на компьютер,
выполняющий и другие службы роли, но в этом случае количество поверхность
атаки роли HRA увеличивается. Больше информации о роли и зависимостях роли
представлено ранее в разделе «Возможные направления злоумышленных атак»
для службы роли HRA.
Разрешить получение сертификатов безопасности клиента для
сети только аутентифицированным пользователям
При установке службы роли HRA могут быть настроены требования проверки
подлинности для HRA. HRA можно конфигурировать так, чтобы получать
сертификаты работоспособности только аутентифицированные участники домена.
Также могут быть заданы такие параметры HRA, что получать сертификаты
работоспособности смогут все пользователи, включая анонимных.
Предоставляйте сертификаты работоспособности в своей интрасети только
аутентифицированным пользователям. Выдача таких сертификатов анонимным
пользователям допуcкается только в редких случаях, когда необходимо
предоставить доступ к части сети. Например, вы хотите обеспечить, чтобы
посетители, будучи подключенными к вашей интрасети, имели доступ в Интернет
как анонимные пользователи.
Больше информации по этой теме представлено в разделе «Общее представление
о требованиях к проверке подлинности для центра регистрации
работоспособности» службы Справка и поддержка Windows Server 2008.
Выполнить рекомендации по повышению уровня защиты для
роли сервера Веб-службы (IIS)
Данная служба роли использует IIS 7.0, поэтому обязательно должны быть
выполнены рекомендации по повышению уровня защиты для роли сервера Вебслужбы (IIS). Больше информации о повышении уровня защиты роли сервера Вебслужбы (IIS) можно найти в Главе 6 «Повышение уровня защиты Веб-сервисов»
данного руководства.
Соответствующие параметры групповой политики
Не существует параметров групповой политики для службы роли HRA.
Дополнительные ресурсы
Более подробные сведения из лучших практик по повышению уровня защиты
серверов, выполняющих службу роли HRA, можно найти на сайте Microsoft.com в
следующих источниках:
 Часть «Сертификаты для шифрования SSL» раздела «Общее
представление о требованиях к проверке подлинности для центра
регистрации работоспособности» службы Справка и поддержка Windows
Server 2008.
 Health Registration Authority (HRA).
 HRA Server Role.
 IPsec.
 Network Access Protection.
 Server and Domain Isolation.
 Раздел «Общее представление о требованиях к проверке подлинности для
центра регистрации работоспособности» службы Справка и поддержка
Windows Server 2008.
Служба роли HCAP
Протокол авторизации учетных данных узла (HCAP) позволяет интегрировать
основанное на NAP решение с решениями на базе Cisco Network Admission Control
(NAC). При развертывании HCAP с NPS и NAP, NPS может выполнять оценку
работоспособности и проверку подлинности устройств сетевого доступа с
поддержкой Cisco NAC (таких как коммутаторы, маршрутизаторы, точки
беспроводного доступа и концентраторы VPN).
В данной конфигурации сервер, выполняющий службу роли HCAP, соединяется с
сервером управления доступом Cisco Secure Access Control Server (ACS), который
подтверждает подлинность устройства с поддержкой NAC. NPS занимается
проверкой достоверности атрибутов состояния работоспособности клиента и
назначением общего состояния работоспособности для устройств с поддержкой
NAC в гетерогенной архитектуре.
Больше информации о точках NAP, HCAP и NAP смотрите в разделе Network
Access Protection сайта TechNet. Больше информации о NAC можно найти в
разделе Network Admission Control (Управление доступом в сеть) на Веб-сайте
Cisco.
Поверхность атаки
Служба роли HCAP подвержена тем же атакам на систему безопасности, что и
любое расширение ISAPI, выполняющееся в Internet Information Services (IIS),
которые предоставляются ролью Веб-сервер (IIS).
Чтобы обозначить поверхность атаки этой службы роли, необходимо определить
следующее:
 Установленные файлы. Это файлы, установленные как часть службы
роли HCAP.
 Выполняющиеся службы. Это службы, выполняющиеся как часть службы
роли HCAP.
Примечание Для проверки целостности установленных файлов и файлов,
выполняемых службой, можно воспользоваться утилитами RootkitRevealer и
Sigcheck, являющимися частью пакета служебных программ Windows Sysinternals.

Правила брандмауэра. Это используемые службой роли HCAP правила
брандмауэра Windows.
 Зависимости роли. Это зависимости службы роли HCAP.
Подробная информация о поверхности атаки для роли HCAP включена в книгу
«Справочник по поверхности атаки в Windows Server 2008», прилагаемой к данному
руководству. Оценить поверхность атаки для данной роли сервера можно при
помощи вкладки NPAS книги в разделах, соответствующих каждому из пунктов
предыдущего списка.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию службы роли HCAP для защиты сервера от
злоумышленных атак. Приведенные ниже рекомендации предполагают, что на
странице Выбор служб роли Мастера добавления ролей выбрана только опция
HCAP. Рекомендации для других служб роли не включены.
Контрольный список настройки
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности, направленные на повышение уровня защиты серверов,
выполняющих службу роли HCAP. В случае возникновения трудностей с
выполнением каких-либо пунктов контрольного списка дополнительное описание и
рекомендации можно найти в следующих разделах данной главы.
Таблица 10.7. Контрольный список настройки
Задачи настройки
Разместить компьютеры, выполняющие службу роли HCAP, в интрасети.
Сделать компьютеры, выполняющие службу роли HCAP, участниками леса
интрасети.
Задачи настройки
Обеспечить безопасность связи службы роли HCAP с помощью IPsec.
Использовать шифрование SSL для защиты запросов и откликов клиента HCAP.
Выделить компьютер для выполнения службы роли HCAP.
Выполнить рекомендации по повышению уровня защиты для роли сервера
Веб-службы (IIS).
Разместить компьютеры, выполняющие службу роли HCAP, в
интрасети
Компьютер-сервер, выполняющий службу роли HCAP, получает сертификаты
работоспособности от лица серверов Cisco Secure ACS, чтобы обеспечить их
соответствие требованиям работоспособности. Эти сертификаты безопасности
аутентифицируют Cisco Secure ACS при установлении защищенных IPsec
подключений с другими устройствами с поддержкой NAP и NAP-клиентами в
интрасети.
Кроме того, служба роли HCAP должна обмениваться информацией с
компьютерами, выполняющими роли Центр сертификации и NPS. В среде домена
службе роли HCAP необходимо устанавливать соединение также и с глобальным
каталогом Active Directory для проверки подлинности учетных данных клиента.
Поэтому Microsoft рекомендует размещать компьютер, выполняющий службу роли
HCAP, в защищенной подсети вашей интрасети.
Сделать компьютеры, выполняющие службу роли HCAP,
участниками леса интрасети
Компьютеры, выполняющие службу роли HCAP, обычно располагаются в
защищенных подсетях интрасети. Службу роли HCAP можно развернуть на
изолированном компьютере, но Microsoft рекомендует развертывать компьютеры,
выполняющие службу роли HCAP, как участников домена в лесу вашей интрасети.
Обеспечить безопасность связи службы роли HCAP с помощью
IPsec
Компьютеры, выполняющие службу роли HCAP, устанавливают соединения с
компьютерами, выполняющими роли Центр сертификации и NPS. Чтобы
предотвратить потенциальную возможность просмотра трафика между этими
компьютерами, Microsoft рекомендует защитить связь между ними с помощью
IPsec. Больше информации по обеспечению безопасности путем использования
IPsec можно найти в разделе IPsec сайта TechNet.
Использовать шифрование SSL для защиты запросов и откликов
клиента HCAP
Служба роли HCAP обменивается информацией с клиентскими компьютерами по
протоколам HTTP или HTTPS. Microsoft рекомендует всегда конфигурировать HCAP
на использование протокола HTTPS для связи с клиентскими компьютерами. Такая
конфигурация обеспечивает шифрование трафика между службой роли HCAP и
клиентскими компьютерами.
Больше информации можно найти в подразделе «Сертификаты для шифрования
SSL» раздела «Общее представление о требованиях к проверке подлинности для
центра регистрации работоспособности» службы Справка и поддержка Windows
Server 2008.
Выделить компьютер для выполнения службы роли HCAP
Установите службу роли HCAP (и все ее зависимости) на компьютер, специально
выделенный под эту службу роли. Даная служба роли может быть установлена на
компьютер, выполняющий также другие службы роли, но в этом случае количество
возможных направлений злоумышленных атак на службу роли HCAP
увеличивается. Больше информации о роли и зависимостях роли представлено
ранее в разделе «Возможные направления злоумышленных атак» для службы роли
HCAP.
Выполнить рекомендации по повышению уровня защиты для
роли сервера Веб-службы (IIS)
Данная служба роли использует IIS 7.0, поэтому обязательно должны быть
выполнены рекомендации по повышению уровня защиты для роли сервера Вебслужбы (IIS). Больше информации о повышении уровня защиты роли сервера Вебслужбы (IIS) можно найти в Главе 6 «Повышение уровня защиты Веб-сервисов»
данного руководства.
Соответствующие параметры групповой политики
Не существует параметров групповой политики для службы роли HCAP.
Дополнительные ресурсы
Более подробные сведения из лучших практик по повышению уровня защиты
серверов, выполняющих службу роли HCAP, можно найти на сайте Microsoft.com в
следующих источниках:
 Часть «Сертификаты для шифрования SSL» раздела «Общее
представление о требованиях к проверке подлинности для центра
регистрации работоспособности» службы Справка и поддержка Windows
Server 2008.
 Cisco Network (Сеть Cisco) в файле формата Portable Document Format
(PDF).
 IPsec.
 Network Access Protection.
 Network Policy Server.
 Server and Domain Isolation.
 Раздел «Общее представление о требованиях к проверке подлинности для
центра регистрации работоспособности» службы Справка и поддержка
Windows Server 2008.
Дополнительные ресурсы
Более подробные сведения из лучших практик по повышению уровня защиты
серверов, выполняющих службы роли NPAS, можно найти на сайте Microsoft.com в
следующих источниках:
 Для службы роли NPS:
o Extensible Authentication Protocol.
o IPsec.
o Network Policy Server.
o Network Policy Server Infrastructure.
o Protected Extensible Authentication Protocol (PEAP).
o Server and Domain Isolation.
o Shared secrets.
 Для службы роли Служба удаленного доступа:
o IPsec.
o Routing and Remote Access.
o Routing and Remote Access Blog.
o Server and Domain Isolation.
o Windows Server 2008 Step-by-Step Guides: Step-by-Step Guide:
Deploying SSTP Remote Access.
o Step-by-Step Guide: Deploying SSTP Remote Access.
o Virtual Private Networks.
o Virtual Private Networking with Windows Server 2003: Deploying
Remote Access VPNs.
 Для службы роли Маршрутизация:
o Configuring Firewalls.
o Extensible Authentication.
o How to configure an L2TP/IPSec connection by using Preshared Key
Authentication.
o IPsec.
o Protected Extensible Authentication.
o Routing and Remote Access.
o Routing and Remote Access Blog.
o Server and Domain Isolation.
o Windows Server 2008 Step-by-Step Guides: Step-by-Step Guide:
Deploying SSTP Remote Access.
o Understanding Point-to-Point Tunneling Protocol (PPTP).
o Virtual Private Networks.
o Virtual Private Networking with Windows Server 2003: Deploying Site-toSite VPNs.
 Для службы роли HRA:
o Часть «Сертификаты для шифрования SSL» раздела «Общее
представление о требованиях к проверке подлинности для центра

регистрации работоспособности» службы Справка и поддержка
Windows Server 2008.
o Health Registration Authority (HRA).
o HRA Server Role.
o IPsec.
o Network Access Protection.
o Server and Domain Isolation.
o Раздел «Общее представление о требованиях к проверке
подлинности для центра регистрации работоспособности» службы
Справка и поддержка Windows Server 2008.
Для службы роли HCAP:
o Часть «Сертификаты для шифрования SSL» раздела «Общее
представление о требованиях к проверке подлинности для центра
регистрации работоспособности» службы Справка и поддержка
Windows Server 2008.
o Cisco Network (Сеть Cisco) в файле формата Portable Document
Format (PDF).
o IPsec.
o Network Access Protection.
o Network Policy Server.
o Server and Domain Isolation.
o Раздел «Общее представление о требованиях к проверке
подлинности для центра регистрации работоспособности» службы
Справка и поддержка Windows Server 2008.
Глава 11: Повышение уровня защиты служб терминалов
Службы терминалов в Windows Server® 2008 поддерживают протокол удаленного
рабочего стола (Remote Desktop Protocol, RDP) версии 6.0 или последующие.
Windows Server 2008 и Windows Vista® также включают версию 6.0 клиента
подключения к удаленному рабочему столу (Remote Desktop Connection, RDC) и
поддерживают его.
Примечание Для Windows Vista с пакетом обновления 1 (SP1) и Windows® XP SP3 доступно
программное обеспечение RDC версии 6.1. Для удобства использования Microsoft
рекомендует скачать пакет установки для обновления RDC-клиентов до последней версии.
Кроме основной роли Службы терминалов, Windows Server 2008 включает
следующие специальные службы роли:
 TS Licensing – лицензирование служб терминалов. Служба роли
лицензирование служб терминалов управляет клиентскими лицензиями
служб терминалов (TS CAL), которые необходимы устройствам и
пользователям для подключения к серверу терминалов. Эта служба роли
может использоваться для установки, выпуска и отслеживания наличия
лицензий TS CAL.

TS Session Broker – посредник сеансов служб терминалов. Служба роли
посредник сеансов служб терминалов обеспечивает возможность
повторного подключения к существующему сеансу на сервере терминалов,
входящему в состав фермы серверов терминалов с балансировкой
нагрузки.
 TS Gateway – шлюз служб терминалов. Служба роли шлюз служб
терминалов позволяет авторизованным удаленным пользователям
подключаться по Интернету к серверам терминалов и компьютерам с
поддержкой удаленного рабочего стола, находящимся во внутренней
корпоративной или частной сети. Пользователи могут устанавливать
соединения с любого подключенного к Интернету устройства, способного
выполнять RDC-клиент. Служба роли TS Gateway не требует от
пользователей установления сеанса виртуальной частной сети (VPN).
Кроме того, данная служба роли для передачи трафика по туннелю HTTP
Secure Sockets Layer/Transport Layer Security (SSL/TLS) использует порт
443. Для использования этой службы роли нет необходимости открывать
дополнительные порты в брандмауэре.
Если для установки службы роли TS Gateway используется диспетчер
сервера, он также устанавливает и запускает прокси-сервер HTTP RPC,
службы политики сети и доступа, службу роли Веб-сервер (IIS) и службу
активации Windows.
 TS Web Access – Веб-доступ к службам терминалов. Служба роли Вебдоступ к службам терминалов обеспечивает возможность доступа к
сеансам сервера терминалов через Веб-интерфейс. Авторизованные
пользователи могут получать доступ к серверам терминалов через свой
Веб-браузер. Можно так настроить Веб-интерфейс, чтобы он представлял
приложения и соединения, доступные пользователю.
Windows Server 2008 также включает компонент Удаленные приложения служб
терминалов (Terminal Services RemoteApp™, TS RemoteApp) и компонент Easy Print
служб терминалов.
TS RemoteApp обеспечивает пользователям возможность использовать службы
терминалов для удаленного доступа к программам. Создается впечатление, что
программы выполняются на локальном компьютере пользователя. TS RemoteApp
позволяет предоставить пользователям по удаленному соединению доступ всего к
одному приложению, а не ко всему рабочему столу.
Компонент Easy Print служб терминалов позволяет клиентским компьютерам
перенаправлять сеансы печати на локальный принтер. При этом нет
необходимости, чтобы администратор устанавливал какие-либо драйверы
принтера на сервере терминалов. Этот компонент не является компонентом
безопасности, но он существенно снижает для сервера риск организации атаки
типа Отказ в обслуживании (DoS) подставным драйвером принтера.
Каждая служба роли обеспечивает особую функциональность предприятию и
вводит дополнительные элементы, которые могут привести к расширению
поверхности атаки серверов, выполняющих эту роль. На следующем рисунке
представлены пять ролей, которые можно выбрать как часть роли Службы
терминалов Windows Server 2008
Сервер
терминалов
Лицензирование служб терминалов сертификации
через Интернет
Роль Службы
терминалов
Посредник сеансов служб
терминалов
Шлюз служб терминалов
Веб-доступ к службам
терминалов
Рис. 11.1. Иерархия служб роли Службы терминалов
Поверхность атаки
Роль сервера Службы терминалов обеспечивает клиентские компьютеры
технологиями для доступа к сеансам рабочего стола или конкретным приложениям,
выполняющимся на сервере терминалов. Чтобы обозначить поверхность атаки
этой роли сервера, необходимо определить следующее:
 Установленные файлы. Это файлы, установленные как часть роли
сервера службы терминалов.
 Выполняющиеся службы. Это службы, установленные как часть роли
сервера службы терминалов.
Примечание Для проверки целостности установленных файлов и файлов,
выполняемых службами, можно воспользоваться утилитами RootkitRevealer и
Sigcheck, являющимися частью пакета служебных программ Windows Sysinternals.

Правила брандмауэра. Это используемые ролью сервера службы
терминалов правила брандмауэра Windows.
Подробная информация о поверхности атаки для роли службы терминалов
включена в книгу «Справочник по поверхности атаки в Windows Server 2008»,
прилагаемой к данному руководству. Оценить поверхность атаки для данной роли
сервера можно при помощи вкладки Службы терминалов (Terminal Services)
книги в разделах, соответствующих каждому из пунктов предыдущего списка.
Меры по обеспечению безопасности
В данном разделе описываются меры по обеспечению безопасности, которые
можно включить в конфигурацию роли сервера службы терминалов для защиты
сервера от злоумышленных атак. Приведенные ниже рекомендации предполагают,
что на странице Выбор служб роли Мастера добавления ролей выбрана только
опция Службы терминалов.
С точки зрения безопасности роль службы терминалов является наиболее
уязвимой и требует настройки большего количество параметров, чем остальные
роли и чем предлагает данное руководство по безопасности. Однако только служба
роли TS Gateway имеет специальные изменения конфигурации, касающиеся
безопасности. Для всех остальных служб роли, – TS Licensing, TS Session Broker и
TS Web Access, – никаких дополнительных шагов по обеспечению безопасности не
предусмотрено.
Контрольные списки настройки
При обеспечении безопасности серверов терминалов есть два вопроса, на которые
необходимо обратить особое внимание:
 Обеспечение безопасности подключений к серверам терминалов.
 Обеспечение безопасности TS Gateway.
При стандартном сценарии развертывания сервера терминалов во внутренней сети
необходимо установить только роль сервера службы терминалов. При этом в
список портов сервера, который слушает сервер, добавляется TCP-порт 3389, что
позволяет клиентским компьютерам устанавливать с сервером сеансы
подключения к удаленному рабочему столу по протоколу RDP. В последующих
разделах данной главы подробно рассматриваются все перечисленные в списке
ниже рекомендации.
Обеспечение безопасности подключений к серверам
терминалов
В следующей таблице представлены рекомендуемые действия по обеспечению
безопасности, направленные на повышение уровня защиты серверов,
выполняющих роль Службы терминалов. В случае возникновения трудностей с
выполнением каких-либо пунктов контрольного списка дополнительное описание и
рекомендации можно найти в следующих разделах данной главы.
Таблица 11.1. Контрольный список настройки сервера терминалов
Задачи настройки
Настроить проверку подлинности на сетевом уровне.
Включить единый вход для служб терминалов.
Обеспечить безопасное использование сохраненных учетных данных из RDPклиентов Windows Vista.
Изменить стандартный RDP-порт.
Использовать смарт-карты со службами терминалов.
Использовать файловую систему NTFS.
Использовать исключительно TS Easy Print.
Задачи настройки
Вынести пользовательские данные на отдельный диск.
Создать специальные подразделения для серверов терминалов.
Задать параметры групповой политики для серверов терминалов.
Задать параметры групповой политики для удаленных рабочих столов.
Разрешить пользователям работать только с определенными программами.
Ограничить аудит безопасности серверов терминалов.
Настроить проверку подлинности на сетевом уровне
Проверка подлинности на сетевом уровне – это новый метод проверки
подлинности, который завершает аутентификацию пользователя перед
установлением соединения с удаленным рабочим столом и выводом на экран окна
входа в систему. Это более безопасный метод аутентификации, который может
обеспечить защиту удаленного компьютера от злонамеренных пользователей и
программ. Проверка подлинности на сетевом уровне обладает следующими
преимуществами:
 Она изначально требует меньших ресурсов сервера. Пока подлинность
пользователя не подтверждена, сервер использует ограниченное число
ресурсов, а не устанавливает полное соединение с удаленным рабочим
столом, как это имело место в предыдущих версиях.
 Она может обеспечить лучшую безопасность за счет сокращения риска атак
DoS.
Чтобы использовать проверку подлинности на сетевом уровне, необходимо
выполнить следующие требования:
 Клиентский компьютер должен использовать Remote Desktop Connection
(RDC) 6.0 или боле позднюю версию.
 На клиентском компьютере должна выполняться операционная система,
такая как Windows Vista, поддерживающая протокол Поставщика услуг
безопасности CredSSP (Credential Security Support Provider).
 Сервер терминалов должен работать под управлением Windows
Server 2008.
Можно конфигурировать сервер терминалов на поддержку подключений только от
клиентских компьютеров, выполняющих проверку подлинности на сетевом уровне.
Настроить параметр проверки подлинности на сетевом уровне для сервера
терминалов можно следующими способами:
 Используя Диспетчер сервера для установки службы роли Сервер
терминалов с помощью страницы Укажите метод проверки подлинности
для сервера терминалов (Specify Authentication Method for Terminal
Server) Мастера добавления ролей.
 На вкладке Удаленное использование (Remote) диалогового окна
Свойства системы (System Properties) на сервере терминалов.
Если параметр Разрешать подключения от компьютеров с любой
версией рабочего стола (опаснее) (Allow connections from computers


running any version of Remote Desktop (less secure)) не выбран и не
активен, значит, для сервера терминалов был активирован и применен
параметр групповой политики Требовать аутентификации пользователя
для удаленных подключений путем проверки подлинности на уровне
сети (Require user authentication for remote connections by using
Network Level Authentication).
Как настраивать параметр Проверка подлинности на сетевом уровне с
помощью вкладки Удаленное использование диалогового окна Свойства
системы на сервере терминалов, рассказывается в части «Configuring
remote connection settings» (Настройка параметров удаленного соединения)
раздела Terminal Server Installation (Установка сервера терминалов)
Windows Server 2008 Technical Library.
В инструменте Конфигурация служб терминалов (Terminal Services
Configuration) на вкладке Общие (General) диалогового окна Свойства
установить флажок Разрешить подключения только от компьютеров с
удаленным рабочим столом с проверкой подлинности на уровне сети
(Allow connections only from computers running Remote Desktop with
Network Level Authentication).
Если флажок напротив этого параметра установлен и параметр не активен,
значит, для сервера терминалов была активирована и применена групповая
политика Требовать аутентификации пользователя для удаленных
подключений путем проверки подлинности на уровне сети.
Применяя параметр групповой политики Требовать аутентификации
пользователя для удаленных подключений путем проверки
подлинности на уровне сети.
Данный параметр групповой политики находится в разделе Конфигурация
компьютера\Административные шаблоны\Компоненты
Windows\Службы терминалов\Сервер терминалов\Безопасность. Этот
параметр может быть задан посредством Редактора локальных
групповых политик (Local Group Policy Editor) или Консоли управления
групповой политикой (Group Policy Management Console, GPMC).
Примечание Этот параметр групповой политики имеет приоритет над параметром,
заданным на вкладке Удаленное использование инструмента Конфигурация служб
терминалов.
Чтобы выяснить, поддерживает ли проверку подлинности на сетевом уровне
версия RDC, выполняющаяся на компьютере, запустите подключение к удаленному
рабочему столу, в верхнем левом углу диалогового окна щелкните значок
Подключение к удаленному рабочему столу и затем щелкните О программе
(About). В диалоговом окне О подключении к удаленному рабочему столу
(About Remote Desktop Connection) должна отображаться фраза
«Поддерживается проверка подлинности на уровне сети» (Network Level
Authentication supported).
Больше информации о безопасности и Службах терминалов можно найти на
странице Terminal Services (Службы терминалов) Веб-сайта Windows Server 2008
TechCenter.
Больше информации о параметрах групповой политики для служб терминалов
представлено в материалах Technical Reference: Terminal Services (Техническая
справочная документация: службы терминалов).
Большинство пользователей сервера терминалов, вероятнее всего, захотят, чтобы
пользовательский интерфейс (UI) сервера терминалов соответствовал UI их
настольных компьютеров. Например, если на компьютерах пользователей
установлена Windows Vista, на сервере терминалов придется установить такой же
рабочий стол, чтобы в сеансах подключения к удаленному рабочему столу
пользователи работали с таким же UI.
Включить единый вход для служб терминалов
Единая регистрация (Single sign-on, SSO) – это метод проверки подлинности,
благодаря которому пользователи, у которых есть учетная запись домена,
зарегистрировавшись один раз, получают доступ к удаленным серверам без
повторного предоставления своих учетных данных.
Чтобы реализовать SSO в службах терминалов, необходимо выполнить следующие
требования:
 Пользователь может использовать SSO для установления удаленных
соединений в любом из следующих сценариев:
o Поддержка пользователей, регистрирующихся на сервере
терминалов с Windows Server 2008 с компьютера с Windows Vista.
o Поддержка пользователей, регистрирующихся с одного сервера с
Windows Server 2008 на другом сервере с Windows Server 2008.
 Учетные записи пользователей должны обладать соответствующими
правами для регистрации, как на сервере терминалов, так и на клиентском
компьютере с Windows Vista.
 Клиентский компьютер и сервер терминалов должны быть присоединены к
домену.
Задачи настройки
Чтобы настроить рекомендуемые параметры для сервера терминалов, выполните
следующие задачи:
 Настройте проверку подлинности на сервере терминалов.
 Настройте компьютер с Windows Vista так, чтобы для регистрации на
заданном сервере терминалов могли использоваться стандартные учетные
данные.
Минимальным требованием для выполнения данной процедуры является членство
в локальной группе Администраторы или эквивалентной ей.
Чтобы настроить проверку подлинности на сервере терминалов
1. Щелкните Пуск, выберите Администрирование, выберите Службы
терминалов (Terminal Services) и затем щелкните Настройка служб
терминалов (Terminal Services Configuration).
2. Под Подключения щелкните правой кнопкой мыши соответствующее
подключение (например, RDP-Tcp) и затем щелкните Свойства.
3. Выберите вкладку Общие, убедитесь, что параметру Уровень
безопасности (Security Layer) задано либо значение Согласование
(Negotiate), либо SSL (TLS 1.0).
4. Убедитесь, что на вкладке Параметры входа в систему (Log on Settings)
не установлен флажок Всегда требовать пароль (Always prompt for
password), и затем щелкните OK.
Чтобы разрешить использование стандартных учетных данных для единой
регистрации
1. В компьютере с Windows Vista щелкните Пуск и затем в окне Начать поиск
(Start Search) введите gpedit.msc и нажмите ENTER.
2. Разверните Конфигурация компьютера, разверните Административные
шаблоны, разверните Система (System) и затем щелкните Передача
учетных данных (Credentials Delegation).
3. Щелкните двойным щелчком Разрешить передачу учетных данных,
установленных по умолчанию (Allow Delegating Default Credentials).
4. В диалоговом окне Свойства на вкладке Настройка (Setting) щелкните
Включен (Enabled) и затем щелкните Показать (Show).
5. В диалоговом окне Показать содержимое (Show Contents) щелкните
Добавить (Add).
6. В диалоговом окне Добавление элемента (Add Item) в поле Введите
добавляемый элемент (Enter the item to be added) введите termsrv/ и имя
сервера терминалов (например, termsrv/Server1), щелкните OK и затем
щелкните OK еще раз.
Минимальным требованием для выполнения данной процедуры является членство
в локальной группе Администраторы или эквивалентной ей. Подробно о том, какие
учетные записи должны использоваться, и членство в каких группах необходимо,
рассказывает статья Why you should not run your computer as an administrator
(Почему не следует запускать компьютер под учетной записью администратора) на
сайте Microsoft® TechNet.
Больше информации о Службах терминалов можно найти на странице Terminal
Services Веб-сайта Windows Server 2008 TechCenter.
Активировать безопасное использование сохраненных учетных
данных из RDP-клиентов Windows Vista
Согласно политике передачи учетных данных в Windows Vista RDP-клиент не может
отправлять сохраненные учетные данные на TS-сервер, если TS-сервер не прошел
проверку подлинности. По умолчанию для аутентификации серверов RDP-клиенты
Windows Vista используют протокол Kerberos. В качестве альтернативы могут
использоваться SSL-сертификаты сервера, но это не делается по умолчанию.
Существует три типовых сценария, в которых использование протокола Kerberos
для проверки подлинности сервера невозможно, но могут применяться SSLсертификаты сервера. Поскольку SSL-сертификаты сервера не развертываются по
умолчанию, сохраненные учетные данные не помогут в следующих случаях:
 Подключение к службам терминалов с домашнего компьютера через сервер
TS Gateway.
 Подключение к автономному (невходящему в домен) серверу.
 Подключение к ферме серверов терминалов.
При подключении к серверу терминалов, располагающемуся за брандмауэром
предприятия через сервер TS Gateway, TS-клиент не имеет прямого соединения с
центром распространения ключей, который находится на контроллере домена за
брандмауэром предприятия. В результате, проверка подлинности сервера с
использованием протокола Kerberos дает сбой. Протокол Kerberos не используются
для подключения к автономному серверу.
Для каждого из приведенных случаев необходимо активировать проверку
подлинности серверов, установить SSL-сертификаты, выданные надежным
центром сертификации (ЦС), и задать имя сервера в поле субъект. Разверните
сертификаты на все серверы терминалов, для которых предполагается
использовать проверку подлинности серверов. Для добавления сертификатов на
серверы терминалов используйте следующую процедуру.
Чтобы задать SSL-сертификат для подключения
1. Щелкните Пуск, щелкните Выполнить (Run) и затем в поле Открыть введите
tsconfig.msc и щелкните OK.
2. В окне Подключения панели Конфигурация сервера терминалов
(Configuration for terminal server) щелкните двойным щелчком RDP-Tcp.
3. На вкладке Общие щелкните Выбрать (Select).
4. Выберите сертификат, который хотите назначить для подключения, и щелкните
OK.
Кроме того, аутентификация Kerberos не работает для ферм серверов, потому что
имена ферм не имеют ассоциированных с ними учетных записей в Active
Directory®. Без этих учетных записей проверка подлинности с использованием
протокола Kerberos невозможна.
Чтобы сделать возможной проверку подлинности серверов фермы, используйте
SSL-сертификаты, выпущенные надежным ЦС, в которых в поле субъект указано
имя фермы. Разверните их на все серверы фермы. SSL-сертификат обеспечит
аутентификацию сервера для сервера терминалов, и политика передачи учетных
данных позволит использовать сохраненные учетные данные для удаленных
подключений.
Важно Если взломанный клиентский компьютер получит доступ к сеансу TS, он может
использоваться для атак на сервер Служб терминалов. Для уменьшения такого риска
Microsoft рекомендует гарантированно обеспечить соответствующую защиту всех клиентских
компьютеров и серверов организации от вредоносных программ и выполнение ими
последних обновлений ПО.
Изменить стандартный RDP-порт
Если вы не хотите подвергать атакам обычно используемый RDP-порт (TCP 3389),
можно для RDP-сеанса другой порт. Однако изменения необходимо вносить и на
самом сервере терминалов, и на всех TS-клиентах. Важно отметить, что изменение
этого порта усложняет как развертывание сервера терминалов, так и последующие
аудит и устранение неполадок. Поэтому Microsoft рекомендует прибегать к этому
лишь для сред, подверженных большим рискам, для которых такие издержки на
дополнительную сложность обоснованы.
Больше информации об изменении RDP-порта можно найти в статье 187623 How to
change Terminal Server’s listening port (Как изменить слушающий порт сервера
терминалов) Базы знаний Microsoft.
Использовать смарт-карты со службами терминалов
RDP-клиенты служб терминалов в Windows Server 2008 поддерживают
возможность проверки подлинности по смарт-катре для пользователей, входящих в
удаленные сеансы в домене, который использует доменную службу Active
Directory® (AD DS). Смарт-карта – это разновидность двухфакторной
аутентификации, при которой для получения доступа к сетевым ресурсам
пользователь должен иметь смарт-карту и знать PIN-код. Смарт-карты
обеспечивают безопасное, защищенное от несанкционированного вмешательства
хранение закрытых ключей и сертификатов безопасности X.509. Благодаря смарткартам вы можете требовать от пользователей предоставления надежных учетных
данных для обеспечения более безопасной среды.
В этом случае обеспечивается хорошая защита от злоумышленников,
использующих для доступа к хостам действительные учетные данные
пользователей. Если для входа на сервер терминалов необходима действительная
смарт-карт, злоумышленнику придется не только знать регистрационные данные и
пароль пользователя, но также позаимствовать смарт-карту пользователя. Поэтому
в случае реализации компанией политики двухфакторной аутентификации Microsoft
рекомендует использовать на сервере терминалов проверку подлинности по смарткарте.
Чтобы использовать смарт-карты для Служб терминалов Windows Server 2008, в
организации должны быть развернуты AD DS, на клиентские компьютеры должна
быть установлена клиентская операционная система Microsoft со встроенной
поддержкой смарт-карт, такая как Windows Vista или Windows XP, и большинство
устройств на базе Windows CE .NET. Также пользователям компьютеров
необходимо обеспечить возможность доступа сеансов сервера терминалов с
локально установленным устройствам чтения смарт-карт.
Если все эти требования выполнены, развертывание смарт-карт для Служб
терминалов Windows Server 2008 аналогично развертыванию смарт-карт для
использования со стандартной проверкой подлинности клиентов Windows
Использовать файловую систему NTFS
Microsoft настоятельно рекомендует использовать для жестких дисков сервера
терминалов исключительно файловую систему NTFS. Таблица размещения
файлов (file allocation table, FAT) не предлагает никакой безопасности ни
пользователей, ни каталогов, тогда как с NTFS доступ к подкаталогам может быть
разрешен только определенным пользователям или группам пользователей.
Это важно в многопользовательских системах, таких как та, которая использует
Службы терминалов. Без обеспечиваемой NTFS безопасности любой пользователь
имеет доступ ко всем каталогам и файлам сервера терминалов. Также существуют
дополнительные преимущества в быстродействии, доступные только при
использовании файловой системы NTFS, такие как дисковые квоты и аудит
файловой системы.
Использовать исключительно TS Easy Print
TS Easy Print – новый компонент Windows Server 2008, позволяющий
пользователям надежно выполнять печать из программы TS RemoteApp или сеанса
полного рабочего стола на локальном или сетевом принтере, установленном на
клиентском компьютере. Теперь для поддержки принтеров нет необходимости
устанавливать драйверы печати на сервере терминалов. При выполнении печати
из программы TS RemoteApp или сеанса удаленного рабочего стола пользователи
на локальном клиенте будут видеть полное диалоговое окно свойств принтера
(пользовательский интерфейс принтера) и иметь доступ ко всем функциям
принтера.
С помощью групповой политики можно обеспечить перенаправление только
принтера по умолчанию, и, таким образом, сократить накладные расходы,
улучшить надежность и масштабируемость. Чтобы сделать это, примените
параметр групповой политики Перенаправлять только используемый по
умолчанию принтер клиента (Redirect only the default client printer).
Данный параметр групповой политики находится в разделе Конфигурация
компьютера\Административные шаблоны\Компоненты Windows\Службы
терминалов\Сервер терминалов\Перенаправление принтеров.
Этот параметр можно задать либо через Редактор локальной групповой политики,
либо с помощью Консоли управления групповой политикой (GPMC). Включение
этого параметра политики гарантирует, что перенаправленным на сервер TS
сможет быть только принтер по умолчанию клиента TS.
Эта политика работает для соединений с любой версией клиента TS.
Вынести пользовательские данные на отдельный диск
Если пользователям разрешено загружать данные на системный диск сервера
терминалов, существует вероятность того, что это может серьезно повлиять на
производительность сервера, даже стать причинной атаки типа отказ в
обслуживании. Поэтому Microsoft рекомендует хранить данные пользователей на
специально выделенном для этого жестком диске, изолированном от данных
операционной системы.
Перенаправить профиль учетной записи пользователя сервера терминалов на диск
данных пользователей можно с помощью параметра групповой политики Профиль
пользователя сервера терминалов (Terminal Server User Profile).
Чтобы вручную настроить параметры профиля, касающиеся служб
терминалов
1. Откройте Active Directory – Пользователи и компьютеры.
2. Щелкните правой кнопкой мыши учетную запись пользователя, профиль
которой хотите настраивать, и щелкните Свойства.
3. Щелкните вкладку Профиль служб терминалов (Terminal services profile).
Используя следующие методы, вы можете вручную настроить параметры профиля,
касающиеся Служб терминалов:
 Путь к профилю. Этот путь можно использовать для выбора отличного от
стандартного места хранения профилей Служб терминалов.
 Домашняя папка служб терминалов. Можно задать путь к домашней
папке, которая будет использоваться сеансами Сервера терминалов. Это
может быть либо локальная папка, либо сетевой ресурс.
Также обе эти опции можно включить напрямую с помощью групповой политики,
находящейся в следующем разделе:
Конфигурация компьютера\Административные шаблоны\Компоненты
Windows\Службы терминалов\Сервер терминалов\Профили
Для обеспечения дополнительной защиты рассмотрите возможность применения
для управления дисковым пространством, предоставляемым пользователям,
управления квотами на жестком диске для пользовательских данных. Больше
информации об использовании дисковых квот можно найти в разделе Working with
Quotas (Работа с квотами) книги Step-by-Step Guide for File Server Resource Manager
(Пошаговое руководство по работе с диспетчером ресурсов файлового сервера).
Создать специальные подразделения для серверов терминалов
Там, где это возможно, Microsoft рекомендует размещать объекты-компьютеры
Сервера терминалов в специальных подразделениях. Это позволит создать
общесистемные ограничения для среды сервера терминалов. Таким образом, для
Сервера терминалов будут реализованы ограничения на уровне компьютера.
Администраторы могут применять ограничения учетных записей ко всем
пользователям, включая администраторов, регистрирующихся на сервере
терминалов. Эти ограничения можно добавлять или применять их вместо политик
для пользователей, когда они входят в домен. Дополнительная информация
представлена в документации, посвященной замыканию политики компьютера на
себя.
Примечание Упомянутые в данном разделе политики могут жестко ограничивать
функциональность даже для учетной записи администратора.
Если необходимо применять ограничения для каждого пользователя в
отдельности, поместите объект учетной записи в заблокированное подразделение.
Однако в этом случае ограничения учетных записей для данной учетной записи
пользователя будут действовать независимо от того, какой компьютер
используется для входа в домен.
При реализации групповой политики для этой цели Microsoft рекомендует
применять один из двух подходов:
 Поместить учетные записи пользователей в заблокированное
подразделение.
