Глава 1. Создание базовой конфигурации безопасности

Статья
12/21/2009

В каждом новом выпуске операционной системы Майкрософт стремится улучшить набор параметров безопасности по умолчанию. ОС Windows® 7 наследует усовершенствования в этой области, появившиеся в Windows Vista®, а также предлагает новые компоненты обеспечения безопасности, которые делают ее самой безопасной из всех пока выпущенных клиентских операционных систем Майкрософт. В этой главе показывается, как настроить параметры безопасности для обеспечения большей защиты клиентских компьютеров, операционная система которых настроена по умолчанию и которые присоединены к домену Active Directory® Domain Services (AD DS). Отталкиваясь от этого сценария, вы сможете ввести в действие и иные изменения, более полно отвечающие условиям вашей работы.

В этой главе рассматривается набор процедур по введению в силу предписанных параметров безопасности, увеличивающих защищенность Windows 7. Эти процедуры хорошо отлажены и позволяют быстро и эффективно развернуть рекомендуемые параметры на сконфигурированные по умолчанию клиентские компьютеры с ОС Windows 7.

Теперь для усиления защиты настроенной по умолчанию ОС достаточно использовать только объекты групповой политики (GPO). В предыдущих руководствах Майкрософт предусматривалась необходимость импортировать INI-файлы шаблонов безопасности, а также вручную вносить обширные изменения в раздел «Административные шаблоны» некоторых GPO. Эти файлы и шаблоны больше не нужны. Однако, INI-файлы шаблонов безопасности все же включены в состав средства GPOAccelerator из данного набора, и их можно использовать для усиления безопасности одиночных компьютеров. Все рекомендуемые параметры групповой политики документированы в книге Excel® «Windows 7 Security Baseline Settings.xls», которая также прилагается к настоящему руководству.

Чтобы применить рекомендуемые параметры, необходимо:

создать нужную структуру подразделений (OU);
с помощью средства GPOAccelerator создать нужные объекты GPO;
с помощью консоли управления групповой политикой (GPMC) связать и упорядочить объекты GPO.

Exclam Внимание! Необходимо тщательно протестировать созданные подразделения и объекты GPO перед их развертыванием в производственной среде.

Объекты GPO этого руководства, содержащие базовые показатели, представляют комбинацию проверенных параметров, повышающих безопасность клиентских компьютеров под управлением Windows 7 в двух следующих средах:

корпоративный клиент (EC);
особые параметры безопасности и ограниченная функциональность (SSLF).

Среда корпоративных клиентов

Среда корпоративных клиентов (среда EC), как она понимается в настоящем руководстве, — это домен на основе AD DS, в котором компьютеры с ОС Windows Server® 2008 R2, Windows Server® 2008, Windows Server® 2003 R2 или Windows Server® 2003 с пакетом обновления 2 (SP2), а также службы AD DS управляют клиентскими компьютерами с ОС Windows 7, Windows Vista SP2 и Windows XP Professional SP3. Управление клиентскими компьютерами осуществляется через групповую политику, которая применяется на уровне сайтов, доменов и подразделений. Групповая политика представляет централизованную инфраструктуру в рамках AD DS, которая позволяет выполнять изменения на уровне каталогов и управлять настройками пользователей и компьютеров, в том числе безопасностью и пользовательскими данными. Базовая конфигурация среды EC предусматривает повышенную безопасность и уровень функциональности операционной системы и приложений, достаточный для большинства предприятий.

Среды с особыми параметрами безопасности и ограниченной функциональностью

Базовая конфигурация среды с особыми параметрами безопасности и ограниченной функциональностью (среды SSLF) предусматривает создание высокозащищенной среды на базе компьютеров с ОС Windows 7. Важность обеспечения безопасности в этой среде столь велика, что допускается значительная потеря функциональности и управляемости.

Exclam Внимание! Параметры безопасности SSLF не подойдут для большинства предприятий. Они были разработаны для организаций, где безопасность важнее функциональности.

Если вы решите развернуть параметры SSLF на клиентские компьютеры своей рабочей среды, то может возрасти количество обращений в службу поддержки с жалобами на ограничения в функциональности, вводимые этими параметрами. Хотя степень защищенности данных и сетей в подобной среде будет выше, некоторые службы не будут работать. Например, будет запрещена работа служб удаленного рабочего стола, позволяющих интерактивно подключаться к рабочим местам и приложениям на удаленных компьютерах, а также службы факсов, с помощью которой можно отправлять и получать факсы по сети.

