П'ять головних параметрів безпеки в груповій політиці для Windows Server 2008

Контролювання приналежності до групи локальних адміністраторів
Відновлення пароля локального адміністратора
Брандмауер Firewall з розширеною безпекою
UAC
політика паролів
резюме

Маючи п'ять тисяч і параметрів в поліпшеною і оновленої груповій політиці, яка йде з Windows Server 2008, можна трохи заплутатися, думаючи над тим, які параметри найбільш важливі для вас і вашої мережі. Компанія Microsoft дійсно виконала відмінну роботу над деякими параметрами, оскільки вони позбавляють від проблем і захищають комп'ютери саме таким чином, будь ми завжди хотіли, але для реалізації якого у нас не було інструментів. Використання цих параметрів безпеки на ваших комп'ютерах підвищить загальну безпеку, знижуючи потенційну можливість атак. Деякі опції можуть підтримуватися тільки в Windows Vista, інші ж є назад сумісними з Windows XP SP2.

Контролювання приналежності до групи локальних адміністраторів

Одним з найбільш небезпечних параметрів безпеки, який може бути наданий кінцевому користувачеві, є доступ до локального адміністрування. Додавання користувача в локальну групу адміністраторів надає цьому користувачу практично повний контроль над комп'ютером. Користувач може здійснювати практично будь-які дії, навіть якщо мережа налаштована на заборону такого доступу. Дії, які користувач може виконувати, маючи доступ локального адміністратора, включають, але не обмежуються, наступним:

Видалення комп'ютера з домену
Зміна будь-яких параметрів системного реєстру
Зміна дозволів для будь-якої папки або файлу
Зміна будь-яких системних параметрів, включаючи параметри, які знаходяться в файлах в системній папці
Встановлення будь-яких додатків
Видалення програм, патчів безпеки або пакети оновлень
Доступ до будь-яких веб сайтів, дозволеним брандмауером
Завантаження і установка елементів управління ActiveX, веб додатків або інших шкідливих додатків, завантажених з інтернету

Хоча існує потреба в користувачів з правами адміністраторів, щоб забезпечити роботу деяких додатків, такий тип доступу дуже небезпечний і піддає машину і всю мережу потенційним діру в безпеці і атакам.

Завдяки груповій політиці сервера Windows 2008, поточного користувача можна видалити з групи локальних адміністраторів за допомогою однієї політики. Цей параметр керує Windows XP SP2 і новішими ОС. Цей параметр відноситься до нових параметрів привілеїв групової політики (Group Policy Preferences). Щоб отримати доступ до цього параметру, відкрийте об'єкт групової політики і розгорніть гілку:

Конфігурація користувача \ Привілеї \ Панель управління

Далі правою клавішею натисніть «Локальні користувачі або групи». З меню виберіть «Новий - Локальна група». У вас відкриється діалогове вікно, як показано на малюнку 1.

Малюнок 1: Привілей групової політики для локальної групи

Щоб налаштувати політику, впишіть «Адміністратор» в текстове вікно «Група», потім відзначте прапорцем опцію «Вилучити поточного користувача '. Після поновлення групової політики, всі облікові записи користувачів, що входять в рамки управління GPO, в якому налаштований цей параметр, будуть видалені з локальної групи адміністраторів на тому комп'ютері, на якому вони зареєстровані.

Відновлення пароля локального адміністратора

Спільно з першим параметром групової політики необхідно відновити пароль локального адміністратора. Це необхідно тому, що користувач мав привілеї адміністратора, перш ніж був видалений з групи адміністраторів, і тому міг перевстановити пароль облікового запису адміністратора, на відомий для нього пароль.

Таким чином, після видалення користувача облікового запису з локальної групи адміністраторів, пароль облікового запису локального адміністратора необхідно відновити (повернути в початковий стан). Якщо це налаштування здійснити одночасно з видаленням користувальницької облікового запису, у користувача не буде можливості дізнатися чи змінити новий пароль облікового запису адміністратора.

Цей параметр керує Windows XP SP2 і новішими ОС. Він відноситься до нових параметрів привілеїв групової політики. Щоб скористатися цим параметром, відкрийте об'єкт групової політики і розгорніть:

Конфігурація комп'ютера \ Привілеї \ Панель управління

Потім правою клавішею натисніть «Локальні користувачі або групи». З меню виберіть «Новий - Локальний користувач». У вас відкриється діалогове вікно, як показано на малюнку 2.

У вас відкриється діалогове вікно, як показано на малюнку 2

Малюнок 2: Привілей групової політики для локального користувача

Щоб налаштувати політику, впишіть «Адміністратор» в текстовому вікні «Ім'я користувача», потім введіть новий пароль у текстовому вікні "Пароль", підтвердивши його в текстовому вікні «Підтвердження пароля». Після наступного оновлення групової політики для всіх облікових записів комп'ютерів, що входять в рамки управління GPO, в якому настроюється цей параметр, буде оновлено паролі облікового запису адміністратора.