При таком подходе вы создаете учетные записи пользователей только для
сервера терминалов и помещаете их в заблокированное подразделение.
После этого с помощью оснастки Консоль управления Microsoft настройкой
сервера терминалов (Terminal Server Configuration MMC) можно разрешить
вход на сервер терминалов только этим пользователям. Проинструктируйте
пользователей о том, что на сервере терминалов они должны использовать
только эти учетные записи. Если необходимо применить какие-то
ограничения к компьютерам, отключите обработку замыкания и поместите
объект-компьютер Сервера терминалов в подразделение. Кроме
ограничивающих политик компьютера, на одном сервере терминалов к
пользователям могут применяться различные уровни ограничений. Такая
реализация позволяет администраторам выполнять на сервере терминалов
некоторые операции, пока пользователи активны.
 Поместить в заблокированное подразделение только объекткомпьютер Сервер терминалов.
При использовании данного подхода после установки и настройки всех
приложений на сервере терминалов компьютер-объект Сервера
терминалов можно поместить в заблокированное подразделение и после
этого включить обработку замыкания. Тогда все пользователи, входящие на
сервер терминалов, независимо от того, в каких подразделениях эти
пользователи размещаются, будут подчинены политикам, основанным на
учетных записях, определенным заблокированным объектом групповой
политики (GPO).
Таким образом, можно избежать необходимости внесения в настройки
сервера терминалов множества локальных изменений. Но администратор
по-прежнему может удаленно управлять сервером. Если администраторам
необходим доступ к серверу терминалов, выполните выход из системы для
всех пользователей и временно ограничьте возможность их входа на
сервер терминалов. Выведите компьютер-объект Сервера терминалов из
заблокированного подразделения и выполните вход в систему. Верните
компьютер-объект Сервера терминалов в заблокированное подразделение
и после завершения обслуживания возобновите возможность входа
пользователей. Для этой реализации не требуется, чтобы у пользователей
имелось множество учетных записей пользователя. Благодаря ей также
можно предотвратить изменение конфигурации сервера терминалов во
время его работы.
Следующий шаг после принятия решения о подходе к применению политики –
определение параметров групповой политики, которые должны быть реализованы
в конкретной среде. В данном руководстве представлены рекомендации для
параметров, которые могут быть наиболее эффективными для обеспечения
безопасности установки сервера терминалов в средах EC и SSLF. Однако из-за
возможных проблем с совместимостью и возможностью использования эти
параметры не применяются в объектах GPO, создаваемых инструментом
GPOAccelerator.
Важно Если решено применять данные рекомендации по настройке, важно тщательно
протестировать их, чтобы найти наиболее эффективные для конкретной среды. Возможно,
некоторые ограничения настроек могут привести к проблемам совместимости с рядом
приложений, необходимых вашей организации.
Задать параметры групповой политики для серверов терминалов
Существует ряд параметров групповой политики, которые могут использоваться
для настройки Служб терминалов на сервере терминалов. В данный раздел
включены имена объектов политики, описания и назначение параметров и
рекомендации по их применению
Редактировать объекты политики, оказывающие влияние на безопасность Служб
терминалов, можно с помощью GPMC. В следующем списке представлены
некоторые ключевые области:
 Опции безопасности
 Системные службы
 Подключения
 Перенаправление устройств и ресурсов
 Ограничение сеансов по времени
 Установщик Windows
 Групповая политика
Параметры политики опций безопасности
Для управления опциями безопасности Microsoft рекомендует использовать
параметры политики из следующего раздела GPMC:
Конфигурация компьютера\Параметры Windows\Параметры
безопасности\Локальные политики\Опции безопасности
В следующей таблице представлены имена объектов политики, рекомендуемые
значения, их описания и значения по умолчанию в Windows Server 2008.
Таблица 11.2. Параметры политики опций безопасности компьютера сервера
терминалов
Объект политики
Описание
Значение
по
умолчанию
Устройства:
разрешить доступ к
дисководам компактдисков только
локальным
пользователям
(Devices: Restrict CDROM access to locally
logged-on user only)
Рекомендуемое значение: Включен
Согласно данной политике доступ к дисководу
компакт-дисков разрешен только
пользователям, которые выполнили вход в
консоль сервера терминалов. Microsoft
рекомендует активировать эту политику,
чтобы предотвратить возможность
удаленного доступа пользователей и
администраторов к программам или данным
компакт-дисков.
Не
определен
Устройства:
разрешить доступ к
дисководам гибких
дисков только
локальным
пользователям
(Devices: Restrict
floppy access to
locally logged-on user
only)
Рекомендуемое значение: Включен
Согласно данной политике доступ к дисководу
гибких дисков разрешен только
пользователям, которые выполнили вход в
консоль сервера терминалов. Microsoft
рекомендует активировать эту политику,
чтобы предотвратить возможность
удаленного доступа пользователей и
администраторов к программам или данным
гибких дисков.
Не
определен
Интерактивный вход
в систему: не
отображать
последнее имя
пользователя
(Interactive logon: Do
not display last user
name)
Рекомендуемое значение: Включен
Данная политика определяет, будет ли имя
пользователя, выполнившего вход в систему
последним, отображаться на экране входа в
Windows.
Если данная политика активирована, имя
пользователя, который успешно вошел в
систему последним, не отображается в
диалоговом окне Вход в Windows (Log On to
Windows).
По умолчанию имя пользователя, вошедшего
в систему последним, отображается. Microsoft
рекомендует активировать этот параметр,
чтобы пользователи, выполняющие доступ к
серверу, не могли видеть имена входа в
систему.
Отключен
Параметры политики системных служб
Для управления системными службами Microsoft рекомендует использовать
параметры политики из следующего раздела GPMC:
Конфигурация компьютера\Параметры Windows\Параметры
безопасности\Системные службы
В следующей таблице представлено имя объекта политики, рекомендуемое
значение, его описание и значение по умолчанию в Windows Server 2008.
Таблица 11.3. Параметр политики системных служб компьютера сервера
терминалов
Объект политики
Описание
Значение
по
умолчанию
Справка и
поддержка (Help and
Support)
Рекомендуемое значение: Отключен
Данная политика отключает службу Центра
справки и поддержки. Она не дает
пользователям запускать приложение Центр
справки и поддержки Windows. Эта политика
не отключает файлы справки (такие как *.chm)
или Справку в других приложениях.
Отключение данной службы может привести к
возникновению проблем с другими
зависимыми от нее программами и службами.
Microsoft рекомендует отключать эту службу,
чтобы пользователи не могли запускать
другие приложения или просматривать
системную информацию о сервере
терминалов.
Не
определен
Параметры политики подключений
Для управления подключениями Microsoft рекомендует использовать параметры
политики из следующего раздела GPMC:
Конфигурация компьютера\Административные шаблоны\Компоненты
Windows\Службы терминалов\Сервер терминалов\Подключения
В следующей таблице представлены имена объектов политики, рекомендуемые
значения, их описания и значения по умолчанию в Windows Server 2008.
Таблица 11.4. Параметры политики подключений компьютера сервера
терминалов
Объект политики
Описание
Значение
по
умолчанию
Ограничить
пользователей
службы
терминалов одним
удаленным
сеансом (Restrict
Terminal Services
users to a single
remote session)
Рекомендуемое значение: Включен
Соответственно данной политике один
пользователь не может, используя одну
учетную запись, создавать множество сеансов
на сервере терминалов.
Не
определен
Удалить элемент
«Отключение
сеанс» из диалога
завершения
1
работы (Remove
Disconnect option
from Shut Down
dialog box)
Рекомендуемое значение: Включен
Данная политика убирает опцию отсоединения
из диалогового окна Завершение работы
Windows (Shut Down Windows). При этом
пользователи сохраняют возможность
отключать сеанс с Сервером терминалов.
Используйте эту политику, если хотите,
чтобы пользователи не имели возможность
без труда отключаться от сеанса, и не
желаете удалять диалоговое окно
Завершение работы Windows.
Не
определен
Параметры политики перенаправления устройств и ресурсов
Для управления перенаправлением устройств и ресурсов Microsoft рекомендует
использовать параметры политики из следующего раздела GPMC:
Конфигурация компьютера\Административные шаблоны\Компоненты
Windows\Службы терминалов\Сервер терминалов\Перенаправление
устройств и ресурсов
В следующей таблице представлены имена объектов политики, рекомендуемые
значения, их описания и значения по умолчанию в Windows Server 2008.
Таблица 11.5. Параметры политики перенаправления устройств и ресурсов
компьютера сервера терминалов
1
Объект политики
Описание
Значение по
умолчанию
Разрешить
перенаправление
Рекомендуемое значение: Отключен
Данная политика определяет, могут ли
Отключен
Данная политика находится в разделе Конфигурация
компьютера\Административные шаблоны\Компоненты Windows\Службы
терминалов\Сервер терминалов\Среда удаленных сеансов (прим. научного
редактора).
Объект политики
Описание
Значение по
умолчанию
звука (Allow audio
redirection)
пользователи выбирать, где будет
воспроизводиться звук с удаленного
компьютера в сеансе служб терминалов. С
помощью опции Звук на удаленном
компьютере (Remote computer sound) на
вкладке Локальные ресурсы (Local
Resources) окна подключения к удаленному
рабочему столу пользователи могут
выбирать, где будет воспроизводиться
удаленный звук: на удаленном или на
локальном компьютере. Также пользователи
могут отключить звук.
Не разрешать
перенаправление
буфера обмена (Do
not allow clipboard
redirection)
Рекомендуемое значение: Включен
По умолчанию службы терминалов допускают
перенаправление буфера обмена. Данная
политика определяет, будет ли в сеансе
служб терминалов запрещено разделение
содержимого буфера обмена между
удаленным и клиентским компьютерами. С
помощью этого параметра можно запретить
пользователям перенаправлять данные
буфера обмена на и с удаленного и
локального компьютера.
Не
определен
Не разрешать
перенаправление
COM-портов (Do
not allow COM port
redirection)
Рекомендуемое значение: Включен
По умолчанию службы терминалов допускают
такое перенаправление COM-портов. Данная
политика определяет, будет ли в сеансе
служб терминалов запрещено
пернаправление данных на клиентские COMпорты. С помощью этого параметра можно
запретить сопоставление локальных COMпортов и перенаправление данных с
удаленного компьютера на периферийные
устройства, подключенные к локальным COMпортам.
Не
определен
Не разрешать
перенаправление
дисков (Do not allow
drive redirection)
Рекомендуемое значение: Включен
По умолчанию сервер терминалов
автоматически отображает жесткие диски
клиента при подключении. Microsoft
рекомендует активировать эту политику,
чтобы пользователи не могли посредством
перенаправления дисков получать доступ к
приложениям на локальном компьютере.
Не
определен
Объект политики
Описание
Значение по
умолчанию
Не разрешать
перенаправление
LPT-портов (Do not
allow LPT port
redirection)
Рекомендуемое значение: Включен
По умолчанию службы терминалов допускают
перенаправление LPT-портов. С помощью
данной политики можно запретить
перенаправление данных на клиентские LPTпорты в сеансе служб терминалов. С
помощью этого параметра можно запретить
пользователям отображать локальные LPTпорты и перенаправлять данные с удаленного
компьютера на периферийные устройства,
подключенные к локальным LPT-портам.
Не
определен
Не разрешать
перенаправление
поддерживаемых
устройств Plug and
Play (Do not allow
supported Plug and
Play device
redirection)
Рекомендуемое значение: Включен
По умолчанию службы терминалов допускают
перенаправление поддерживаемых устройств
Plug and Play. С помощью опции Подробнее
(More) на вкладке Локальные ресурсы окна
подключения к удаленному рабочему столу
пользователи могут выбирать
поддерживаемые устройства Plug and Play
для перенаправления на удаленный
компьютер.
Если отключить эту политику, пользователи
не смогут перенаправлять поддерживаемые
ими устройства Plug and Play на удаленный
компьютер.
Не
определен
Примечание: Также перенаправление
поддерживаемых устройств Plug and Play можно
запретить на вкладке Параметры клиента (Client
Settings) в инструменте настройки служб
терминалов.
Не разрешать
перенаправление
устройства чтения
смарт-карт (Do not
allow smart card
device redirection)
Рекомендуемое значение: Отключен
Данная политика позволяет включать или
выключать перенаправление устройств
чтения смарт-карт в сеансе служб
терминалов. Microsoft рекомендует
максимально широкое применение устройств
чтения смарт-карт, поэтому этот параметр не
следует включать.
Не
определен
Параметры политики ограничения сеансов по времени
Для управления ограничением сеансов по времени Microsoft рекомендует
использовать параметры политики из следующего раздела GPMC:
Конфигурация компьютера\Административные шаблоны\Компоненты
Windows\Службы терминалов\Сервер терминалов\Ограничение сеансов по
времени
В следующей таблице представлено имя объекта политики, рекомендуемое
значение, его описание и значение по умолчанию в Windows Server 2008.
Таблица 11.6. Параметр политики ограничения сеансов по времени
компьютера сервера терминалов
Объект политики
Описание
Значение по
умолчанию
Задать
ограничение по
времени для
отключенных
сеансов (Set time
limit for
disconnected
sessions)
Рекомендуемое значение: Включен
По умолчанию сервер терминалов допускает
отключение сеансов пользователей и
сохранение всех их приложений в активном
состоянии неограниченное время. Эта
политика задает лимит времени активности
приложений для отключенных сеансов
сервера терминалов. Microsoft рекомендует
включить эту политику, если вы не хотите,
чтобы отключенные сеансы сервера
терминалов оставались активными в течение
длительного времени.
Не
определен
Параметры политики Установщика Windows
Для управления Установщиком Windows® Microsoft рекомендует использовать
параметры политики из следующего раздела GPMC:
Конфигурация компьютера\Административные шаблоны\Компоненты
Windows\Установщик Windows
В следующей таблице представлено имя объекта политики, рекомендуемое
значение, его описание и значение по умолчанию в Windows Server 2008.
Таблица 11.7. Параметр политики установщика Windows компьютера сервера
терминалов
Объект политики
Описание
Значение
по
умолчанию
Запретить
установщик
Microsoft Windows
(Disable Microsoft
Windows Installer)
Рекомендуемое значение: Включен
Не
определен
Если эта политика задана только для
управляемых приложений, Установщик
Windows по-прежнему работает для
приложений, опубликованных или назначенных
групповой политикой. Если этой политике
задано значение Always (Всегда), Установщик
Windows полностью отключен. Это может быть
полезно, если на сервере терминалов
нежелательно присутствие опубликованных
или назначенных приложений.
При отключенном Установщике Windows другие
программы установки или методы по-прежнему
могут выполнять установку приложений.
Microsoft рекомендует устанавливать и
настраивать приложения до активации этой
политики. После ее активации администраторы
не могут устанавливать приложения,
использующие Установщик Windows.
Параметры политики группы пользователей
Для управления группами пользователей Microsoft рекомендует использовать
параметры политики из следующего раздела GPMC:
Конфигурация компьютера\Административные шаблоны\Система\Групповая
политика
В следующей таблице представлено имя объекта политики, рекомендуемое
значение, его описание и значение по умолчанию в Windows Server 2008.
Таблица 11.8. Параметры политики группы пользователей компьютера
сервера терминалов
Объект политики
Описание
Значение
по
умолчанию
Режим обработки
замыкания
пользовательской
групповой политики
(User Group Policy
loopback processing
mode)
Если компьютер-объект сервера терминалов
помещен в заблокированное подразделение, а
учетная запись пользователя нет, обработка
замыкания применяет ограничительные
политики настройки пользователей ко всем
пользователям сервера терминалов.
Если эта политика включена, ограничительные
политики настройки пользователей
распространяется на всех пользователей,
Не
определен
Объект политики
Описание
Значение
по
умолчанию
включая администраторов, выполняющих вход
на сервер терминалов, независимо от места
расположения их пользовательской учетной
записи.
Существует два режима этой политики:

Режим слияния сначала применяется к
собственному GPO пользователя, затем к
заблокированной политике.
Заблокированная политика является
более приоритетной, чем GPO
пользователя.

Режим замены использует только
заблокированную политику, собственный
GPO пользователя не учитывается. Эта
политика реализовывает ограничения на
основании компьютеров, а не учетных
записей пользователей.
Если эта политика выключена, и компьютеробъект сервера терминалов располагается в
заблокированном подразделении, к серверу
терминалов применяются только политики
настройки компьютера. Чтобы ограничение
настройки пользователя распространялось на
данного пользователя, все его учетные записи
должны быть помещены в это подразделение.
Задать параметры групповой политики для удаленных рабочих
столов
Существует ряд важных шагов, которые можно предпринять для оптимизации
безопасности сеансов пользователей при планировании конфигурации рабочей
нагрузки. Microsoft рекомендует применение этих параметров к пользовательским
учетным записям в заблокированном подразделении служб терминалов. Если
применяется обработка замыкания, эти ограничения распространяются на все
пользовательские учетные записи, выполняющие вход на компьютеры в
заблокированном подразделении
Многие из представленных в данном руководстве параметров работают на
клиентских компьютерах с Windows Vista или Windows XP с SP2 или более
поздними версиями, но при создании руководства они были протестированы только
на компьютерах с Windows Vista. Обязательно самостоятельно протестируйте все
приведенные параметры на клиентских компьютерах в своей рабочей среде.
Редактировать объекты политики, оказывающие влияние на безопасность
удаленного рабочего стола, можно с помощью GPMC. В следующем списке
представлены некоторые ключевые области:



















Перенаправление папок
Поиск в Internet Explorer
Меню обозревателя Internet Explorer
Совместимость приложений
Internet Explorer
Общее диалоговое окно открытия файлов
Планировщик заданий
Windows Messenger
Боковая панель Windows
Windows PowerShell™
Центр обновления Windows
Панель задач и меню Пуск
Рабочий стол
Панель управления
Установка и удаление программ
Принтер
Система
Возможности Ctrl+Alt+Del
Сценарии
Параметры политики перенаправления папок
Для управления перенаправлением папок Microsoft рекомендует использовать
параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Параметры Windows\Перенаправление папки
В следующей таблице представлены имена объектов политики, рекомендуемые
значения, их описания и значения по умолчанию в Windows Server 2008.
Таблица 11.9. Параметры политики перенаправления папок компьютера
сервера терминалов
Объект политики
Описание
Значение по
умолчанию
AppData(Roaming) Рекомендуемое значение: Перенаправлять
Не
папки всех пользователей в одно место
определен
(простая) и Создать папку для каждого
пользователя на корневом пути(Basic - Redirect
everyone’s folder to the same location and Create
a folder for each user under the root path).
Для этого на вкладке Параметры (Settings)
активируйте опцию для предоставления
пользователю эксклюзивных прав. Активируйте
опцию для перемещения содержимого папки в
новый каталог. Также определите поведение
при удалении политики, чтобы папка
перенаправлялась обратно в локальный каталог
профиля пользователя при удалении политики.
Рабочий стол
(Desktop)
Рекомендуемое значение: Перенаправлять
Не
папки всех пользователей в одно место
определен
(простая) и Создать папку для каждого
пользователя на корневом пути.
Для этого на вкладке Параметры активируйте
опцию для предоставления пользователю
эксклюзивных прав. Активируйте опцию для
перемещения содержимого папки в новый
каталог. Также определите поведение при
удалении политики, чтобы папка
перенаправлялась обратно в локальный каталог
профиля пользователя при удалении политики.
Мои документы
(My Documents)
Рекомендуемое значение: Перенаправлять
Не
папки всех пользователей в одно место
определен
(простая) и Создать папку для каждого
пользователя на корневом пути.
Для этого на вкладке Параметры активируйте
опцию для предоставления пользователю
эксклюзивных прав. Активируйте опцию для
перемещения содержимого папки в новый
каталог. Также определите поведение при
удалении политики, чтобы папка
перенаправлялась обратно в локальный каталог
профиля пользователя при удалении политики.
Объект политики
Описание
Значение по
умолчанию
Меню Пуск (Start
Menu)
Рекомендуемое значение: Перенаправлять
Не
папки всех пользователей в одно место
определен
(простая) и Перенаправлять в следующее место
(Basic - Redirect everyone’s folder to the same
location and redirect to the following location)).
Для этого на вкладке Параметры определите
поведение при удалении политики, чтобы папка
перенаправлялась обратно в локальный каталог
профиля пользователя при удалении политики.
В этой общей папке создайте папку
\Programs\Startup.
Активация этих параметров может обеспечить
центральную точку для архивации данных
пользователей. Кроме того, если включена
политика ограничения доступа к локальным
жестким дискам, пользователям необходимо
перенаправлять папки, если они не хотят
видеть сообщения о том, что их возможности
доступа ограничены.
Если сервер перемещаемых профилей
недоступен, можно использовать локальные
общие папки. Для этого создайте главную папку
для всех данных пользователей (например,
C:\userdata). Создайте четыре подпапки, по
одной для каждого типа папок (например,
AppData, Desktop, MyDocs и Start). Сделайте
все подпапки общими ресурсами и разрешите
группе Все Изменять (Change) общие ресурсы.
Наконец, задайте соответствующий путь к
каждой общей папке.
Также вы можете иначе настроить меню Пуск и
сделать его общим для всех пользователей.
Для этого измените разрешения доступа к
общим ресурсам для группы Все на Читать
(Read). В общей папке Startup
(C:\userdata\Start\Programs\Startup) вручную
создайте папку Programs\Startup.
Параметры политики поиска в Internet Explorer
Для управления поведением поиска в Microsoft Internet Explorer® Microsoft
рекомендует использовать параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Компоненты
Windows\Internet Explorer
В следующей таблице представлено имя объекта политики, рекомендуемое
значение, его описание и значение по умолчанию в Windows Server 2008.
Таблица 11.10. Параметр политики поиска в Internet Explorer компьютера
сервера терминалов
Объект политики
Описание
Значение по
умолчанию
Поиск:
отключить поиск
файлов по
нажатию F3 в
обозревателе
(Search: Disable
Find Files via F3
within the
browser)
Рекомендуемое значение: Включен
Эта политика отключает возможность поиска с
помощью клавиши F3 в Internet Explorer и
Windows Explorer. Пользователь не может
нажать F3, чтобы выполнить поиск в Интернете
(из Internet Explorer) или на жестком диске (из
Windows Explorer).
При нажатии F3 появляется сообщение о том,
что эта возможность отключена. Microsoft
рекомендует активировать эту политику, чтобы
пользователи не могли выполнять поиск
приложений на своих жестких дисках или в
Интернет.
Не
определен
Параметры политики меню обозревателя Internet Explorer
Для управления меню обозревателя Internet Explorer Microsoft рекомендует
использовать параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Компоненты
Windows\Internet Explorer\Меню обозревателя
В следующей таблице представлены имена объектов политики, рекомендуемые
значения, их описания и значения по умолчанию в Windows Server 2008.
Таблица 11.11. Параметры политики меню обозревателя Internet Explorer
компьютера сервера терминалов
Объект политики
Описание
Значение по
умолчанию
Отключить
контекстное
меню (Disable
Context menu)
Рекомендуемое значение: Включен
Эта политика отключает появление контекстного
меню по щелчку правой кнопки мыши в
обозревателе.
Microsoft рекомендует активировать эту
политику, чтобы предотвратить использование
контекстного меню как альтернативного метода
выполнения команд.
Не
определен
Объект политики
Описание
Значение по
умолчанию
Скрыть меню
Избранное (Hide
Favorites menu)
Рекомендуемое значение: Включен
Данная политика предотвращает возможность
добавления, удаления или редактирования
списка ссылок Избранное. Если эта политика
активирована, меню Избранное удаляется из
интерфейса, и кнопка Избранное на панели
инструментов обозревателя отображается
неактивной. Эту политику следует использовать,
если требуется удалить меню Избранное из
Windows Explorer, и если вы не хотите
предоставлять пользователям возможность
упрощенного доступа к Internet Explorer.
Не
определен
Дополнительные параметры безопасности Internet Explorer 7.0, которые могут
использоваться для наложения дополнительных ограничений на обозреватель,
представлены в руководстве Windows Vista Security Guide.
Параметры политики совместимости приложений
Для управления выполнением 16-разрядных приложений Microsoft рекомендует
использовать параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Компоненты
Windows\Совместимость приложений
В следующей таблице представлены имена объектов политики, рекомендуемые
значения, их описания и значения по умолчанию в Windows Server 2008.
Таблица 11.12. Параметры политики совместимости приложений
Объект политики
Описание
Значение
по
умолчанию
Запрещение
доступа к 16разрядным
приложениям
(Prevent access to
16-bit applications)
Рекомендуемое значение: Включен
Данная политика запрещает выполнение
подсистемы MS-DOS® (ntvdm.exe) для
пользователя. Эта настройка влияет на запуск
всех 16-разрядных приложений в
операционной системе. По умолчанию
подсистема MS-DOS выполняется для всех
пользователей. Многие приложения MS-DOS
плохо совместимы с сервером терминалов и
могут стать причиной сильной загруженности
ЦП из-за постоянного опроса клавиатуры.
Microsoft рекомендует активировать эту
политику в настройках компьютера (на
системном уровне), чтобы блокировать 16разрядные приложения на всем сервере
терминалов.
Не
определен
Параметры политики Internet Explorer
Для управления обозревателем Windows Explorer Microsoft рекомендует
использовать параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Компоненты
Windows\Windows Explorer
В следующей таблице представлены имена объектов политики, рекомендуемые
значения, их описания и значения по умолчанию в Windows Server 2008.
Таблица 11.13. Параметры политики Windows Internet Explorer
Объект политики
Описание
Значение
по
умолчанию
Удалить команду
«Свойства папки»
из меню «Сервис»
(Remove the Folder
Options menu item
from the Tools
menu)
Рекомендуемое значение: Включен
Данная политика удаляет команду Свойства
папки (Folder Options) из меню Windows
Explorer и Панели управления. В результате,
пользователи не могут использовать
диалоговое окно Свойства папки.
Microsoft рекомендует активировать эту
политику, чтобы пользователи не могли
настраивать многие свойства Windows
Explorer, такие как Active Desktop®,
представление Веб-узла, Автономные файлы,
скрытые системные файлы и типы файлов.
Не
определен
Удалить меню
«Файл» из
проводника
Windows (Remove
File menu from
Windows Explorer)
Рекомендуемое значение: Включен
Данная политика удаляет меню Файл из окна
Мой компьютер и Windows Explorer, но не
запрещает использование других методов для
выполнения задач, предлагаемых меню Файл.
Microsoft рекомендует активировать эту
политику, чтобы устранить возможность
легкого доступа к таким задачам, как Создать
(New) и Открыть с помощью (Open With), и
также к расширениям оболочки для некоторых
приложений. Также в случае применения
данной политики создавать ярлыки для
исполняемых файлов становится не так
просто.
Не
определен
Объект политики
Описание
Значение
по
умолчанию
Удалить команды
«Подключить
сетевой диск» и
«Отключить
сетевой диск»
(Remove "Map
Network Drive" and
"Disconnect Network
Drive")
Рекомендуемое значение: Включен
Данная политика не дает пользователям
подключаться к общим файлам и отключаться,
используя Windows Explorer. Она не
препятствует подключению и отсоединению
жестких дисков с помощью других приложений
или из командной строки.
Microsoft рекомендует активировать эту
политику, чтобы устранить возможность
беспрепятственного просмотра домена из
Windows Explorer. Если необходимы
подключенные диски, вы может подключить их
в сценарии входа.
Не
определен
Удалить кнопку
«Поиск» из
проводника
Windows (Remove
Search button from
Windows Explorer)
Рекомендуемое значение: Включен
Microsoft рекомендует активировать эту
политику, чтобы пользователи не могли
выполнять поиск приложений из Windows
Explorer. Эта политика не запрещает
подпрограммы поиска в других приложениях
или меню Пуск.
Не
определен
Удалить вкладку
«Безопасность»
(Remove Security
Tab)
Рекомендуемое значение: Включен
Не
определен
Эта политика удаляет вкладку Безопасность
из Windows Explorer. Даже если пользователи
имеют возможность открывать диалоговое
окно Свойства для объектов файловой
системы, включая папки, файлы, ярлыки и
диски, они не имеют доступа к вкладке
Безопасность.
Microsoft рекомендует активировать эту
политику, чтобы пользователи не могли менять
параметры безопасности или просматривать
список всех пользователей, имеющих доступ к
объекту.
Запретить вывод
контекстного меню
по умолчанию для
проводникаWindows
(Remove Windows
Explorer's default
context menu)
Рекомендуемое значение: Включен
Эта политика убирает контекстное меню из
Windows Explorer
Microsoft рекомендует активировать эту
политику, чтобы устранить возможность
легкого доступа к приложениям, которые
размещают ссылки в контекстном меню. Эта
политика не устраняет другие методы доступа
к приложениям контекстного меню, такие как
Не
определен
Объект политики
Описание
Значение
по
умолчанию
использование сочетаний клавиш.
Скрыть команду
«Управление» из
контекстного меню
проводника
Windows (Hides the
Manage item on the
Windows Explorer
context menu)
Рекомендуемое значение: Включен
Эта политика убирает команду Управление
(Manage) из Windows Explorer или окна Мой
компьютер. Команда Управление открывает
оснастку Управление компьютером в консоли
MMC (compmgmt.msc). Из оснастки
Управление компьютером пользователи имеют
доступ к таким элементам как Просмотр
событий (Event Viewer), Сведения о системе и
Администратор дисков (Disk Administrator). Эта
политика не ограничивает доступ к этим
задачам с помощью других методов, таких как
Панель управления и команда Выполнить.
Microsoft рекомендует активировать эту
политику, чтобы устранить возможность
легкого доступа к системной информации
сервера терминалов.
Не
определен
Скрыть выбранные
диски из окна «Мой
компьютер» (Hide
these specified
drives in My
Computer)
Рекомендуемое значение: Включен –
распространяется только на диски A, B, C и D.
Данная политика только удаляет значки из
окна Мой компьютер, Windows Explorer и
стандартного диалогового окна Файл. Она не
исключает возможности доступа к этим дискам
другими средствами, например, через окно
командной строки. С помощью этой политики
можно скрывать только диски А – D.
Microsoft рекомендует активировать эту
политику, чтобы скрывать дисковод гибких
дисков, дисковод CD-ROM и раздел
операционной системы. Можно настроить так,
чтобы пользователи могли видеть только
раздел, отведенный под общедоступные
данные. В случае необходимости доступ к
этому разделу можно ограничить с помощью
разрешений NTFS.
Важно Если используется шифрование дисков
BitLocker™, не пытайтесь скрывать
загрузочный диск BitLocker.
Не
определен
Запретить доступ к
дискам через «Мой
компьютер»
(Prevent access to
Рекомендуемое значение: Включен – только
диски A, B, C и D.
Эта политика предотвращает доступ к дискам
A, B, C и D через окно Мой компьютер,
Не
определен
Объект политики
Описание
Значение
по
умолчанию
drives from My
Computer)
Windows Explorer и стандартное диалоговое
окно Файл. Эта политика не запрещает доступ
к дискам из программ, не использующим
стандартные диалоговые окна. Пользователи
по-прежнему могут запускать приложения,
располагающиеся на дисках, доступ к которым
запрещен.
Microsoft рекомендует активировать эту
политику, чтобы ограничить возможность
просмотра файлов в системных разделах.
Удалить вкладку
«Оборудование»
(Remove Hardware
tab)
Рекомендуемое значение: Включен
Не
определен
Данная политика удаляет вкладку
Оборудование (Hardware) из элементов
Мышь (Mouse), Клавиатура (Keyboard) и
Звуки и аудиоустройства (Sounds and Audio
Devices) Панели управления. Также
соответственно этой политике вкладка
Оборудование удаляется из диалогового окна
Свойства для всех локальных дисков, включая
жесткие диски, дисководы гибких дисков и CDROM.
Microsoft рекомендует активировать эту
политику, чтобы пользователи не могли
использовать вкладку Оборудование для
просмотра списка устройств или свойств
устройств.
Объект политики
Описание
Значение
по
умолчанию
Скрыть значок
«Соседние
компьютеры» в
папке Сеть (No
Computers Near Me
in Network
Locations)
Рекомендуемое значение: Включен
Удаляет компьютеры рабочей группы и домена
пользователя из списков сетевых ресурсов в
Windows Explorer и окне Сеть (Network
Locations). Эта политика удаляет из окна Сеть
опцию Соединение компьютеры (Computers
Near Me) и значки, представляющие
близлежащие компьютеры. Также
соответственно этой политике эти значки
удаляются из обозревателя Подключить
сетевой диск (Map Network Drive).
Эта политика не запрещает пользователям
использовать для подключения к компьютерам
своей рабочей группы или домена другие
общепринятые методы, такие как ввод имени
общего ресурса в диалоговом окне
Выполнить (Run) или Подключить сетевой
диск (Map Network Drive).
Не
определен
Скрыть значок
«Вся сеть» в папке
«Сеть» (No Entire
Network in Network
Locations)
Рекомендуемое значение: Включен
Данная политика удаляет все компьютеры, не
входящие в рабочую группу пользователя или
локальный домен, из списков сетевых
ресурсов в Windows Explorer и окне Сеть. Эта
настройка удаляет опцию Вся сеть (Entire
Network) и значки, представляющие
объединенные в сеть компьютеры, из окна
Сеть и из обозревателя, ассоциированного с
опцией Подключить сетевой диск.
Эта политика не запрещает пользователям
просматривать или подключаться к
компьютерам своей рабочей группы или
домена. Также она не запрещает
использование для подключения к удаленным
компьютерам других общепринятых методов,
таких как ввод имени общего ресурса в
диалоговом окне Выполнить или
Подключить сетевой диск.
Не
определен
Объект политики
Описание
Значение
по
умолчанию
Отключить
сочетания клавиш
Windows+X (Turn off
Windows+X hotkeys)
Рекомендуемое значение: Включен
Данная политика отключает сочетания клавиш
Windows+X. Клавиатура с клавишей Windows
предоставляет пользователям возможность
доступа к наиболее часто используемым
функциям оболочки с помощью сочетаний
клавиш.
Не
определен
Включить
классическую
оболочку (Turn on
Classic Shell)
Рекомендуемое значение: Включен
Данная политика не дает пользователям
настраивать свою систему на использование
одного щелчка для открытия элементов. В
результате пользовательский интерфейс
выглядит и работает, как интерфейс Windows
NT® 4.0, и пользователи не могут
восстановить использование новых
возможностей.
Кроме того, при активации данной политики
будет отключена панель предварительного
просмотра, свойства папок для Windows
Explorer изменятся на использование обычных
папок, а возможность пользователей изменять
их будет отключена.
Не
определен
Примечание: В операционных системах,
выпущенных до Windows Vista, включение этой
политики также отключает Active Desktop и
отображение в виде Веб-страниц. Этот параметр
также имеет приоритет над параметром Отключить
Active Desktop (Enable Active Desktop). Если обе
политики включены, Active Desktop отключен.
Microsoft рекомендует активировать эту
политику, чтобы удалить Задачи для папок
(Folder Tasks). Некоторые задачи для папок,
такие как для папки Моя музыка (My Music),
могут использоваться для запуска Internet
Explorer.
Параметры политики общего диалогового окна открытия файлов
Для управления диалоговыми окнами открытия файлов группами пользователей
Microsoft рекомендует использовать параметры политики из следующего раздела
GPMC:
Конфигурация пользователя\Административные шаблоны\Компоненты
Windows\Windows Explorer\Общее диалоговое окно открытия файлов
В следующей таблице представлены имена объектов политики, рекомендуемые
значения, их описания и значения по умолчанию в Windows Server 2008.
Таблица 11.14. Параметры политики Windows Internet Explorer
Объект политики
Описание
Значение
по
умолчанию
Скрыть кнопку
«Назад» в общих
диалогах открытия
файлов (Hide the
common dialog back
button)
Рекомендуемое значение: Включен
Данная политика удаляет кнопку Назад (Back)
из стандартного диалогового окна Открыть
(Open), доступного пользователям в
Windows® 2000 Professional, что делает это
окно похожим на то, как оно выглядело в
Windows NT 4.0 или более ранних версиях. Эта
политика распространяется только на
программы, использующие стандартное
диалоговое окно Открыть, предоставляемое
разработчикам программ Windows.
В Window Vista данная политика применяется
только к приложениям, использующим общий
вид диалогового окна Windows XP. Она не
применяется к новому общему виду
диалогового окна Windows Vista. Также к
приложениям сторонних производителей для
Windows 2000 или более поздних версий
предъявляется требование следовать этой
политике.
Не
определен
Элементы,
отображаемые в
панели мест (Items
displayed in Places
Bar)
Рекомендуемое значение: Включен
Не
определен
Данная политика настраивает список
элементов, отображаемых в Панели мест
(Places Bar) в диалоговом окне Windows
Файл/Открыть (File/Open). Включение этой
политики позволяет задавать в Панели мест от
1 до 5 элементов.
Microsoft рекомендует задавать специальные
места для клиентов сервера терминалов.
В Панели мест могут отображаться
следующие элементы:
1.
Ярлыки локальных папок (например,
C:\Windows).
2.
Ярлыки удаленных папок (например,
\\server\share).
3.
Папки FTP.
4.
Веб-папки.
5.
Стандартные папки оболочки.
Можно указывать следующие стандартные
папки оболочки: Рабочий стол, Последние
места (Recent Places), Документы,
Объект политики
Описание
Значение
по
умолчанию
Изображения, Музыка, Недавно измененные
(Recently Changed), Вложения (Attachments) и
Сохраненные условия поиска (Saved Searches).
Если эта политика отключена или не задана, в
Панели мест отображается стандартный набор
элементов.
В Windows Vista эта политика применяется
только к приложениям, использующим общий
вид диалогового окна Windows XP. Она не
применяется к новому общему виду
диалогового окна Windows Vista.
Параметры политики планировщика заданий
Для управления планировщиком заданий Microsoft рекомендует использовать
параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Компоненты
Windows\Планировщик заданий
В следующей таблице представлены имена объектов политики, рекомендуемые
значения, их описания и значения по умолчанию в Windows Server 2008.
Таблица 11.15. Параметры политики планировщика заданий
Объект политики
Описание
Значение по
умолчанию
Скрывать
страницы
свойств (Hide
Property Pages)
Рекомендуемое значение: Включен
Данная политика удаляет элемент Свойства из
меню Файл окна Назначенные задания
(Scheduled Tasks) и из контекстного меню,
появляющегося по щелчку правой кнопкой мыши
по заданию, и, таким образом, запрещает
пользователям просматривать и изменять
свойства существующего задания. В результате,
пользователи не могут изменять свойства
задания. Они могут только просматривать
свойства, отображаемые при детализированном
представлении окна назначенных заданий.
Не определен
Запретить
удаление
заданий (Prohibit
Task Deletion)
Рекомендуемое значение: Включен
Данная политика запрещает пользователям
удалять задания из папки Назначенные задания.
Однако она не запрещает администраторам
удалять задания с помощью команды AT или с
удаленного компьютера.