Важно подчеркнуть, что конфигурация SSLF не является продолжением EC, это совершенно отдельный уровень безопасности. По этой причине не следует пытаться развернуть и параметры SSLF, и параметры EC на одних и тех же компьютерах под управлением Windows 7. Для целей настоящего руководства необходимо сначала определиться с уровнем безопасности, требуемым для вашей среды, а потом принять решение об использовании либо конфигурации EC, либо SSLF. Узнать об отличиях параметров в этих двух конфигурациях можно из книги Excel «Windows 7 Security Baseline Settings.xls», которая прилагается к настоящему руководству.

Важно Если конфигурация SSLF кажется вам подходящей, обязательно проведите обширное тестирование компьютеров и бизнес-приложений, на которые развернуты эти параметры, чтобы убедиться, что требуемая в работе функциональность не пострадала.

Особые параметры безопасности

Если в компании используются компьютерные сети, особенно те, из которых разрешено подключение ко внешних ресурсам, например к Интернету, то необходимо ответственно подходить к безопасности проектирования систем и сетей, а также параметрам компьютеров. Такие преимущества, как автоматизация процессов, удаленное администрирование, удаленный доступ, круглосуточная доступность, подключения из любой точки мира и независимость от конечного оборудования обеспечивают бизнесу немалые конкурентные преимущества. Однако, они же и увеличивают открытость компьютеров потенциальным угрозам.

Чаще всего шагов, предпринимаемых администраторами, достаточно для предотвращения несанкционированного доступа к данным, перебоев в обслуживании и нецелевого использования ресурсов. В особых случаях, например в военных, государственных и банковских структурах, требуется обеспечивать отдельную степень защиты некоторых или всех серверов, систем и данных. Конфигурация SSLF проектировалась именно под эти условия. Чтобы узнать, какие параметры входят в нее, обратитесь к книге Excel «Windows 7 Security Baseline Settings.xls», которая прилагается к этому руководству.

Особые параметры безопасности конфигурации SSLF могут ограничить доступную функциональность. Это происходит за счет того, что пользователям разрешается выполнять лишь узкий набор действий, необходимых для конкретных задач. Доступ разрешается только к утвержденным приложениям, службам и элементам инфраструктуры. Сокращаются и возможности по настройке, потому что в рамках данной конфигурации отключаются многие страницы свойств, привычные пользователям.

Следующие разделы посвящены областям повышенной безопасности и ограниченной функциональности, вводимым конфигурацией SSLF, а именно:

ограничению доступа к службам и данным;
ограничению доступа в сеть;
усиленной защите сети.

Ограничение доступа к службам и данным

Действие ряда параметров конфигурации SSLF заключается в том, что допустимые пользователи не смогут получить доступ к службам и данным, если забудут или неверно введут пароль. Из-за этих параметров может возрасти число обращений в службу поддержки. Однако, благодаря им злонамеренным пользователям будет сложнее провести атаку на компьютеры под управлением Windows 7. Среди данных параметров можно выделить следующие:

        • отключение учетных записей администратора;
        • более жесткие требования к паролям;
       • более жесткая политика ограничения прав учетной записи;
        • более жесткая политика для следующих параметров группы Назначение прав пользователя:
Вход в качестве службы и Вход в качестве пакетного задания.

Примечание Для удобства сравнения, значения параметров конфигураций EC и SSLF также приведены в книге Excel «Windows 7 Security Guide Settings.xls», которая прилагается к этому руководству.

Ограничение доступа к сети

Надежность сети и возможность устанавливать подключения — необходимое условие успешного бизнеса. Операционные системы Майкрософт обладают широкими возможностями в этой сфере и позволяют организовывать и поддерживать подключения, а также повторно их устанавливать в случае разрыва. Хотя все эти средства необходимы для успешной работы, они могут использоваться и для злонамеренных действий в отношении сетевых компьютеров.

Администраторы чаще всего не запрещают возможности, необходимые для работы в сети. Однако в ряде случаев обеспечение безопасности данных и служб оказывается слишком важным. В подобных условиях допустима частичная потеря сетевых функций, если это необходимо для защиты информации. Среди параметров конфигурации SSLF, которые повышают безопасность сети, но могут привести к отказам в сетевом доступе, можно отметить:

ограничение сетевого доступа к клиентским системам;
исключение имен компьютеров из списков просмотра;
контроль над исключениями брандмауэра Windows;
средства обеспечения безопасности подключения, например подписывание пакетов.