Брандмауер Firewall з розширеною безпекою

У минулому, як користувачі так і адміністратори вважали за краще не використовувати брандмауер Windows в силу його обмежених можливостей в порівнянні з можливостями інших продуктів. Тепер брандмауер Windows йде з новими розширеними параметрами безпеки, здатними здивувати багатьох.

Нові розширені можливості безпеки брандмауера Windows включають не тільки фільтрацію вхідного і вихідного трафіку, а й IPSec.

Ці параметри можна використовувати тільки в Windows Vista, яка є єдиною ОС, що включає дані опції. Цей параметр відноситься до області безпеки в груповій політиці. Щоб скористатися цим параметром, відкрийте об'єкт групової політики і розгорніть гілку:

Конфігурація комп'ютера \ Політики \ Параметри Windows \ Параметри безпеки \ Брандмауер Windows з розширеною безпекою

Коли ви розгорнете гілка політики, ви побачите три вкладки:

Вхідні правила (Inbound rules)
Вихідні правила (Outbound rules)
Правила безпеки підключень (Connection Security Rules)

Якщо ви натиснете правою клавішею на будь-який з цих опцій, ви зможете вибрати опцію «Нове правило», приклад для вхідних правил показаний на малюнку 3.

Якщо ви натиснете правою клавішею на будь-який з цих опцій, ви зможете вибрати опцію «Нове правило», приклад для вхідних правил показаний на малюнку 3

Малюнок 3: Одна з багатьох сторінок майстра настройки входять правил

UAC

Управління клієнтськими обліковими записами (User Account Control - UAC) допомагає захистити комп'ютер, на якому зареєстрований користувач і адміністратор. У моїх дослідженнях і тестуванні UAC ідеально підходить для всіх адміністраторів і може бути відмінним рішенням для звичайних користувачів. Оскільки UAC в примусовому порядку робить користувачів стандартними користувачами для всіх завдань, воно допомагає захиститися від будь-якої програми або вірусу, які намагаються вписатися в захищену область комп'ютера. Це здійснюється шляхом виведення діалогового вікна попередження всякий раз, коли до захищеної області комп'ютера намагається отримати доступ будь-який процес. Це може бути доступ до додатка, установка додатки, зміна системного реєстру, запис в системний файл і т.д.

Це відмінно підходить для адміністраторів, оскільки тепер вони можуть використовувати один обліковий запис користувача для здійснення своїх повсякденних завдань для ІТ і особистого користування. Для стандартних користувачів єдиним способом, коли UAC буде добре працювати, це ситуація, в якій всі додатки на машині можуть запускатися без запиту адміністраторського мандата. В цьому випадку, користувач зможе виконувати будь-які функції та запускати всі програми в якості стандартного користувача. Потім, якщо потрібно запустити завдання, яка запитує адміністраторський рівень доступу, користувачі можуть отримати допомогу від столу допомоги або адміністратора.

Параметр, керуючий UAC, можна знайти в Комп'ютер Конфігурація \ Політики \ Параметри Windows \ Параметри безпеки \ Локальні політики \ Опції безпеки, які показані на малюнку 4.

$Параметр, керуючий UAC, можна знайти в Комп'ютер Конфігурація \ Політики \ Параметри Windows \ Параметри безпеки \ Локальні політики \ Опції безпеки, які показані на малюнку 4$

Малюнок 4: Опції групової політики для управління UAC

політика паролів

Хоча паролі не настільки популярні, як параметри безпеки, можливість управління паролем за допомогою групової політики можна виключати зі списку п'яти головних параметрів. Windows Server 2008 також використовує групову політику для визначення початкових параметрів політики облікового запису, що не змінилося з часів Windows 2000. Параметри спочатку задаються політикою домену за замовчуванням (Default Domain Policy), але їх можна також задати в будь-якому GPO, який пов'язаний з доменом. Єдине, про що потрібно пам'ятати, це те, що GPO, що містить параметри політики облікових записів, повинен мати найвищий пріоритет серед усіх GPO, пов'язаних з доменом.

Параметри, які можна задавати, включають параметри, показані на малюнку 5 і наведені в таблиці 1.

Малюнок 5: Параметри політики паролів в стандартній політиці домену

Ось деякі поради по налаштуванню цих політик:

Параметр політики Мінімальне значення Безпечне значення Мінімальний термін дії пароля 1 + 1 Максимальний термін дії пароля 180 45 Мінімальна довжина пароля 8 14+ Складність пароля Включено Включено

резюме

Опції групової політики Windows Server 2008 вражають. Маючи більше 5000 параметрів, ви втомитеся від того потенціалу, який у вас буде в управлінні комп'ютерами в вашому середовищі. З усіх цих 5000+ параметрів забезпечення належного рівня безпеки для всіх комп'ютерів і користувачів є необхідною. Якщо ви скористаєтеся параметрами, розглянутими в цій статті, у вас буде більш захищена комп'ютерне середовище і мережу.

Автор: Дерек Мелбер (Derek Melber)

оригінал