Не определен
Объект политики
Описание
Значение по
умолчанию
Запретить запуск Рекомендуемое значение: Включен
и завершение
Данная политика запрещает пользователям
заданий (Prevent запускать и завершать задания.
Task Run or End)
Не определен
Запретить
создание новых
заданий (Prohibit
New Task
Creation)
Не определен
Рекомендуемое значение: Включен
Данная политика удаляет элемент Добавить
задание (Add Scheduled Task), который
запускает Мастер создания задачи (New Task
Wizard). Также система не позволяет
перемещать, вставлять или перетаскивать
программы или документы в папку Назначенные
задания. Политика не запрещает
администраторам создавать новые задания с
помощью команды AT или с удаленного
компьютера.
Параметры политики Windows Messenger
Для управления Windows Messenger Microsoft рекомендует использовать
параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Компоненты
Windows\Windows Messenger
В следующей таблице представлено имя объекта политики, рекомендуемое
значение, его описание и значение по умолчанию в Windows Server 2008.
Таблица 11.16. Параметр политики Windows Messenger
Объект политики
Описание
Значение по
умолчанию
Запретить запуск
Windows Messenger
(Do not allow Windows
Messenger to be run)
Рекомендуемое значение: Включен
Данная политика запрещает
пользователям выполнять Windows
Messenger.
Не определен
Параметры политики боковой панели Windows
Для управления боковой панелью Windows Microsoft рекомендует использовать
параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Компоненты
Windows\Боковая панель Windows
В следующей таблице представлено имя объекта политики, рекомендуемое
значение, его описание и значение по умолчанию в Windows Server 2008.
Таблица 11.17. Параметр политики боковой панели Windows
Объект политики
Описание
Значение по
умолчанию
Отключить боковую
панель Windows (Turn
off Windows Sidebar)
Рекомендуемое значение: Включен
Данная политика запрещает
пользователям запускать боковую панель
Windows.
Не определен
Параметры политики Windows PowerShell
Среда создания сценариев Windows PowerShell обладает многими
преимуществами, но для удаленного рабочего стола сервера терминалов
пользователи, имеющие возможность выполнять сценарии PowerShell,
представляют угрозу безопасности. По умолчанию выполнять сценарии PowerShell
запрещено. Однако данная функциональность может быть включена, поэтому
Microsoft рекомендует выключать эту опцию с помощью групповой политики.
Для управления Windows PowerShell Microsoft рекомендует использовать
параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Компоненты
Windows\Windows PowerShell
В следующей таблице представлено имя объекта политики, рекомендуемое
значение, его описание и значение по умолчанию в Windows Server 2008.
Таблица 11.18. Параметр политики Windows PowerShell
Объект политики
Описание
Значение по
умолчанию
Включить
выполнение
сценариев (Turn on
Script Execution)
Рекомендуемое значение: Отключен
Данный параметр позволяет настроить
политику выполнения сценариев для
управления тем, какие сценарии могут
выполняться.
Microsoft рекомендует деактивировать эту
политику, чтобы пользователи не могли
выполнять сценарии.
Не определен
Параметры политики обновлений Windows
Для управления обновлениями Windows Microsoft рекомендует использовать
параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Компоненты
Windows\Центр обновления Windows
В следующей таблице представлено имя объекта политики, рекомендуемое
значение, его описание и значение по умолчанию в Windows Server 2008.
Таблица 11.19. Параметр политики обновлений
Объект политики
Описание
Значение по
умолчанию
Запретить
использование
любых средств
Центра обновления
Windows (Remove
access to use all
Windows Update
features)
Рекомендуемое значение: Включен
Данная политика запрещает доступ к Центру
обновления Windows. При ее активации все
компоненты Центра обновления Windows
удаляются. Также блокируется доступ к Вебузлу Microsoft Windows Update по
гиперссылке в меню Пуск в Internet Explorer.
Автоматическое обновление Windows также
выключается; пользователи не получают
уведомления о важных обновлениях и не
получают важные обновления от Центра
обновления Windows.
Также данная политика также запрещает
Диспетчеру устройств автоматически
устанавливать обновления драйверов с Вебузла Центра обновления Windows. Эта
политика может использоваться для
предотвращения изменений Сервера
терминалов во время его эксплуатации.
Если Центр обновления Windows выключен,
необходимо запланировать периодические
проверки обновлений, чтобы обеспечить
Windows® последними важными
обновлениями.
Не определен
Параметры политики панели задач и меню Пуск
Для управления панелью задач и меню Пуск Microsoft рекомендует использовать
параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Меню «Пуск» и
панель задач
В следующей таблице представлены имена объектов политики, рекомендуемые
значения, их описания и значения по умолчанию в Windows Server 2008.
Таблица 11.20. Параметры политики панели задач и меню Пуск
Объект политики
Описание
Значение по
умолчанию
Удаляет ссылки на
веб-узел Центра
обновления
Windows и
запрещает доступ к
нему (Remove links
and access to
Windows Update)
Рекомендуемое значение: Включен
Данная политика удаляет ссылки и доступ к
Веб-узлу Центра обновления Windows. Доступ
к Веб-узлу Центра обновления Windows
сохраняют только администраторы.
Microsoft рекомендует активировать эту
политику, чтобы устранить возможность
Не
определен
Объект политики
Описание
Значение по
умолчанию
легкого доступа пользователей к Internet
Explorer.
Скрыть общие
группы программ в
меню «Пуск»
(Remove common
program groups
from Start Menu)
Рекомендуемое значение: Включен
Не
Данная политика удаляет ярлыки программ из определен
профиля Все пользователи (All users).
Доступным остается только меню Пуск в
профиле пользователя или перенаправленное
меню Пуск.
Microsoft рекомендует активировать эту
политику, чтобы устранить возможность
легкого доступа ко встроенным приложениям,
таким как игры, калькулятор и Windows
Media® Player.
Удалить список
программ,
закрепленных в
меню «Пуск»
(Remove pinned
programs list from
Start Menu)
Рекомендуемое значение: Включен
Данная политика удаляет список
закрепленных программ из меню Пуск. Также
удаляются стандартные ссылки на Internet
Explorer и Outlook® Express, если они
закреплены, и пользователи больше не могут
закреплять новые программы в меню Пуск.
Политика не затрагивает список Часто
используемые программы (Frequently Used
Programs).
Отключить папки
программ в меню
Настройка
(Remove programs
on Settings menu)
Рекомендуемое значение: Включен
Не
определен
Данная политика удаляет элементы Панель
управления, Принтеры и Сетевые
подключения (Network Connections) из раздела
Параметры классического меню Пуск, окна
Мой компьютер и Windows Explorer. Также она
препятствует выполнению программ,
представленных данными папками (таких как
Control.exe). Однако пользователи могут
запускать элементы Панели управления
другими методами, например, открывать
Свойства экрана (Display Properties),
щелкнув правой кнопкой мыши по рабочему
столу, или открывать Свойства системы,
щелкнув правой кнопкой мыши ярлык Мой
компьютер.
Microsoft рекомендует активировать эту
политику, чтобы устранить возможность
легкого доступа к просмотру или изменению
параметров системы.
Не
определен
Объект политики
Описание
Значение по
умолчанию
Удалить «Сетевые
подключения» из
меню «Пуск»
(Remove Network
Connections from
Start Menu)
Рекомендуемое значение: Включен
Данная политика препятствует открытию
папки Сетевые подключения (Network
Connections). Она также удаляет Сетевые
подключения из раздела Параметры меню
Пуск. Сетевые подключения по-прежнему
отображаются на Панели управления и в
Windows Explorer, но при попытке запустить их
появляется сообщение, объясняющее, что
некоторая настройка препятствует этому.
Microsoft рекомендует активировать эту
политику, чтобы пользователи не могли
создавать новые подключения, такие как
подключения к VPN или удаленные
подключения.
Не
определен
Удалить ссылку
«Поиск» из меню
«Пуск» (Remove
Search link from
Start Menu)
Рекомендуемое значение: Включен
Не
определен
Данная политика удаляет элемент Поиск
(Search) из меню Пуск и из контекстного меню,
появляющегося по щелчку правой кнопкой
мыши меню Пуск. Также система не реагирует
на нажатие на клавиатуре сочетания клавиш
<Windows>+<F>.
Элемент Поиск по-прежнему отображается в
стандартной панели инструментов Windows
Explorer , но система не реагирует на нажатие
сочетания клавиш <CTRL>+<F>. Также
элемент Поиск не отображается в
контекстном меню по щелчку правой кнопкой
мыши значка, представляющего диск или
папку.
Удалить
контекстные меню
перетаскивания
для элементов
меню «Пуск»
(Remove Drag-andDrop context menus
on the Start Menu)
Рекомендуемое значение: Включен
Не
определен
Данная политика запрещает пользователям
использовать метод drag-and-drop для
перегруппирования или удаления элементов
меню Пуск. Пользователи по-прежнему могут
настраивать меню Пуск или выполнять
задания, доступные из контекстных меню,
используя другие методы.
Microsoft рекомендует активировать эту
политику, чтобы удалить из меню Пуск
контекстные меню, включая такие задания, как
создание нового ярлыка.
Удалить меню
Рекомендуемое значение: Включен
Не
Объект политики
Описание
Значение по
умолчанию
«Избранное» из
меню «Пуск»
(Remove Favorites
menu from Start
Menu)
Данная политика запрещает пользователям
добавлять меню Избранное в меню Пуск или
классическое меню Пуск. Применяйте эту
политику, если не хотите, чтобы пользователи
могли запускать Internet Explorer.
Меню Избранное не входит в состав меню
Пуск по умолчанию, но эта политика
деактивирует ссылку Избранное. Данный
параметр оказывает влияние только на меню
Пуск. Меню Избранное по-прежнему
существует в Windows Explorer и Internet
Explorer.
определен
Удалить справку из Рекомендуемое значение: Включен
главного меню
Данная политика удаляет ссылку Справка из
(Remove Help menu меню Пуск.
from Start Menu)
Microsoft рекомендует активировать эту
политику, чтобы пользователи не могли
просматривать Сведения о системе сервера
терминалов.
Не
определен
Удалить команду
«Выполнить» из
меню «Пуск»
(Remove Run menu
from Start Menu)
Рекомендуемое значение: Включен
Не
определен
Активация этой политики удаляет команду
Выполнить из меню Пуск, кнопку Новая задача
(New Task) из Диспетчера задач и блокирует
возможность ввода UNC-пути, локального
диска и локальных папок в адресной строке
Internet Explorer. Также пользователи,
имеющие клавиатуру с дополнительной
клавишей Windows, не могут открывать
диалоговое окно Запуск программы
нажатием сочетания клавиш <Windows>+<R>.
Удалить значок
«Сеть» из меню
«Пуск» (Remove
Network icon from
Start Menu)
Рекомендуемое значение: Включен
Данная политика удаляет значок Сеть
(Network) из меню Пуск.
Microsoft рекомендует активировать эту
политику, чтобы исключить возможность
просмотра сети.
Не
определен
1
Объект политики
Описание
Значение по
умолчанию
Добавить пункт
выхода из системы
в главное меню
(Add Logoff to the
Start Menu)
Рекомендуемое значение: Включен
Даная политика добавляет команду
Завершение сеанса <имя пользователя>
(Log Off <user name>) в меню Пуск и не дает
пользователям удалить ее. Эта политика
оказывает влияние только на меню Пуск. Она
не виляет на элемент Завершение сеанса
диалогового окна Безопасность Windows
(Windows Security), появляющегося по
нажатию сочетания клавиш
<CTRL>+<ALT>+<DEL> или
<CTRL>+<ALT>+<END> при использовании
клавиатуры, подключенной к клиентскому
компьютеру сервера терминалов.
Не
определен
Удаление команд
«Завершение
работы»,
«Перезагрузка»,
«Сон» и
1
«Гибернация»
(Remove and
prevent access to
Shut Down, Restart,
Sleep, and
Hibernate
commands)
Рекомендуемое значение: Включен
Данная политика запрещает пользователям
выполнять из меню Пуск или окна
Безопасность Windows следующие команды:
Завершение работы, Перезагрузка, Сон и
Гибернация. Эта политика не препятствует
пользователям выполнять программы для
завершения работы Windows.
Microsoft рекомендует активировать эту
политику, чтобы не запутывать пользователей
и чтобы администраторы не могли выключить
систему во время ее эксплуатации.
Не
определен
Запретить
изменение
параметров панели
задач и меню
«Пуск» (Prevent
changes to Taskbar
and Start Menu
Settings)
Рекомендуемое значение: Включен
Данная политика запрещает пользователям
настраивать панель задач и меню Пуск. Она
может упростить рабочий стол, используя
настройки, заданные администратором.
Microsoft рекомендует активировать эту
политику, чтобы ограничить возможность
добавлять другие приложения в меню Пуск
путем перехода к приложению или ввода пути
к нему.
Не
определен
Данная политика в русской версии ОС, может называться по-английски (прим.
научного редактора).
Объект политики
Описание
Значение по
умолчанию
Запретить доступ к
контекстному меню
для панели задач
(Remove access to
the context menus
for the taskbar)
Рекомендуемое значение: Включен
Данная политика скрывает меню,
появляющиеся по щелчку правой кнопкой
мыши панели задач или ее элементов, таких
как кнопка Пуск, часы и кнопки панели задач.
Microsoft рекомендует активировать эту
политику, чтобы предотвратить
потенциальную возможность доступа к
файлам и приложениям через запуск Windows
Explorer или Поиска.
Не
определен
Форсировать
классическое меню
Пуск (Force classic
Start Menu)
Рекомендуемое значение: Включен
Когда данная политика активирована, меню
Пуск имеет вид классического меню Пуск в
стиле Windows 2000 и на рабочем столе
располагаются следующие стандартные
значки: Документы, Изображения, Музыка,
Компьютер и Сеть.
Когда эта политика выключена, меню Пуск
отображается в стиле последней версии
пользовательского интерфейса, в которой
значки рабочего стола отображаются на
странице Пуск.
Не
определен
Параметры политики рабочего стола
Для управления рабочим столом Windows Microsoft рекомендует использовать
параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Рабочий стол
В следующей таблице представлены имена объектов политики, рекомендуемые
значения, их описания и значения по умолчанию в Windows Server 2008.
Таблица 11.21. Параметры политики рабочего стола
Объект политики
Описание
Значение по
умолчанию
Удалить пункт
«Свойства» из
контекстного меню
значка
«Документы»
(Remove Properties
from the Documents
icon context menu)
Рекомендуемое значение: Включен
Данная политика скрывает опцию Свойства
контекстного меню значка Документы.
Microsoft рекомендует активировать эту
политику, если контекстные меню не
отключены и вы не хотите, чтобы
пользователи могли просматривать или
редактировать путь к своей папке Документы.
Не
определен
Объект политики
Описание
Значение по
умолчанию
Удалить пункт
«Свойства» из
контекстного меню
значка
«Компьютер»
(Remove Properties
from the Computer
icon context menu)
Рекомендуемое значение: Включен
Данная политика скрывает опцию Свойства,
когда пользователь щелкает правой кнопкой
мыши значок Мой компьютер или
Компьютер и переходит к меню Файл.
Пользователи также не могут использовать
сочетание клавиш <ALT>+<ENTER> для
отображения этой опции при выбранном
ярлыке Компьютер.
Не
определен
Удалить пункт
«Свойства» из
контекстного меню
значка «Корзина»
(Remove Properties
from the Recycle Bin
context menu)
Рекомендуемое значение: Включен
Данная политика скрывает опцию Свойства
контекстного меню ярлыка Корзина (Recycle
Bin).
Microsoft рекомендует активировать эту
политику, если контекстные меню не
отключены и вы не хотите, чтобы
пользователи могли просматривать или
редактировать параметры Корзины.
Не
определен
Скрыть значок
«Сеть» на рабочем
столе (Hide Network
Locations icon on
desktop)
Рекомендуемое значение: Включен
Данная политика оказывает влияние только
на значок рабочего стол. Она не дает
пользователям подключаться к сети или
просматривать общедоступные компьютеры
сети, используя другие методы.
Microsoft рекомендует активировать эту
политику, чтобы устранить возможность
поиска приложений путем просмотра сети.
Не
определен
Скрыть значок
Internet Explorer на
рабочем столе
(Hide Internet
Explorer icon on the
desktop)
Рекомендуемое значение: Не определен
Данная политика удаляет значок Internet
Explorer с рабочего стола и панель Быстрого
запуска (Quick Launch) в панели задач.
Microsoft не рекомендует активировать этот
параметр, поскольку он не запрещает
пользователям запускать Internet Explorer
другими методами.
Не
определен
Запретить
пользователям
вручную
перенаправлять
папки профилей
(Prohibit User from
manually redirecting
Данная политика запрещает пользователям
изменять путь к папкам своих профилей. По
умолчанию пользователь может менять
местоположение своих папок профилей, таких
как Документы, Музыка и т.д., путем ввода
нового пути в специальное поле на вкладке
Размещение (Locations) диалогового окна
Не
определен
Объект политики
Описание
Значение по
умолчанию
Profile Folders)
Свойства папки.
Microsoft рекомендует активировать эту
политику, чтобы запретить поиск приложений
путем просмотра сети.
Скрыть и
отключить все
элементы рабочего
стола (Hide and
disable all items on
the desktop)
Рекомендуемое значение: Не определен
Данная политика удаляет значки, ярлыки и
другие стандартные и определенные
пользователем элементы с рабочего стола,
включая значки Корзина, Компьютер и Сеть.
Удаление значков и ярлыков не запрещает
пользователю применять другие методы для
запуска программ или открытия элементов,
которые они представляют. Поэтому Microsoft
не рекомендует активировать этот параметр.
Пользователь по-прежнему может сохранять
и открывать элементы рабочего стола с
помощью диалоговых окон работы с файлами
или Windows Explorer. Однако эти элементы
не отображаются на рабочем столе.
Не
определен
Удалить значок
«Мои документы» с
рабочего стола
(Remove My
Documents icon on
the desktop)
Рекомендуемое значение: Не определен
Данная политика удаляет большинство
значков Мои документы. Она не запрещает
использование других методов для доступа к
содержимому папки Мои документы. Поэтому
Microsoft не рекомендует активировать этот
параметр.
Не
определен
Удалить значок
«Компьютер» с
рабочего стола
(Remove Computer
icon on the desktop)
Рекомендуемое значение: Включен
Данная политика скрывает значок Компьютер
на рабочем столе и в меню Пуск. Также она
убирает все ссылки на Компьютер в Вебпредставлении всех окон Explorer и в панели
дерева папок. Если данный параметр
активирован и пользователь попадает в папку
Компьютер с помощью кнопки Выше (Up), он
увидит пустую папку Компьютер.
Microsoft рекомендует активировать эту
политику, чтобы предоставить пользователям
более простую среду рабочего стола и
устранить возможность легкого доступа к
управлению компьютером и свойствами
системы через щелчок правой кнопкой мыши
по этому значку.
Не
определен
Параметры политики панели управления
Чтобы запретить доступ к панели управления, Microsoft рекомендует использовать
параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Панель
управления
В следующей таблице представлено имя объекта политики, рекомендуемое
значение, его описание и значение по умолчанию в Windows Server 2008.
Таблица 11.22. Параметр политики панели управления
Объект политики
Описание
Значение
по
умолчанию
Запретить
доступ к панели
управления
(Prohibit access
to the Control
Panel)
Рекомендуемое значение: Включен
Не
определен
Эта политика устраняет возможность доступа к
Панели управления и деактивирует все
программы Панели управления. Также она
препятствует запуску Control.exe, файла
программы Панели управления.
Microsoft рекомендует активировать этот
параметр, чтобы пользователи не могли
просматривать сведения о конфигурации Сервера
терминалов.
Параметры политики установки и удаления программ
Для управления элементом панели управления Установка и удаление программ
Microsoft рекомендует использовать параметры политики из следующего раздела
GPMC:
Конфигурация пользователя\Административные шаблоны\Панель
управления\Установка и удаление программ
В следующей таблице представлено имя объекта политики, рекомендуемое
значение, его описание и значение по умолчанию в Windows Server 2008.
Таблица 11.23. Параметр политики установки и удаления программ
Объект политики
Описание
Значение
по
умолчанию
Удаление окна
«Установка и
удаление
программ»
(Remove Add or
Remove
Programs)
Рекомендуемое значение: Включен
Данная политика удаляет элемент Установка и
удаление программ (Add or Remove Programs)
с Панели управления и из меню. Если доступ к
панели управления запрещен, эта политика
может использоваться для удаления ссылок на
элемент Установка и удаление программ из
других элементов, например, таких как
Компьютер. В этом случае по щелчку такой
ссылки появляется сообщение о том, что в
доступе отказано. Эта политика не запрещает
использование других инструментов и методов
для установки и удаления программ.
Microsoft рекомендует активировать эту политику,
чтобы пользователи не могли просматривать
сведения о конфигурации Сервера терминалов.
Не
определен
Параметры политики принтера
Для управления элементом панели управления Принтеры Microsoft рекомендует
использовать параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Панель
управления\Принтеры
В следующей таблице представлено имя объекта политики, рекомендуемое
значение, его описание и значение по умолчанию в Windows Server 2008.
Таблица 11.24. Параметр политики принтеров
Объект
политики
Описание
Значение по
умолчанию
Запретить
добавление
принтеров
(Prevent
addition of
printers)
Рекомендуемое значение: Включен
Не
определен
Данная политика запрещает использовать
привычные методы добавления локальных и
сетевых принтеров. Она не запрещает ни
автоматическое создание перенаправленных
принтеров сервера терминалов, ни
использование других программ для добавления
принтеров.
Microsoft рекомендует активировать эту политику,
чтобы запретить поиск принтеров в сети или
Active Directory.
Больше информации об управлении безопасностью принтеров смотрите в Главе 8,
«Повышение уровня защиты служб печати», данного руководства.
Параметры политики системы
Для управления системой Microsoft рекомендует использовать параметры политики
из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Система
В следующей таблице представлены имена объектов политики, рекомендуемые
значения, их описания и значения по умолчанию в Windows Server 2008.
Таблица 11.25. Параметры политики системы
Объект политики
Описание
Значение
по
умолчанию
Запретить
использование
командной
строки (Prevent
access to the
command prompt)
Рекомендуемое значение: Включен
Задает параметру Запретить также обработку
сценариев в командной строке? (Disable the
command prompt script processing also?)
значение Нет.
Данная политика запрещает пользователям
запускать окно командной строки Cmd.exe. Из
командной строки пользователи могут запускать
приложения. Эта политика также определяет
возможность выполнения на компьютере
пакетных файлов (файлов .cmd и .bat).
Важно Не следует запрещать выполнение
пакетных файлов на сервере терминалов. Данная
политика не запрещает доступ к Command.com
(16-разрядный интерпретатор команд).
Выключить Command.com можно, ограничив
доступ с помощью разрешения NTFS или
деактивировав все 16-разрядные приложения
параметром политики Запретить доступ к 16разрядному приложению (Prevent access to 16bit application).
Microsoft рекомендует активировать параметр
политики Запретить доступ к 16-разрядному
приложению, чтобы пользователи не могли
использовать командную строку для обхода
других параметров политики.
Не
определен
Запретить
доступ к
средствам
редактирования
реестра (Prevent
access to registry
editing tools)
Рекомендуемое значение: Включен
Не
определен
Данная политика блокирует доступ к Regedit.exe
для пользователей. Она не запрещает
редактировать реестр другим приложениям.
Microsoft рекомендует активировать эту политику,
чтобы пользователи не могли заменять свою
оболочку командной строкой или обходить другие
политики.
Объект политики
Описание
Значение
по
умолчанию
Выполнять
только
указанные
приложения
Windows (Run
only specified
Windows
applications)
Рекомендуемое значение: Включен – Определить
список приложений, прошедших проверку
подлинности
Данная политика запрещает пользователям
выполнять программы, запускаемые процессом
Windows Explorer. Она не запрещает выполнять
программы, такие как Диспетчер задач,
запускаемые с помощью системного процесса.
Также, если пользователи имеют доступ к
командной строке, Cmd.exe, данный параметр не
препятствует запуску программ из окна
командной строки, которое они могут открыть с
помощью Windows Explorer.
Microsoft рекомендует активировать эту политику,
чтобы пользователи могли запускать только
программы из Списка разрешенных приложений.
Не
определен
Параметры политики возможностей Ctrl+Alt+Del
Для управления возможностями Ctrl+Alt+Del Microsoft рекомендует использовать
параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Система\Варианты
действий после нажатия Ctrl+Alt+Del
В следующей таблице представлены имена объектов политики, рекомендуемые
значения, их описания и значения по умолчанию в Windows Server 2008.
Таблица 11.26. Параметр политики возможностей Ctrl+Alt+Del
Объект политики
Описание
Значение
по
умолчанию
Удалить
диспетчер задач
(Remove Task
Manager)
Рекомендуемое значение: Включен
Не
определен
Данная политика запрещает пользователям
запускать Диспетчер задач.
Microsoft рекомендует активировать эту политику,
чтобы пользователи не могли запускать и
останавливать программы с помощью Диспетчера
задач, отслеживать производительность сервера
терминалов и выполнять поиск имен
исполняемых файлов приложений.
Объект политики
Описание
Значение
по
умолчанию
Запретить
блокировку
компьютера
(Remove Lock
Computer)
Рекомендуемое значение: Не определен
Не
определен
Данная политика запрещает пользователям
блокировать свои сеансы. Пользователи попрежнему могут отключаться и завершать сеанс.
Если он блокирован, рабочий стол не может
использоваться. Снять блокировку может только
пользователь, заблокировавший систему, или
системный администратор. Microsoft не
рекомендует активировать этот параметр,
поскольку тогда пользователи смогут блокировать
свой сеанс, чтобы предотвратить доступ к нему,
пока они не находятся за компьютером.
Параметры политики сценариев
Для управления поведением выполнения сценариев Microsoft рекомендует
использовать параметры политики из следующего раздела GPMC:
Конфигурация пользователя\Административные шаблоны\Система\Сценарии
В следующей таблице представлено имя объекта политики, рекомендуемое
значение, его описание и значение по умолчанию в Windows Server 2008.
Таблица 11.27. Параметр политики сценариев
Объект политики
Описание
Значение
по
умолчанию
Выполнять
сценарии входа
прежних версий
в фоновом
режиме (Run
legacy logon
scripts hidden)
Рекомендуемое значение: Включен
Не
определен
Данная политика скрывает инструкции в
сценариях входа, написанных для Windows NT 4.0
и более ранних версий.
Microsoft рекомендует активировать эту политику,
чтобы пользователи не могли просматривать или
прерывать сценарии входа, написанные для
Windows NT 4.0 и более ранних версий.
Разрешить пользователям работать только с определенными
программами
Благодаря политикам ограниченного использования программ администраторы
получают управляемый политиками механизм идентификации программ,
выполняющихся на компьютерах домена, и управления возможностью выполнения
этих программ. С помощью политик можно блокировать вредоносные сценарии,
блокировать компьютер или запрещать выполнение нежелательных приложений.
Больше информации о политиках ограниченного использования программ можно
найти в статье Using Software Restriction Policies (Применение политик
ограниченного использования программ).
Ограничить аудит безопасности серверов терминалов
Аудит любой системы может существенно ударить по производительности. Это
зависит от количества отслеживаемых событий и числа сеансов пользователей,
формирующих эти события. Если на сервере с Windows Server 2008 запущен
сервер терминалов, суммарный эффект аудита событий для множества
пользователей, работающих на сервере одновременно, может повлиять на
производительность сервера терминалов.
Кроме того, чтобы журналы регистрации событий представляли какую-то ценность,
необходим специальный персонал для их регулярного просмотра. Чем больше
событий протоколируется, тем больше влияние на производительность и тем
больше усилий потребуется для их анализа.
Поэтому, чтобы сбалансировать требования по ведению журнала безопасности и
требования по производительности, предъявляемые к серверу терминалов,
Microsoft рекомендует выполнять аудит лишь того количества событий, которое
организация сможет эффективно использовать. Кроме того, любые изменения в
политиках аудита серверов терминалов должны проходить тестирование перед
введением обновленной политики на любом рабочем сервере.
В следующей таблице представлены имена объектов политики аудита, описания
параметров аудита и рекомендуемые значения в Windows Server 2008.
Таблица 11.28. Параметры политики аудита сервера терминалов
Объект политики
Описание
Рекомендуемое
значение
Аудит событий
входа в систему
(Audit account
logon events)
Данная политика определяет
необходимость аудита каждого входа в
систему или выхода из нее с компьютера,
используемого для проверки учетной
записи. События входа учетной записи
формируются, когда пользовательская
учетная запись домена проходит проверку
подлинности на контроллере домена. Это
событие протоколируется в журнале
безопасности контроллера домена. Эта
политика обычно активирована только для
контроллеров домена и обычно не
требуется на серверах терминалов.
Нет аудита
Объект политики
Описание
Рекомендуемое
значение
Аудит управления
учетными
записями (Audit
account
management)
Данная политика определяет
необходимость аудита каждого события
управления учетными записями на сервере
терминалов. Примерами событий
управления учетными записями могут быть:
Аудит успехов и
отказов

Создание, изменение или удаление
учетной записи или группы
пользователей.

Изменение имени, деактивация или
активация учетной записи
пользователя.

Задание или изменение пароля.
Аудит доступа к
службе каталогов
(Audit directory
service access)
Данная политика определяет
необходимость аудита события
пользователя, выполняющего доступ к
объекту Доменных служб Active Directory,
для которого задан системный список
управления доступа (system access control
list, SACL). Обычно эта политика
активирована только на контроллерах
доменов и не требуется на сервере
терминалов.
Нет аудита
Аудит входа в
систему (Audit
logon events)
Эта политика может использоваться для
аудита всех входов пользователя в систему
сервера терминалов или выходов из нее.
Аудит успехов
и отказов
Аудит доступа к
объектам (Audit
object access)
Данная политика определяет
Аудит отказов
необходимость аудита события доступа
пользователя к объекту, такому как файл,
папка, раздел реестра, принтер или любому
объекту, для которого задан SACL.
Поскольку данная политика может
формировать большое количество записей,
Microsoft рекомендует применять ее только
для аудита отказов, являющихся
свидетельством попыток доступа к
объектам неавторизованных
пользователей.
Объект политики
Описание
Рекомендуемое
значение
Аудит изменения
политики (Audit
policy change)
Данная политика определяет
необходимость аудита каждого изменения
политик назначения прав пользователя,
политик аудита или политик доверия
сервера терминалов. Эти данные меняются
редко, поэтому Microsoft рекомендует
выполнять аудит этих изменений.
Аудит успехов
и отказов
Аудит
использования
привилегий (Audit
privilege use)
Данная политика определяет
необходимость аудита использований
права пользователя каждым
пользователем. Она тоже может создавать
большое количество записей в журнале
событий безопасности. Microsoft обычно не
рекомендует регистрировать удачные
события для этой политики, поскольку том
событий, скорее всего, станет причиной
потери производительности сервера
терминалов.
Аудит отказов
Аудит
отслеживания
процессов (Audit
process tracking)
Данная политика определяет
необходимость аудита детального
отслеживания информации для событий
активации программы, завершения
процесса, обработки дублирования и
непрямого доступа к объектам.
Аудит отказов
Аудит системных
событий (Audit
system events)
Данная политика определяет
необходимость аудита пользователей при
перезапуске или выключении компьютера,
или при формировании события,
оказывающего влияние либо на
безопасность системы, либо на журнал
безопасности.
Аудит успехов
и отказов
После активации любого из приведенных параметров аудита важно регулярно
проверять журналы событий на сервере терминалов и архивировать их по мере
необходимости. Если включен параметр Аудит доступа к объектам (Audit object
access), необходимо также настроить аудит для каждого объекта, который
предполагается отслеживать. Microsoft рекомендует ограничивать эту возможность
таким количеством объектом, которым можно управлять.
Кроме возможности аудита объектов файловой системы и реестра, серверы
терминалов могут поставлять информацию аудита подключений сервера
терминалов. В этих отчетах аудита регистрируются действия, предпринятые в
сеансе пользователя. Например, активировав аудит подключения, можно
отслеживать изменение свойств подключения или удаленное управление сеансом
пользователя.
Чтобы активировать аудит подключения
1. На сервере терминалов щелкните Пуск, Администрирование и затем
Конфигурация служб терминалов, чтобы открыть этот инструмент.
2. На панели справа под списком Подключения щелкните правой кнопкой
мыши имя интересующего вас подключения (RDP-Tcp по умолчанию) и
выберите опцию Свойства.
3. В диалоговом окне Свойства щелкните вкладку Безопасность. Если
появляется информационный диалог Конфигурация служб терминалов,
щелкните OK.
4. Щелкните кнопку Дополнительно и выберите вкладку Аудит.
5. Щелкните кнопку Добавить, введите имя пользователя, компьютера или
группы, события которых собираетесь отслеживать, и щелкните OK.
6. Выберите политики аудита, как показано на следующем рисунке.
Рис. 11.2 Подлежащие аудиту события подключения сервера терминалов
Представленные на рисунке семь вариантов входных данных могут пригодиться
при контроле проблем безопасности на сервере терминалов. Как правило, только
администратор системы может выполнять «удаленное управление» и
«завершение» сеанса другого пользователя. Если поступает информация о
попытках выполнения данных действий обычной учетной записью, это может
свидетельствовать о нежелательном поведении пользователя и требовать
дальнейшего расследования.
Также существуют последовательности событий, характерные для TS Gateway. По
умолчанию все эти типы событий отслеживаются. Определить типы событий,
которые требуется отслеживать, такие как неудачные или удачные попытки
подключения к ресурсам (компьютерам) внутренней сети через сервер TS
Gateway, можно с помощью Диспетчера TS Gateway. Также настроить типы
событий для аудита можно, щелкнув правой кнопкой мыши необходимый сервер в
Диспетчере TS Gateway и выбрав опцию Свойства. Затем в диалоговом окне
Свойства сервера щелкните вкладку Аудит.
Рис. 11.3 Опции аудита шлюза сервера терминалов
Больше информации о типах событий TS Gateway можно найти в статье Event ID
305 – TS Gateway Server Connections (ID события 305 – Подключения сервера TS
Gateway) раздела Troubleshooting (Поиск и устранение неисправностей)
технической библиотеки Windows Server 2008.
Обеспечение безопасности TS Gateway
После установки службы роли TS Gateway и настройки сертификата для сервера
TS Gateway, необходимо создать политики авторизации подключений служб
терминалов (Terminal Services connection authorization policies, TS CAPs), группы
компьютеров и политики авторизации ресурсов служб терминалов (Terminal
Services resource authorization policies, TS RAPs). Эти политики необходимы для
обеспечения правильного функционирования службы TS Gateway.
Мастер добавления служб роли для TS Gateway включает опцию для
формирования самозаверенного сертификата, но ее рекомендуется использовать
только для целей тестирования и пробной эксплуатации. Для коммерческого
использования Microsoft рекомендует получить сертификат компьютера,
выпущенный надежным центром сертификации (ЦС).
Microsoft предлагаются следующие рекомендации по обеспечению безопасности
среды рабочего стола на серверах терминалов. В случае возникновения
трудностей с выполнением каких-либо пунктов контрольного списка
дополнительное описание и рекомендации можно найти в следующих разделах
данной главы.
Таблица 11.29. Контрольный список настройки TS Gateway
Задачи настройки
Использовать политику авторизации подключения службы терминалов (TS CAP)
Использовать политику авторизации ресурсов службы терминалов (TS RAP)
Обеспечить безопасность установки IIS TS Gateway
Использовать политику авторизации подключения службы
терминалов (TS CAP)
С помощью политик авторизации подключений служб терминалов (TS CAPs) можно
определять, кто имеет право подключаться к серверу TS Gateway. Может быть
задана группа пользователей локального сервера TS Gateway или Доменных служб
Active Directory (AD DS). Также могут быть указаны другие условия, которые
должны быть выполнены пользователями для доступа к серверу TS Gateway.
Например, можно определить, что все пользователи, подключающиеся к
конкретному серверу терминалов с базой данных отдела кадров (human resources,
HR) через сервер TS Gateway, должны быть участниками группы доступа
Пользователи HR (HR Users). Также может быть оговорено, что для подключения к
серверу TS Gateway клиентский компьютер, инициирующий подключение, должен
быть участником группы доступа Active Directory в сети предприятия. Предъявляя
требование о том, что компьютер должен быть участником определенной группы
доступа Active Directory в сети предприятия, можно исключить пользователей,
которые пытаются установить соединение с сетью предприятия из киосков,
компьютеров в аэропортах или домашних компьютеров, которые недостаточно
защищены.
Для повышения безопасности при подключении клиентских компьютеров к
внутренней сети предприятия через TS Gateway можно также определить
необходимость активации перенаправления клиентских устройств для всех
устройств, поддерживаемых клиентом служб терминалов, или для определенного
типа устройства, например, дисковода или поддерживаемых устройств Plug and
Play. Если перенаправление выключено для всех поддерживаемых клиентом
устройств, значит, выключено перенаправление всех устройств, кроме звуковых и
смарт-карт.
При выборе опции выключения перенаправления конкретных типов или всех типов
устройств, кроме смарт-карт, сервер TS Gateway возвратит клиенту запрос со
списком типов устройств, перенаправление которых должно быть выключено. Этот
список является рекомендательным, клиентский компьютер может изменять
настройки перенаправления устройств в нем.
Предупреждение Поскольку сервер TS Gateway передает право реализовать предлагаемые
параметры перенаправления устройств клиентскому компьютеру, эта функция не
обеспечивает гарантированной безопасности. Предлагаемые параметры перенаправления
устройств могут быть применены только для RDC-клиентов, они не могут использоваться для
компьютеров, не использующих RDC. Кроме того, злонамеренный пользователь может
изменять RDC-клиента так, что клиент будет игнорировать предлагаемые параметры. В
таких случаях данная функция не может обеспечивать гарантированной безопасности, даже
для RDC-клиентов.
Кроме того, может быть определена необходимость использования проверки
подлинности с применением смарт-карты или по паролю для доступа к ресурсам
внутренней сети через сервер TS Gateway. Если выбраны обе опции, подключаться
могут клиентские компьютеры, использующие любой из двух методов
аутентификации.
Наконец, если в организации развернута служба Защиты доступа к сети (NAP),
может быть определено, что клиент должен отправлять уведомление о состоянии
безопасности для сети (SoH). О настройке TS Gateway для NAP рассказывается в
статье «Configuring the TS Gateway NAP Scenario» (Настройка сценария
использования NAP в TS Gateway) в руководстве TS Gateway Server Step-by-Step
Setup Guide (Пошаговое руководство по настройке сервера TS Gateway).
Важно Доступ к серверу TS Gateway предоставляется пользователям, если они отвечают
всем условиям, определенным в TS CAP. Также должна быть создана TS RAP. TS RAP
позволяет задавать ресурсы внутренней сети, к которым пользователи могут подключаться
через TS Gateway. Пока не созданы обе политики, TS CAP и TS RAP, пользователи не могут
подключаться к сетевым ресурсам через данный сервер TS Gateway.