Типичная атака на сетевые службы — атака отказа в обслуживании (DoS). В результате такой атаки либо не удается подключиться к данным или службам, либо происходит чрезмерное потребление системных ресурсов и падение производительности. Конфигурация SSLF обеспечивает защиту доступа к системным объектам и механизма распределения ресурсов, что позволяет защититься от этого типа атак. Среди параметров SSLF, которые позволяют не допустить DoS-атаки, можно отметить:

контроль распределения квот памяти для процессов;
контроль создания объектов;
контроль возможности отлаживать программы;
контроль профилирования процессов.

Каждый из приведенных пунктов вносит свой вклад в вероятность того, что параметры безопасности SSLF не позволят нужным приложениям работать, а пользователям — обращаться к необходимым службам и данным. По этой причине очень важно провести полномасштабное тестирование этих параметров после их введения в силу на компьютерах, но перед развертыванием в производственной среде.

Структура параметров безопасности

Структура параметров безопасности, предлагаемая в настоящей главе, представляет собой начальную точку для сценариев, рассматриваемых далее, а также рекомендации по устранению проблем. В оставшихся разделах главы рассматривается базовая структура безопасности:

структура подразделений политик безопасности;
структура объектов GPO политик безопасности.

Структура подразделений политик безопасности

Структура безопасности, рассматриваемая в этой главе, основана на подразделениях (OU). Подразделение — это контейнер в рамках домена на основе AD DS. Подразделение может включать в себя пользователей, группы, компьютеры и другие подразделения. Если одно подразделение содержит в себе другие, оно является родительским. Подразделение, содержащееся в родительском, называется дочерним.

К подразделениям можно привязать объекты GPO, и тогда параметры из этих объектов будут применены к пользователям и компьютерам, содержащимся в этом подразделении и его дочерних подразделениях. В целях администрирования можно делегировать административные полномочия каждому из подразделений.

Подразделения позволяют эффективно устанавливать административные границы, группируя пользователей и компьютеры.

Важно Пользователей и компьютеры рекомендуется относить к разным подразделениям, поскольку некоторые параметры безопасности применимы только к пользователям, а некоторые — только к компьютерам.

Контроль над одним или несколькими подразделениями можно делегировать с помощью мастера делегирования в оснастке «Active Directory — пользователи и компьютеры» консоли управления (MMC). В разделе «Дополнительные сведения» в конце этой главы приведены ссылки на документацию по делегированию полномочий.

Одна из ключевых задач при проектировании подразделений — обеспечить фундамент для беспрепятственного внедрения групповых политик, которые должны применяться ко всем компьютерам в AD DS. Благодаря этому обеспечивается соответствие всех компьютеров требуемым стандартам. Кроме того, структура подразделений должна позволять без труда указывать параметры безопасности для отдельных типов пользователей. Например, разработчикам может потребоваться уровень доступа, не нужный обычным пользователям, а у пользователей переносных ПК могут быть иные требования к безопасности, чем у пользователей настольных компьютеров.

На следующем рисунке приведена простая структура подразделений, достаточная для целей этой главы. Эта структура принадлежит конфигурации EC и может не соответствовать требованиям конкретной среды.

Bb629421_VSGF0101(ru-ru,MSDN_10)

Рисунок 1.1 Пример структуры подразделений для компьютеров под управлением Windows 7

Подразделение «Отдел»

Требования к параметрам безопасности в рамках организации часто различны. Поэтому имеет смысл создать одно или несколько подразделений, представляющих отделы. Это позволит применять нужные параметры из объектов GPO к компьютерам и пользователям из конкретных отделов.

Подразделение «Пользователи Windows 7»

В этом подразделении содержатся учетные записи пользователей среды EC. Параметры, применяемые к ним, подробно рассматриваются в книге Excel «Windows 7 Security Baseline Settings.xls», которая прилагается к этому руководству.

Подразделение «Компьютеры с Windows 7»

В этом подразделении содержатся дочерние подразделения для каждого типа клиентских компьютеров под управлением Windows 7 в среде EC. Настоящее руководство рассматривает только настольные и переносные компьютеры, поэтому при проектировании структуры подразделений были выделены следующие:

• подразделение настольных ПК. В этом подразделении содержатся настольные компьютеры, постоянно подключенные к сети. Параметры, применяемые к ним, подробно описаны в книге Excel «Windows 7 Security Baseline Settings.xls»;

• подразделение переносных ПК. Здесь содержатся переносные компьютеры мобильных пользователей, которые не всегда подключены к сети. Параметры для этого подразделения также можно найти в книге Excel «Windows 7 Security Baseline Settings.xls».

Структура объектов GPO политик безопасности

Объект GPO — это набор параметров групповой политики, а именно файлов, создаваемых оснасткой «Групповая политика». Параметры хранятся на уровне домена и распространяются на пользователей и компьютеры, входящие в сайты, домены и подразделения.