Использовать политику авторизации ресурсов службы
терминалов (TS RAP)
С помощью политик авторизации ресурсов служб терминалов (TS RAPs) можно
задавать ресурсы внутренней сети организации, к которым могут подключаться
удаленные пользователи через сервер TS Gateway. Создав TS RAP, можно создать
группу компьютеров или список компьютеров внутренней сети, к которым будут
подключаться пользователи, и ассоциировать его с TS RAP.
Например, можно определить, что участники группы пользователей Пользователи
HR могут подключаться только к компьютерам, входящим в группу компьютеров
Компьютеры HR, и что участники группы пользователей Пользователи финансового
отдела могут подключаться только к компьютерам, входящим в группу компьютеров
Компьютеры финансового отдела.
Удаленные пользователи, подключающиеся к сети через сервер TS Gateway,
получают доступ к компьютерам внутренней сети предприятия, если отвечают
требованиям хотя бы одной TS CAP и одной TS RAP.
Примечание Для управляемой TS Gateway группы компьютеров, ассоциированной с TS RAP,
можно одновременно задавать и полные доменные имена (fully qualified domain names,
FQDNs), и имена NetBIOS. Для группы доступа Active Directory, ассоциированной с TS RAP,
имена FQDN и NetBIOS поддерживаются автоматически, если компьютер внутренней сети, к
которому подключается клиент, находится в том же домене, что и сервер TS Gateway. Если
компьютер внутренней сети и сервер TS Gateway относятся к разным доменам, пользователи
должны задавать FQDN компьютера внутренней сети. Политики TS CAPs и TS RAPs
обеспечивают два разных уровня проверки подлинности, что позволяет настраивать более
специальный уровень управления доступом к компьютерам внутренней сети предприятия.
Группы компьютеров, ассоциированные с TS RAPs
Удаленные пользователи могут подключаться через TS Gateway к ресурсам
внутренней сети предприятия следующими способами:
 Как участники существующей группы доступа. Группа доступа может
существовать в группе Локальные пользователи и группы на сервере
TS Gateway или в AD DS.
 Как участники существующей управляемой TS Gateway группы
компьютеров или новой управляемой TS Gateway группы
компьютеров. Настроить управляемую TS Gateway группу компьютеров
можно после установки с помощью Диспетчера TS Gateway.
Управляемая TS Gateway группа не появится в группе Локальные
пользователи и группы на сервере TS Gateway, и вы не можете настраивать
ее, используя Локальные пользователи и группы.
 Используя любой сетевой ресурс. В этом случае пользователи могут
подключаться к любому компьютеру во внутренней сети предприятия, к
которому они могут подключаться с помощью Подключения к удаленному
рабочему столу. Данный вариант не рекомендуется использовать, потому
что в этом случае увеличивается поверхность атаки вашей сети.
Обеспечить безопасность установки IIS TS Gateway
Чтобы в средах с высоким уровнем безопасности аутентифицированные
пользователи с действительным паролем или смарт-картой не могли попасть на
уровень RPC, рассмотрите возможность блокировки сервера TS Gateway путем
деактивации виртуальных каталогов IIS. Чтобы еще более сократить поверхность
атаки сервера TS Gateway, можно внести следующие изменения в установку IIS:
 Удалить неиспользуемые порты из раздела реестра ValidPorts.
 Отключить проверку подлинности по паролю в IIS для развертываний с
использованием только смарт-карт.
 Разрешить проверку подлинности по паролю в IIS только для
пользователей, которые должны проходить проверку подлинности на TS
Gateway.
 Ограничить доступ к виртуальному каталогу RpcWithCert, чтобы
сопоставление имен пользователей гарантированно выполнялось в IIS.

Удалить неиспользуемые корневые сертификаты ЦС из хранилища
сертификатов доверенных корневых центров сертификации.
Дополнительные ресурсы
Более подробные сведения из лучших практик по проектированию и обслуживанию
сервера с Windows Server 2008, выполняющего Службы терминалов, можно найти в
следующих источниках на сайте Microsoft.com:
 Terminal Services на сайте Windows Server 2008 TechCenter.
 Terminal Services представит информацию о параметрах Групповой
политики.
 Статья 187623, How to change Terminal Server’s listening port, Базы знаний
Microsoft представляет более подробную информацию об изменении RDPпорта.
 В разделе Working with Quotas руководства Step-by-Step Guide for File Server
Resource Manager можно найти более подробную информацию об
использовании дисковых квот.
 Using Software Restriction Policies to Protect Against Unauthorized Software
(Применение политик ограниченного использования программ для защиты
от неавторизованного ПО) рассказывает о политиках ограниченного
использования программ.
 Раздел «Configuring the TS Gateway NAP Scenario» руководства Windows
Server 2008 TS Gateway Server Step-by-Step Setup Guide рассказывает о
настройке TS Gateway для NAP.
 Windows Server 2008 Technical Library.
 Остальные руководства, касающиеся сервера терминалов и виртуализации,
включают следующие ресурсы:
o Windows Vista Security Guide представляет информацию о
дополнительных настройках безопасности Internet Explorer 7.0,
которые могут использоваться для наложения дополнительных
ограничений на браузер.
o Microsoft Assessment and Planning Solution Accelerator (MAP)
(Руководство Microsoft по оценке и планированию) является
интегрированным средством, упрощающим оценку готовности к
переходу на технологии Microsoft всей сети, от серверов, до рабочих
столов и приложений.
o Ряд руководств Introduction to the Infrastructure Planning and Design
(Введение в планирование и проектирование инфраструктуры)
посвящен вопросам внедрения технологий Microsoft для
построения архитектуры и упрощения процессов планирования и
развертывания инфраструктуры. Каждое руководство посвящено
отдельной технологии или сценарию, включая виртуализацию
сервера, виртуализацию приложений, реализацию служб
терминалов и др.
o Microsoft Deployment Solution Accelerator (Руководство Microsoft по
развертыванию), которое является следующей версией Business
Desktop Deployment (BDD) 2007, представляет полное руководство
по эффективному планированию, сборке, тестированию и
развертывания серверных и настольных операционных систем
Windows, систем Microsoft Office 2007 и Microsoft Office 2003. Также
его можно использовать для упрощения развертывания роли
виртуализации на Windows Server 2008.
Руководства
Реагируй быстро. Достигай большего.
Руководство по безопасности
Windows Server® 2008
Приложение A: Параметры групповой политики,
связанные с безопасностью
Версия 1.0
Опубликовано: февраль 2008
Самую свежую информацию можно найти на сайте
microsoft.com/wssg
Copyright © 2008 Microsoft Corporation. Все права защищены. Вы несете полную ответственность за
выполнение законов об авторском праве. Если вы используете данную документацию и предоставляете
отзывы, вы принимаете лицензионное соглашение, представленное ниже.
Использование данной документации исключительно в некоммерческих целях внутри ВАШЕЙ компании
или организации регламентируется лицензионным соглашением Creative Commons «Некоммерческая
лицензия с указанием авторства». Копию этой лицензии можно найти по адресу
http://creativecommons.org/licenses/by-nc/2.5/ или получить по почте, отправив письмо в Creative
Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.
Данная документация предоставляется исключительно в информационных целях и «КАК ЕСТЬ». Эти
материалы не могут заменить специальное обслуживание и документацию, которые может разработать
Корпорация Microsoft для конкретного пользователя, исходя из конкретных требований его среды. В той
мере, в какой это позволяет закон, MICROSOFT НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ, НЕ БЕРЕТ НА СЕБЯ
НИКАКОЙ ОТВЕТСТВЕННОСТИ ЗА ВСЕ ВЫСКАЗАННЫЕ, ПОДРАЗУМЕВАЕМЫЕ И УСТАНОВЛЕННЫЕ ГАРАНТИИ
И НЕ НЕСЕТ ПЕРЕД ВАМИ НИКАКОЙ ОТВЕТСТВЕННОСТИ ЗА ЛЮБОЙ УЩЕРБ, ПОНЕСЕННЫЙ В СВЯЗИ С
ИСПОЛЬЗОВАНИЕМ ДАННЫХ МАТЕРИАЛОВ ИЛИ ЛЮБОЙ ВКЛЮЧЕННОЙ В НИХ ИНТЕЛЛЕКТУАЛЬНОЙ
СОБСТВЕННОСТИ.
Microsoft может располагать патентами, заявками на патент, торговыми марками или другими правами
интеллектуальной собственности на темы, рассматриваемые в данной документации. Если это не
оговорено в отдельном соглашении с Microsoft, использование этого документа не дает никакого права на
эти патенты, торговые марки или другую интеллектуальную собственность.
Информация, представленная в данной документации, включая URL и другие ссылки на Веб-узлы, может
изменяться без уведомления. Если не указано обратное, используемые примеры компаний, организаций,
продуктов, доменных имен, адресов электронной почты, логотипы, люди, места и события являются
вымышленными.
Microsoft, Active Directory, Authenticode, MS-DOS, Win32, Windows, Windows Server, Windows Vista и
Windows XP являются или зарегистрированными торговыми марками, или торговыми марками корпорации
Microsoft в Соединенных Штатах и/или других странах.
Упоминаемые названия реальных компаний и продуктов могут являться торговыми марками их
владельцев.
Вы не обязаны предоставлять Microsoft какие-либо предложения, комментарии или отзывы (Отзыв)
относительно данной документации. Однако если вы все-таки предоставили Отзыв Microsoft, вы
безвозмездно предоставляете Microsoft право использовать, распространять и получать прибыль от этого
любым способом и в любых целях. Также вы безвозмездно предоставляете третьим лицам все патентные
права, необходимые для использования или взаимодействия их продуктов, технологий и служб с
определенными частями программного обеспечения или службы Microsoft, включающими ваш Отзыв. Вы
не должны предоставлять Отзыв, использование которого в ПО или документации потребует от Microsoft
лицензирования от третьих лиц.
Содержание
Обзор
1
Параметры политики домена ........................................................................ 5
Параметры политики паролей ...................................................................... 5
Параметры политики блокировки учетных записей .................................. 8
Параметры политики контроллеров домена и рядовых серверов ............. 13
Конфигурация компьютера\Параметры Windows ..........................................13
Параметры политики назначения прав пользователя ..............................13
Настройки опций безопасности..............................................................27
Политики и подкатегории аудита ................................................................ 83
Настройка параметров политики аудита ......................................................83
Подкатегории политики аудита ..............................................................85
Изменение параметров политики аудита ................................................95
Удаление настройки политики аудита ....................................................96
Обзор
Данное приложение описывает параметры политики безопасности, определяемые
Руководством по безопасности Windows Server 2008 для Среды корпоративных
клиентов (Enterprise Client, EC) и Специальной безопасной среды с ограниченной
функциональностью (Specialized Security – Limited Functionality, SSLF). В
приложении также перечислены рекомендуемые параметры, которые можно
настроить автоматически, используя процесс, описанный в Главе 1, «Реализация
базовых настроек безопасности».
Прилагаемый к данному руководству «Сборник параметров, используемых в
руководстве по безопасности Windows Server 2008» – еще один источник, который
можно использовать для сравнения значений параметров. Этот сборник включает
значения по умолчанию для всех приведенных параметров.
Данное приложение не рассматривает всех доступных параметров групповой
политики. В приложение и сборник включены только используемые параметры.
Сведения обо всех доступных параметрах можно найти в сопроводительном
руководстве Threats and Countermeasures (Угрозы и контрмеры).
Примечание В «Сборнике параметров, используемых в руководстве по безопасности
Windows Server 2008» приводятся уникальные идентификаторы CCE для каждого параметра.
С помощью CCE-идентификаторов можно быстро и точно сопоставлять конфигурационные
данные из нескольких источников и инструментов.
Параметры представлены в приложении соответственно очередности их
расположения в пользовательском интерфейсе (UI) Редактора объектов групповой
политики операционных систем Windows Server® 2008 и Windows Vista™.
Примечание Параметры групповой политики, введенные в Windows Server 2008 и
Windows Vista, обозначены символом §.
Рассматриваемые в данном руководстве параметры безопасности сгруппированы в
приложении в следующие основные разделы:
 Параметры политики доменов. Параметры, рассматриваемые в этом
разделе, применяются к домену.
 Базовые параметры политики контроллеров доменов и рядовых
серверов. Параметры, рассматриваемые в этом разделе, применяются к
следующим элементам:
o К подразделениям контроллеров доменов для настройки
контроллеров доменов, на которых размещаются сведения о
домене AD DS.
o Ко всем рядовым серверам домена.
Важно Дополнительные параметры для каждой конкретной роли сервера
обсуждаются в главах, посвященных этим ролям.

Параметры политики аудита. В Windows Server 2008 и Windows Vista
администраторы могут использовать утилиту Auditpol.exe для управления
аудитом. В данном разделе описываются рекомендации по настройке
подкатегорий параметров аудита.
В таблице каждого из основных разделов данного приложения представлен список
имен параметров и базовые значения, разработанные проектной группой для
конфигураций безопасности EC и SSLF, рассматриваемых в данном руководстве.
Обзор
2
Возможные значения существенно отличаются для разных параметров.
Большинство параметров могут принимать значения Включен или Отключен, или
другое значение, предлагаемое в Редакторе объектов групповой политики. Для
многих параметров также необходимо задавать числовые значения или группы
доступа.
Для параметров политик прав пользователей должны быть заданы конкретные
имена пользователей и групп. Если определенное право пользователя не
предоставлено никому из пользователей или групп, этот параметр отображается в
Редакторе объектов групповой политики как активный, но без списка пользователей
или групп. Такие параметры в таблицах данного приложения описываются
значением Никто.
Объекты групповой политики (GPO) не оказывают влияния на параметры со
значением Не определен, включенные в данное руководство. Эта ситуация сильно
отличается от той, когда параметр имеет значение Никто, как описывалось ранее.
Локальные администраторы компьютеров могут изменять параметры, заданные без
использования GPO. Однако это может привести к противоречиям настроек внутри
среды и, как следствие, к нарушению безопасности. Поэтому многие используемые
в настройках параметры просто активируют стандартные параметры
Windows Server 2008 и Windows Vista.
В следующей таблице приведена пара примеров, иллюстрирующая возможные
конфигурации.
Таблица A1. Примеры назначения прав пользователей в Windows Server 2008
Параметр
GPO рядового сервера в GPO рядового сервера в
EC
SSLF
Настройка квот памяти
Не определен
для процесса
(SeIncreaseQuotaPrivilege)
ЛОКАЛЬНАЯ СЛУЖБА,
СЕТЕВАЯ СЛУЖБА,
Администраторы
Отладка программ
(SeDebugPrivilege)
Никто
Администраторы
Обратите внимание на значение параметра Настройка квот памяти для процесса
(Adjust memory quotas for a process) в среде EC. Для него в столбце GPO
рядового сервера в EC задано значение Не определен, т.е. значение по
умолчанию не изменилось. А в столбце GPO рядового сервера в SSLF для
параметра Отладка программ (Debug Programs) задано Никто, чтобы
обозначить, что данный параметр включен, но отображается пустым в Редакторе
объектов групповой политики. Значение этого параметра в среде SSLF говорит о
том, что ни один пользователь или группа не имеют права присоединять программу
отладки к процессу или ядру. Более того, локальный администратор компьютера не
может просто так изменить значение этого параметра, потому что он определен
посредством групповой политики.
Наконец, важно заметить, что в руководстве описывается несколько параметров,
которые могут обеспечить соответствующую функциональность только при условии
предоставления информации о среде. Поскольку для этих параметров невозможно
определить конкретные значения в объектах GPO, включенных в данное
руководство, в таблицах эти значения указаны как Рекомендуемые. Для
эффективного использования эти параметры требуют дальнейшего анализа и
Обзор
тестирования с целью определения соответствующей конфигурации для
конкретной среды.
Внимание Базовые настройки безопасности EC и SSLF, предписанные данным
руководством, прошли всестороннее тестирование во множестве различных сред. Однако
часто эти базовые настройки требуется менять соответственно требованиям конкретной
среды. Поэтому будьте готовы к тщательному тестированию серверов и клиентских
компьютеров в своей среде, чтобы гарантированно сохранить всю необходимую
функциональность.
3
Параметры политики домена
Параметры безопасности, рассматриваемые в данном разделе приложения,
применяются к домену через узел Конфигурация компьютера в Редакторе объектов
групповой политики. В подузле Параметры Windows этого узла имеются
следующие группы параметров:
 Параметры политики паролей
 Параметры политики блокировки учетных записей
Параметры политики паролей
Регулярно изменяемые сложные пароли сокращают вероятность успешности атак
подбором пароля. Параметры политики паролей определяют сложность и время
действия паролей. Как правило, параметры политики паролей задаются только с
помощью групповой политики на уровне домена.
Примечание Windows Server 2008 поддерживает новый компонент, Расширенные политики
паролей, который обеспечивает организациям средство для определения разных политик
паролей и блокировки учетных записей для разных групп пользователей в домене. В
доменах Active Directory® Windows® 2000 и Windows Server® 2003 ко всем пользователям
домена могла применяться всего одна политика паролей и политика блокировки учетных
записей. В данном руководстве не приводятся рекомендации по этому компоненту. Больше
информации о Расширенных политиках паролей можно найти на странице AD DS: FineGrained Password Policies (AD DS: расширенные политики паролей) сайта Microsoft TechNet.
Настроить параметры политики паролей можно в следующем разделе Редактора
объектов групповой политики:
Конфигурация компьютера\Параметры Windows\Параметры
безопасности\Политики учетных записей\Политики паролей
В следующей таблице приведены рекомендации по настройке политики паролей
для двух типов безопасных сред, описанных в данном руководстве. Подразделы
после таблицы описывают назначение и обоснование рекомендации настройки для
каждого параметра.
Таблица A2. Рекомендации по настройке политики паролей Windows Server
2008
Параметр
Политика
домена EC
Политика
домена SSLF
Вести журнал паролей (Enforce password history)
Храниться 24
пароля
Храниться 24
пароля
Максимальный срок действия пароля (Maximum
password age)
90 дней
90 дней
Минимальный срок действия пароля (Minimum
password age)
1 день
1 день
Минимальная длина пароля (Minimum password
length)
8 символов
12 символов
Параметры политики домена
6
Параметр
Политика
домена EC
Политика
домена SSLF
Пароль должен отвечать требованиям
сложности (Password must meet complexity
requirements)
Включен
Включен
Хранить пароли, используя обратимое
шифрование (Store passwords using reversible
encryption)
Отключен
Отключен
Вести журнал паролей
Данный параметр политики определяет количество возобновляемых уникальных
паролей, которое должно быть ассоциировано с учетной записью пользователя,
прежде чем вы сможете повторно использовать старый пароль. Диапазон
допустимых значений для этого параметра политики – от 0 до 24 паролей.
Значение по умолчанию для Windows Server 2008 – 0 паролей, но когда сервер
присоединен к домену, значением по умолчанию является 24 пароля.
Эффективность данного параметра политики обеспечивается посредством
параметра Минимальный срок действия пароля, благодаря которому
пользователи не могут менять свои пароли слишком часто.
Максимальный срок действия пароля
Данный параметр политики определяет срок действия пароля, в течение которого
пользователь может его использовать. Диапазон допустимых значений для этого
параметра политики – от 1 до 999 дней. (Также можно задать значение 0, чтобы
обозначить неограниченный срок действия пароля.) Значение по умолчанию – 42
дня. Поскольку существует вероятность взлома пароля, чем чаще он изменяется,
тем меньше вероятность того, что злоумышленник сможет воспользоваться
похищенным паролем. Однако чем меньше заданное значение, тем больше
вероятность увеличения количества обращений в службу поддержки для
изменения пароля или по причине того, что пользователь забыл, какой пароль
используется в настоящее время.
Минимальный срок действия пароля
Этот параметр политики определяет, сколько дней пользователь должен
использовать пароль, прежде чем сможет изменить его. Диапазон допустимых
значений для этого параметра – от 1 до 999 дней. (Также можно задать значение 0,
чтобы разрешить немедленное изменение паролей.) Значение по умолчанию – 0
дней.
Значение параметра Минимальный срок действия пароля должно быть меньше
значения, заданного для параметра Максимальный срок действия пароля, если
только для параметра Максимальный срок действия пароля не задано значение
0, определяющее неограниченный срок действия пароля. Если для параметра
Максимальный срок действия пароля задано значение 0, для данного параметра
политики можно задать любое значение в диапазоне от 0 до 999.
Чтобы параметр Вести журнал паролей был эффективным, для параметра
Минимальный срок действия пароля должно быть задано значение, больше 0.
Если задать для этого параметра значение 0, пользователи смогут перебирать
пароли, пока не вернуться к старому любимому паролю.
Параметры политики домена
7
Минимальная длина пароля
Данный параметр политики определяет минимальное количество символов в
пароле для учетной записи пользователя. Существует множество теорий того, как
определить наилучшую длину пароля для организации, но, наверное, «парольная
фраза» – более подходящий термин, чем «пароль». В Windows 2000 и более
поздних версиях парольные фразы могут быть довольно длинными и могут
включать пробелы. Например, такая фраза, как «Я хочу выпить молочный коктейль
за 5$» вполне может быть действительной парольной фразой; и это значительно
более надежный пароль, чем строка из 8 или 10 случайных букв и чисел. Кроме
того, такой пароль значительно проще запомнить. Пользователи должны уметь
правильно выбирать и использовать пароли, особенно это касается длины
паролей.
Пароль должен отвечать требованиям сложности
Данный параметр политики проверяет все пароли на соответствие базовым
требованиям надежности паролей. Значение по умолчанию данного параметра
политики в Windows Server 2008 – Отключен, но для обеих сред, описываемых в
данном руководстве, в домене Windows Server 2008 этот параметр имеет значение
Включен.
Если этот параметр политики включен, пользователи должны создавать надежные
пароли, отвечающие следующим минимальным требованиям:
 Пароли не могут содержать имя учетной записи пользователя или части
полного имени пользователя длиной более двух последовательных
символов.
 Длина пароля должна быть не менее шести символов.
 В состав пароля должны входить символы трех из четырех представленных
ниже категорий:
o Латинские заглавные буквы (от A до Z).
o Латинские строчные буквы (от a до z).
o Цифры (от 0 до 9).
o Небуквенные символы (например, !, $, #, %).
Каждый дополнительный символ экспоненциально увеличивает надежность
пароля. Например, надежность буквенного пароля длиной в семь символов,
7
9
включающего только строчные буквы, была бы 26 (примерно 8 x 10 или 8
миллиардов) возможных комбинаций. При скорости подбора 1000000 попыток в
секунду (производительность многих утилит подбора пароля) на подбор такого
пароля уйдет всего 133 минуты. Для чувствительного к регистру буквенного пароля
7
из семи символов существует 52 возможных комбинаций. Для чувствительного к
регистру буквенно-числового пароля без знаков препинания таких комбинаций уже
7
8
62 . Для пароля длиной в восемь символов существует 26 (или 2 x 1,011)
возможных комбинаций. На первый взгляд, кажется, большое число, но при
скорости подбора 1000000 попыток в секунду на перебор всех возможных
вариантов уйдет всего 59 часов. Помните, применение ALT-символов и других
специальных символов клавиатуры, таких как «!» или «@», приводит к
существенному увеличению времени, необходимого для подбора такого пароля.
Правильное использование параметров паролей помогает не допустить успешного
проведения атак методом подбора.
Хранить пароли, используя обратимое шифрование
Параметры политики домена
8
Данный параметр политики определяет, как операционная система хранит пароли:
используется ли при этом обратимое шифрование. Обратимое шифрование
обеспечивает поддержку протоколов приложений, требующих знания пароля
пользователя в целях проверки подлинности. Хранение паролей с использованием
обратимого шифрования, по сути, то же самое, что и хранение паролей открытым
текстом. Поэтому этот параметр политики должен быть активирован только в том
случае, если требования приложения перевешивают необходимость в защите
паролей. Значение по умолчанию данного параметра политики – Отключен.
Вы должны активировать этот параметр политики при использовании протокола
1
Challenge-Handshake Authentication Protocol (CHAP) через удаленный доступ или
службу Сервер политики сети. Также он необходим при использовании дайджестпроверки подлинности в Internet Information Services (IIS).
Параметры политики блокировки учетных записей
Политика блокировки учетных записей – это компонент безопасности Доменных
служб Active Directory (AD DS), блокирующий учетную запись пользователя.
Блокировка предотвращает вход в систему после заданного числа неудачных
попыток входа в течение заданного периода времени. Контроллеры доменов
отслеживают попытки входа в систему и допустимое количество попыток на
основании значений параметров блокировки учетных записей. Кроме того, можно
задать продолжительность блокирования.
Данные параметры политики не дают злоумышленникам подобрать пароль
пользователя и сокращают вероятность успеха атак на вашу сетевую среду.
Однако включенная политика блокировки учетных записей может привести к
увеличению числа обращений в службу поддержки от пользователей сети. Прежде
чем активировать эти параметры, убедитесь, что ваша организация готова к
дополнительным издержкам на управление. Для многих организаций лучшим и
менее затратным решением является автоматическое сканирование журналов
событий безопасности для контроллеров домена и формирование
административных оповещений при выявлении попыток подбора паролей для
учетных записей пользователей.
Настроить параметры политики блокировки учетных записей можно в следующем
разделе Редактора объектов групповой политики:
Конфигурация компьютера\Параметры Windows\Параметры
безопасности\Политики учетных записей\Политика блокировки учетных
записей
В следующей таблице представлены рекомендации по настройкам политики
блокировки учетных записей. Каждый из параметров подробно описывается в
подразделах после таблицы.
1
Протокол проверки пароля (прим. переводчика).
Параметры политики домена
9
Таблица A3. Рекомендации по настройке политики блокировки учетных
записей Windows Server 2008
Параметр
Политика домена EC
Политика домена SSLF
Продолжительность блокировки
учетной записи (Account lockout
duration)
15 минут
15 минут
Пороговое значение блокировки
(Account lockout threshold)
50 неудачных попыток
входа
10 неудачных попыток
входа
Время до сброса счетчика
блокировки (Reset account lockout
counter after)
15 минут
15 минут
Продолжительность блокировки учетной записи
Этот параметр политики определяет то количество времени, которое должно
пройти, прежде чем заблокированная учетная запись будет разблокирована, и
пользователь сможет попытаться войти в систему. Этот параметр определяет
количество минут, в течение которых учетная запись будет оставаться
недоступной. Если для данного параметра политики задано значение 0,
блокированные учетные записи будут оставаться блокированными до тех пор, пока
администратор не разблокирует их вручную. В Windows Server 2008 значение по
умолчанию данного параметра – Не определен.
Хотя может показаться разумным задать для этого параметра большое значение,
это может привести к увеличению обращений в службу технической поддержки с
просьбами разблокировать учетные записи, заблокированные по ошибке.
Рекомендуемое значение – 15 минут для обеих сред, описываемых в данном
руководстве. Это количество времени было определено как разумный период
ожидания для пользователей перед повторной попыткой входа в систему. Кроме
того, это значение параметра обеспечивает защиту от атак методом подбора
паролей. Пользователи должны быть осведомлены о продолжительности
блокировки и понимать, что могут звонить в службу технической поддержки только
в случае крайней необходимости возобновить возможность доступа к своему
компьютеру.
Пороговое значение блокировки
Этот параметр политики определяет количество неудачных попыток входа в
систему, после которого учетная запись будет заблокирована. Учетная запись
авторизованного пользователя может быть заблокирована в результате ошибок
при вводе пароля или ввода неверного пароля, или если пользователь изменяет
свой пароль на одном компьютере, выполнив до этого вход на другом компьютере.
Компьютер с неверным паролем будет постоянно пытаться аутентифицировать
пользователя, и поскольку при этом будет использоваться неверный пароль,
произойдет блокировка. Чтобы избежать случайных блокировок авторизованных
пользователей, задайте в качестве порогового значения количества ошибок входа
в систему для блокировки учетной записи большое число. Значение по умолчанию
этого параметра политики – 0 неудачных попыток входа, что деактивирует функцию
блокировки учетной записи.
Параметры политики домена
10
Злоумышленники могут использовать состояние блокировки для атак типа отказ в
обслуживании (DoS), запуская блокировку большого числа учетных записей.
Поэтому организация, принимая решение о применении этого параметра политики,
должна исходить из угроз и рисков, которые требуется сдерживать. Существует два
варианта определения данного параметра политики:
Первый вариант:
 Задать для параметра Пороговое значение блокировки значение 0 и,
таким образом, гарантировать, что учетные записи блокироваться не будут.
Это значение предотвратить возможность атак типа DoS с попытками
заблокировать учетные записи вашей организации. Также сократится
количество обращений в службу технической поддержки, потому что
пользователи не будут по ошибке самостоятельно блокировать свои
учетные записи. Однако при таком значении параметра сохраняется
возможность атак методом подбора.
Также следует рассмотреть следующий вариант защиты:
o Политику паролей, требующую использования для всех
пользователей сложных паролей длиной 8 или более символов.
Второй вариант:
 Задать для параметра Пороговое значение блокировки значение, при
котором допускается ошибочное введение пароля пользователями
несколько раз подряд, но которое обеспечит блокировку учетной записи в
случае выявления атаки методом подбора пароля. 50 неудачных попыток
входа для сред EC и 10 для сред типа SSLF должны обеспечить
адекватную защиту и приемлемое удобство использования. Такие значения
предотвратят случайные блокировки учетных записей и приведут к
сокращению количества обращений в службу технической поддержки, но не
защитят от атак типа DoS.
Также следует рассмотреть следующий вариант защиты:
o Надежный механизм аудита, который обеспечит предупреждение
администраторов в случае возникновение ряда блокировок учетных
записей в среде. Например, аудит должен обеспечивать
отслеживание события безопасности 4625, которое представляет
неудачную попытку входа в систему, и выявлять, была ли
заблокирована учетная запись на момент неудачной попытки входа
в систему. (Если в среде используется несколько версий ОС
Windows, для каждой версии придется отслеживать используемый в
ней ID этого события, например, ID 539.)
Время до сброса счетчика блокировки
Этот параметр политики определяет время, через которое будет обнулен параметр
Пороговое значение блокировки. Значение по умолчанию для этого параметра
политики – Не определен. Если Пороговое значение блокировки задан, его
значение должно быть меньше или равно значению параметра
Продолжительность блокировки учетной записи.
Сохранение значения по умолчанию или определение слишком большого
интервала для этого параметра может сделать среду уязвимой для атак типа DoS.
Злоумышленник может специально выполнить ряд неудачных попыток входа в
систему для всех пользователей в организации, что приведет к блокировке их
учетных записей, как описывалось ранее в этом приложении. Если не определена
Параметры политики домена
11
политика снятия блокировки учетных записей, администраторам придется делать
это вручную. И наоборот, если для данного параметра настройки задано разумное
значение, пользователи будут оставаться заблокированными в течение заданного
промежутка времени, по истечении которого все учетные записи будут
разблокированы автоматически.
Рекомендуемое значение этого параметра, 15 минут, было определено как
разумный промежуток времени, приемлемый для пользователей и
обеспечивающий сведение до минимума количества обращений в службу
технической поддержки. Пользователи должны быть осведомлены о том, сколько
времени они должны подождать, прежде чем повторять попытку входа в систему, и
понимать, что могут звонить в службу технической поддержки только в случае
крайней необходимости возобновить возможность доступа к своему компьютеру.
Параметры политики контроллеров домена и рядовых
серверов
Рассматриваемые в данном разделе параметры безопасности применимы к
контролерам домена и рядовым серверам домена. Многие рекомендации для
контроллеров домена и рядовых серверов аналогичны, однако некоторые
параметры применяются только к контроллерам домена. Эти параметры задаются
в Редакторе объектов групповой политики через узел Конфигурация компьютера и
его подузлы Параметры Windows и Административные шаблоны.
Конфигурация компьютера\Параметры Windows
Следующие группы параметров находятся в подкаталоге Конфигурация
компьютера\Параметры Windows\Параметры безопасности\Локальные политики и
обсуждаются в данном приложении:
 Параметры политики аудита
Примечание Параметрам политики аудита в данном приложении посвящен отдельный
раздел.
 Параметры политики назначения прав пользователя
 Настройки опций безопасности
Следующая группа параметров находится в подкаталоге Конфигурация
компьютера\Параметры Windows\Параметры:
 Параметры безопасности журнала событий
Параметры политики назначения прав пользователя
В Windows Server 2008 существует множество привилегированных групп
пользователей, но вы также можете задавать различные права пользователей
определенным пользователям или группам. Эти права обычно предоставляются
для выполнения специальных административных задач или задач без
предоставления этому пользователю или группе полного административного
контроля.
Если для права пользователя должно быть задано значение Никто, активируйте
этот параметр, но не добавляйте в него пользователей или группы. Если для права
пользователя должно быть задано значение Не определен, не активируйте этот
параметр.
В Windows Server 2008 параметры политики назначения прав пользователя можно
задать в Редакторе объектов групповой политики в разделе:
Конфигурация компьютера\Параметры Windows\Параметры
безопасности\Локальные политики\Назначение прав пользователя
В таблице далее представлены рекомендации по назначению прав пользователя
для прав, начинающихся с букв от А до Е (в английском варианте). Приводятся
рекомендации для контроллеров домена и для рядовых серверов в двух
безопасных средах, обсуждаемых в данном руководстве. В следующих после
Параметры политики контроллеров домена и рядовых серверов
14
таблицы подразделах дается более подробная информация о каждом из
параметров.
Рекомендации для всех остальных прав пользователя представлены в Таблице А5.
Дополнительную подробную информацию об этих правах пользователя можно
найти в подразделах после этой таблицы.
Примечание Многие компоненты IIS требуют, чтобы определенные учетные записи, такие
как IIS_WPG, IIS IUSR_<ИмяКомпьютера> и IWAM_<ИмяКомпьютера>, обладали
определенными привилегиями. Больше информации о том, какие права пользователя
должны быть предоставлены учетным записям, связанными с IIS, можно найти в статье IIS
and Built-in Accounts (IIS 6.0) (IIS и встроенные учетные записи).
Права пользователя от A до E
В следующей таблице представлены значения и рекомендации для параметров
политики назначения прав пользователя, начинающихся с букв от А до Е (в
английском варианте), для контроллеров домена и рядовых серверов в Windows
Server 2008. В подразделах после этой таблицы каждый параметр рассматривается
более подробно.
Таблица A4. Рекомендации по настройке политики назначения прав
пользователя (начинающихся с букв от А до Е) в Windows Server 2008
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой сервер
EC
Рядовой сервер
SSLF
Доступ к диспетчеру
учетных данных от
имени доверенного
вызывающего (Access
credential Manager as a
trusted caller)
Не определен
Никто
Не определен
Никто
Доступ к компьютеру из
сети (Access this
computer from the
network) SeNetworkLogonRight
Администратор
ы,
Проверенные
пользователи,
КОНТРОЛЛЕР
Ы ДОМЕНА
ПРЕДПРИЯТИ
Я
Администратор
ы,
Проверенные
пользователи,
КОНТРОЛЛЕР
Ы ДОМЕНА
ПРЕДПРИЯТИ
Я
Администрато
ры,
Проверенные
пользователи
Администрато
ры,
Проверенные
пользователи
Работа в режиме
операционной системы
(Act as part of the
operating system) –
SeTcbPrivilege
Никто
Никто
Никто
Никто
Добавление рабочих
станций к домену (Add
workstations to domain)
Администратор
ы
Администратор
ы
Не определен
Не определен
Параметры политики контроллеров домена и рядовых серверов
15
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой сервер
EC
Рядовой сервер
SSLF
Настройка квот памяти
для процесса
(SeIncreaseQuotaPrivile
ge)
Не определен
ЛОКАЛЬНАЯ
СЛУЖБА,
СЕТЕВАЯ
СЛУЖБА,
Администратор
ы
Не определен
ЛОКАЛЬНАЯ
СЛУЖБА,
СЕТЕВАЯ
СЛУЖБА,
Администрато
ры
Локальный вход в
систему (Allow log on
locally)
Не определен
Администратор
ы
Администрато
ры
Администрато
ры
Разрешать вход в
систему через службы
терминалов (Allow log
on through Terminal
Services) –
SeRemoteInteractiveLog
onRight
Администратор
ы
Администратор
ы
Администрато
ры
Администрато
ры
Архивация файлов и
каталогов (Back up files
and directories) –
SeBackupPrivilege
Не определен
Администратор
ы
Не определен
Администрато
ры
Обход перекрестной
Не определен
проверки (Bypass
traverse checking) –
SeChangeNotifyPrivilege
Проверенные
пользователи,
Локальная
служба,
Сетевая
служба
Администрато
ры,
Проверенные
пользователи,
Операторы
архива,
Локальная
служба,
Сетевая
служба
Администрато
ры,
Проверенные
пользователи,
Локальная
служба,
Сетевая
служба
Изменение системного
времени (Change the
system time) –
SeSystemTimePrivilege
Не определен
ЛОКАЛЬНАЯ
СЛУЖБА,
Администратор
ы
ЛОКАЛЬНАЯ
СЛУЖБА,
Администрато
ры
ЛОКАЛЬНАЯ
СЛУЖБА,
Администрато
ры
§ Изменение часового
пояса (Change the time
zone)
Не определен
ЛОКАЛЬНАЯ
СЛУЖБА,
Администратор
ы
ЛОКАЛЬНАЯ
СЛУЖБА,
Администрато
ры
ЛОКАЛЬНАЯ
СЛУЖБА,
Администрато
ры
Параметры политики контроллеров домена и рядовых серверов
Параметр
Контроллер
домена EC
16
Контроллер
домена SSLF
Рядовой сервер
EC
Рядовой сервер
SSLF
Создание файла
Не определен
подкачки (Create a
pagefile) –
SeCreatePagefilePrivileg
e
Администратор
ы
Администрато
ры
Администрато
ры
Создание маркерного
объекта (Create a token
object) –
SeCreateTokenPrivilege
Не определен
Никто
Не определен
Никто
Создание глобальных
объектов (Create global
objects) –
SeCreateGlobalPrivilege
Не определен
Администратор
ы, СЛУЖБА,
Локальная
служба,
Сетевая
служба
Не определен
Администрато
ры, СЛУЖБА,
Локальная
служба,
Сетевая
служба
§ Создание постоянных Не определен
общих объектов
(Create permanent
shared objects)
Никто
Не определен
Никто
Создание
символических ссылок
(Create symbolic links)
Не определен
Администратор
ы
Не определен
Администрато
ры
Отладка программ
(Debug programs) –
SeDebugPrivilege
Администратор
ы
Никто
Администрато
ры
Никто
Отказать в доступе к
этому компьютеру из
сети (Deny access to
this computer from the
network) –
SeDenyNetworkLogonRi
ght
Гости
Гости
Гости
Гости
Отказать во входе в
Гости
качестве пакетного
задания (Deny log on as
a batch job) –
SeDenyBatchLogonRigh
t
Гости
Гости
Гости
Параметры политики контроллеров домена и рядовых серверов
17
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой сервер
EC
Рядовой сервер
SSLF
Отказать во входе в
качестве службы (Deny
log on as a service) –
SeDenyServiceLogonRi
ght
Не определен
Никто
Не определен
Никто
Запретить локальный
вход (Deny log on
locally) –
SeDenyInteractiveLogon
Right
Гости
Гости
Гости
Гости
Запретить вход в
Гости
систему через службу
терминалов (Deny log
on through Terminal
Services) –
SeDenyRemoteInteractiv
eLogonRight
Гости
Гости
Гости
Разрешение доверия к Не определен
учетным записям
компьютеров и
пользователей при
делегировании (Enable
computer and user
accounts to be trusted
for delegation) –
SeEnableDelegationPrivi
lege
Администратор
ы
Не определен
Администрато
ры
Примечание Символом § обозначены параметры политики введенные в Windows Vista или
Windows Server 2008.
Доступ к диспетчеру учетных данных от имени доверенного вызывающего
Этот параметр политики используется Диспетчером учетных данных (Credential
Manager) при архивации и восстановлении. Это право предоставляется только
учетной записи Winlogon. Ни одна другая учетная запись не должна обладать этим
правом пользователя. Если это право будет предоставлено другим сущностям,
хранящиеся учетные данные пользователей могут оказаться под угрозой.
По умолчанию это право не назначено ни одной учетной записи. Однако чтобы
применить настройки по умолчанию, в среде SSLF, обсуждаемой в данном
руководстве по безопасности, параметру Доступ к диспетчеру учетных данных
от имени доверенного вызывающего задано значение Никто.
Доступ к компьютеру из сети
Этот параметр политики позволяет остальным пользователям сети подключаться к
конкретному компьютеру. Он является обязательным для работы с различными
сетевыми протоколами, включая протоколы на базе Server Message Block (SMB),
Параметры политики контроллеров домена и рядовых серверов
18
NetBIOS, Common Internet File System (CIFS) и Component Object Model Plus
(COM+).
По умолчанию группе Все предоставлено право Доступ к компьютеру из сети.
Однако данное руководство рекомендует удалить группу Все и предоставить это
право группе Проверенные пользователи. Для контроллеров домена оно должно
быть предоставлено также группе Контроллеры домена предприятия. Если это
право не будет предоставлено какой-либо из указанных групп, пользователи не
будут иметь доступа к службам, предоставляемым серверами в среде.
Работа в режиме операционной системы
Данный параметр политики позволяет процессу присваивать удостоверение
любого пользователя и, таким образом, получать доступ к ресурсам, к которым
имеет право доступа этот пользователь. Поэтому параметр Работа в режиме
операционной системы ограничен только группой Никто для обеих обсуждаемых
в этом руководстве сред.
Добавление рабочих станций к домену
Данный параметр политики применим только к контроллерам домена.
Настройка квот памяти для процесса
Данный параметр политики позволяет пользователю настраивать то, какой объем
памяти доступен процессу. Возможность настраивать квоты памяти полезна для
настройки системы, но опасна в случае неправильного использования. С помощью
этого параметра могут запускаться атаки типа отказ в обслуживании (DoS).
Поэтому для среды SSLF параметр Настройка квот памяти для процесса
ограничен группами Администраторы, Локальная служба и Сетевая служба. В
среде EC для этого параметра задано значение Не определен.
Локальный вход в систему
Данный параметр политики определяет, какие пользователи могут интерактивно
входить в систему в вашей среде. Для входа в систему посредством нажатия
последовательности клавиш CTRL+ALT+DEL необходимо обладать этим правом
пользователя.
Microsoft рекомендует активировать данный параметр через групповую политику и
предоставить это право только участникам группы Администраторы. Если
организации необходимо, чтобы другие административные группы уровня
операторов, такие как Операторы архива или Операторы сервера, обладали
этой возможностью, предоставьте им это право пользователя.
Разрешать вход в систему через службы терминалов
Данный параметр политики определяет, какие пользователи или группы имеют
право входить в систему как клиент Служб терминалов. Это право необходимо
пользователям удаленного рабочего стола. Microsoft рекомендует предоставлять
его только группе Администраторы, чтобы нежелательные пользователи не могли
получить доступа к компьютерам вашей сети посредством компонента Удаленный
помощник. Выделенные службы терминалов потребуют дополнительной настройки.
Архивация файлов и каталогов
Этот параметр политики позволяет пользователям обходить разрешения файлов и
каталогов для резервного копирования системы. Это право пользователя
задействовано, только когда приложение (такое как NTBACKUP) пытается
выполнить доступ к файлу или каталогу через программный интерфейс
Параметры политики контроллеров домена и рядовых серверов
19
приложения (API) архивации файловой системы NTFS. В других случаях действуют
разрешения, назначенные для данного файла или каталога.
Обход перекрестной проверки
Данный параметр политики позволяет пользователям, не имеющим специального
права доступа Обзор папок, «перебирать» папки при выборе объекта в файловой
системе NTFS или в реестре. Это право не позволяет пользователям
просматривать содержимое папки, но разрешает выполнять обзор каталогов.
Изменение системного времени
Данный параметр политики определяет, кто из пользователей или групп может
менять время и дату на компьютерах в вашей среде. Пользователи, которым
предоставлено это право, могут менять вид журналов событий. При изменении
времени на компьютере записи о событиях отражают новое время, которое может
не совпадать с фактическим временем, когда событие имело место.
Примечание Расхождения между временем на локальном компьютере и на контроллерах
домена в среде может привести к проблемам с протоколом проверки подлинности Kerberos,
что может сделать невозможным для пользователей вход в домен или авторизацию для
доступа к ресурсам домена после входа в систему. Также если системное время не
синхронизировано с контроллерами домена, возникнут проблемы при применении групповой
политики к клиентским компьютерам. По умолчанию Windows автоматически синхронизирует
настройки времени в домене.
Изменение часового пояса
Этот параметр определяет, кто из пользователей может изменять часовой пояс для
компьютера. Возможность изменения этой настройки не представляет большой
угрозы для компьютера. Однако ее изменение оказывает влияние на всех
пользователей и приложения компьютера, что может привести к неразберихе в
общих средах серверов терминалов.
Создание файла подкачки
Данный параметр политики позволяет пользователям менять размер файла
подкачки. Незаконным путем получив доступ к компьютеру, злоумышленник, делая
файл подкачки слишком большим или слишком маленьким, может без труда влиять
на его производительность.
Создание маркерного объекта
Данный параметр политики позволяет процессу создавать маркер доступа, который
может обеспечивать расширенные права доступа к чувствительным данным. В
средах, в которых безопасность имеет первостепенное значение, это право
пользователя не должно предоставляться ни одному пользователю. Все процессы,
которым необходима эта возможность, должны использовать учетную запись
Локальная система (Local System), которая обладает этим правом по умолчанию.
Создание глобальных объектов
Данный параметр политики определяет, могут ли пользователи создавать
глобальные объекты, доступные всем сеансам. Пользователи, не имеющие такого
права, могут создавать специальные объекты для собственного сеанса.
Пользователи, имеющие право создавать глобальные объекты, имеют
возможность влиять на процессы, выполняющиеся в сеансах пользователей. Эта
способность может привести к различным проблемам, таким как сбой в работе
приложений или повреждение данных.
Создание постоянных общих объектов
Параметры политики контроллеров домена и рядовых серверов
20
Благодаря данному параметру политики пользователи могут создавать объекты
каталогов в диспетчере объектов. Это право пользователя полезно в компонентах
режима ядра, расширяющих пространство имен объекта. Поскольку компоненты,
выполняющиеся в режиме ядра, наследуют это право, обычно нет необходимости
специально назначать это право пользователя.
Создание символических ссылок
Этот параметр политики определяет, кто из пользователей может создавать
символические ссылки. В Windows Server 2008 доступ к существующим объектам
файловой системы NTFS, таким как файлы и папки, может осуществляться
посредством использования объекта файловой системы нового типа, который
называется символической ссылкой. Символическая ссылка – это указатель (во
многом похожий на ярлык или файл .lnk) на другой объект файловой системы:
файл, папку, ярлык или другую символическую ссылку. Разница между ярлыком и
символической ссылкой в том, что ярлык работает только в оболочке Windows. Для
других программ и приложений ярлык – это просто другой файл, тогда как для
символических ссылок концепция ярлыка реализована как возможность файловой
системы NTFS.
Символические ссылки потенциально могут быть причиной уязвимости
безопасности в приложениях, разработанных без учета возможности их
использования. Поэтому право создания символических ссылок должно
предоставляться только проверенным пользователям. По умолчанию создавать
символические ссылки могут только участники группы Администраторы.
Отладка программ
Этот параметр политики определяет, какие учетные записи пользователей будут
иметь право присоединять отладчик к любому процессу или ядру, что обеспечивает
полный доступ к чувствительным и критическим компонентам. Разработчики,
выполняющие отладку собственных приложений, не нуждаются в назначении этого
права. Однако его должны иметь разработчики, занимающиеся отладкой новых
компонентов системы.
Примечание В октябре 2003 Microsoft были выпущены несколько обновлений безопасности
с версией Update.exe, для использования которой администратор должен был обладать
правом на отладку программ. Администраторы, не имеющие этого права пользователя, не
могли устанавливать эти обновления безопасности без перенастройки своих прав. Это
поведения не является типичным для обновлений операционной системы. Больше
информации об этом можно найти в статье 830846 базы знаний Microsoft Windows Product
Updates may stop responding or may use most or all the CPU resources (Обновления продуктов
Windows могут перестать отвечать или могут использовать большую часть или все ресурсы
ЦП).
Злоумышленник может воспользоваться этим правом пользователя, поэтому по
умолчанию оно предоставляется только группе Администраторы. Для среды SSLF
Microsoft рекомендует задавать для этого параметра значение Никто.
Отказать в доступе к этому компьютеру из сети
Этот параметр безопасности определяет, кому из пользователей запрещен доступ
к компьютеру через сеть. Этот параметр замещает параметр политики Доступ к
компьютеру из сети, если к учетной записи пользователя применяются оба
параметра
Отказать во входе в качестве пакетного задания
Параметры политики контроллеров домена и рядовых серверов
21
Данный параметр политики запрещает пользователям вход в систему через
средство, использующее очередь пакетных заданий. Оно является компонентом
Windows Server 2008, с помощью которого можно планировать однократное или
многократное выполнение заданий в будущем.
Отказать во входе в качестве службы
Данный параметр политики определяет, могут ли пользователи выполнять вход как
служба. Учетные записи, имеющие возможность выполнять вход в качестве
службы, могут использоваться для настройки и запуска новых неавторизованных
служб, таких как клавиатурный шпион или другие вредоносные программы.
Отклонить локальный вход
Данный параметр политики запрещает пользователям выполнять вход в консоль
компьютера локально. Если неавторизованные пользователи смогут локально
входить в систему, они получат возможность загружать вредоносный код или
расширять свои права на данном компьютере. Кроме того, если злоумышленники
имеют физический доступ к консоли, существуют и другие риски. Это право
пользователя не должно предоставляться пользователям, которым необходим
физический доступ к консоли компьютера.
Запретить вход в систему через службу терминалов
Этот параметр политики запрещает пользователям входить в систему в вашей
среде через подключения Удаленного рабочего стола. Если назначить это право
пользователя группе Все, участники стандартной группы Администраторы не
смогут использовать Службы терминалов для входа в систему в вашей среде.
Разрешение доверия к учетным записям компьютеров и пользователей при
делегировании
Этот параметр политики позволяет пользователям изменять параметр
Делегирование разрешено (Trusted for Delegation) для объекта-компьютера в
Active Directory®. В случае злоупотребления этой привилегией неавторизованные
пользователи могут получить возможность олицетворять других пользователей
сети.
Права пользователя от F до Z
В следующей таблице представлены значения и рекомендации для параметров
политики назначения прав пользователя, начинающихся с букв от F до Z (в
английском варианте), для контроллеров домена и рядовых серверов в Windows
Server 2008. В подразделах после этой таблицы каждый параметр рассматривается
более подробно.
Таблица A5. Рекомендации по настройке политики назначения прав
пользователя (начинающихся с букв от F до Z) в Windows Server 2008
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой сервер
EC
Рядовой сервер
SSLF
Принудительное удаленное
завершение работы (Force
shutdown from a remote
system) –
SeRemoteShutdownPrivilege
Не
определен
Администрато
ры
Не определен
Администрато
ры
Параметры политики контроллеров домена и рядовых серверов
22
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой сервер
EC
Рядовой сервер
SSLF
Создание аудитов
безопасности (Generate
security audits) –
SeAuditPrivilege
Не
определен
ЛОКАЛЬНАЯ
СЛУЖБА,
СЕТЕВАЯ
СЛУЖБА
ЛОКАЛЬНАЯ
СЛУЖБА,
СЕТЕВАЯ
СЛУЖБА
ЛОКАЛЬНАЯ
СЛУЖБА,
СЕТЕВАЯ
СЛУЖБА
Имитация клиента после
проверки подлинности
(Impersonate a client after
authentication)
Не
определен
Администрато
ры, СЛУЖБА,
Локальная
служба,
Сетевая
служба
Не определен
Администрато
ры, СЛУЖБА,
Локальная
служба,
Сетевая
служба
§ Увеличение рабочего
Не
множества процесса (Increase определен
a process working set)
Администрато
ры, Локальная
служба
Не определен
Администрато
ры, Локальная
служба
Увеличение приоритета
выполнения (Increase
scheduling priority) –
SeIncreaseBasePriorityPrivileg
e
Не
определен
Администрато
ры
Не определен
Администрато
ры
Загрузка и выгрузка
драйверов устройств (Load
and unload device drivers) –
SeLoadDriverPrivilege
Не
определен
Администрато
ры
Не определен
Администрато
ры
Блокировка страниц в памяти
(Lock pages in memory) –
SeLockMemoryPrivilege
Не
определен
Никто
Не определен
Никто
Вход в качестве пакетного
задания (Log on as a batch
job) – SeBatchLogonRight
Не
определен
Администрато
ры
Не определен
Администрато
ры
Вход в качестве службы (Log
on as a service) –
SeServiceLogonRight
Не
определен
Не определен
Не определен
Не определен
Управление аудитом и
журналом безопасности
(Manage auditing and security
log) – SeSecurityPrivilege
Не
определен
Администрато
ры
Администрато
ры
Администрато
ры
Изменение метки объекта
(Modify an object label)
Не
определен
Администрато
ры
Не определен
Администрато
ры
Параметры политики контроллеров домена и рядовых серверов
23
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой сервер
EC
Рядовой сервер
SSLF
Изменение параметров
среды изготовителя (Modify
firmware environment values) –
SeSystemEnvironmentPrivilege
Не
определен
Администрато
ры
Администрато
ры
Администрато
ры
Выполнение задач по
Не
обслуживанию томов (Perform определен
volume maintenance tasks) –
SeManageVolumePrivilege
Администрато
ры
Не определен
Администрато
ры
Профилирование одного
процесса (Profile single
process) –
SeProfileSingleProcessPrivileg
e
Не
определен
Администрато
ры
Администрато
ры
Администрато
ры
Профилирование
производительности системы
(Profile system performance) –
SeSystemProfilePrivilege
Не
определен
Администрато
ры
Администрато
ры
Администрато
ры
Отключение компьютера от
стыковочного узла (Remove
computer from docking station)
– SeUndockPrivilege
Не
определен
Администрато
ры
Администрато
ры
Администрато
ры
Замена маркера уровня
процесса (Replace a process
level token) –
SeAssignPrimaryTokenPrivileg
e
Не
определен
ЛОКАЛЬНАЯ
СЛУЖБА,
СЕТЕВАЯ
СЛУЖБА
ЛОКАЛЬНАЯ
СЛУЖБА,
СЕТЕВАЯ
СЛУЖБА
ЛОКАЛЬНАЯ
СЛУЖБА,
СЕТЕВАЯ
СЛУЖБА
Восстановление файлов и
каталогов (Restore files and
directories) –
SeRestorePrivilege
Не
определен
Администрато
ры
Администрато
ры,
Операторы
архива
Администрато
ры
Завершение работы системы
(Shut down the system) –
SeShutdownPrivilege
Не
определен
Администрато
ры
Администрато
ры,
Операторы
архива
Администрато
ры
Синхронизация данных
службы каталогов
(Synchronize directory service
data)
Не
определен
Никто
Не определен
Не определен
Параметры политики контроллеров домена и рядовых серверов
24
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой сервер
EC
Рядовой сервер
SSLF
Смена владельцев файлов и
других объектов (Take
ownership of files or other
objects) –
SeTakeOwnershipPrivilege
Не
определен
Администрато
ры
Администрато
ры
Администрато
ры
Примечание Символом § обозначены параметры политики введенные в Windows Vista или
Windows Server 2008.
Принудительное удаленное завершение работы
Данный параметр политики разрешает пользователям удаленно по сети завершать
работу компьютеров с Windows. Завершение работы сервера неавторизованным
пользователем делает компьютер недоступным для запросов служб
пользователями и является разновидностью атаки типа отказ в обслуживании
(DoS). Microsoft рекомендует предоставлять это право пользователя только
администраторам, пользующимся высокой степенью доверия.
Создание аудитов безопасности
Этот параметр политики определяет, какие пользователи или процессы имеют
право формировать записи аудита в журнале безопасности. Злоумышленник может
использовать эту возможность для создания большого числа событий аудита, что
усложнит для администратора задачу по выявлению неправомерных действий.
Также если журнал событий настроен на перезапись событий по мере
необходимости, все свидетельства несанкционированных действий могут быть
уничтожены в результате наложения большого количества других событий.
Имитация клиента после проверки подлинности
Этот параметр политики позволяет программам олицетворять пользователя, таким
образом, программа может действовать от лица пользователя. Предоставление
этого права исключительно после прохождения проверки подлинности
предотвращает возможность злоумышленного расширения привилегий.
По умолчанию к маркерам доступа служб, запускаемых Диспетчером управления
службами (Service Control Manager), добавляется встроенная группа Служба
(Service). Группа Служба также добавляется в маркеры доступа COM-серверов,
запущенных COM-инфраструктурой и настроенных на выполнение под
определенной учетной записью. В результате эти процессы получают данное право
пользователя при запуске.
Кроме того, пользователь может олицетворять маркер доступа в случае
выполнения одного из следующих условий:
 Олицетворяемый маркер доступа назначен тому же пользователю, который
делает запрос.
 В данном сеансе входа пользователь явно указал учетные данные при
входе, чтобы создать маркер доступа.
 Запрашиваемый уровень ниже, чем Олицетворять, например, Анонимный
или Идентифицировать.
Злоумышленник, имея право Имитации клиента после проверки подлинности,
может создать службу, которая будет олицетворять любого выполнившего вход
Параметры политики контроллеров домена и рядовых серверов
25
пользователя и повышать уровень доступа злоумышленника до уровня вошедшего
пользователя или до уровня системной учетной записи клиентского компьютера.
Увеличение рабочего множества процесса
Этот параметр политики определяет, какие учетные записи пользователя могут
изменять размер рабочего множества процесса. Рабочие множество процесса –
это набор страниц, доступных процессу в физической RAM. Эти страницы являются
резидентными и доступны приложению постоянно. Предельные размеры набора
оказывают влияние на поведение подкачки виртуальной памяти процесса.
Это право предоставляется всем пользователям по умолчанию. Однако
увеличение размера рабочего множества для процесса уменьшает объем
физической памяти, доступный остальной системе. Вредоносный код может
увеличивать рабочие множество процесса до уровня, при котором существенно
снизится производительность системы, что потенциально приведет к отказу в
обслуживании. Определенные среды могут способствовать снижению этого риска,
ограничивая круг пользователей, имеющих право увеличивать рабочие множество
процесса.
Увеличение приоритета выполнения
Данный параметр политики позволяет пользователям менять используемое
процессом время процессора. Злоумышленник может использовать эту
возможность для повышения приоритета процесса до процесса реального времени
и, таким образом, создать условие отказа в обслуживании (DoS) для компьютера.
Загрузка и выгрузка драйверов устройств
Этот параметр политики позволяет пользователям динамически загружать новый
драйвер устройства в систему. Злоумышленники могут использовать эту
возможность для установки под видом драйвера вредоносного кода. Это право
пользователя необходимо для добавления локальных принтеров или драйверов
принтеров в Windows Server 2008.
Блокировка страниц в памяти
Данный параметр политики позволяет процессу сохранять данные в физической
памяти, что не дает системе передавать данные в виртуальную память на диск.
Злоупотребление этим правом может привести к существенной деградации
производительности системы.
Вход в качестве пакетного задания
Этот параметр политики позволяет учетным записям выполнять вход, используя
службу Планировщик заданий. Планировщик заданий часто используется в
административных целях, поэтому это право может понадобиться в среде EC. Но
Microsoft рекомендует ограничивать его применение в среде SSLF, чтобы
предотвратить неверное употребление ресурсов системы или предупредить
использование этого права для запуска вредоносного кода злоумышленниками,
получившими доступ к компьютеру на уровне пользователя.
Вход в качестве службы
Этот параметр политики позволяет учетным записям запускать сетевые службы
или регистрировать процесс как выполняющуюся в системе службу. Это право
должно быть ограничено на всех компьютерах в среде SSLF. Но в среде EC оно
может требоваться многим приложениям; данную настройку необходимо
Параметры политики контроллеров домена и рядовых серверов
26
тщательно анализировать и тестировать, прежде чем задавать. На серверах с
Windows Server 2008 это право не предоставляется по умолчанию.
Управление аудитом и журналом безопасности
Данный параметр политики определяет, кто из пользователей может менять опции
аудита для файлов и каталогов и очищать журнал безопасности. Эта возможность
представляет относительно небольшую угрозу безопасности, поэтому в обеих
средах, EC и SSLF, это право предоставляется по умолчанию группе
Администраторы.
Изменение метки объекта
Данный параметр политики определяет, кто из пользователей может менять
уровень целостности объектов, таких как файлы, разделы реестра или процессы,
принадлежащие другим пользователям. Заметьте, что пользователь может менять
уровень целостности принадлежащего ему объекта, не имея этой привилегии.
Изменение параметров среды изготовителя
Благодаря данному параметру политики пользователи получают возможность
настраивать системные переменные среды, влияющие на конфигурацию
оборудования. Эта информация обычно хранится в параметре Последняя удачная
конфигурация (Last Known Good Configuration). В результате изменения этих
значений может произойти сбой оборудования, что приведет к DoS-ситуации.
Эта возможность представляет относительно небольшой риск для безопасности,
поэтому для обеих сред, EC и SSLF, это право предоставляется по умолчанию
группе Администраторы.
Выполнение задач по обслуживанию томов
Благодаря данному параметру политики пользователи получают возможность
управлять томами или конфигурацией системы. При этом пользователь может
удалить том, что приведет к утрате данных, а также к созданию DoS-ситуации.
Профилирование одного процесса
Этот параметр политики определяет, кто из пользователей может применять
данные инструменты для отслеживания производительности несистемных
процессов. Обычно для работы с оснасткой Производительность (Performance)
Консоли управления Microsoft (MMC) это право не требуется. Однако оно
понадобится, если Системный монитор (System Monitor) настроен на сбор данных с
помощью Инструментария управления Windows (WMI). Ограничивая право
Профилирование одного процесса, вы лишите злоумышленников возможности
получения дополнительной информации, которая могла бы использоваться для
организации атаки на систему.
Профилирование производительности системы
Данный параметр политики позволяет применять инструменты для просмотра
производительности разных процессов системы. При неверном использовании
этого параметра злоумышленники могут получить возможность просматривать
активные процессы системы и выбирать потенциальную поверхность атаки
компьютера. В обеих средах, EC и SSLF, это право предоставляется по умолчанию
группе Администраторы.
Отключение компьютера от стыковочного узла
Благодаря данному параметру политики пользователь портативного компьютера
получает возможность отстыковывать компьютер, используя опцию меню Пуск
Параметры политики контроллеров домена и рядовых серверов
27
Извлечь ПК (Eject PC). Этот параметр обычно не используется в серверных
сценариях.
Замена маркера уровня процесса
Данный параметр политики позволяет одному процессу или службе запускать
другую службу или процесс с другим безопасным маркером доступа. Эта
возможность может использоваться злоумышленниками для изменения
безопасного маркера доступа этого подпроцесса с целью расширения привилегий.
В обеих средах, EC и SSLF, это право предоставляется по умолчанию группам
Локальная служба и Сетевая служба.
Восстановление файлов и каталогов
Данный параметр политики определяет, кто из пользователей может обходить
разрешения, определенные для файлов, каталогов, реестра и других постоянных
объектов, при восстановлении архивированных файлов и каталогов на
компьютерах с Windows Server 2008. Это право также определяет, кто из
пользователей может задавать действительные принципы безопасности, выступая
в качестве владельцев объектов. Оно аналогично праву пользователя Архивация
файлов и каталогов.
Завершение работы системы
Этот параметр политики определяет, кто из пользователей, локально вошедших в
систему в вашей среде, может завершать работу операционной системы,
используя команду Завершение работы (Shut Down). Неверное использование
этого права пользователя может создать DoS-ситуацию.
Синхронизация данных службы каталогов
Данный параметр политики определяет, кто из пользователей обладает правом
синхронизировать все данные службы каталогов.
Смена владельцев файлов и других объектов
Данный параметр политики определяет пользователей, которые могут стать
владельцем файлов, папок, разделов реестра, процессов или потоков. Это право
пользователя отменяет все разрешения, применяемые к защищаемым объектам, и
предоставляют право владения указанному пользователю. В обеих средах, EC и
SSLF, это право предоставляется по умолчанию группе Администраторы.
Настройки опций безопасности
Настройки опций безопасности, применяемые посредством групповой политики к
серверам в вашей среде, активируют или деактивируют возможности и функции,
такие как доступ к дисководам гибких дисков, доступ к дисководам CD-ROM и
приглашения входа в систему. Эти параметры также настраивают другие
параметры, такие как те, которые отвечают за цифровую подпись данных, имена
учетных записей администраторов и гостей и работу программы установки
драйвера.
Настройки опций безопасности можно конфигурировать в Редакторе объектов
групповой политики в разделе:
Конфигурация компьютера\Параметры Windows\Параметры
безопасности\Локальные политики\Параметры безопасности
Параметры политики контроллеров домена и рядовых серверов
28
В следующем разделе представлены рекомендации по настройке опций
безопасности. Они сгруппированы по типам объектов. Каждый раздел включает
таблицу с перечнем параметров. После таблицы следуют подразделы с более
подробной информацией о каждом из них. Представлены рекомендации, как для
контроллеров домена, так и для рядовых серверов для обеих сред, EC и SSLF.
Данный раздел приложения включает таблицы и рекомендации для параметров
следующих типов объектов, располагающихся в подкаталоге Опции безопасности:
 Учетные записи
 Аудит
 Устройства
 Контроллер домена
 Член домена
 Интерактивный вход в систему
 Клиент сети Microsoft
 Сервер сети Microsoft
 Параметры MSS
 Сетевой доступ
 Сетевая безопасность
 Консоль восстановления
 Завершение работы
 Системная криптография
 Системные объекты
 Параметры системы
 Управление учетными записями
 Параметры безопасности журнала событий
Учетные записи
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, оказывающих влияние на настройки учетных записей в
Windows Server 2008 для контроллеров домена и рядовых серверов. В подразделах
после этой таблицы каждый параметр рассматривается более подробно.
Таблица A6. Рекомендации по настройке опций безопасности в Windows
Server 2008– Учетные записи
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой сервер
EC
Рядовой сервер
SSLF
Учетные записи:
состояние
учетной записи
Администратор
(Accounts:
Administrator
account status)
Не определен
Не определен
Не определен
Не определен
Параметры политики контроллеров домена и рядовых серверов
29
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой сервер
EC
Рядовой сервер
SSLF
Учетные записи:
состояние
учетной записи
Гость (Accounts:
Guest account
status)
Отключен
Отключен
Отключен
Отключен
Учетные записи:
разрешить
использование
пустых паролей
только при
консольном
входе (Accounts:
Limit local
account use of
blank passwords
to console logon
only)
Включен
Включен
Включен
Включен
Учетные записи: Рекомендован
переименование
учетной записи
администратора
(Accounts:
Rename
administrator
account)
Рекомендован
Рекомендован Рекомендован
Учетные записи: Рекомендован
переименование
учетной записи
гостя (Accounts:
Rename guest
account)
Рекомендован
Рекомендован Рекомендован
Учетные записи: состояние учетной записи Администратор
Этот параметр политики активирует или деактивирует учетную запись
Администратор в ходе нормальной работы. Учетная запись Администратор всегда
активирована при запуске компьютера в безопасном режиме, независимо от
значения этого параметра.
Учетные записи: состояние учетной записи Гость
Этот параметр политики активирует или деактивирует учетную запись Гость.
Учетная запись Гость обеспечивает возможность неаутентифицированным
пользователям сети получить доступ к системе.
Параметры политики контроллеров домена и рядовых серверов
30
Учетные записи: разрешить использование пустых паролей только при
консольном входе
Этот параметр политики определяет, смогут ли локальные учетные записи, не
защищенные паролем, использоваться для входа в систему не с физической
консоли компьютера. Если этот параметр политики активирован, пользователи с
локальными учетными записями с пустыми паролями не смогут входить в систему с
удаленных клиентских компьютеров, только с клавиатуры компьютера.
Учетные записи: переименование учетной записи администратора
Встроенная учетная запись Администратор широко известна и ее имя активно
используется злоумышленниками для организации атак. Microsoft рекомендует
выбирать для этой учетной записи другое имя и избегать имен, указывающих на то,
что данные учетные записи обладают административными или расширенными
правами доступа. Не забывайте также изменять стандартное описание локального
администратора (через консоль управления компьютером).
Более изощренные атаки определяют учетные записи не по именам, а с помощью
вызовов API или идентификатора безопасности (SID). Однако изменение
стандартного имени все-таки вводит дополнительный уровень защиты, особенно от
атак с использованием сценариев.
Примечание Этот параметр политики не задан в Шаблонах безопасности и данное
руководство не предлагает имя пользователя для этой учетной записи. Это сделано для того,
чтобы организации, реализующие данное руководство, гарантированно не применяли одно и
то же новое имя пользователя в своих средах.
Учетные записи: переименование учетной записи гостя
Встроенная локальная учетная запись Гость хорошо известна злоумышленникам.
Microsoft также рекомендует задать для этой учетной записи имя, которое не
указывает на ее назначение. Даже если эта учетная запись деактивирована, что
рекомендуется сделать, все равно переименуйте ее, чтобы повысить уровень
безопасности.
Более изощренные атаки определяют учетные записи не по именам, а с помощью
вызовов API или идентификатора безопасности (SID). Однако изменение
стандартного имени все-таки вводит дополнительный уровень защиты, особенно от
атак с использованием сценариев. Рекомендация по использованию этого
параметра распространяется на обе среды, как EC, так и SSLF.
Примечание Этот параметр политики не задан в Шаблонах безопасности и данное
руководство не предлагает имя пользователя для этой учетной записи. Это сделано для того,
чтобы организации, реализующие данное руководство, гарантированно не применяли одно и
то же новое имя пользователя в своих средах.
Аудит
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, оказывающих влияние на функциональность аудита в
Windows Server 2008, для контроллеров домена и рядовых серверов. В
подразделах после этой таблицы каждый параметр рассматривается более
подробно.
Параметры политики контроллеров домена и рядовых серверов
31
Таблица A7. Рекомендации по настройке опций безопасности – Аудит
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Аудит: аудит
доступа глобальных
системных объектов
(Audit: Audit the
access of global
system objects)
Не
определен
Отключен
Не
определен
Отключен
Аудит: аудит прав
на архивацию и
восстановление
(Audit: Audit the use
of Backup and
Restore privilege)
Не
определен
Отключен
Не
определен
Отключен
§ Аудит:
Включен
принудительно
переопределяет
параметры
категории политики
аудита параметрами
подкатегории
политики аудита
(Windows Vista или
последующие
версии) (Audit: Force
audit policy
subcategory settings
(Windows Vista or
later) to override audit
policy category
settings)
Включен
Включен
Включен
Аудит: немедленное
отключение
системы, если
невозможно внести
в журнал записи об
аудите
безопасности (Audit:
Shut down system
immediately if unable
to log security audits)
Отключен
Не
определен
Отключен
Не
определен
Примечание Символом § обозначены параметры политики введенные в Windows Vista или
Windows Server 2008.
Аудит: аудит доступа глобальных системных объектов
Параметры политики контроллеров домена и рядовых серверов
32
Этот параметр политики обусловливает создание по умолчанию системного списка
управления доступом (SACL) для таких системных объектов, как мьютексы (флаги
взаимного исключения), события, семафоры и устройства MS-DOS®, и аудит
доступа к ним.
Если этот параметр активирован, журнал событий безопасности может быстро
заполниться многочисленными событиями безопасности. Поэтому этот параметр
политики задается как Не определен для среды EC и Отключен для среды SSLF.
Аудит: аудит прав на архивацию и восстановление
Этот параметр политики определяет необходимость аудита всех привилегий
пользователя, включая Архивацию и восстановление, если включен параметр
Аудит использования привилегий (Audit privilege use). Если активированы обе
политики, событие аудита будет формироваться для файла при каждой архивации
или восстановлении.
Когда параметр Аудит: аудит прав на архивацию и восстановление включен,
журнал событий безопасности может очень быстро заполниться многочисленными
событиями безопасности. Поэтому этот параметр политики задан как Не
определен для среды EC и Отключен для среды SSLF.
Аудит: принудительно переопределяет параметры категории политики аудита
параметрами подкатегории политики аудита (Windows Vista или последующие
версии)
Этот параметр политики позволяет администраторам более точно управлять
аудитом в Windows Vista и Windows Server 2008. Параметры политики аудита,
предлагаемые в Active Directory Windows Server 2003, не включают параметры для
управления новыми подкатегориями аудита. Чтобы обеспечить соответствующее
применение политик аудита, описанных в данном руководстве, данному параметру
задано значение Включен в обеих средах, как EC, так и SSLF.
Примечание Развернутое обсуждение методов аудита приведено в данном приложении
отдельно.
Аудит: немедленное отключение системы, если невозможно внести в журнал
записи об аудите безопасности
Данный параметр политики определяет, будет ли завершена работа системы в
случае невозможность протоколирования событий безопасности. Это является
обязательным требованием для сертификации по Критерию оценки доверенной
компьютерной системы (TCSEC-C2) и Общему критерию для предотвращения
возникновения событий, подлежащих аудиту, в условиях невозможности их
протоколирования системой. Microsoft принято решение выполнять это требование
путем выключения системы и отображения сообщения об останове, если система
аудита дает сбой. Если это параметр политики включен, система будет
выключаться в случае невозможности протоколирования аудита безопасности по
любой причине.
В случае активации этого параметра могут происходить незапланированные сбои
системы. Поэтому этот параметр задан как Не определен для среды EC и
Отключен для среды SSLF.
Устройства
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, определяющих поведение устройств в
Параметры политики контроллеров домена и рядовых серверов
33
Windows Server 2008, для контроллеров домена и рядовых серверов. В
подразделах после этой таблицы каждый параметр рассматривается более
подробно.
Таблица A8. Рекомендации по настройке опций безопасности в Windows
Server 2008 – Устройства
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Устройства:
разрешить
отстыковку без
входа в систему
(Devices: Allow
undock without
having to log on)
Отключен
Отключен
Отключен
Отключен
Устройства:
разрешить
форматирование и
извлечение
съемных носителей
(Devices: Allowed
to format and eject
removable media)
Администрато
ры
Администрат Администрат Администрат
оры
оры
оры
Устройства:
запретить
пользователям
установку
драйверов принтера
(Devices: Prevent
users from
installing printer
drivers)
Включен
Включен
Включен
Включен
Отключен
Не
определен
Отключен
Устройства:
Не определен
разрешить доступ к
дисководам
компакт-дисков
только локальным
пользователям
(Devices: Restrict
CD-ROM access to
locally logged on user
only)
Параметры политики контроллеров домена и рядовых серверов
Параметр
Контроллер
домена EC
Устройства:
Не определен
разрешить доступ к
дисководам гибких
дисков только
локальным
пользователям
(Devices: Restrict
floppy access to
locally logged on user
only)
34
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Включен
Не
определен
Включен
Устройства: разрешить отстыковку без входа в систему
Этот параметр политики определяет, может ли пользователь отстыковать
портативный компьютер от стыковочного узла без предварительного входа в
систему. Этот параметр политики можно активировать, чтобы отменить требование
по входу в систему и позволить отстыковывать компьютер, используя внешнюю
аппаратную кнопку извлечения. Если этот параметр политики деактивирован,
чтобы отстыковать компьютер, пользователь должен войти в систему и должен
иметь право Отключение компьютера от стыковочного узла. Этот параметр
обычно не применяется для рабочих серверов.
Устройства: разрешить форматирование и извлечение съемных носителей
Этот параметр политики определяет, кто может форматировать и извлекать
съемные носители. С помощью этого параметра политики можно предотвратить
перенос данных неавторизованными пользователями с одного компьютера, чтобы
получить к ним доступ на другом компьютере, на котором они имеют привилегии
локального администратора.
Устройства: запретить пользователям установку драйверов принтера
Злоумышленники могут маскировать троянские программы под драйвер принтера.
Пользователи могут подумать, что эта программа необходима для печати, но такая
программа может запустить вредоносный код в компьютерную сеть. Чтобы снизить
вероятность такого события, право устанавливать драйверы принтера должно быть
предоставлено только администраторам.
Устройства: разрешить доступ к дисководам компакт-дисков только
локальным пользователям
Этот параметр политики определяет, доступен ли дисковод компакт-дисков
одновременно и локальным, и удаленным пользователям. Если этот
параметр политики активирован, доступ к компакт-дискам разрешен только
пользователям, вошедшим в систему интерактивно. Если таковых
пользователей нет, общий дисковод доступен пользователям по сети. Когда
этот параметр активирован, определены теневые копии тома для архивации,
и кто-то входит в систему интерактивно, утилита Архивации данных Windows
может дать сбой. Также дать сбой могут любые продукты для архивации сторонних
производителей, использующие теневые копии.
Устройства: разрешить доступ к дисководам гибких дисков только
локальным пользователям
Параметры политики контроллеров домена и рядовых серверов
35
Этот параметр политики определяет, доступен ли дисковод гибких дисков
одновременно и локальным, и удаленным пользователям. Если этот
параметр политики активирован, доступ к гибким дискам разрешен только
пользователям, вошедшим в систему интерактивно. Если таковых
пользователей нет, дисковод гибких дисков доступен пользователям по сети.
Когда этот параметр активирован и определены теневые копии тома для
архивации, утилита Архивации данных Windows даст сбой. Также не будут
работать любые продукты для архивации сторонних производителей,
использующие теневые копии.
Контроллер домена
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, применяемых к контроллерам домена в
Windows Server 2008. В подразделах после этой таблицы каждый параметр
рассматривается более подробно.