Объекты GPO позволяют ввести в действие нужные параметры политики, права пользователей и поведение компьютеров на всех клиентских компьютерах подразделения. Использование групповой политики вместо ручного конфигурирования позволяет без труда вносить изменения и управлять ими сразу для большого числа компьютеров и пользователей. Ручная же настройка, помимо того, что требует лишних временных затрат, т.к. специалисту нужно обойти все компьютеры, еще и неэффективна. Дело в том, что если параметры политики доменного объекта GPO отличаются от параметров, заданных локально, то параметры GPO заменят собой локальные настройки.

Bb629421_VSGF0102(ru-ru,MSDN_10)

Рисунок 1.2 Порядок старшинства объектов GPO

На предыдущем рисунке показан порядок старшинства объектов GPO, применяемых к компьютеру, входящему в дочернее подразделение, начиная от самого низшего приоритета (1) и до высшего (5). Сначала применяется групповая политика, заданная локально на каждом из компьютеров под управлением Windows 7. После этого применяются объекты GPO уровня сайта, затем уровня домена.

К клиентским компьютерам под управлением Windows 7, расположенным во вложенных несколько раз подразделениях, объекты GPO применяются в направлении от родительского подразделения до самого внутреннего дочернего. Последний из применяемых объектов GPO принадлежит тому подразделению, в которое непосредственно входит компьютер. Такой порядок обработки — сначала локальные настройки, затем параметры сайта, домена, родительского подразделения и, наконец, дочернего — очень важен, поскольку более поздний объект GPO заменяет параметры из более ранних. К пользователям объекты GPO применяются ровно так же.

При проектировании групповой политики необходимо помнить о следующем.

• Администратор должен задать порядок, в котором несколько объектов GPO привязываются к подразделению, иначе групповая политика будет по умолчанию вводиться в том порядке, в котором объекты привязывались. Порядок старшинства привязанных объектов отображается в списке Link Order (порядок привязки) консоли GPMC. Если один и тот же параметр настроен в нескольких политиках, приоритет будет иметь политика, идущая в списке первой.

• Объекту GPO можно установить параметр Enforced (принудительный). Однако, в этом случае другие объекты GPO не смогут переопределить параметры, содержащиеся в таком GPO.

• Сайту, домену или подразделению Active Directory можно назначить параметр Block policy inheritance (блокировать наследование политики). В этом случае будут проигнорированы параметры из объектов GPO, расположенных выше по иерархии Active Directory, если только они не отмечены флагом Enforced (принудительный). Другими словами, параметр Enforced имеет приоритет над параметром Block policy inheritance.

Параметры групповой политики применяются к пользователям и компьютерам в зависимости от положения этих объектов в иерархии AD DS. В некоторых случаях может потребоваться, чтобы к объектам, представляющим пользователей, политики применялись в зависимости от расположения объекта, представляющего соответствующий компьютер. Тогда пригодится режим замыкания групповой политики, в рамках которого параметры групповой политики пользователя применяются в зависимости от компьютера, с которого пользователь выполнил вход. В статье «Режим замыкания при обработке групповой политики» об этой возможности рассказано подробнее.

Параметры политики домена

На уровне домена вводится относительно небольшое число параметров. Они расположены в узле Computer Configuration (конфигурация компьютера) редактора объектов групповой политики. Его подузел Windows Settings (конфигурация Windows) содержит следующие группы параметров:

• Password Policy Settings (политикапаролей);

• Account Lockout Policy Settings (политика блокировки учетной записи).

Эти две группы рассматриваются в данном разделе. Чтобы узнать, какие именно соответствующие параметры рекомендуются для каждой из конфигураций, обратитесь к книге Excel «Windows 7 Security Baseline Settings.xls», которая прилагается к этому руководству. Подробнее об эффекте каждого из параметров, устраняемых ими угрозах и возможных последствиях см. в сопутствующем руководстве «Угрозы и меры противодействия».

Политика паролей

Сложные, регулярно сменяемые пароли снижают вероятность успешного подбора пароля. Политика паролей контролирует сложность и срок использования каждого пароля. Ее параметры задаются групповой политикой на уровне домена.

Параметры политики паролей в редакторе GPO расположены по следующему пути:

Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики учетных записей\Политика паролей)

Как добиться, чтобы пароль менялся только при необходимости

Помимо перечисленных политик пароля, в некоторых организациях требуется централизованный контроль всех пользователей. В этом разделе рассказывается, как предотвратить изменение паролей пользователями, за исключением случаев, когда это изменение санкционировано.