Таблица A9. Рекомендации по настройке опций безопасности в Windows
Server 2008 – Контроллер домена
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Контроллер домена:
разрешить операторам
сервера задавать
выполнение заданий по
расписанию (Domain
Controller: Allow server
operators to schedule
tasks)
Отключен
Отключен
Не
определен
Не
определен
Контроллер домена:
требование цифровой
подписи для LDAPсервера (Domain
Controller: LDAP server
signing requirements)
Не
определен
Требуется
цифровая
подпись
Не
определен
Не
определен
Контроллер домена:
запретить изменение
пароля учетных записей
компьютера (Domain
Controller: Refuse machine
account password
changes)
Отключен
Отключен
Не
определен
Не
определен
Контроллер домена: разрешить операторам сервера задавать выполнение
заданий по расписанию
Данный параметр политики определяет, могут ли участники группы Операторы
сервера задавать выполнение заданий по расписанию с помощью команды AT.
Это параметр не оказывает влияния на службу Планировщик заданий.
Параметры политики контроллеров домена и рядовых серверов
36
Контроллер домена: требование цифровой подписи для LDAP-сервера
Этот параметр политики определяет, будет ли LDAP-сервер требовать
согласования подписывания с LDAP-клиентами. Если для сервера задано
Требуется цифровая подпись (Require Signature), то же самое должно быть
определено и для клиента, в противном случае, связь с сервером будет утрачена.
Этот параметр не оказывает влияния на простое связывание LDAP или простое
связывание LDAP через SSL. Если требуется подпись, запросы с простым
связыванием LDAP и простым связыванием LDAP через SSL отвергаются.
Контроллер домена: запретить изменение пароля учетных записей
компьютера
Этот параметр политики определяет, будут ли контроллеры отвергать запросы на
изменение паролей учетных записей компьютеров от рядовых компьютеров. По
умолчанию пароли учетных записей рядовых компьютеров меняются каждые 30
дней. Если этот параметр активирован, контроллер домена будет отклонять
запросы на изменение пароля учетной записи компьютера.
Член домена
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, определяющих поведение членами домена с
установленной Windows Server 2008. Контроллеры домена также являются
членами домена. В подразделах после этой таблицы каждый параметр
рассматривается более подробно.
Таблица A10. Рекомендации по настройке опций безопасности в Windows
Server 2008 – Член домена
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Член домена: всегда
требуется цифровая
подпись или
шифрование потока
данных безопасного
канала (Domain member:
Digitally encrypt or sign
secure channel data
(always))
Включен
Включен
Включен
Включен
Член домена:
шифрование данных
безопасного канала,
когда это возможно
(Domain member: Digitally
encrypt secure channel
data (when possible))
Включен
Включен
Включен
Включен
Параметры политики контроллеров домена и рядовых серверов
37
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Член домена: цифровая
подпись данных
безопасного канала,
когда это возможно
(Domain member: Digitally
sign secure channel data
(when possible))
Включен
Включен
Включен
Включен
Член домена: отключить
изменение пароля
учетных записей
компьютера (Domain
member: Disable machine
account password
changes)
Отключен
Отключен
Отключен
Отключен
Член домена:
30 дней
максимальный срок
действия пароля учетных
записей компьютера
(Domain Member:
Maximum machine
account password age)
30 дней
30 дней
30 дней
Член домена: требовать
стойкий ключ сеанса
(Windows 2000 или
выше) (Domain member:
Require strong (Windows
2000 or later) session key)
Включен
Включен
Включен
Включен
Член домена: всегда требуется цифровая подпись или шифрование потока
данных безопасного канала
Этот параметр политики определяет необходимость шифрования трафика канала,
инициированного членом домена. Если система настроена на обязательное
шифрование или подпись данных безопасного канала, она не может установить
безопасный канал с контролером домена, который не может подписывать или
шифровать весь трафик безопасного канала, потому что все данные, проходящие
по нему, должны подписывать и шифроваться.
Член домена: шифрование данных безопасного канала, когда это возможно
Данный параметр политики определяет, должен ли член домена делать попытку
согласования шифрования для всего инициируемого им трафика безопасного
канала. Если это параметр политики активирован, член домена будет запрашивать
шифрование всего трафика безопасного канала. В случае деактивации этого
параметра, член домена не сможет согласовывать шифрование безопасного
канала.
Параметры политики контроллеров домена и рядовых серверов
38
Член домена: цифровая подпись данных безопасного канала, когда это
возможно
Данный параметр политики определяет, должен ли член домена делать попытку
согласования цифровой подписи для всего инициируемого им трафика безопасного
канала. Цифровые подписи защищают трафик от изменения кем-либо, кто может
перехватывать данные во время их передачи по сети.
Член домена: отключить изменение пароля учетных записей компьютера
Этот параметр политики определяет, может ли член домена периодически менять
пароль учетной записи своего компьютера. Если параметр активирован, участник
домена не сможет менять пароль учетной записи компьютера. Если данный
параметр деактивирован, член домена может менять пароль учетной записи своего
компьютера соответственно параметру Член домена: максимальный срок
действия пароля учетных записей компьютера, значение по умолчанию
которого – 30 дней. Компьютеры, для которых выключена возможность
автоматического изменения паролей учетных записей, потенциально уязвимы,
потому что злоумышленник может подобрать пароль для учетной записи домена
системы.
Член домена: максимальный срок действия пароля учетных записей
компьютера
Данный параметр политики определяет максимально допустимый срок
существования пароля учетной записи компьютера. По умолчанию члены домена
автоматически меняют пароли домена каждые 30 дней. Если существенно
увеличить этот интервал или задать его равным 0, чтобы компьютеры больше не
меняли свои пароли, злоумышленник будет располагать большим количеством
времени для организации атаки методом подбора.
Член домена: требовать стойкий ключ сеанса (Windows 2000 или выше)
Когда этот параметр политики активирован, безопасный канал может быть
установлен только между контроллерами домена, которые могут шифровать
данные канала стойким (128-разрядным) ключом сеанса. Чтобы активировать этот
параметр политики, все контроллеры домена должны уметь шифровать данные
безопасного канала с использованием стойкого ключа. Это означает, что все
контроллеры домена должны выполнять Microsoft Windows 2000 или более
позднюю версию. Если предполагается обмен информацией с доменами не на базе
Windows 2000, Microsoft рекомендует деактивировать эту политику.
Интерактивный вход в систему
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, определяющих поведение при интерактивном входе в
Windows Server 2008, для контроллеров домена и рядовых серверов. В
подразделах после этой таблицы каждый параметр рассматривается более
подробно.
Параметры политики контроллеров домена и рядовых серверов
39
Таблица A11. Рекомендации по настройке опций безопасности в Windows
Server 2008 – Интерактивный вход в систему
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Интерактивный вход в
систему: не отображать
последнеее имя
пользователя (Interactive
Logon: Do not display last
user name)
Включен
Включен
Включен
Включен
Интерактивный вход в
систему: не требовать
нажатия CTRL+ALT+DEL
(Interactive Logon: Do not
require CTRL+ALT+DEL)
Отключен
Отключен
Отключен
Отключен
Интерактивный вход в
систему: текст сообщения
для пользователей при
входе в систему
(Interactive Logon: Message
text for users attempting to
log on)
Рекомендов
ан
Рекомендов
ан
Рекомендов Рекомендов
ан
ан
Интерактивный вход в
Рекомендов
систему: заголовок
ан
сообщения для
пользователей при входе в
систему (Interactive logon:
Message title for users
attempting to log on)
Рекомендов
ан
Рекомендов Рекомендов
ан
ан
Интерактивный вход в
систему: количество
предыдущих подключений
к кэшу (в случае
отсутствия доступа к
контроллеру домена)
(Interactive Logon: Number
of previous logons to cache
(in case domain controller is
not available))
0 входов
0 входов
0 входов
0 входов
Параметры политики контроллеров домена и рядовых серверов
40
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Интерактивный вход в
систему: напоминать
пользователям об
истечении срока действия
пароля заранее (Interactive
Logon: Prompt user to
change password before
expiration)
14 дней
14 дней
14 дней
14 дней
Интерактивный вход в
систему: требовать
проверки на контроллере
домена для отмены
блокировки компьютера
(Interactive Logon: Require
Domain Controller
authentication to unlock
workstation)
Включен
Включен
Включен
Включен
Интерактивный вход в
систему: поведение при
извлечении смарт-карты
(Interactive Logon: Smart
card removal behavior)
Блокировка
рабочей
станции
Блокировка
рабочей
станции
Блокировка
рабочей
станции
Блокировка
рабочей
станции
Интерактивный вход в
систему: требовать смарткарту (Interactive Logon:
Require smart card)
Не
определен
Рекомендов
ан
Не
определен
Рекомендов
ан
Интерактивный вход в систему: не отображать последнее имя пользователя
Этот параметр политики определяет, будет ли отображаться в окне входа в
систему Windows соответствующего компьютера имя учетной записи пользователя,
последним входившего в систему вашей организации с этого клиентского
компьютера. Активируйте этот параметр политики, чтобы злоумышленники не
могли видеть имена учетных записей на экранах настольных или портативных
компьютеров вашей организации.
Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL
По нажатию сочетания клавиш CTRL+ALT+DEL устанавливается доверенный канал
для входа в операционную систему, и пользователи должны только ввести свое
имя пользователя и пароль. Если этот параметр политики активирован,
пользователи для входа в сеть не должны использовать это сочетание клавиш.
Однако такая конфигурация представляет определенную угрозу безопасности,
потому что обеспечивает пользователям возможность входить в систему,
используя менее надежные учетные данные.
Интерактивный вход в систему: текст сообщения для пользователей при
входе в систему
Параметры политики контроллеров домена и рядовых серверов
41
Данный параметр политики определяет текстовое сообщение, которое
отображается пользователям при входе в систему. Этот текст часто используется в
правовых целях, например, чтобы предупредить пользователей о последствиях
разглашения коммерческой тайны или о возможном аудите их действий. Оба
параметра, Интерактивный вход: в систему текст сообщения для
пользователей при входе в систему и Интерактивный вход в систему:
заголовок сообщения для пользователей при входе в систему, должны быть
активированы для обеспечения корректной работы друг друга.
Примечание Все отображаемые вами предупреждения должны быть сначала утверждены
представителями юридического отдела и отдела кадров вашей организации.
Интерактивный вход в систему: заголовок сообщения для пользователей при
входе в систему
Этот параметр политики позволяет задавать текст, отображаемый в строке
заголовка окна, которое пользователь видит при входе в систему. Назначение этого
параметра политики аналогично параметру текста сообщения. Организации, не
использующие эту политику, с юридической точки зрения более уязвимы для
правонарушителей, атакующих их систему. Оба параметра, Интерактивный вход
в систему: текст сообщения для пользователей при входе в систему и
Интерактивный вход в систему: заголовок сообщения для пользователей при
входе в систему, должны быть активированы для обеспечения корректной работы
друг друга.
Примечание Все отображаемые вами предупреждения должны быть сначала утверждены
представителями юридического отдела и отдела кадров вашей организации.
Интерактивный вход в систему: количество предыдущих подключений к кэшу
(в случае отсутствия доступа к контроллеру домена)
Это параметр политики определяет возможность входа пользователя в домен
Windows с применением кэшированной информации учетной записи. Информация
о входах для учетных записей домена может кэшроваться локально для того, чтобы
пользователи могли входить в систему даже в случае отсутствия доступа к
контроллеру домена. Этот параметр политики определяет количество уникальных
пользователей, информация о входах в систему которых кэшируется локально.
Значение по умолчанию данного параметра – 10. Если этому параметру задано
значение 0, функция кэширования входов деактивирована. Злоумышленник,
получивший доступ к файловой системе сервера, может обнаружить эти
кэшированные данные и использовать атаку методом подбора для определения
паролей пользователей.
Во всех рассматриваемых в данном руководстве случаях Microsoft рекомендует
устанавливать безопасные соединения между серверами и сетью. Кэширование
данных на сервере создает угрозу безопасности, поэтому рекомендуемым
значением для этого параметра является 0.
Интерактивный вход в систему: напоминать пользователям об истечении
срока действия пароля заранее
Данный параметр политики определяет, за сколько дней пользователи
предупреждаются об истечении срока действия их пароля. Рекомендуемое
Microsoft значение этого параметра политики – 14 дней.
Интерактивный вход в систему: требовать проверки на контроллере домена
для отмены блокировки компьютера
Параметры политики контроллеров домена и рядовых серверов
42
Если этот параметр политики активирован, контроллер домена должны проверять
подлинность учетной записи домена, используемой для снятия блокировки
компьютера. Если этот параметр политики деактивирован, для снятия блокировки
компьютера могут использоваться кэшированные учетные данные.
Интерактивный вход в систему: поведение при извлечении смарт-карты
Данный параметр политики определяет, что происходит при извлечении смарткарты пользователя, выполнившего вход в систему, из устройства для чтения
смарт-карт. Если задано значение Блокировка рабочей станции (Lock
Workstation), эта политика блокирует рабочую станцию при извлечении смарткарты, что позволяет пользователям, покидая рабочее место, забирать смарт-карту
и обеспечивает автоматическое блокирование их рабочих станций. Если этому
параметру задано значение Принудительный выход из системы (Force Logoff),
при изъятии смарт-карты будет выполняться автоматический выход пользователя
из системы.
Интерактивный вход в систему: требовать смарт-карту
Данный параметр политики требует от пользователя для входа в систему смарткарту. Использование для проверки подлинности длинных сложных паролей и,
кроме того, обязательная регулярная смена паролей, значительно повышают
безопасность. Такой подход сокращает шансы злоумышленников определить
пароль пользователя методом подбора. Однако заставить пользователей выбирать
надежные пароли сложно, и даже надежные пароли все равно уязвимы для атак
методом подбора.
Применение смарт-карт вместо паролей для проверки подлинности значительно
повышает безопасность, потому что текущая технология практически делает
невозможным для злоумышленника войти под видом другого пользователя. Смарткарты, требующие ввода персональных идентификационных номеров (PIN),
обеспечивают двухфакторную аутентификацию: пользователь должен иметь смарткарту и знать свой PIN-код. Злоумышленнику, сумевшему перехватить трафик
проверки подлинности между компьютером пользователя и контроллером домена,
будет чрезвычайно тяжело дешифровать этот трафик. Даже если у них получится
дешифровать этот трафик, при следующем входе этого пользователя в сеть будет
сформирован новый ключ сеанса для шифрования трафика между ним и
контроллером домена.
Microsoft рекомендует организациям переходить на использование смарт-карт или
других надежных технологий проверки подлинности. Однако параметр
Интерактивный вход в систему: требовать смарт-карту может быть
активирован только после развертывания смарт-карт.
В данном руководстве этот параметр политики в базовой политике для среды EC
задан как Не определен и для среды SSLF – Отключен. Если смарт-карты
развернуты в среде, Microsoft рекомендует активировать эту политику для
обеспечения максимальной безопасности.
Клиент сети Microsoft
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, определяющих поведение Клиента сети Microsoft в
Windows Server 2008, для контроллеров домена и рядовых серверов. В
Параметры политики контроллеров домена и рядовых серверов
43
подразделах после этой таблицы каждый параметр рассматривается более
подробно.
Таблица A12. Рекомендации по настройке опций безопасности в Windows
Server 2008 – Клиент сети Microsoft
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Клиент сети Microsoft:
использовать цифровую
подпись (всегда)
(Microsoft network client:
Digitally sign
communications (always))
Включен
Включен
Включен
Включен
Клиент сети Microsoft:
Включен
использовать цифровую
подпись (с согласия
сервера) (Microsoft
network client: Digitally sign
communications (if server
agrees))
Включен
Включен
Включен
Клиент сети Microsoft:
посылать
незашифрованный
пароль сторонним SMBсерверам (Microsoft
network client: Send
unencrypted password to
third-party SMB servers)
Отключен
Отключен
Отключен
Отключен
Клиент сети Microsoft: использовать цифровую подпись (всегда)
Этот параметр политики определяет, требует ли компонент SMB-клиент цифровую
подпись. Если этот параметр политики активирован, компьютер-клиент сети
Microsoft не может связываться с Сервером сети Microsoft, если этот сервер не
соглашается подписывать SMB-пакеты.
Примечание Если эта политика активирована на компьютерах с Windows Vista и они
подключаются к общим файлам или принтерам на удаленных серверах, важно чтобы этот
параметр был синхронизирован со связанным параметром, Сервер сети Microsoft:
использовать цифровую подпись (всегда), на этих серверах. Больше информации об
этих параметрах можно найти в сопутствующем руководстве Threats and Countermeasures.
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)
Данный параметр политики определяет, будет ли SMB-клиент согласовывать
подпись SMB-пакета. Использование цифровой подписи в сетях Windows помогает
предотвратить похищение данных сеансов. В случае активации данного параметра,
клиент сети Microsoft будет использовать цифровую подпись, только если сервер, с
которым он связывается, допускает использование цифровых подписей.
Примечание Активируйте этот параметр политики на SMB-клиентах своей сети, чтобы
обеспечить абсолютную эффективность подписывания пакетов при обмене информацией со
всеми клиентскими компьютерами вашей среды.
Параметры политики контроллеров домена и рядовых серверов
44
Клиент сети Microsoft: посылать незашифрованный пароль сторонним SMBсерверам
Деактивируйте этот параметр политики, чтобы SMB-перенаправитель не мог
отправлять пароли открытым текстом при проверке подлинности сторонних SMBсерверов, которые не поддерживают шифрование паролей. Microsoft рекомендует
деактивировать эту политику, если на ее использование нет особых оснований.
Активация этого параметра разрешает передачу незашифрованных паролей по
сети.
Сервер сети Microsoft
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, определяющих поведение Сервера сети Microsoft в
Windows Server 2008, для контроллеров домена и рядовых серверов. В
подразделах после этой таблицы каждый параметр рассматривается более
подробно.
Таблица A13. Рекомендации по настройке опций безопасности в Windows
Server 2008 – Сервер сети Microsoft
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Сервер сети Microsoft:
время бездействия до
приостановки сеанса
(Microsoft network server:
Amount of idle time required
before suspending session)
15 минут
15 минут
15 минут
15 минут
Сервер сети Microsoft:
использовать цифровую
подпись (всегда) (Microsoft
network server: Digitally sign
communications (always))
Включен
Включен
Включен
Включен
Сервер сети Microsoft:
использовать цифровую
подпись (с согласия
клиента) (Microsoft network
server: Digitally sign
communications (if client
agrees))
Включен
Включен
Включен
Включен
Сервер сети Microsoft:
отключать клиентов по
истечении разрешенных
часов входа (Microsoft
network server: Disconnect
clients when logon hours
expire)
Включен
Включен
Включен
Включен
Сервер сети Microsoft: время бездействия до приостановки сеанса
Параметры политики контроллеров домена и рядовых серверов
45
Данный параметр политики позволяет задавать время простоя, по истечении
которого SMB-сеанс приостанавливается в виду отсутствия активности.
Администраторы могут использовать этот параметр политики для управления
приостановками неактивных SMB-сеансов. Если клиент возобновляет активность,
сеанс автоматически восстанавливается.
Сервер сети Microsoft: использовать цифровую подпись (всегда)
Этот параметр политики определяет, должен ли SMB-сервер подписывать SMBпакеты. По умолчанию он активирован в стандартной политике контроллеров
домена. Чтобы улучшить защиту рядовых серверов в средах EC и SSLF, Microsoft
рекомендует также включить эту политику в базовой политике рядовых серверов.
Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)
Данный параметр политики определяет, может ли SMB-сервер подписывать SMBпакеты в ответ на запрос клиента, пытающегося установить соединение. Если от
клиента не поступает запроса на подпись и параметр Сервер сети Microsoft:
использовать цифровую подпись (всегда) не активирован, подключение будет
установлено без использования цифровой подписи.
Примечание Активируйте эту политику для SMB-клиентов своей сети, чтобы обеспечить
полную эффективность подписывания пакетов на всех клиентских компьютерах и серверах
своей среды.
Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов
входа
Этот параметр политики определяет, смогут ли пользователи работать на
локальных компьютерах в часы, не предусмотренные для данной учетной записи.
Эта политика влияет на SMB-компонент. Если этот параметр политики включен, по
истечении разрешенного времени входа сеанс клиента с SMB-службой будет
принудительно завершен. Если этот параметр политики выключен, установленные
сеансы клиента будут поддерживаться и после завершения разрешенного времени
входа. При активации данного параметра необходимо также активировать
параметр Сетевая безопасность: принудительный вывод из сеанса по
истечении допустимых часов работы. Если организация желает ограничить
разрешенные часы входа для пользователей, это можно сделать, активировав
данную политику.
Параметры MSS
Среди следующих параметров есть записи значений реестра, которые не
отображаются по умолчанию в Редакторе конфигурации безопасности (Security
Configuration Editor, SCE). Эти значения, начинающиеся с MSS:, разработаны
группой Решения Microsoft для обеспечения безопасности (Microsoft Solutions for
Security) для предыдущего руководства по безопасности. GPOAccelerator для
данного руководства меняет SCE так, чтобы параметры MSS отображались в нем
1
правильно .
В следующей таблице представлены значения и рекомендации для параметров
MSS в Windows Server 2008 для контроллеров домена и рядовых серверов. В
1
Для русской версии ОС GPOAccelerator этого не делает (прим. научного
редактора).
Параметры политики контроллеров домена и рядовых серверов
46
подразделах после этой таблицы каждый параметр рассматривается более
подробно.
Таблица A14. Параметры MSS в Windows Server 2008
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
MSS:
(AutoAdminLogon)
включить
автоматический
вход в систему (не
рекомендуется)
(Enable Automatic
Logon)
Отключен
Отключен
Отключен
Отключен
MSS:
(DisableIPSourceRout
ing) Уровень защиты
IP-маршрутизации
источника
(защищает от
спуфинга пакетов)
(IP source routing
protection level)
Самый высокий
уровень
защиты,
маршрутизация
источников
полностью
отключена
Самый высокий
уровень
защиты,
маршрутизация
источников
полностью
отключена
Самый
высокий
уровень
защиты,
маршрути
зация
источнико
в
полностью
отключена
Самый
высокий
уровень
защиты,
маршрутиз
ация
источников
полностью
отключена
MSS:
(EnableDeadGWDete
ct) Разрешить
автоматическое
распознавание
неработающих
шлюзов (может
привести к DoS)
(Allow automatic
detection of dead
network gateways)
Отключен
Отключен
Отключен
Отключен
MSS:
(EnableICMPRedirect
) Разрешить ICMPперенаправления
для
переопределения
сформированных
OSPF маршрутов
(Allow ICMP redirects
to override OSPF
generated routes)
Отключен
Отключен
Отключен
Отключен
Параметры политики контроллеров домена и рядовых серверов
Параметр
Контроллер
домена EC
MSS: (Hidden)
Не определен
скрыть компьютер из
списка ресурсов
(рекомендуется
использовать только
в средах с высоким
уровнем
безопасности) (Hide
Computer From the
Browse List)
47
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Не определен
Не
определе
н
Не
определен
MSS:
(KeepAliveTime)
Какова частота (в
миллисекундах)
рассылки пакетов
проверки активности
(How often keep-alive
packets are sent in
milliseconds)
300000 или 5
минут
(рекомендуемо
е)
300000 или 5
минут
(рекомендуемо
е)
300000
или 5
минут
(рекоменд
уемое)
300000 или
5 минут
(рекоменду
емое)
MSS:
(NoDefaultExempt)
настроить
исключения IPSec
для различных типов
сетевого трафика
(Configure IPSec
exemptions for
various types of
network traffic)
Исключением
является
только ISAKMP
(рекомендуемо
е для Windows
Server 2003)
Исключением
является
только ISAKMP
(рекомендуемо
е для Windows
Server 2003)
Исключен
ием
является
только
ISAKMP
(рекоменд
уемое для
Windows
Server
2003)
Исключени
ем
является
только
ISAKMP
(рекоменду
емое для
Windows
Server
2003)
MSS:
(NoDriveTypeAutoRu
n) отключить
автозапуск для всех
драйверов
(рекомендован)
(Disable Autorun for
all drives)
255, отключить
автозапуск для
всех устройств
255, отключить
автозапуск для
всех устройств
255,
отключить
автозапус
к для всех
устройств
255,
отключить
автозапуск
для всех
устройств
Параметры политики контроллеров домена и рядовых серверов
48
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
MSS:
(NoNameReleaseOn
Demand) разрешить
компьютеру
игнорировать
запросы на
освобождение имен
NetBIOS, кроме
запросов,
поступающих от
WINS-серверов
(Allow the computer
to ignore NetBIOS
name release
requests except from
WINS servers)
Включен
Включен
Включен
Включен
MSS:
(NtfsDisable8dot3Na
meCreation)
разрешить
компьютеру
прекратить
формирование имен
файлов в стиле 8.3
(рекомендован)
(Enable the computer
to stop generating 8.3
style filenames)
Отключен
Включен
Отключен
Включен
Отключен
Отключен
Отключен
MSS:
Отключен
(PerformRouterDiscov
ery) разрешить IRDP
распознавать и
настраивать адреса
основных шлюзов
(может привести к
DoS) (Allow IRDP to
detect and configure
Default Gateway
addresses)
Параметры политики контроллеров домена и рядовых серверов
49
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
MSS:
(SafeDllSearchMode
) включить
безопасный
порядок поиска
DLL (рекомендован)
(Enable Safe DLL
search mode)
Включен
Включен
Включен
Включен
MSS:
(ScreenSaverGraceP
eriod)
продолжительность
периода отсрочки
заставки (в
секундах)
(рекомендованное
значение – 0) (The
time in seconds
before the screen
saver grace period
expires)
0
0
0
0
MSS:
(SynAttackProtect)
использовать
защиту от Syn-атак
(защита от DoS)
Время
соединения
сокращается
при выявлении
SYN-атаки
Время
соединения
сокращается
при выявлении
SYN-атаки
Время
соединени
я
сокращает
ся при
выявлени
и SYNатаки
Время
соединения
сокращаетс
я при
выявлении
SYN-атаки
MSS:
(TCPMaxConnectRes
ponseRetransmission
s) повторные
отправки SYN-ACK
при запросе
соединения не
обрабатываются
(SYN-ACK
retransmissions when
a connection request
is not acknowledged)
3 & 6 секунд,
полуоткрытые
соединения
закрываются
через 21
секунду
3 & 6 секунд,
полуоткрытые
соединения
закрываются
через 21
секунду
3&6
секунд,
полуоткры
тые
соединени
я
закрываю
тся через
21 секунду
3&6
секунд,
полуоткрыт
ые
соединения
закрывают
ся через 21
секунду
Параметры политики контроллеров домена и рядовых серверов
Параметр
Контроллер
домена EC
50
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
MSS:
3
(TCPMaxDataRetrans
missions) количество
повторных передач
неподтвержденных
данных
(рекомендованое
значение - 3,
значение по
умолчанию - 5) (How
many times
unacknowledged data
is retransmitted)
3
3
3
MSS: (WarningLevel) 90%
Предельный размер
(в процентном
соотношении)
журнала событий, по
достижении которого
система будет
формировать
предупреждение
(Percentage threshold
for the security event
log at which the
system will generate a
warning)
90%
90%
90%
MSS: (AutoAdminLogon) Включить автоматический вход в систему
Запись значения реестра AutoAdminLogon добавлена в файл шаблона в раздел
реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\. В Редакторе конфигурации безопасности эта запись
выглядит как MSS: (AutoAdminLogon) Enable Automatic Logon (not
recommended).
Если для компьютера настроен автоматический вход, любой, кто может получить
физический доступ к компьютеру, может также получить доступ ко всему, что
имеется на компьютере, включая все сети, к которым он подключен. Также пароль
хранится в реестре открытым текстом, и, если включен автоматический вход,
специальный раздел реестра, в котором он хранится, доступен для чтения
удаленно группе Проверенные пользователи.
Больше информации можно найти в статье 315231, How to turn on automatic logon in
Windows XP (Как включить автоматический вход в Windows XP), Базы знаний.
MSS: (DisableIPSourceRouting) Уровень защиты маршрутизации IP-источника
Запись значения реестра DisableIPSourceRouting добавлена в файл шаблона в
раздел реестра
Параметры политики контроллеров домена и рядовых серверов
51
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. В
SCE эта запись выглядит как MSS: (DisableIPSourceRouting) IP source routing
protection level (protects against packet spoofing).
IP-маршрутизация источника – это механизм, позволяющий отправителю
определять IP-маршрут, по которому должна пройти датаграмма по сети.
MSS: (EnableDeadGWDetect) Разрешить автоматическое распознавание
неработающих шлюзов
Запись значения реестра EnableDeadGWDetect добавлена в файл шаблона в
раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. В
SCE эта запись выглядит так: MSS: (EnableDeadGWDetect) Allow automatic
detection of dead network gateways (could lead to DoS).
Если распознавание неработающих шлюзов включено, при возникновении
сложностей у ряда подключений IP может изменить маршрут и использовать
резервный шлюз.
MSS: (EnableICMPRedirect) Разрешить ICMP-перенаправления для
переопределения сформированных OSPF маршрутов
Запись значения реестра EnableICMPRedirect добавлена в файл шаблона в
раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. В
SCE эта запись выглядит так: MSS: (EnableICMPRedirect) Allow ICMP redirects to
override OSPF generated routes.
1
Перенаправления по протоколу Internet Control Message Protocol (ICMP)
заставляют стек подключать узловые маршруты. Эти маршруты переопределяют
2
сформированные протоколом Open Shortest Path First (OSPF) маршруты.
MSS: (Hidden) скрыть компьютер из списка ресурсов
Запись значения реестра Hidden добавлена в файл шаблона в раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Para
meters\. В SCE эта запись выглядит так: MSS: (Hidden) Hide Computer From the
Browse List (not recommended except for highly secure environments).
Можно настроить компьютер так, что он не будет посылать извещения в браузеры
домена. В этом случае он не будет отображаться в списке ресурсов, т.е. компьютер
не будет сообщать о своем присутствии другим компьютерам сети.
Злоумышленнику, знающему имя компьютера, проще собирать дополнительную
информацию о системе. Можно активировать этот параметр, чтобы лишить
злоумышленника одного из методов сбора информации о компьютерах сети. Также
активация этого параметра может способствовать сокращению сетевого трафика.
Однако преимущества с точки зрения безопасности, обеспечиваемые данным
параметром, невелики, потому что злоумышленники могут воспользоваться
альтернативными методами для выбора и обнаружения потенциальных целей.
Дополнительную информацию можно найти в статье 321710, HOW TO: Hide a
Windows 2000-Based Computer from the Browser List (Как: скрыть компьютер с
установленной Windows 2000 в списке ресурсов) базы знаний.
1
Протокол управляющих сообщений в Интернете (прим. переводчика).
Открытие кратчайшего пути первым (прим. переводчика).
2
Параметры политики контроллеров домена и рядовых серверов
52
MSS: (KeepAliveTime) Какова частота (в миллисекундах) рассылки пакетов
проверки активности
Запись значения реестра KeepAliveTime добавлена в файл шаблона в раздел
реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. В
SCE эта запись выглядит так: MSS: (KeepAliveTime) How often keep-alive packets
are sent in milliseconds (300,000 is recommended).
Это значение управляет тем, как часто TCP проверяет работоспособность
неактивного соединения, отправляя пакет проверки активности. Если удаленный
компьютер еще доступен, он подтверждает прием пакета проверки активности.
MSS: (NoDefaultExempt) настроить исключения IPSec для различных типов
сетевого трафика
Запись значения реестра NoDefaultExempt добавлена в файл шаблона в раздел
реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\. В
SCE эта запись выглядит так: MSS: (NoDefaultExempt) Configure IPSec
exemptions for various types of network traffic.
Стандартные исключения для фильтров политики IPsec задокументированы в
интерактивной справке для конкретной операционной системы. Эти фильтры
1
обеспечивают функционирование протокола Internet Key Exchange (IKE) и
протокола проверки подлинности Kerberos. Также благодаря этим фильтрам есть
возможность сигнализировать о качестве обслуживания сети (QoS RSVP) для
трафика данных, безопасность которого обеспечивается IPsec, или для трафика,
безопасность которого не обеспечивается IPsec, такого как многоадресного или
широковещательного трафика.
IPsec все шире используется для базовой фильтрации пакетов между хостом и
брандмауэром, в частности, в сценариях взаимодействия с Интернетом, и эффект
от этих стандартных исключений еще до конца не изучен. Поэтому некоторые
администраторы IPsec могут создавать политики IPsec, безопасные, по их мнению,
но фактически не защищающие от входящих атак с использованием стандартных
исключений. Microsoft рекомендует использовать стандартную настройку в Windows
Server 2008, Windows Vista и Windows XP с SP2. Многоадресные,
широковещательные и ISAKMP протоколы являются исключениями для обеих
обсуждаемых в данном руководстве сред.
Больше информации можно найти в статье 811832, IPSec Default Exemptions Can
Be Used to Bypass IPsec Protection in Some Scenarios (Стандартные исключения
IPSec могут использоваться в некоторых сценариях для обхода защиты IPSec),
базы знаний.
MSS: (NoDriveTypeAutoRun) отключить автозапуск для всех драйверов
Запись значения реестра NoDriveTypeAutoRun добавлена в файл шаблона в
раздел реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Explorer\. В SCE эта запись выглядит так: MSS: (NoDriveTypeAutoRun) Disable
Autorun for all drives (recommended).
Программа автозапуска начинает чтение данных с устройства сразу же после того,
как носитель вставлен в устройство. В результате, немедленно запускается файл
1
Обмен ключами по Интернету (прим. переводчика).
Параметры политики контроллеров домена и рядовых серверов
53
установки для программных дисков и начинается воспроизведение для звуковых
носителей. В обеих средах, EC и SSLF, для данного параметра задано значение
255, Отключить автозапуск для всех устройств.
MSS: (NoNameReleaseOnDemand) разрешить компьютеру игнорировать
запросы на освобождение имен NetBIOS, кроме запросов, поступающих от
WINS-серверов
Запись значения реестра NoNameReleaseOnDemand добавлена в файл шаблона в
раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\. В
SCE эта запись выглядит так: MSS: (NoNameReleaseOnDemand) Allow the
computer to ignore NetBIOS name release requests except from WINS servers.
NetBIOS через TCP/IP – это сетевой протокол, который, кроме всего прочего,
обеспечивает способ простого разрешения имен NetBIOS, зарегистрированных в
системах Windows для IP-адресов, настроенных в этих системах. Этот параметр
определяет, освобождает ли компьютер свое NetBIOS-имя при получении запроса
на освобождение имени.
MSS: (NtfsDisable8dot3NameCreation) разрешить компьютеру прекратить
формирование имен файлов в стиле 8.3
Запись значения реестра NtfsDisable8dot3NameCreation добавлена в файл
шаблона в раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\. В SCE
эта запись выглядит так: MSS: (NtfsDisable8dot3NameCreation) Enable the
computer to stop generating 8.3 style filenames (recommended).
Windows Server 2008 поддерживает имена файлов в формате 8.3 для обратной
совместимости со старыми приложениями. Однако в системах, не использующих
эти устаревшие приложения, таких как среда SSLF, Microsoft рекомендует
активировать этот параметр.
Примечание Этот параметр также оказывает влияние на сценарии, выполняющие доступ к
файлам с длинными именам, используя их эквиваленты в формате 8.3. При реализации этой
политики обязательно необходимо протестировать все важные сценарии установки
приложений или входа в систему.
MSS: (PerformRouterDiscovery) разрешить IRDP распознавать и настраивать
адреса основных шлюзов
Запись значения реестра PerformRouterDiscovery добавлена в файл шаблона в
раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. В
SCE эта запись выглядит так: MSS: (PerformRouterDiscovery) Allow IRDP to detect
and configure Default Gateway addresses (could lead to DoS).
Этот параметр используется для активации или деактивации протокола Router
1
Discovery Protocol (IRDP) , который позволяет системе автоматически распознавать
и настраивать адреса основных шлюзов для каждого интерфейса, как описывается
в RFC 1256.
MSS: (SafeDllSearchMode) включить безопасный порядок поиска DLL
Запись значения реестра SafeDllSearchMode добавлена в файл шаблона в раздел
реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Session
1
Протокол обнаружения маршрутизатора (прим. переводчика).
Параметры политики контроллеров домена и рядовых серверов
54
Manager\. В SCE эта запись выглядит так: MSS: (SafeDllSearchMode) Enable Safe
DLL search mode (recommended).
Существует два способа настройки порядка поиска DLL, запрашиваемых
выполняющимися процессами:
 Поиск выполняется сначала в папках, указанных в системном пути, и затем
в текущей рабочей папке.
 Поиск выполняется сначала в текущей рабочей папке и затем в папках,
указанных в системном пути.
Когда этот параметр активирован, параметру реестра присваивается значение 1. В
этом случае система сначала ведет поиск в папках, указанных в системном пути, и
затем выполняет поиск в текущей рабочей папке. Когда данный параметр
деактивирован, параметру реестра присваивается значение 0, и система сначала
ведет поиск в текущей рабочей папке и затем в папках, указанных в системном
пути.
MSS: (ScreenSaverGracePeriod) Продолжительность периода отсрочки
заставки (в секундах)
Запись значения реестра ScreenSaverGracePeriod добавлена в файл шаблона в
раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\. В SCE эта запись выглядит так: MSS:
(ScreenSaverGracePeriod) The time in seconds before the screen saver grace
period expires (0 recommended).
Windows предусматривает период отсрочки между запуском заставки и моментом
фактической автоматической блокировки консоли, если включена блокировка
заставки.
MSS: (SynAttackProtect) использовать защиту от Syn-атак
Запись значения реестра SynAttackProtect добавлена в файл шаблона в раздел
реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. В
SCE эта запись выглядит так: MSS: (SynAttackProtect) Syn attack protection level
(protects against DoS).
Этот параметр заставляет TCP настроить повторную передачу запросов SYN-ACK.
При задании этого значения время ожидания соединения при выявлении атаки
запрос соединения (SYN) сокращается.
MSS: (TCPMaxConnectResponseRetransmissions) повторные отправки SYNACK при запросе соединения не обрабатываются
Запись значения реестра TCPMaxConnectResponseRetransmissions добавлена в
файл шаблона в раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters. В
SCE эта запись выглядит так: MSS: (TcpMaxConnectResponseRetransmissions)
SYN-ACK retransmissions when a connection request is not acknowledged.
Этот параметр определяет количество повторных запросов SYN, выполняемых
TCP, прежде чем попытка соединения будет прекращена. Задержка между
повторными отправками удваивается с каждой последующей отправкой в данной
попытке соединения. Исходная задержка – три секунды.
MSS: (TCPMaxDataRetransmissions) количество повторных передач
неподтвержденных данных
Параметры политики контроллеров домена и рядовых серверов
55
Запись значения реестра TCPMaxDataRetransmissions добавлена в файл
шаблона в раздел реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. В
SCE эта запись выглядит так: MSS: (TcpMaxDataRetransmissions) How many
times unacknowledged data is retransmitted (3 recommended, 5 is default).
Этот параметр определяет число попыток передачи отдельного сегмента данных,
выполняемых TCP, прежде чем соединение будет разорвано. Задержка между
повторными отправками удваивается с каждой последующей отправкой в
соединении. При возобновлении ответов, значение задержки возвращается к
исходной величине. Базовое значение задержки определяется динамически на
основании измеренного времени приема-передачи для соединения.
MSS: (WarningLevel) Предельный размер (в процентном соотношении)
журнала событий, по достижении которого система будет формировать
предупреждение
Запись значения реестра WarningLevel добавлена в файл шаблона в раздел
реестра HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services\Eventlog\Security\. В SCE эта запись
выглядит так: MSS: (WarningLevel) Percentage threshold for the security event log
at which the system will generate a warning.
Этот параметр может запускать аудит безопасности в журнале событий
безопасности, когда журнал достигает определенного пользователем размера.
Примечание Если журнал настроен на Переписывать события по необходимости
(Overwrite events as needed) или Переписывать события, произошедшие более x
дней назад (Overwrite events older than x days), это событие не будет формироваться.
Сетевой доступ
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, определяющих поведение при доступе к сети в
Windows Server 2008, для контроллеров домена и рядовых серверов. В
подразделах после этой таблицы каждый параметр рассматривается более
подробно.
Таблица A15. Рекомендации по настройке опций безопасности в Windows
Server 2008 – Сетевой доступ
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер
SSLF
Доступ к сети: разрешить
трансляцию анонимного SID
в имя (Network access: Allow
anonymous SID/Name
translation)
Отключен
Отключен
Отключен
Отключен
Параметры политики контроллеров домена и рядовых серверов
Параметр
Контроллер
домена EC
56
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер
SSLF
Сетевой доступ: не
Включен
разрешать перечисление
учетных записей SAM
анонимным пользователям
(Network access: Do not allow
anonymous enumeration of
SAM accounts)
Включен
Включен
Включен
Сетевой доступ: не
разрешать перечисление
учетных записей SAM и
общих ресурсов анонимным
пользователям (Network
access: Do not allow
anonymous enumeration of
SAM accounts and shares)
Включен
Включен
Включен
Включен
Сетевой доступ: не
Включен
разрешать сохранение
учетных данных или
цифровых паспортов .NET
для сетевой проверки
подлинности пользователя
(Network access: Do not allow
storage of credentials or .NET
Passports for network
authentication)
Включен
Включен
Включен
Сетевой доступ: разрешать
применение разрешений
«Для всех» к анонимным
пользователям (Network
access: Let Everyone
permissions apply to
anonymous users)
Отключен
Отключен
Отключен
Отключен
Сетевой доступ: разрешать
анонимный доступ к
именованным каналам
(Network access: Named
Pipes that can be accessed
anonymously)
Не
определен
Не
определен
Не
Сетевой
определен вход в
систему,
samr,
браузер
Сетевой доступ: удаленно
доступные пути реестра
(Network access: Remotely
accessible registry paths)
Не
определен
System\Curr Не
entControlSe определен
t\Control\Pro
ductOptions,
System\Curr
System\C
urrentCont
rolSet\Con
trol\Produ
Параметры политики контроллеров домена и рядовых серверов
Параметр
§ Сетевой доступ: удаленно
доступные пути и
вложенные пути реестра
(Network access: Remotely
accessible registry paths and
sub-paths)
Контроллер
домена EC
Не
определен
Контроллер
домена SSLF
57
Рядовой
сервер EC
Рядовой
сервер
SSLF
entControlSe
t\Control\Ser
ver
Applications,
Software\Mic
rosoft\Windo
ws
NT\CurrentV
ersion
ctOptions,
System\C
urrentCont
rolSet\Con
trol\Server
Applicatio
ns,
Software\
Microsoft\
Windows
NT\Curren
tVersion
System\Curr Не
entControlSe определен
t\Control\Prin
t\PrintersSys
tem\Current
ControlSet\S
ervices\Even
tlogSoftware\
Microsoft\OL
AP
ServerSoftw
are\Microsoft
\Windows
NT\CurrentV
ersion\PrintS
oftware\Micr
osoft\Windo
ws
NT\CurrentV
ersion\Windo
wsSystem\C
urrentControl
Set\ContentI
ndexSystem\
CurrentContr
olSet\Control
\Terminal
ServerSyste
m\CurrentCo
ntrolSet\Cont
rol\Terminal
Server\User
ConfigSyste
System\C
urrentCont
rolSet\Con
trol\Print\P
rintersSyst
em\Curren
tControlSe
t\Services\
EventlogS
oftware\Mi
crosoft\OL
AP
ServerSoft
ware\Micr
osoft\Wind
ows
NT\Curren
tVersion\P
rintSoftwar
e\Microsof
t\Windows
NT\Curren
tVersion\
WindowsS
ystem\Cur
rentContro
lSet\Conte
ntIndexSy
stem\Curr
entControl
Set\Contro
l\Terminal
ServerSys
Параметры политики контроллеров домена и рядовых серверов
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
58
Рядовой
сервер EC
m\CurrentCo
ntrolSet\Cont
rol\Terminal
Server\Defau
lt User
ConfigSoftw
are\Microsoft
\Windows
NT\CurrentV
ersion\perflib
System\Curr
entControlSe
t\Services\Sy
smonLog
Рядовой
сервер
SSLF
tem\Curre
ntControlS
et\Control\
Terminal
Server\Us
er
ConfigSys
tem\Curre
ntControlS
et\Control\
Terminal
Server\Def
ault User
ConfigSoft
ware\Micr
osoft\Wind
ows
NT\Curren
tVersion\p
erflibSyste
m\Current
ControlSet
\Services\
SysmonLo
g
Сетевой доступ: запретить
анонимный доступ к
именованным каналам и
общим ресурсам (Network
access: Restrict anonymous
access to Named Pipes and
Shares)
Включен
Включен
Включен
Включен
Сетевой доступ: разрешать
анонимный доступ к общим
ресурсам (Network access:
Shares that can be accessed
anonymously)
Ни для кого
Ни для кого
Ни для
кого
Ни для
кого
Параметры политики контроллеров домена и рядовых серверов
59
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер
SSLF
Сетевой доступ: модель
совместного доступа и
безопасности для
локальных учетных записей
(Network access: Sharing and
security model for local
accounts)
Обычная локальные
пользовател
и
аутентифици
руются как
они сами
Обычная локальные
пользовател
и
аутентифиц
ируются как
они сами
Обычная локальные
пользоват
ели
аутентифи
цируются
как они
сами
Обычная
локальны
е
пользоват
ели
аутентиф
ицируютс
я как они
сами
Примечание Символом § обозначены параметры политики введенные в Windows Vista или
Windows Server 2008.
Доступ к сети: разрешить трансляцию анонимного SID в имя
Этот параметр политики определяет, может ли анонимный пользователь
запрашивать атрибуты идентификатора безопасности (SID) или использовать SID
для получения соответствующего ему имени пользователя. Деактивируйте этот
параметр, чтобы не прошедшие проверку подлинности пользователи не могли
получать имена пользователей, ассоциированные с соответствующими SID.
Сетевой доступ: не разрешать перечисление учетных записей SAM
анонимным пользователям
Данный параметр политики определяет, разрешено ли анонимным пользователям
перечисление учетных записей в Диспетчере учетных записей безопасности (SAM).
Если эта политики активирована, пользователи, подключившиеся анонимно, не
могут перечислять имена пользователей учетных записей домена на рабочих
станциях среды. Этот параметр политики также допускает дополнительные
ограничения для анонимных соединений.
Сетевой доступ: не разрешать перечисление учетных записей SAM и общих
ресурсов анонимным пользователям
Этот параметр политики управляет возможностью перечисления учетных записей
SAM и общих ресурсов анонимными пользователями. Если эта политика включена,
анонимные пользователи не могут перечислять имена пользователей учетных
записей домена и имена общих ресурсов сети на рабочих станциях в вашей среде.
Сетевой доступ: не разрешать сохранение учетных данных или цифровых
паспортов .NET для сетевой проверки подлинности пользователя
Данный параметр политики определяет, может ли Диспетчер учетных данных или
средство Сохранения имен пользователей и паролей (Stored User Names and
Passwords) сохранять (кэшировать) учетные данные для проверки подлинности в
локальной системе для последующего использования. Сюда относится хранение
учетных данных для входа в Windows для локальных учетных записей на других
компьютерах с Windows и хранение информации об имени и пароле для Веб-узлов
или программ.
Сетевой доступ: разрешать применение разрешений «Для всех» к анонимным
пользователям
Параметры политики контроллеров домена и рядовых серверов
60
Данный параметр политики определяет, какие дополнительные разрешения
предоставляются анонимным подключениям к компьютеру. Если активировать эту
политику, анонимные пользователи Windows могут выполнять определенные
действия, такие как перечисление имен учетных записей домена и общих сетевых
ресурсов. Неавторизованный пользователь мог бы анонимно получить список имен
учетных записей и общих ресурсов и использовать эту информацию для подбора
паролей или осуществления психологических атак.
Сетевой доступ: разрешать анонимный доступ к именованным каналам
Данный параметр политики определяет, какие сеансы связи, или каналы, будут
иметь атрибуты или разрешения, обеспечивающие возможность анонимного
доступа.
В среде EC параметр Сетевой доступ: разрешать анонимный доступ к
именованным каналам имеет значение Не определен. Однако в среде SSLF для
рядовых серверов используются следующие значения по умолчанию:
 Сетевой вход в систему (Netlogon)
 Samr
 Браузер (Browser)
Сетевой доступ: удаленно доступные пути реестра
Данный параметр политики определяет, какие пути реестра будут доступны, если
права доступа для путей определяются через указание в разделе WinReg.
Сетевой доступ: удаленно доступные пути и вложенные пути реестра
Данный параметр политики определяет, какие пути и вложенные пути реестра
будут доступны, если приложение или процесс определяет права доступа,
используя раздел WinReg.
Сетевой доступ: запретить анонимный доступ к именованным каналам и
общим ресурсам
Если этот параметр политики активирован, анонимный доступ возможен только к
общим ресурсам и каналам, указанным следующими параметрами:
 Сетевой доступ: разрешать анонимный доступ к именованным
каналам
 Сетевой доступ: разрешать анонимный доступ к общим ресурсам
Этот параметр политики управляет доступом пустого сеанса к общим ресурсам на
ваших компьютерах, добавляя параметр RestrictNullSessAccess со значением 1 в
раздел реестра
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters. Это
значение реестра подключает или отключает общие ресурсы пустого сеанса,
управляя тем, разрешает ли сервер доступ не прошедших проверку подлинности
клиентских компьютеров к именованным ресурсам. Пустые сеансы – это слабое
место компьютеров сети, которое может быть использовано против вас
посредством общих ресурсов (включая общие ресурсы по умолчанию).
Сетевой доступ: разрешать анонимный доступ к общим ресурсам
Этот параметр политики определяет сетевые ресурсы, доступные анонимным
пользователям. Стандартная настройка этой политики не имеет большого
эффекта, потому что соответственно ей все пользователи должны проходить
проверку подлинности для получения доступа к общим ресурсам на сервере.
Параметры политики контроллеров домена и рядовых серверов
61
Значение этого параметра в среде EC – Не определен. Но в среде SSLF
убедитесь, что ему задано значение None.
Внимание Очень опасно добавлять другие общие ресурсы в этот параметр групповой
политики. Любой пользователь сети имеет доступ к перечисленным в параметре общим
ресурсам, что может привести к разглашению или повреждению конфиденциальных данных.
Сетевой доступ: модель совместного доступа и безопасности для локальных
учетных записей
Этот параметр политики определяет порядок аутентификации при входе в сеть с
использованием локальных учетных записей. Значение Обычная (Classic)
обеспечивает точное управление доступом к ресурсам, включая возможность
назначать для разных пользователей разные типы доступа к одному ресурсу. Если
задано значение Гостевая (Guest only), все пользователи рассматриваются
одинаково. В этом случае все пользователи проходят проверку подлинности как
Гости и получают одинаковый уровень доступа к данному ресурсу.
Сетевая безопасность
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, определяющих сетевую безопасность в
Windows Server 2008, для контроллеров домена и рядовых серверов. В
подразделах после этой таблицы каждый параметр рассматривается более
подробно.
Таблица A16. Рекомендации по настройке опций безопасности в Windows
Server 2008 – Сетевая безопасность
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Сетевая
Включен
безопасность: не
хранить хешзначений LAN
Manager при
следующей смене
пароля (Network
security: Do not
store LAN Manager
hash value on next
password change)
Включен
Включен
Включен
Сетевая
безопасность:
принудительный
вывод из сеанса
по истечении
допустимых часов
работы (Network
security: Force
logoff when logon
hours expire)
Не определен
Не определен Не
определен
Не определен
Параметры политики контроллеров домена и рядовых серверов
62
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Сетевая
безопасность:
уровень проверки
подлинности LAN
Manager (Network
security: LAN
Manager
authentication
level)
Отправлять
только
NTLMv2ответ.
Отказывать
LM
Отправлять
только
NTLMv2ответ.
Отказывать
LM & NTLM
Отправлять
только
NTLMv2ответ.
Отказывать
LM
Отправлять
только
NTLMv2ответ.
Отказывать
LM & NTLM
Сетевая
Согласовыват
безопасность:
ь подпись
требование
цифровой
подписи для
LDAP-клиента
(Network security:
LDAP client signing
requirements)
Согласовыват
ь подпись
Согласовыват Согласовыва
ь подпись
ть подпись
Сетевая
безопасность:
минимальная
сеансовая
безопасность для
клиентов на базе
NTLM SSP
(включая
безопасный RPC)
(Network security:
Minimum session
security for NTLM
SSP based
(including secure
RPC) clients)
Требовать
сеансовую
безопасность
NTLMv2,
Требовать
128-разрядное
шифрование
Требовать
сеансовую
безопасность
NTLMv2,
Требовать
128разрядное
шифрование
Требовать
сеансовую
безопасность
NTLMv2,
Требовать
128-разрядное
шифрование
Требовать
сеансовую
безопасност
ь NTLMv2,
Требовать
128разрядное
шифрование
Параметры политики контроллеров домена и рядовых серверов
63
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Сетевая
безопасность:
минимальная
сеансовая
безопасность для
серверов на базе
NTLM SSP
(включая
безопасный RPC)
(Network security:
Minimum session
security for NTLM
SSP based
(including secure
RPC) servers)
Требовать
сеансовую
безопасность
NTLMv2,
Требовать
128-разрядное
шифрование
Требовать
сеансовую
безопасность
NTLMv2,
Требовать
128-разрядное
шифрование
Требовать
сеансовую
безопасность
NTLMv2,
Требовать
128разрядное
шифрование
Требовать
сеансовую
безопасност
ь NTLMv2,
Требовать
128разрядное
шифрование
Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей
смене пароля
Этот параметр политики определяет, будет ли сохраняться хеш-значение LAN
Manager (LM) для нового пароля при изменении пароля. Хеш LM является
относительно слабым и уязвимым для атак по сравнению с криптографически
более стойким хешем Microsoft Windows NT®.
Примечание Более старые операционные системы и некоторые приложения сторонних
производителей могут давать сбой, когда эта политика включена. Также после активации
этой политики придется изменить пароль для всех учетных записей.
Сетевая безопасность: принудительный вывод из сеанса по истечении
допустимых часов работы
Данный параметр политики определяет, будут ли завершаться сеансы
подключенных к локальным компьютерам пользователей по истечении допустимых
часов работы. Он влияет на SMB-компонент. Если этот параметр политики
включен, по истечении разрешенного времени входа сеансы клиента с SMBсервером будут принудительно завершены. Если этот параметр политики
выключен, установленные сеансы клиента будут поддерживаться и после
завершения разрешенного времени входа.
Сетевая безопасность: уровень проверки подлинности LAN Manager
Данный параметр политики определяет тип проверки подлинности с
запросом/ответом, используемый для входа в сеть. Аутентификация LAN Manager
(LM) является наименее безопасным методом. При использовании этого метода
возможен взлом шифрованных паролей, потому что перехватить их в сети не
составляет большого труда. NT LAN Manager (NTLM) несколько более безопасен.
NTLMv2 является более надежной версией NTLM, чем предоставляемая в
Windows Vista, Windows XP Professional, Windows Server 2003, Windows 2000 и
Windows NT 4.0 с Пакетом обновления 4 (SP4) или более поздними версиями.
NTLMv2 также доступен для Windows 95 и Windows 98 с необязательным
клиентским пакетом служб каталогов.
Параметры политики контроллеров домена и рядовых серверов
64
Microsoft рекомендует настраивать эту политику для своей среды на уровень
проверки подлинности, обеспечивающий максимальную безопасность. В средах, на
рабочих станциях которых установлены только Windows 2000 Server, Windows
Server 2008 или Windows Server 2003 с Windows Vista или Windows XP Professional,
задавайте для этого параметра значение Отправлять только NTLMv2-ответ (Send
NTLMv2 response only). Значение Отказывать LM и NTLM (Refuse LM and NTLM) для
более высокого уровня защиты.
Для среды EC параметру Сетевая безопасность: уровень проверки
подлинности LAN Manager задано значение Отправлять только NTLMv2ответ. Отказывать LM. Но для среды SSLF этот параметр определен боле жестко:
Отправлять только NTLMv2-ответ и также Отказывать LM и NTLM.
Сетевая безопасность: требование цифровой подписи для LDAP-клиента
Этот параметр политики определяет уровень подписывания данных,
запрашиваемых от имени клиентов, посылающих запросы LDAP BIND.
Неподписанный сетевой трафик уязвим для атак с перехватом, поэтому
злоумышленник может сделать так, что LDAP-сервер будет принимать решения на
основании ложных запросов от LDAP-клиента.
Сетевая безопасность: минимальная сеансовая безопасность для клиентов
на базе NTLM SSP (включая безопасный RPC)
Этот параметр политики определяет минимальные стандарты безопасности связи
между приложениями для клиентских компьютеров. Его возможные значения:
 Требовать сеансовую безопасность NTLMv2 (Require NTLMv2 session
security)
 Требовать 128-разрядное шифрование (Require 128-bit encryption)
Если все компьютеры сети могут поддерживать NTLMv2 и 128-разрядное
шифрование (например, Windows Vista, Windows XP Professional SP2 и Windows
Server 2003 SP1 и Windows Server 2008), для обеспечения максимальной
безопасности можно выбрать все четыре варианта.
Сетевая безопасность: минимальная сеансовая безопасность для серверов
на базе NTLM SSP (включая безопасный RPC)
Данный параметр политики аналогичен предыдущему, но оказывает влияние на
серверную сторону связи с приложениями. Его возможные значения:
 Требовать сеансовую безопасность NTLMv2
 Требовать 128-разрядное шифрование
Если все компьютеры сети могут поддерживать NTLMv2 и 128-разрядное
шифрование (например, Windows Vista, Windows XP Professional SP2 и Windows
Server 2003 SP1 и Windows Server 2008), для обеспечения максимальной
безопасности можно выбирать все четыре варианта.
Консоль восстановления
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, определяющих поведение консоли восстановления в
Windows Server 2008, для контроллеров домена и рядовых серверов. В
подразделах после этой таблицы каждый параметр рассматривается более
подробно.
Параметры политики контроллеров домена и рядовых серверов
65
Таблица A17. Рекомендации по настройке опций безопасности в Windows
Server 2008 – Консоль восстановления
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер
SSLF
Консоль восстановления:
Отключен
разрешить автоматический
вход администратора
(Recovery console: Allow
automatic administrative logon)
Отключен
Отключен
Отключен
Консоль восстановления:
разрешить копирование
дискет и доступ ко всем
дискам и папкам (Recovery
console: Allow floppy copy and
access to all drives and all
folders)
Отключен
Не
определен
Отключен
Не
определен
Консоль восстановления: разрешить автоматический вход администратора
Консоль восстановления – это среда командной строки, используемая для
восстановления системы при возникновении каких-либо проблем. Если эта
политика включена, учетная запись администратора автоматически входит в
консоль восстановления при вызове во время запуска. Microsoft рекомендует
деактивировать этот параметр политики. В этом случае администраторы должны
будут вводить пароль для входа в консоль восстановления.
Консоль восстановления: разрешить копирование дискет и доступ ко всем
дискам и папкам
Данный параметр политики делает доступной команду SET консоли
восстановления, которая позволяет задавать следующие переменные среды
консоли восстановления:
 AllowWildCards. Разрешает использовать подстановочные знаки для
некоторых команд (например, для команды DEL).
 AllowAllPaths. Разрешает доступ ко всем файлам и папкам компьютера.
 AllowRemovableMedia. Разрешает копировать файлы на съемные носители,
такие как гибкий диск.
 NoCopyPrompt. Отменяет отображение предупреждения при перезаписи
существующего файла.
Завершение работы
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, оказывающих влияние на завершение работы
Windows Server 2008, для контроллеров домена и рядовых серверов. В
подразделах после этой таблицы каждый параметр рассматривается более
подробно.
Параметры политики контроллеров домена и рядовых серверов
66
Таблица A18. Рекомендации по настройке опций безопасности в Windows
Server 2008 – Завершение работы
Параметр
Контроллер
домена EC
Контроллер
домена
SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Завершение работы:
разрешить завершение
работы системы без
выполнения входа в
систему (Shutdown: Allow
system to be shut down
without having to log on)
Отключен
Отключен
Отключен
Отключен
Завершение работы:
очистка файла подкачки
виртуальной памяти
(Shutdown: Clear virtual
memory pagefile)
Отключен
Отключен
Отключен
Отключен
Завершение работы: разрешить завершение работы системы без выполнения
входа в систему
Данный параметр политики определяет возможность завершения работы
компьютера без входа в систему. Если этот параметр активирован, команда
Завершение работы доступна на экране входа в Windows. Microsoft рекомендует
деактивировать эту политику, чтобы выключать компьютер могли только
пользователи, имеющие на это право.
Завершение работы: очистка файла подкачки виртуальной памяти
Этот параметр политики определяет, очищается ли файл подкачки виртуальной
памяти при выключении системы. Если эта политика активирована, системный
файл подкачки очищается при каждом корректном завершении работы системы.
Процесс очистки файла подкачки может занимать существенное количество
времени, особенно на серверах с большими объемами памяти. Поэтому Microsoft
рекомендует деактивировать этот параметр для серверов, располагающихся в
защищенных средах. Активируйте этот параметр только для компьютеров,
используемых в средах с повышенной угрозой безопасности, для таких как
портативные компьютеры.
Системная криптография
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, определяющих порядок шифрования в
Windows Server 2008, для контроллеров домена и рядовых серверов. В
подразделах после этой таблицы каждый параметр рассматривается более
подробно.
Параметры политики контроллеров домена и рядовых серверов
67
Таблица A19. Рекомендации по настройке опций безопасности в Windows
Server 2008 – Сетевая безопасность
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой сервер
EC
Рядовой сервер
SSLF
Системная
криптография:
обязательное
применение
сильной
защиты ключей
пользователей,
хранящихся на
компьютере
(System
cryptography:
Force strong
key protection
for user keys
stored on the
computer)
Пользователь
получает
запрос при
первом
использовании
ключа
Пользователь
должен
вводить
пароль при
каждом
использовании
ключа
Пользователь
получает
запрос при
первом
использовании
ключа
Пользователь
должен
вводить
пароль при
каждом
использовании
ключа
Системная
криптография:
использовать
FIPSсовместимые
алгоритмы для
шифрования,
хеширования и
подписывания
(System
cryptography:
Use FIPS
compliant
algorithms for
encryption,
hashing, and
signing)
Отключен
Отключен
Отключен
Отключен
Системная криптография: обязательное применение сильной защиты ключей
пользователей, хранящихся на компьютере
Этот параметр политики определят, требуется ли пароль для использования
закрытых ключей пользователя (таких как ключи S-MIME). Если настроить эту
политику так, что пользователи должны предоставлять пароль, отличный от их
пароля домена, при каждом использовании ключа, злоумышленнику будет сложнее
получить доступ к локально хранящимся ключам, даже если он подберет пароли
входа в систему.
Для обеспечения требований удобства использования в среде EC параметру
Системная криптография: обязательное применение сильной защиты ключей
Параметры политики контроллеров домена и рядовых серверов
68
пользователей, хранящихся на компьютере задано значение Пользователь
получает запрос при первом использовании ключа (User is prompted when the
key is first used). Для обеспечения дополнительной безопасности в среде SSLF
этому параметру задано значение Пользователь должен вводить пароль при
каждом использовании ключа (User must enter a password each time they use a
key).
Системная криптография: использовать FIPS-совместимые алгоритмы для
шифрования, хеширования и подписывания
Этот параметр политики определяет, поддерживает ли Поставщик безопасности
Transport Layer Security/Secure Sockets Layer (TLS/SSL) только комплект шифров
TLS_RSA_WITH_3DES_EDE_CBC_SHA. Хотя этот параметр политики повышает
безопасность, большинство публичных веб-узлов, безопасность которых
обеспечивается TLS или SSL, не поддерживают эти алгоритмы. Клиентские
компьютеры, для которых эта политика включена, также не смогут подключаться к
Службам терминалов на серверах, не настроенных на использование совместимых
с FIPS алгоритмов.
Примечание При включении этого параметра политики производительность компьютера
снизится, потому что для каждого блока данных в файле будет трижды осуществляться
процесс 3DES. Этот параметр политики должен активироваться, только если организации
требуется совместимость с FIPS.
Системные объекты
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, определяющих поведение системных объектов в
Windows Server 2008, для контроллеров домена и рядовых серверов. В
подразделах после этой таблицы каждый параметр рассматривается более
подробно.
Таблица A20. Рекомендации по настройке опций безопасности в Windows
Server 2008 – Системные объекты
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер
SSLF
Системные объекты:
учитывать регистр для
подсистем, отличных от
Windows (System objects:
Require case insensitivity for
non-Windows subsystems)
Включен
Включен
Включен
Включен
Параметры политики контроллеров домена и рядовых серверов
Параметр
Контроллер
домена EC
Системные объекты:
Включен
усилить разрешения по
умолчанию для внутренних
системных объектов
(например, для
символических ссылок)
(System objects: Strengthen
default permissions of internal
system objects (for example,
Symbolic Links))
69
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер
SSLF
Включен
Включен
Включен
Системные объекты: учитывать регистр для подсистем, отличных от
Windows
Этот параметр политики определяет необходимость включения
нечувствительности к регистру для всех подсистем. Подсистема Microsoft Win32®
является нечувствительной к регистру. Тем не менее, ядро поддерживает
чувствительность к регистру для остальных подсистем, таких как Портативный
интерфейс операционной системы для UNIX (Portable Operating System Interface for
UNIX, POSIX). Windows нечувствительна к регистру (но подсистема POSIX
поддерживает чувствительность к регистру), поэтому если эта политика не будет
активирована, пользователь подсистемы POSIX, применяя прописные и строчные
буквы, может создать файл с именем, аналогичным уже существующему имени
файла. В такой ситуации доступ к этим файлам для другого пользователя,
использующего инструменты Win32, будет заблокирован, потому что доступен
будет только один из файлов.
Системные объекты: усилить разрешения по умолчанию для внутренних
системных объектов
Этот параметр политики определяет состав стандартного списка управления
доступом на уровне пользователей (discretionary access control list, DACL) для
системных объектов (например, для символических ссылок). Этот параметр
помогает обеспечить безопасность объектов, которые могут совместно
использоваться процессами. Его значение по умолчанию повышает безопасность,
обеспечиваемую DACL, потому что разрешает пользователям, не являющимся
администраторами, читать общие объекты, но не позволяет изменять объекты,
созданные другими пользователями.
Параметры системы
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, оказывающих влияние на параметры системы в
Windows Server 2008, для контроллеров домена и рядовых серверов. В
подразделах после этой таблицы каждый параметр рассматривается более
подробно.
Параметры политики контроллеров домена и рядовых серверов
70
Таблица A21. Рекомендации по настройке опций безопасности в Windows
Server 2008 – Сетевая безопасность
Параметр
Контроллер
домена EC
Контроллер
домена
SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Параметры системы:
необязательные
подсистемы (System
settings: Optional
subsystems)
Нет
Нет
Нет
Нет
Параметры системы:
использовать правила
сертификатов для
исполняемых файлов
Windows для политик
ограниченного
использования программ
(System settings: Use
Certificate Rules on Windows
Executables for Software
Restriction Policies)
Не
определен
Включен
Не
определен
Включен
Параметры системы: необязательные подсистемы
Этот параметр политики определяет подсистемы, используемые для поддержки
приложений в вашей среде. Значение по умолчанию – POSIX.
Чтобы выключить подсистему POSIX, параметру Параметры системы:
необязательные подсистемы в базовой политике для обеих описываемых в
данном руководстве систем присваивается значение None.
Примечание Рекомендуемая настройка препятствует правильному функционированию
компонента Подсистемы для приложений UNIX (Subsystems for UNIX-based Applications, SUA)
в Windows Server 2008 и Windows Vista. Чтобы этот компонент работал корректно, данная
политика должна включать POSIX в своей настройке.
Параметры системы: использовать правила сертификатов для исполняемых
файлов Windows для политик ограниченного использования программ
Это параметр политики определяет, выполняется ли обработка цифровых
сертификатов, когда активированы политики ограниченного использования
программ и пользователь или процесс пытается запустить ПО с расширением .exe.
Эта политика включает или выключает правила сертификатов (тип правила политик
ограниченного использования программ). С помощью политик ограниченного
использования программ можно создать правило сертификатов, которое позволит
или запретит выполнение программы, подписанной с помощью Authenticode®, в
зависимости от того, какой цифровой сертификат ассоциирован с этой программой.
Чтобы правила сертификатов вступили в силу в политиках ограниченного
использования программ, необходимо активировать данный параметр политики.
В среде SSLF для параметра Параметры системы: использовать правила
сертификатов для исполняемых файлов Windows для политик ограниченного
использования программ задано значение Включен. Тем не менее, в среде EC
Параметры политики контроллеров домена и рядовых серверов
71
он Не определен из-за потенциального негативного воздействия на
производительность.
Управление учетными записями
Управление учетными записями (User Account Control, UAC) требует от всех
пользователей, даже вошедших в систему с административными учетными
данными, работать в стандартном пользовательском режиме и тем самым
сокращает уязвимость и поверхность атаки операционной системы. Это
ограничение помогает максимально сократить возможности пользователей по
внесению изменений, которые могут привести к дестабилизации их компьютеров,
или нечаянно допустить проникновение вирусов в сеть через вредоносные
программы, незаметно попавшие на компьютер.
Когда пользователь пытается выполнить административную задачу, операционная
система должна повышать свой уровень безопасности, чтобы эта задача могла
быть выполнена. Параметры UAC в объектах GPO определяют, как операционная
система отвечает на запрос о расширении прав доступа.
В следующей таблице представлены значения и рекомендации для опций
параметров безопасности, оказывающих влияние на Управление учетными
записями в Windows Server 2008, для контроллеров домена и рядовых серверов. В
подразделах после этой таблицы каждый параметр рассматривается более
подробно.
Таблица A22. Рекомендации по настройке опций безопасности в Windows
Server 2008 – Управление учетными записями
Параметр
Контроллер
домена EC
§ Управление
Включен
учетными записями
пользователей:
режим одобрения
администратором для
встроенной учетной
записи
администратора (User
Account Control:
Admin Approval Mode
for the Built-in
Administrator account)
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Включен
Включен
Включен
Параметры политики контроллеров домена и рядовых серверов
72
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
§ Управление
учетными записями
пользователей:
разрешить UIAccessприложениям
выполнять запросы
на расширение прав,
не
используябезопасног
о рабочего стола
(User Account Control:
Allow UIAccess
applications to prompt
for elevation without
using the secure
desktop)
Отключен
Отключен
Отключен
Отключен
§ Управление
Запрос
учетными записями:
учетных
поведение запроса на данных
повышение прав для
администраторов в
режиме одобрения
администратором
(User Account Control:
Behavior of the
elevation prompt for
administrators in Admin
Approval Mode)
Запрос
учетных
данных
Запрос
учетных
данных
Запрос
учетных
данных
§ Управление
учетными записями
пользователей:
поведение запроса на
повышение прав для
обычных
пользователей (User
Account Control:
Behavior of the
elevation prompt for
standard users)
Автоматичес
ки отклонять
запросы на
повышение
прав
Автоматичес
ки отклонять
запросы на
повышение
прав
Автоматичес
ки отклонять
запросы на
повышение
прав
Автоматичес
ки отклонять
запросы на
повышение
прав
Параметры политики контроллеров домена и рядовых серверов
73
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
§ Управление
учетными записями
пользователей:
обнаружение
установки
приложений и запрос
на повышение прав
(User Account Control:
Detect application
installations and
prompt for elevation)
Включен
Включен
Включен
Включен
§ Управление
учетными записями
пользователей:
повышение прав
только для
подписанных и
проверенных
исполняемых файлов
(User Account Control:
Only elevate
executables that are
signed and validated)
Отключен
Отключен
Отключен
Отключен
§ Управление
учетными записями
пользователей:
повышать права для
UIAccessприложений только
при установке в
безопасных местах
(User Account Control:
Only elevate UIAccess
applications that are
installed in secure
locations)
Включен
Включен
Включен
Включен
Параметры политики контроллеров домена и рядовых серверов
74
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
§ Управление
учетными записями
пользователей: все
администраторы
работают в режиме
одобрения
администратором
(User Account Control:
Run all administrators
in Admin Approval
Mode)
Включен
Включен
Включен
Включен
§ Управление
учетными записями
пользователей:
переключение к
безопасному
рабочему столу при
выполнении запроса
на повышение прав
(User Account Control:
Switch to the secure
desktop when
prompting for
elevation)
Включен
Включен
Включен
Включен
§ Управление
учетными записями
пользователей: при
сбоях записи в файл
или реестр
виртуализация в
размещение
пользователя (User
Account Control:
Virtualize file and
registry write failures to
per-user locations)
Включен
Включен
Включен
Включен
Примечание Символом § обозначены параметры политики введенные в Windows Vista или
Windows Server 2008.
Управление учетными записями пользователей: режим одобрения
администратором для встроенной учетной записи администратора
Данный параметр политики определяет, будет ли встроенная учетная запись
Администратор работать в Режиме одобрения администратором (Admin Approval
Mode).
Параметры политики контроллеров домена и рядовых серверов
75
Управление учетными записями пользователей: разрешить UIAccessприложениям выполнять запросы на расширение прав без использования
безопасного рабочего стола
Этот параметр политики управляет возможностью программ User Interface
Accessibility (UIAccess или UIA) автоматически деактивировать для стандартного
пользователя безопасный рабочий стол для выполнения запросов.
Когда этот параметр активирован, программы UIA, в том числе и Удаленный
помощник Windows (Windows Remote Assistance), могут автоматически выключать
безопасный рабочий стол для запросов на расширение прав. Поэтому, если
запросы на расширение прав не выключены, они будут появляться не на
безопасном рабочем столе, а на интерактивном рабочем столе пользователя.
Программы UIA созданы для взаимодействия с Windows и приложениями от лица
пользователя. Этот параметр позволяет программам UIA обходить безопасный
рабочий стол для повышения удобства использования в определенных случаях. Но
обеспечение возможности появления запросов на расширение прав на обычном
интерактивном рабочем столе, а не на безопасном рабочем столе, повышает
угрозу безопасности.
Этот параметр применим к любой UIA-программе, но используется, главным
образом, лишь в определенных сценариях Удаленного помощника Windows. Если
пользователь запрашивает удаленную помощь у администратора, и
устанавливается сеанс удаленного помощника, все запросы на расширение прав
появляются на интерактивном безопасном рабочем столе пользователя,
удаленный сеанс администратора приостанавливается в этот момент. Чтобы
удаленный сеанс администратора не приостанавливался во время запросов на
расширение прав, пользователь может установить флажок Разрешить эксперту IT
отвечать на запросы системы Управления учетными записями
пользователей (Allow IT Expert to respond to User Account Control prompts) при
настройке сеанса удаленного помощника. Но чтобы установить этот флажок уже
необходимо, чтобы интерактивный пользователь отвечал на запрос расширения
прав на безопасном рабочем столе. Обычный пользователь не имеет необходимых
полномочий для разрешения расширения прав.
Если параметр Управление учетными записями пользователей: Разрешить
UIAccess- приложениям выполнять запрос на расширение прав без
использования безопасного рабочего стола активирован, запросы на
расширение прав автоматически отправляются на интерактивный (а не на
безопасный) рабочий стол. Также они появляются на представлении рабочего
стола удаленного администратора, если установлен сеанс Удаленного помощника
Windows, и удаленный администратор может предоставлять необходимые учетные
данные для расширения прав.
Этот параметр не меняет поведения запроса на расширение прав UAC для
администраторов.
Управление учетными записями: поведение запроса на повышение прав для
администраторов в режиме одобрения администратором
Этот параметр политики определяет поведение Windows при попытках
администратора выполнить задачу, требующую более широких полномочий.
Существует три возможных значения данного параметра:
Параметры политики контроллеров домена и рядовых серверов

76
Повышение прав без запроса (Elevate without prompting). При
использовании этого значения повышение прав происходит автоматически
и без запроса.
 Запрос согласия (Prompt for consent). Применение этого значения
заставляет UAC согласовывать повышение прав, но не требует учетных
данных.
 Запрос учетных данных (Prompt for credentials). При использовании
этого значения UAC требует от администратора ввода действительных
учетных данных администратора для повышения прав.
Управление учетными записями пользователей: поведение запроса на
повышение прав для обычных пользователей
Этот параметр политики определяет поведение Windows при попытках
пользователя (т.е. пользователя, не являющегося администратором) выполнить
задачу, требующую более широких полномочий. Существует два возможных
значения данного параметра:
 Автоматически отклонять запросы на повышение прав (Automatically deny
elevation requests). В случае применения данного значения запрос на
повышение прав не отображается, и пользователь не может выполнять
административные задачи. Чтобы выполнять административные задачи, можно
либо использовать команду Запуск от имени администратора (Run as
administrator), либо войти в систему под учетной записью администратора.
 Запрос учетных данных. При использовании этого значение UAC требует от
администратора ввода действительных учетных данных администратора для
повышения прав.
Благодаря этому параметру стандартные пользователи не могут расширять свои
привилегии. Иначе говоря, обычный пользователь для выполнения
административной задачи не может просто предоставить данные
административной учетной записи. Он не сможет щелкнуть файл программы
правой кнопкой мыши и выбрать опцию Запуск от имени администратора. Если
обычному пользователю необходимо выполнить административные задачи, он
должен выйти из системы и затем войти в нее под учетной записью
администратора. Такая процедура неудобна, но она обеспечивает лучшую защиту
среды.
Управление учетными записями пользователей: обнаружение установки
приложений и запрос на повышение прав
Этот параметр политик определяет реакцию Windows на установку приложений
обычным пользователем (не администратором). Для установки приложений
необходимо повышение прав. Существует два возможных значения данного
параметра:
 Включен. При использовании этого значения Windows, обнаружив
программу установки, запрашивает согласие пользователя на продолжение
или учетные данные в зависимости от заданных параметров запроса
повышения прав.
 Отключен. При использовании этого значения программы установки
приложений дают сбой без запросов или в недетерминированном режиме.