Централизованный контроль паролей пользователей — краеугольный камень хорошо спроектированной системы обеспечения безопасности Windows. С помощью групповой политики можно задать минимальный и максимальный срок действия пароля. Однако, если пароль требуется менять слишком часто, пользователям удастся обойти требования параметра Enforce password history (вести журнал паролей), если он установлен в вашей среде. Или, если минимально разрешенная длина пароля слишком велика, может увеличиться число обращений в службу поддержки по поводу забытого пароля.

Пользователи могут изменить свой пароль в промежутке между минимальным и максимальным сроком его действия. Однако, конфигурация SSLF предусматривает, что менять пароль разрешается только по запросу самой операционной системы, который выдается по истечении его максимального срока действия в 90 дней. Для достижения такой степени контроля можно отключить кнопку Смена пароля диалогового окна Безопасность Windows, которое появляется при нажатии клавиш CTRL+ALT+DEL.

Данное изменение можно ввести в силу для всего домена, используя групповую политику, а можно для отдельных пользователей, используя редактор реестра. Подробнее об этой возможности см. статью базы знаний Майкрософт номер 324744 «Как в ОС Windows Server 2003 предотвратить несанкционированную смену паролей пользователями».

Политика блокировки учетной записи

Эта политика в AD DS отвечает за блокировку учетной записи пользователя. Пользователь будет заблокирован и не сможет войти в систему, если в течение определенного времени произведет определенное количество неудачных попыток входа. Попытки входа отслеживаются контроллерами домена, и их число сравнивается с числом разрешенных. Период, на который блокируется учетная запись, зависит от параметров политики.

Эти параметры позволяют защититься от подбора пароля и снижают вероятность успешной атаки на сетевую среду. Однако, их включение может вылиться в повышение количества обращений в службу поддержки. Есть и другой побочный эффект политики блокировки учетных записей после определенного числа неудачных попыток входа — возможность для проведения DoS-атаки. Например, некоторое вредоносное ПО может пытаться подключаться к другим компьютерам, используя заранее собранный список имен учетных записей и словарь часто используемых паролей. В результате учетные записи многих пользователей могут оказаться заблокированными при превышении числа неудачных попыток входа. Минимизировать риск такой DoS-атаки можно, задав относительно небольшой срок блокировки. Перед включением указанных ниже параметров убедитесь, что эти дополнительные усилия по управлению паролями одобряются руководством компании. Для многих предприятий более выгодным и экономичным решением станет автоматический анализ журналов событий безопасности на контроллерах домена с генерированием административных оповещений в случае, если есть подозрение на подбор пароля к учетной записи.

Параметры политики блокировки учетной записи в редакторе GPO расположены по следующему пути:

Computer Configuration\Windows Settings\Security Settings\
Account Policies\Account Lockout Policy (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики учетных записей\Политика блокировки учетной записи)

Параметры политики компьютеров

Параметры безопасности, описанные в этом разделе, применяются к настольным и переносным компьютерам домена. Они принадлежат узлу Computer Configuration (конфигурация компьютера) редактора объектов групповой политики и сгруппированы в дочерние узлы Windows Settings (конфигурация Windows) и Administrative Templates (административные шаблоны).

В этом разделе рассматриваются следующие параметры этих узлов:

      • Audit Policy Settings (политика аудита);
      • User Rights Assignment Settings (назначение прав пользователя);
      • Security Options Settings (параметры безопасности);
      • Event Log Security Settings (параметры безопасности журналов событий);
      • Windows Firewall with Advanced Security Settings (параметры брандмауэра Windows в режиме повышенной безопасности);
      • Administrative Templates (административные шаблоны).

Эти группы параметров рассматриваются в данном разделе. Чтобы узнать, какие именно соответствующие параметры рекомендуются для каждой из конфигураций, обратитесь к книге Excel «Windows 7 Security Baseline Settings.xls», которая прилагается к этому руководству. Подробнее об эффекте каждого из параметров, устраняемых ими угрозах и возможных последствиях см. в сопутствующем руководстве «Угрозы и меры противодействия».

Политика аудита

Политика аудита определяет те события, имеющие отношение к безопасности, учет которых нужно вести — так, чтобы ряд действий пользователя или системы оставлял записи в определенных категориях. Можно отследить, кто обращался к объекту, когда пользователи входили в систему и завершали работу, или какие изменения были внесены в параметры политики аудита. По этим причинам схему ведения аудита рекомендуется разработать и внедрить в рабочей среде.

Приступая ко внедрению политики аудита, нужно прежде всего установить, какие категории событий надо отслеживать. Параметры аудита, которые будут выбраны в рамках категорий событий, и определяют политику аудита. Определившись с параметрами аудита для категории, можно создать политики, отвечающие им.

Если параметры аудита не заданы, будет трудно или даже невозможно установить, что именно произошло при некоем инциденте. Если же, напротив, настроить аудит на регистрацию очень большого числа событий, то журнал безопасности будет слишком забит данными. Следующие разделы помогут определиться с событиями, которые в конкретной рабочей следе стоит отслеживать.

В ОС Windows 7 представлены те же девять категорий политики аудита, что и в предыдущих версиях Windows, плюс одна новая категория Global Object Access Auditing (аудит доступа к глобальным объектам).

Параметры политики аудита в редакторе GPO расположены по следующему пути:

Computer Configuration\Windows Settings\Security Settings\
Advanced Audit Policy Configuration (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Расширенная настройка политики аудита)

Далее приводится краткое описание каждой категории.

• Account Logon (вход учетной записи). Событие генерируется по факту проверки учетных данных. Оно происходит на том компьютере, которому принадлежат эти учетные данные. Например, в случае учетной записи домена событие генерируется на контроллере домена, а в случае локальной учетной записи — на локальном компьютере. В рамках домена большинство событий этой категории будет помещаться в журнал безопасности контроллера домена, на котором созданы учетные записи. Однако, если используются локальные учетные записи, эти события будут происходить и на других компьютерах.

• Account Management (управление учетными записями). Это категория помогает отслеживать попытки создания новых пользователей и групп, их переименования, включения или выключения, а также смены паролей. Анализ записей этого аудита позволяет выявить злонамеренные, случайные или санкционированные создания учетных записей пользователей и групп.

• Detailed Tracking (подробное отслеживание). Эта категория позволят вести детальное отслеживание таких событий, как активация программы, завершение работы процесса, создание копии дескриптора и косвенный доступ к объектам. Включение параметра Audit process tracking (аудит отслеживания процессов) приведет к записи большого числа событий, так что обычное значение этой политики — No Auditing (нет аудита). Однако, подробные сведения о том, какие процессы и когда были запущены, могут оказать неоценимую помощь в расследовании инцидента.

• DS Access (доступ к DS). Эта категория применима только к контроллерам домена. Поэтому она и все ее подкатегории для целей настоящего руководства установлены в No Auditing (нет аудита).

• Logon/Logoff (события входа и выхода из системы). Эта категория позволяет отслеживать события создания и прекращения сеансов входа. События происходят на компьютере, к которому производится доступ. Так, при интерактивном входе событие произойдет на компьютере, где осуществлен вход, а при сетевом — на компьютере, где расположены ресурсы, к которым производится обращение.

Если параметру Audit logon events (аудит событий входа в систему) задать значение No auditing (нет аудита), будет трудно, а то и невозможно, установить, кто именно обращался к каким-либо компьютерам или пытался это сделать.

• Object Access (доступ к объектам). Сам по себе этот параметр политики не приведет к появлению каких-либо событий. Он лишь определяет, следует ли вести аудит обращений пользователей к тем объектам, например файлам, папкам, разделам реестра или принтерам, для которых указана системная таблица управления доступом (SACL).

Таблица SACL состоит из записей управления доступом (ACE). Каждая запись состоит из трех элементов:

отслеживаемый участник безопасности (пользователь, компьютер или группа);
отслеживаемые типы доступа, образующие маску доступа;
параметр, указывающий, отслеживать ли только неудачные попытки обращений, только успешные или обе категории.

Если задать параметру Audit object access (аудит доступа к объектам) значение Success (успех), запись аудита будет создаваться каждый раз, когда пользователю разрешается доступ к объекту, которому присвоена таблица SACL. Если же задать значение Failure (отказ), запись будет создаваться каждый раз, когда пользователю отказывается в доступе к объекту с присвоенной таблицей SACL.

При создании таблиц SACL следует вносить в них только те действия, которые реально требуется отслеживать. Например, для исполняемых файлов можно включить параметр Write and Append Data auditing (аудит записи и дозаписи данных), потому что это позволит отслеживать изменение или замену таких файлов, а компьютерные вирусы, черви и троянские программы обычно внедряются в исполняемые файлы. Тем же способом можно отслеживать доступ или изменения в особо важных документах.