Управление учетными записями пользователей: повышение прав только для
подписанных и проверенных исполняемых файлов
Параметры политики контроллеров домена и рядовых серверов
77
Этот параметр политики предотвращает выполнение неподписанных или не
прошедших проверку достоверности приложений. Прежде чем включать эту
политику, администраторы должны убедиться, что все необходимые приложения
подписаны и действительны. Существует два возможных значения данного
параметра:
 Включен. При использовании этого значения выполняться могут только
подписанные исполняемые файлы. Неподписанные приложения
блокируются.
 Отключен. При использовании этого значения выполняются как
подписанные, так и неподписанные исполняемые файлы.
Управление учетными записями пользователей: повышать права для
UIAccess- приложений только при установке в безопасных местах
Этот параметр политики задает требование о том, что приложения,
запрашивающие выполнение на уровне целостности UIAccess (с пометкой
UIAccess=true в манифесте приложения), должны находиться в безопасном
расположении в файловой системе, например, каталогах Program Files или
Windows System. Если этот параметр активирован, приложению, заявляющему
себя как приложение UIAccess, будет разрешен запуск, только если оно находится
в одном из безопасных расположений файловой системы.
Примечание Windows задает проверку подписи PKI для любого интерактивного
приложения, запрашивающего выполнение на уровне целостности UIAccess, независимо от
состояния этого параметра безопасности.
Управление учетными записями пользователей: все администраторы
работают в режиме одобрения администратором
Этот параметр политики выключает UAC. Существует два возможных значения
этого параметра:
 Включен. При использовании этого значения и администраторы, и обычные
пользователи получают запрос при попытках выполнения административных
операций. Стиль запроса зависит от политики.
 Отключен. Это значение выключает опцию Режим одобрения администратора
для данного параметра и все связанные с ней политики UAC. Встроенные
функции безопасности, такие как Ограничение привилегий пользовательского
интерфейса (User Interface Privilege Isolation, UIPI) и Защищенный режим
Internet Explorer (Protected Mode Internet Explorer), помогающие изолировать
процессы, выполняющиеся под учетной записью администратора, от
процессов, выполняющихся под учетной записью обычного пользователя,
также будут деактивированы. Кроме того, при выключении этого параметра
Центр обеспечения безопасности (Security Center) будет указывать на снижение
общего уровня безопасности.
Управление учетными записями пользователей: переключение к безопасному
рабочему столу при выполнении запроса на повышение прав
Этот параметр политики помогает защитить компьютер и пользователя от
использования запроса на повышение прав в неправомерных целях. Безопасный
рабочий стол Windows может выполнять только процессы SYSTEM, которые
обычно отвергают сообщения от вредоносных программ. В результате, на
безопасный рабочий стол, как правило, сложно вывести поддельные запросы на
продолжение и ввод учетных данных. Кроме того, запросы на продолжение
защищены от спуфинга вывода.
Параметры политики контроллеров домена и рядовых серверов
78
Однако следует заметить, что риск при использовании запросов на повышение
прав и ввод учетных данных сохраняется, потому что вредоносное ПО может
подделать безопасный рабочий стол, имитируя визуальный стиль и графику.
Безопаснее всего выполнять административные задачи только под учетной
записью администратора. Существует два возможных значения этого параметра:
 Включен. При использовании этого значения запрос на повышение прав UAC
отображается на безопасном рабочем столе.
 Отключен. При использовании этого значения запрос на повышение прав UAC
отображается на рабочем столе пользователя.
Управление учетными записями пользователей: при сбоях записи в файл или
реестр виртуализация в размещение пользователя
Приложения, не имеющие в базе данных записи о совместимости, или для которых
запрашиваемый уровень выполнения в манифесте приложения несовместим с
UAC; приложения, несовместимые с UAC, пытающиеся выполнить запись в
защищенные области, в том числе в каталоги Program Files и %systemroot%, – все
эти приложения, если не могут завершить процесс записи, отображают сообщение
об ошибке или дают сбой. Активируя эту политику, вы позволяете Windows Vista
виртуализировать записи файла и реестра в пользовательские расположения,
обеспечивая приложению возможность выполняться.
Совместимые с UAC приложения не должны выполнять запись в защищенные
области, что может приводить к сбоям записи. Таким образом, в средах,
использующих только совместимые с UAC приложения, этот параметр должен быть
выключен.
Существует два возможных значения данного параметра:
 Включен. В средах, использующих ПО, не совместимое с UAC, этому
параметру должно быть задано значение Включен.
 Отключен. В средах, использующих ПО, совместимое с UAC, этому параметру
должно быть задано значение Отключен.
Если вы не уверены, что все приложения в среде являются совместимыми с UAC,
задавайте значение Включен.
Параметры безопасности журнала событий
Журнал событий протоколирует события системы. В журнал безопасности
записываются события аудита. Контейнер журнала событий Групповой политики
используется для описания таких атрибутов журналов событий приложений,
безопасности и системы, как максимальный размер журнала, права доступа для
каждого журнала, параметры и методы сохранения.
Настроить параметры журнала событий можно в следующем разделе Редактора
объектов групповой политики:
Конфигурация компьютера\Параметры Windows\Параметры
безопасности\Журнал событий
В данном разделе подробно рассматриваются используемые параметры для
обсуждаемых в данном руководстве сред. Краткий обзор этих параметров можно
найти в книге «Сборник параметров используемых в руководстве по безопасности
Windows Server 2008». Сведения о стандартных настройках и подробное описание
каждого из параметров, обсуждаемых в данном разделе, представлены в
Параметры политики контроллеров домена и рядовых серверов
79
сопроводительном руководстве Threats and Countermeasures. Сопроводительное
руководство также включает подробную информацию о возможной утрате данных
журнала событий при задании очень большого размера для журнала.
В следующей таблице представлены рекомендуемые параметры безопасности
журнала событий для контроллеров домена и рядовых серверов в обеих
рассматриваемых в данном руководстве средах, EC и SSLF. В подразделах после
этой таблицы каждый параметр рассматривается более подробно.
Таблица A23. Рекомендации по настройке параметров безопасности в
Windows Server 2008 – Параметры безопасности журнала событий
Параметр
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
Максимальный размер
журнала приложений
(Maximum application
log size)
32768 кб
32768 кб
32768 кб
32768 кб
Максимальный размер
журнала безопасности
(Maximum security log
size)
81920 кб
81920 кб
81920 кб
81920 кб
Максимальный размер
системного журнала
(Maximum system log
size)
32768 кб
32768 кб
32768 кб
32768 кб
Метод сохранения
событий в журнале
приложений (Retention
method for application
log)
По
По
По
По
необходимос необходимос необходимос необходимо
ти
ти
ти
сти
Метод сохранения
событий в журнале
безопасности
(Retention method for
security log)
По
По
По
По
необходимос необходимос необходимос необходимо
ти
ти
ти
сти
Метод сохранения
событий в системном
журнале (Retention
method for system log)
По
По
По
По
необходимос необходимос необходимос необходимо
ти
ти
ти
сти
Максимальный размер журнала приложений
Этот параметр политики определяет максимальный размер журнала событий
приложений, максимально допустимое значение для которого – 4 Гб. Тем не менее,
использовать максимально допустимый размер не рекомендуется из-за опасности
фрагментации памяти, что приводит к снижению производительности и
неустойчивому протоколированию событий. Требования к размеру журнала
Параметры политики контроллеров домена и рядовых серверов
80
событий приложений различны и зависят от функции платформы и необходимости
в записях истории событий приложений.
Для обеих обсуждаемых в данном руководстве сред параметру Максимальный
размер журнала приложений задано значение 32768 Кб.
Максимальный размер журнала безопасности
Данный параметр политики определяет максимальный размер журнала событий
безопасности, максимально допустимое значение для которого – 4 Гб. Тем не
менее, использовать максимально допустимый размер не рекомендуется из-за
опасности фрагментации памяти, что приводит к снижению производительности и
неустойчивому протоколированию событий. Требования к размеру журнала
событий безопасности различны и зависят от функции платформы и
необходимости в записях истории событий приложений.
Для обеих обсуждаемых в данном руководстве сред параметру Максимальный
размер журнала безопасности задано значение 81920 Кб.
Максимальный размер системного журнала
Данный параметр политики определяет максимальный размер журнала событий
системы, максимально допустимое значение для которого – 4 Гб. Тем не менее,
использовать максимально допустимый размер не рекомендуется из-за опасности
фрагментации памяти, что приводит к снижению производительности и
неустойчивому протоколированию событий. Требования к размеру журнала
событий безопасности различны и зависят от функции платформы и
необходимости в записях истории событий приложений.
Для обеих обсуждаемых в данном руководстве сред параметру Максимальный
размер журнала безопасности задано значение 32768 Кб.
Метод сохранения событий в журнале приложений
Данный параметр политики определяет способ перезаписи журнала приложений.
Если сохранение хронологии событий желательно в целях анализа или
диагностики, исключительно важна регулярная архивация журнала приложений.
Перезапись событий по необходимости гарантирует, что в журнале всегда хранятся
самые свежие события, хотя такая настройка может привести к утрате данных
истории.
Для обеих обсуждаемых в данном руководстве сред параметру Метод сохранения
событий в журнале приложений задано значение Затирать старые события по
необходимости.
Метод сохранения событий в журнале безопасности
Данный параметр политики определяет способ перезаписи журнала безопасности.
Если сохранение хронологии событий желательно в целях анализа или
диагностики, исключительно важна регулярная архивация журнала безопасности.
Перезапись событий по необходимости гарантирует, что в журнале всегда хранятся
самые свежие события, хотя такая настройка может привести к утрате данных
истории.
Для обеих обсуждаемых в данном руководстве сред параметру Метод сохранения
событий в журнале безопасности задано значение Затирать старые события
по необходимости.
Метод сохранения событий в системном журнале
Параметры политики контроллеров домена и рядовых серверов
81
Данный параметр политики определяет способ перезаписи системного журнала.
Если сохранение хронологии событий желательно в целях анализа или
диагностики, исключительно важна регулярная архивация системного журнала.
Перезапись событий по необходимости гарантирует, что в журнале всегда хранятся
самые свежие события, хотя такая настройка может привести к утрате данных
истории.
Для обеих обсуждаемых в данном руководстве сред параметру Метод сохранения
событий в системном журнале задано значение Затирать старые события по
необходимости.
Политики и подкатегории аудита
На основании заданных категорий событий политика аудита определяет, о каких
событиях безопасности будут информироваться администраторы для создания
записи активности пользователя или системы. Администраторы могут отслеживать
активность, связанную с безопасностью, например, кто выполняет доступ к объекту,
когда пользователи входят или выходят из системы, или изменялся ли параметр
политики аудита. Для всех этих целей Microsoft рекомендует сформировать
политику аудита, которую администратор должен будет реализовать в вашей
среде.
Однако прежде чем реализовывать политику аудита, следует провести анализ,
какие категории событий необходимо отслеживать в вашей среде. Параметры
аудита, выбираемые для категорий событий, определяют вашу политику аудита.
Затем администратор может создавать политику аудита, отвечающую требованиям
безопасности вашей организации.
Без настройки параметров аудита будет сложно или невозможно определить, что
происходит во время чрезвычайной ситуации, связанной с безопасностью. Но если
параметры аудита заданы так, что слишком многие авторизованные действия
формируют события, в журнал событий безопасности будет заноситься слишком
много данных. Сведения, представленные в следующих разделах данного
приложения, призваны помочь в выборе отслеживаемых действий для создания
коллекции достоверных данных аудита для вашей организации.
Windows Server® 2008 включает те же девять категорий политики аудита, что и
предыдущие версии Windows:
 Система (System)
 Вход/выход (Logon/Logoff)
 Доступ к объектам (Object Access)
 Использование прав (Privilege Use)
 Подробное отслеживание (Detailed Tracking)
 Изменение политики (Policy Change)
 Учетные записи (Account Management)
 Доступ к службе каталогов (DS) (Directory Service Access)
 Вход учетной записи (Account Logon)
Однако в Windows Server 2008 включены 50 подкатегорий политики аудита, что
обеспечивает возможность более тонко управлять политикой аудита. Не все из
этих подкатегорий применяются к компьютерам на базе Windows Server 2008, но
многие из них можно настроить для регистрации специальных событий,
обеспечивающих ценные сведения.
Настройка параметров политики аудита
Раньше с помощью групповой политики можно было без труда настраивать любую
из девяти категорий аудита. В Windows Server 2008 этот метод применим, но не
обеспечивает возможности настраивать новые подкатегории аудита, потому что
Политики и подкатегории аудита
84
они не отображаются в Консоли управления групповой политикой (Group Policy
Management Console , GPMC). В Windows Server 2008 активация любого из
параметров категорий аудита, представленных в GPMC, приводит к активации
параметров подкатегорий каждой из категорий. Поэтому активация параметров
политики аудита по категориям, скорее всего, приведет к протоколированию
чрезмерной информации и быстрому заполнению журналов событий.
Microsoft рекомендует настраивать параметры только необходимых подкатегорий
аудита и использовать для этого инструмент командной строки AuditPol.exe,
включенный в Windows Server 2008.
Использовать инструмент командной строки для реализации предписанных
параметров политики аудита на многих компьютерах сложно. Но Microsoft
разработано решение для настройки подкатегорий аудита с помощью групповой
политики. Сценарии и объекты групповой политики (GPO), поставляемые с
руководством по безопасности и приложением для этого решения, автоматически
реализуют эти параметры для вас.
При запуске GPOAccelerator, как описано в Главе 1 «Реализация базовых настроек
безопасности» данного руководства по безопасности, сценарий автоматически
копирует следующие файлы рядового сервера и контроллера домена в общий
ресурс NETLOGON одного из ваших контроллеров домена.
Для среды EC:
 EC-WSSGAuditPolicy-MS.cmd
 EC-WSSGApplyAuditPolicy-MS.cmd
 EC-WSSGAuditPolicy-MS.txt
 EC-WSSGAuditPolicy-DC.cmd
 EC-WSSGApplyAuditPolicy-DC.cmd
 EC-WSSGAuditPolicy-DC.txt
Для среды SSLF:
 SSLF-WSSGAuditPolicy-MS.cmd
 SSLF-WSSGApplyAuditPolicy-MS.cmd
 SSLF-WSSGAuditPolicy-MS.txt
 SSLF-WSSGAuditPolicy-DC.cmd
 SSLF-WSSGApplyAuditPolicy-DC.cmd
 SSLF-WSSGAuditPolicy-DC.txt
Эти файлы будут автоматически скопированы в общую папку NETLOGON
контроллеров домена в домене, использующем Доменные службы Active Directory®
(AD DS). Специальные объекты GPO, создаваемые GPOAccelerator, включают
сценарий запуска компьютера, который выполняет эти файлы для настройки
предписанных параметров политики аудита. При первом запуске этих файлов на
компьютере, создается запланированная задача WSSGAudit. Эта задача будет
выполняться каждый час и обеспечивать соответствие параметров политик аудита
текущим требованиям.
Этот принцип аналогичен предлагаемому Windows Vista Security Guide
(Руководство по безопасности Windows Vista) для клиентских компьютеров с
установленной Windows Vista. Больше информации о решении для настройки
новых параметров политики аудита в Windows Vista в домене на базе Windows
Политики и подкатегории аудита
85
Server 2003 можно найти в статье 921469, How to use Group Policy to configure
detailed security auditing settings for Windows Vista-based and Windows Server 2008based computers in a Windows Server 2003 domain, in a Windows Server 2003 domain,
or in a Windows 2000 domain (Как с помощью групповой политики выполнить тонкую
настройку параметров аудита безопасности для компьютеров на базе Windows
Vista и Windows Server 2008 в домене Windows Server 2003, домене Windows Server
2003 или домене Windows 2000), базы знаний Microsoft.
В приведенных далее таблицах представлены рекомендации по настройкам
политики аудита для серверов в безопасных средах двух типов, обсуждаемых в
«Руководстве по безопасности Windows Server 2008». Ознакомьтесь с этими
рекомендациями и настройте их соответственно требованиям своей
организации. Информацию о том, как изменять и удалять параметры политики
аудита, определяемые объектами GPO, можно найти после таблиц параметров
политики аудита.
Примечание Microsoft рекомендует с особой осторожностью использовать параметры
аудита, которые могут формировать большие объемы трафика. Например, если включен
аудит успехов или неудач для всех параметров подкатегории Использование привилегий,
формируется такое большое количество событий аудита, что это затруднит поиск других
типов записей в журнале событий безопасности. Также это может иметь негативное влияние
на производительность.
Подкатегории политики аудита
В следующих разделах представлено краткое описание каждой политики аудита.
Таблицы каждого раздела включают рекомендации для контроллеров домена в
безопасных средах двух типов, обсуждаемых в данном руководстве.
Примечание В данном приложении не представлены описания каждой подкатегории
политики аудита. За дополнительной информацией по доступным подкатегориями политики
аудита и соответствующим им событиям безопасности обращайтесь к статье 947226,
Description of security events in Windows Vista and in Windows Server 2008 (Описание событий
безопасности в Windows Vista и Windows Server 2008), базы знаний Microsoft.
Система
Категория аудита Система в Windows Server 2008 позволяет отслеживать
успешные и неудачные события системы и обеспечивает запись этих событий, что
может помочь выявить попытки несанкционированного доступа к системе.
Событиями системы являются запуск или завершение работы компьютеров в
вашей среде, полное протоколирование событий или другие связанные с
безопасностью события, оказывающие влияние на систему в целом.
Категория аудита Система включает подкатегории, которые представлены в данной
таблице вместе с рекомендациями по настройке каждой из них.
Политики и подкатегории аудита
86
Table A24. Рекомендации по настройке подкатегории политики аудита
Система
Подкатегория политики
аудита
Контроллер
домена EC
Контроллер
домена
SSLF
Рядовой
сервер EC
Рядовой
сервер
SSLF
§ Расширение системы
безопасности (Security
System Extension)
Успех и
отказ
Успех и
отказ
Успех и
отказ
Успех и
отказ
§ Целостность системы
(System Integrity)
Успех и
отказ
Успех и
отказ
Успех и
отказ
Успех и
отказ
§ Драйвер IPsec (IPsec
Driver)
Успех и
отказ
Успех и
отказ
Успех и
отказ
Успех и
отказ
§ Другие системные
события (Other System
Events)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ Изменение состояния
безопасности (Security
State Change)
Успех и
отказ
Успех и
отказ
Успех и
отказ
Успех и
отказ
Примечание Символом § обозначены параметры политики введенные в Windows Vista или
Windows Server 2008.
Вход/выход
Категория аудита Вход/выход в Windows Server 2008 формирует события,
регистрирующие создание и уничтожение сеансов входа в систему. Эти события
имеют место на компьютере, к которому выполняется доступ. При интерактивных
входах эти события формируются на компьютере, на который выполняется вход.
Если вход в сеть выполняется с целью доступа к общему ресурсу, эти события
формируются на компьютере, на котором располагаются эти ресурсы.
Если параметру Аудит входа в систему (Audit logon events) задано значение Нет
аудита, определить, кто из пользователей пытался выполнить или выполнял
доступ к компьютерам организации, сложно или вообще невозможно.
Категория аудита Вход/выход включает подкатегории, которые представлены в
данной таблице вместе с рекомендациями по настройке каждой из них.
Таблица A25. Рекомендации по настройке подкатегории политики аудита
Вход/выход
Подкатегория политики
аудита
Контроллер
домена EC
Контроллер
домена
SSLF
Рядовой
сервер EC
Рядовой
сервер
SSLF
§ Вход в систему(Logon)
Успех
Успех и
отказ
Успех
Успех и
отказ
§ Выход из
системы(Logoff)
Успех
Успех
Успех
Успех
Политики и подкатегории аудита
87
Подкатегория политики
аудита
Контроллер
домена EC
Контроллер
домена
SSLF
Рядовой
сервер EC
Рядовой
сервер
SSLF
§ Блокировка учетной
записи (Account Lockout)
Примечание Нет событий
для этой категории.
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ Основной режим IPsec
(IPsec Main Mode)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ Быстрый режим IPsec
(IPsec Quick Mode)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ Расширенный режим
IPsec (IPsec Extended
Mode)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ Специальный вход
(Special Logon)
Успех
Успех
Успех
Успех
§ Другие события входа и
Нет аудита
выхода (Other Logon/Logoff
Events)
Нет аудита
Нет аудита
Нет аудита
§ Сервер сетевых политик
(Network Policy Server)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Примечание Символом § обозначены параметры политики введенные в Windows Vista или
Windows Server 2008.
Доступ к объектам
Сама по себе категория аудита Доступ к объектам в Windows Server 2008 не
отслеживает какие-либо события. Параметры этой категории определяют
необходимость выполнения аудита при доступе пользователя к объекту – файлу,
папке, разделу реестра или принтеру, – для которого определен системный список
управления доступом (SACL), что включает аудит.
SACL состоит из записей управления доступом (Access control entries, ACEs).
Каждая запись включает три элемента информации:
 Участник безопасности (пользователь, компьютер или группа), аудит
которого будет проводиться.
 Определенный тип доступа, который будет отслеживаться, называемый
маской доступа.
 Флаг, определяющий, будет ли выполняться аудит событий неудачного
доступа, событий удачного доступа или и тех, и других.
Если параметру Аудит доступа к объектам (Audit object access) задано значение
Успех, запись аудита формируется при каждом успешном доступе пользователя к
объекту с заданным SACL. Если этому параметру политики задано значение Отказ,
запись аудита формируется при каждой неудачной попытке доступа пользователя к
объекту с заданным SACL.
Политики и подкатегории аудита
88
При настройке списков SACL организации должны определять только те действия,
которые должны быть активированы. Например, требуется включить параметр
аудита Запись и дозапись данных (Write and Append Data) для исполняемых
файлов, чтобы отслеживать их изменение или замену, потому что именно
исполняемые файлы обычно являются мишенью атак компьютерных вирусов,
червей и троянских программ. Аналогично можно отслеживать доступ или
изменения конфиденциальных данных.
Категория аудита событий Доступ к объектам включает подкатегории, которые
представлены в данной таблице вместе с рекомендациями по настройке каждой из
них.
Таблица A26. Рекомендации по настройке подкатегории политики аудита
Доступ к объектам
Подкатегория
политики аудита
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
§ Файловая система
(File System)
Нет аудита
Отказ
Нет аудита
Отказ
§ Реестр (Registry)
Нет аудита
Отказ
Нет аудита
Отказ
§ Ядро (Kernel Object)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ SAM (Диспетчер
учетных записей
безопасности)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ Службы
сертификации
(Certification Services)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ Создано
Нет аудита
приложением
(Application Generated)
Нет аудита
Нет аудита
Нет аудита
§ Работа с
дескриптором (Handle
Manipulation)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ Файловый ресурс
общего доступа (File
Share)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ Отбрасывание
пакета платформой
фильтрации (Filtering
Platform Packet Drop)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ Подключение
платформы
фильтрации (Filtering
Platform Connection)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Политики и подкатегории аудита
89
Подкатегория
политики аудита
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
§ Другие события
доступа к объекту
(Other Object Access
Events)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Примечание Символом § обозначены параметры политики введенные в Windows Vista или
Windows Server 2008.
Настройка и тестирование правил аудита доступа к объектам
Приведенные далее процедуры описывают настройку правил аудита для файла
или папки и тестирование каждого из правил аудита для каждого объекта в
заданном файле или папке.
Примечание Чтобы настроить подкатегорию Файловая система для аудита событий успеха
и неудачи, должен использоваться инструмент Auditpol.exe. После этого с помощью
следующей процедуры можно протоколировать события в журнал событий безопасности.
Чтобы определить правило аудита для файла или папки
1. В Windows Explorer найдите файл или папку и щелкните ее.
2. В меню Файл щелкните Свойства.
3. Выберите вкладку Безопасность и щелкните кнопку Дополнительно.
4. Выберите вкладку Аудит.
5. Если появился запрос на ввод административных учетных данных,
щелкните Продолжить, ведите свое имя пользователя и пароль и затем
нажмите ENTER.
6. Щелкните кнопку Добавить, чтобы на экране появилось диалоговое окно
Выбор пользователя, компьютера или группы (Select User, Computer, or
Group).
7. Щелкните кнопку Типы объектов (Object Types) и в диалоговом окне Типы
объектов выберите типы объектов, которые хотите найти.
Примечание Типы объектов Пользователь, Группа и Встроенный участник
безопасности выбраны по умолчанию.
8. Щелкните кнопку Размещение и в диалоговом окне Размещение выберите
любой свой домен или локальный компьютер.
9. В диалоговом окне Выбор: «Пользователь», «Компьютер» или «Группа»
введите имя группы или пользователя, аудит которых требуется проводить.
Затем в диалоговом окне Введите имена выбираемых объектов введите
Проверенные пользователи (чтобы отслеживать события успеха всех
аутентифицированных пользователей) и щелкните OK.
На экране отображается диалоговое окно Элемент аудита (Auditing Entry).
10. В диалоговом окне Элемент аудита определите для файла или папки тип
доступа, который требуется отслеживать.
Примечание Не забывайте, что в результате каждой попытки доступа в журнал
событий может записываться множество событий, что приведет к быстрому
увеличению его размера.
11. В диалоговом окне Элемент аудита рядом с Содержание папки/Чтение
данных (List Folder/Read Data) выберите Успех (Successful) и Отказ (Failed), и
щелкните OK.
Политики и подкатегории аудита
90
Активированный элементы аудита можно увидеть в диалоговом окне
Дополнительные параметры безопасности (Advanced Security Settings) на
вкладке Аудит.
12. Щелкните OK, чтобы закрыть диалоговое окно Свойства.
Чтобы протестировать правило аудита для файла или папки
1. Откройте файл или папку.
2. Закройте файл или папку.
3. Запустите оснастку Просмотр событий (Event Viewer). В журнале событий
безопасности появятся несколько событий Доступ к объекту (Object Access)
с идентификатором события 4663.
4. В случае необходимости просмотра детальной информации о событии
щелкните его двойным щелчком мыши.
Использование прав1
Категория аудита Использование прав в Windows Server 2008 определяет
необходимость аудита каждого случая применения права пользователя. Если для
этих параметров задано значение Успех, каждый раз, когда пользователь успешно
применяет право пользователя, формируется элемент аудита. Если для этих
параметров задано значение Отказ, элемент аудита формируется при каждом
неудачном применении права пользователя. Эти параметры политики могут
формировать очень большое количество записей событий.
Категория событий аудита Использование прав включает подкатегории, которые
представлены в данной таблице вместе с рекомендациями по настройке каждой из
них.
Таблица A27. Рекомендации по настройке подкатегории политики аудита
Использование прав
1
Подкатегория политики
аудита
Контроллер
домена EC
Контроллер
домена
SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
§ Использование прав,
затрагивающее
конфиденциальные
данные (Sensitive Privilege
Use)
Нет аудита
Успех и
отказ
Нет аудита
Успех и
отказ
§ Использование прав, не
затрагивающее
конфиденциальные
данные (Non Sensitive
Privilege Use)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
В групповых политиках данную категорию называют «Использование привилегий»
(прим. научного редактора).
Политики и подкатегории аудита
91
Подкатегория политики
аудита
Контроллер
домена EC
Контроллер
домена
SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
§ Другие события
использования прав
(Other Privilege Use
Events)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Примечание Символом § обозначены параметры политики введенные в Windows Vista или
Windows Server 2008.
Подробное отслеживание
Категория аудита Подробное отслеживание в Windows Server 2008 определяет
необходимость аудита подробного отслеживания информации для таких событий,
как активация программ, завершения процессов, обработки дублирований и
непрямого доступа к объектам. Активация параметра Аудит отслеживания
процессов (Audit process tracking) приведет к формированию большого
количества событий, поэтому обычно ему присваивается значение Нет аудита.
Однако этот параметр может обеспечить значительное преимущество в случае
происшествия, поскольку обеспечивает протоколирование информации о моменте
начала процессов и моменте их запуска.
Категория событий аудита Подробное отслеживание включает подкатегории,
которые представлены в данной таблице вместе с рекомендациями по настройке
каждой из них.
Таблица A28. Рекомендации по настройке подкатегории политики аудита
Подробное отслеживание
Подкатегория политики
аудита
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
§ Завершение
процесса (Process
Termination)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ Активность DPAPI
(DPAPI Activity)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ События RPC (RPC
Events)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ Создание процесса
(Process Creation)
Успех
Успех
Успех
Успех
Примечание Символом § обозначены параметры политики введенные в Windows Vista или
Windows Server 2008.
Изменение политики
Категория аудита Изменение политики в Windows Server 2008 определяет
необходимость аудита любого изменения политик назначения прав пользователя,
политик брандмауэра Windows, политик доверия или изменений в самой политике
аудита. Рекомендуемые параметры позволили бы увидеть все привилегии учетной
Политики и подкатегории аудита
92
записи, которые злоумышленник пытается повысить. Например, если бы
злоумышленник попытался выключить аудит, это изменение было бы
зарегистрировано.
Категория событий аудита Изменение политики включает подкатегории, которые
представлены в данной таблице вместе с рекомендациями по настройке каждой из
них.
Таблица A29. Рекомендации по настройке подкатегории политики аудита
Изменение политики
Подкатегория политики
аудита
Контроллер Контроллер
Рядовой
домена EC домена SSLF сервер EC
Рядовой
сервер SSLF
§ Изменение политики
аудита (Audit Policy
Change)
Успех и
отказ
Успех и отказ Успех и
отказ
Успех и отказ
§ Изменение политики
проверки подлинности
(Authentication Policy
Change)
Успех
Успех
Успех
Успех
§ Изменение политики
авторизации
(Authorization Policy
Change)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ Изменение политики
Нет аудита
на уровне правил
MPSSVC (MPSSVC RuleLevel Policy Change)
Нет аудита
Нет аудита
Нет аудита
§ Изменение политики
платформы фильтрации
(Filtering Platform Policy
Change)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ Другие события
изменения политики
(Other Policy Change
Events)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Примечание Символом § обозначены параметры политики введенные в Windows Vista или
Windows Server 2008.
Учетные записи
Категория аудита Учетные записи в Windows Server 2008 помогает отслеживать
попытки создания новых пользователей или групп, изменения имен пользователей
или групп, активации или деактивации учетных записей пользователей, изменения
паролей учетных записей и активации аудита событий управления учетными
записями. Если этот параметр политики аудита активирован, администраторы
могут отслеживать события для выявления злонамеренных, случайных и
авторизованных попыток создания учетных записей пользователей или групп.
Политики и подкатегории аудита
93
Категория событий аудита Учетные записи включает подкатегории, которые
представлены в данной таблице вместе с рекомендациями по настройке каждой из
них.
Таблица A30. Рекомендации по настройке подкатегории системы политики
аудита управления учетными записями
Подкатегория политики
аудита
Контроллер Контроллер
Рядовой
домена EC домена SSLF сервер EC
Рядовой
сервер SSLF
Управление учетными
записями (User Account
Management)
Успех
Успех и отказ Успех
Успех и отказ
Управление учетной
записью компьютера
(Computer Account
Management)
Успех
Успех и отказ Успех
Успех и отказ
Управление группой
безопасности (Security
Group Management)
Успех
Успех и отказ Успех
Успех и отказ
Управление группой
растространения
(Distribution Group
Management)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Управление группой
приложений (Application
Group Management)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Другие события
управления учетной
записью (Other Account
Management Events)
Успех
Успех и отказ Успех
Успех и отказ
Примечание Символом § обозначены параметры политики введенные в Windows Vista или
Windows Server 2008.
Доступ к службе каталогов (DS)
Категория аудита Доступ к службе каталогов (DS) в Windows Server 2008
применяется только к контроллерам домена. Поэтому для рядовых серверов в
обеих безопасных средах, обсуждаемых в данном руководстве по безопасности,
категория аудита Доступ к службе каталогов (DS) и все ее подкатегории
определены как Нет аудита.
Категория событий аудита Доступ к службе каталогов (DS) включает подкатегории,
которые представлены в данной таблице вместе с рекомендациями по настройке
каждой из них.
Политики и подкатегории аудита
94
Таблица A31. Рекомендации по настройке подкатегории политики аудита
Доступ к службе каталогов (DS)
Подкатегория политики
аудита
Контролле
р домена
EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
§ Доступ к службе
каталогов (Directory
Service Access)
Успех
Успех и отказ
Нет аудита
Нет аудита
§ Изменения службы
каталогов (Directory
Service Changes)
Успех
Успех и отказ
Нет аудита
Нет аудита
§ Репликация службы
каталогов (Directory
Service Replication)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
§ Подробная
репликация службы
каталогов (Detailed
Directory Service
Replication)
Нет аудита
Нет аудита
Нет аудита
Нет аудита
Примечание Символом § обозначены параметры политики введенные в Windows Vista или
Windows Server 2008.
Вход учетной записи
Категория аудита Вход учетной записи в Windows Server 2008 формирует события
для проверки достоверности учетных данных. Эти события возникают на
компьютере, отвечающем за учетные данные. За учетные записи домена отвечает
контроллер домена, тогда как за локальные учетные записи отвечает локальный
компьютер. В доменных средах большинство событий входа учетной записи
возникает в журнале безопасности контроллеров домена, отвечающих за учетные
записи домена. Но эти события могут возникать и на других компьютерах
организации, когда на них для входа используются локальные учетные записи.
Категория событий аудита Вход учетной записи включает подкатегории, которые
представлены в данной таблице вместе с рекомендациями по настройке каждой из
них.
Таблица A32. Рекомендации по настройке подкатегории политики аудита Вход
учетной записи
Подкатегория политики
аудита
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
§ Служба проверки
подлинности по
протоколу Kerberos
(Kerberos Authentication
Service)
Нет аудита
Нет аудита
Нет
аудита
Нет аудита
Политики и подкатегории аудита
95
Подкатегория политики
аудита
Контроллер
домена EC
Контроллер
домена SSLF
Рядовой
сервер EC
Рядовой
сервер SSLF
§ Проверка учетных
данных (Credential
Validation)
Успех
Успех и отказ
Успех
Успех и
отказ
§ Операции с билетами
службы Kerberos
(Kerberos Service Ticket
Operations)
Нет аудита
Нет аудита
Нет
аудита
Нет аудита
§ Другие события входа
учетных записей (Other
Account Logon Events)
Примечание Нет
событий для этой
категории.
Нет аудита
Нет аудита
Нет
аудита
Нет аудита
Примечание Символом § обозначены параметры политики введенные в Windows Vista или
Windows Server 2008.
Изменение параметров политики аудита
Чтобы изменить подкатегории и параметры политики аудита, заданные объектами
GPO данного руководства по безопасности, необходимо использовать инструмент
Auditpol.exe. С помощью этого инструмента измените настройки одного из
компьютеров своей среды и затем создайте файл с параметрами политики аудита.
Теперь посредством объектов GPO, определенных для одного компьютера, можно
применить измененную политику аудита к другим компьютерам среды.
Чтобы изменить параметры политики аудита
1. Войдите в систему под учетной записью администратора домена на
компьютере с установленной Windows Vista или Windows Server 2008,
присоединенном к домену с использованием Active Directory, в которой вы
будете создавать объекты GPO.
2. На рабочем столе щелкните кнопку Пуск, щелкните Все программы,
щелкните Стандартные (Accessories), щелкните правой кнопкой мыши
Командная строка (Command Prompt) и затем щелкните Запуск от имени
администратора.
3. Если появляется диалоговое окно Управление учетными записями
пользователей, убедитесь, что будет выполнена запрашиваемая вами
операция и щелкните Продолжить.
4. Очистите текущие параметры политики аудита, введя следующую строку в
командной строке, и нажмите ENTER:
auditpol /clear
5. Настройте собственные параметры политики аудита, используя инструмент
командной строки Auditpol.exe. Например, введите в командной строке
следующее. После ввода каждой строки нажимайте ENTER.
auditpol /set /subcategory:"Управление учетными
записями" /success:enable /failure:enable
Политики и подкатегории аудита
96
auditpol /set /subcategory:"Вход в систему"
/success:enable /failure:enable
auditpol /set /subcategory:"Основной режим IPSec"
/failure:enable
Примечание Чтобы увидеть все возможные категории и подкатегории, введите
следующую строку в командной строке и нажмите ENTER:
auditpol /list /subcategory: *
Введите следующую строку в командной строке и нажмите ENTER:
auditpol /backup /file:EC-AuditPolicy.txt (or SSLFAuditPolicy.txt)
6. Скопируйте новые файлы EC-AuditPolicy-MS.txt и EC-WSSGAuditPolicyDC.txt (или SSLF-AuditPolicy-MS.txt и SSLF-AuditPolicy-DC.txt) в общий
ресурс NETLOGON одного из контроллеров домена в своей среде и
перезапишите существующую версию этих файлов.
Теперь для изменения и настройки параметров политики аудита на ваших
компьютерах поставляемые с этим руководством объекты GPO,
определяющие политику для компьютера, будут использовать новые файлы
EC-AuditPolicy-MS.txt и EC-WSSGAuditPolicy-DC.txt (или SSLF-AuditPolicyMS.txt и SSLF-AuditPolicy-DC.txt).
Удаление настройки политики аудита
Как обсуждалось ранее, решение, реализованное с помощью объектов GPO,
которые сопровождают данное руководство для настройки подкатегорий
политики аудита, создает назначенное задание WSSGAudit для всех
компьютеров в вашей среде. При удалении из среды этих объектов GPO
рекомендуется также удалить и назначенное задание. Оно может оказывать
негативное влияние на производительность компьютеров с Windows
Server 2008, даже если вы удалили с компьютеров своей среды все
соответствующие объекты GPO.
Чтобы удалить назначенное задание WSSGAudit с компьютеров среды
1. Удалите из общего ресурса NETLOGON одного из контроллеров домена
своей среды шесть файлов, в зависимости от типа среды:
Для среды EC:
o EC-WSSGAuditPolicy-MS.cmd
o EC-WSSGApplyAuditPolicy-MS.cmd
o EC-WSSGAuditPolicy-MS.txt
o EC-WSSGAuditPolicy-DC.cmd
o EC-WSSGApplyAuditPolicy-DC.cmd
o EC-WSSGAuditPolicy-DC.txt
Для среды SSLF:
o SSLF-WSSGAuditPolicy-MS.cmd
o SSLF-WSSGApplyAuditPolicy-MS.cmd
o SSLF-WSSGAuditPolicy-MS.txt
o SSLF-WSSGAuditPolicy-DC.cmd
97
o SSLF-WSSGApplyAuditPolicy-DC.cmd
o SSLF-WSSGAuditPolicy-DC.txt
2. Создайте пустой текстовый файл, назовите его DeleteWSSGAudit.txt и
скопируйте в общий ресурс NETLOGON одного из контроллеров домена в
своей среде. Текстовый файл будет автоматически растиражирован на все
контроллеры домена среды.
3. При каждом запуске назначенное задание WSSGAudit проверяет наличие
файла DeleteWSSGAudit.txt, и если обнаруживает этот файл, WSSGAudit
самоуничтожается. Поскольку назначенное задание WSSGAudit настроено
так, что выполняется каждый час, вскоре это задание будет удалено со всех
компьютеров вашей среды.
Скачать