• Policy Change (изменение политики). Здесь можно назначить аудит каждого случая внесения изменений в политики назначения прав пользователей, политики брандмауэра Windows, политики доверия или сами политики аудита. Рекомендуемые параметры позволят отслеживать ситуации, в которых производится попытка повысить уровень своих привилегий — например, попытка добавления привилегии Debug programs (отладка программ) или привилегии Back up files and directories (архивирование файлов и каталогов).

• Privilege Use (использование привилегий). Эта категория контролирует аудит случаев использования предоставленных привилегий. Если задать этому параметру значение Success (успех), будет создаваться запись аудита каждый раз, когда пользователь успешно пользуется своим правом. Если задать значение Failure (отказ), запись будет создаваться каждый раз, когда пользователю не удается воспользоваться привилегией. Количество записей, генерируемых этой политикой, может быть очень большим.

• System (система). Эта категория определяет способ аудита системных событий, которые завершились успехом или неудачей. Анализ ее записей может помочь в обнаружении попыток несанкционированного доступа к системе. Под системными событиями понимаются запуск и завершение работы компьютеров, переполнение журналов событий и иные события из области безопасности, которые оказывают влияние на систему целиком.

• Global Object Access Auditing (аудит доступа к глобальным объектам). Эта категория позволяет задать глобальную таблицу управления доступом (SACL) для файловой системы или реестра компьютера целиком. Она появилась в Windows 7 и игнорируется предыдущими версиями Windows.

В ОС Windows 7 можно удобно контролировать применение этой политики аудита через групповую политику с помощью раздела Advanced Audit Policy Configuration (расширенная настройка политики аудита). В Windows Vista ситуация иная. Хотя в этой ОС уже появились подкатегории аудита, их там нельзя настраивать индивидуально, поскольку эти подкатегории не отображаются в редакторе объектов GPO.

Подробнее о настройке политики аудита в ОС Windows Vista в домене на основе Windows Server 2003 см. статью базы знаний номер 921469 «Использование групповой политики для настройки подробных параметров аудита безопасности на компьютерах с системой Windows Vista или Windows Server 2008 в домене Windows Server 2008, домене Windows Server 2003 или домене Windows 2000».

Мы рекомендуем включать только необходимые в конкретной ситуации категории аудита.

Примечание Данное руководство не содержит подробного описания каждой подкатегории политики аудита. Такое описание по каждой из 50 подкатегорий можно найти в сопроводительном руководстве Угрозы и меры противодействия.

Назначение прав пользователя

В дополнение к готовым привилегированным группам ОС Windows 7, можно назначать каким-либо пользователям или группам права, которых у них обычно нет. Чтобы задать для права значение No one (никто), включите параметр, но не добавляйте в него пользователей и группы. Чтобы задать для права значение Not Defined (не определено), не включайте параметр. Параметры назначения прав пользователей в редакторе GPO операционной системы Windows 7 расположены по следующему пути:

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя)

Параметры безопасности

Параметры этого раздела, распространяемые на компьютеры под управлением Windows 7 с помощью групповой политики, позволяют включать или отключать возможности и компоненты операционной системы, например доступ к гибким дискам, доступ к приводам компакт-дисков или запрос на вход в систему. Они также контролируют массу других вещей, например цифровое подписание данных, имена учетных записей администратора и гостя и способ установки драйверов. Эти параметры в редакторе GPO расположены по следующему пути:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности)

Не все параметры этого раздела существуют на всех типах систем. Поэтому те параметры групповой политики, что относятся к этому разделу, для полноценного эффекта может потребоваться вручную изменить на системах, где они имеются. Другой вариант — отредактировать шаблоны групповой политики, включив в них те значения параметров, что обеспечивают этот эффект.

Параметры MSS

В этом руководстве встречаются рекомендации относительно параметров, которые представляют собой записи реестра и не отображаются в редакторе конфигураций безопасности (SCE), редакторе групповых политик или консоли GPMC. Такие параметры отмечены префиксом MSS:. Изначально они были разработаны группой Solutions Accelerators – Security and Compliance (ранее носившей имя Microsoft Solutions for Security) для Руководства по безопасности Windows XP. Эти параметры включены в ту часть групповой политики, где расположены шаблоны безопасности, а не в «Административные шаблоны». Если соответствующая политика удаляется, эти настройки не удаляются вместе с ней. Их нужно удалить вручную с помощью редактора реестра, например Regedt32.exe.

Эти дополнительные параметры можно добавить в редактор SCE, внеся изменения в файл Sceregvl.inf (находится в папке %windir%\inf) и повторно зарегистрировав файл Scecli.dll. И оригинальные, и дополнительные параметры безопасности расположены в разделе Local Policies\Security Options (Локальные политики\Параметры безопасности) рекомендуемых оснасток и средств. С помощью редактора SCE можно определить шаблоны безопасности, применяемые как к отдельным компьютерам, так и к любому числу компьютеров через групповую политику. Шаблоны безопасности могут содержать политики пароля, политики блокировки, политики протокола Kerberos, политики аудита, параметры журналов событий, значения записей реестра, режимы запуска служб, разрешения для служб, права пользователей, ограничение на участие в группах, разрешения на разделы реестра и разрешения на файловую систему. Редактор SCE можно обнаружить во многих оснастках MMC и средствах администрирования, в том числе оснастке шаблонов безопасности, оснастке анализа и настройки безопасности, редакторе групповой политики, параметрах локальной безопасности, политике безопасности домена и контроллера домена.

Инструкции по редактированию файла Sceregvl.inf и повторной регистрации библиотеки Scecli.dll приведены в разделе «Расширения редакторов GPMC и SCE» руководства Использование GPOAccelerator, входящего в состав набора средств по обеспечению соответствия требованиям безопасности.

Возможные проблемы с политиками подписывания SMB

Если политики подписывания блоков сообщений сервера (SMB) включены, то при попытке клиента SMB версии 1 начать на сервере негостевой или неанонимный сеанс серверу разрешается использовать подписи безопасности. Последующие сеансы наследуют уже установленную цепочку подписей.

В целях повышения безопасности ОС Windows 7, Windows Vista и Windows Server 2008 не позволяют злонамеренно низвести прошедшие проверку подлинности подключения сервера до гостевого или анонимного сеанса. Однако, эти средства защиты не работают должным образом, если контроллер домена управляется ОС Windows Server 2003, а на клиентских компьютерах установлены Windows Vista с пакетом обновления 1 (SP1) или Windows Server 2008. Иными словами, проблемной является ситуация, когда на контроллере домена под управлением Windows Server 2003 включены следующие политики:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: Digitally sign communications (always) (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сервер сети Майкрософт: использовать цифровую подпись (всегда);
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network server: Digitally sign communications (if client agrees) (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Сервер сети Майкрософт: использовать цифровую подпись (с согласия клиента).

При этом в том же домене на клиентских компьютерах под управлением ОС Windows Vista с пакетом обновления 1 (SP1) или Windows Server 2008 включены такие политики:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: Digitally sign communications (always) (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Клиент сети Майкрософт: использовать цифровую подпись (всегда);
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft network client: Digitally sign communications (If server agrees) (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Клиент сети Майкрософт: использовать цифровую подпись (с согласия сервера).

Эта проблема была устранена в Windows Server 2008 с пакетом обновления 2 (SP2) и Windows Vista с пакетом обновления 2 (SP2). Подробнее см. статью базы знаний Майкрософт номер 950876 «При включении некоторых политик подписывания SMB параметры групповой политики не применяются к компьютерам-участникам домена, работающим под управлением Windows Server 2008 или Windows Vista с пакетом обновления 1 (SP1)».

Ограничение использования проверки подлинности NTLM

Проверка подлинности диспетчера сети NT (NT LAN Manager, NTLM) повсеместно используется многими корпоративными сетями несмотря на то, что уже много лет в Windows есть более безопасные протоколы проверки подлинности. В ОС Windows 7 и Windows Server 2008 R2 появились новые политики, с помощью которых можно установить, где в сети используется проверка подлинности NTLM, и ограничить ее. Для этого потребуется собрать необходимые данные, проанализировать трафик NTLM и разработать методический процесс по ограничению подобного трафика в пользу более надежных протоколов, например Kerberos. Выполнение этой задачи потребует как знания требований используемых приложений, так и выработки стратегии по конфигурированию инфраструктуры на использование других протоколов.

Первый шаг в ограничении протокола NTLM — разобраться, какие компьютеры и приложения используют его для проверки подлинности. Сделать это можно, включив определенные политики безопасности аудита компьютеров под управлением ОС Windows 7. Анализируя журнал событий, можно узнать, какие приложения удастся настроить на использование более надежного протокола, а также установить, какие компьютеры или домены смогут работать без протокола NTLM. Установив характер использования протокола NTLM, можно с помощью параметров групповой политики Windows 7 и Windows Server 2008 R2 ограничить его использование на клиентах, серверах и контроллерах домена. Развертывание этих политик на компьютерах с ОС Windows 7 и Windows Server 2008 R2 окажет влияние и на использование протокола NTLM более ранними версиями Windows. Подробнее см. Ограничение проверки подлинности NTLM.

Параметры безопасности журналов событий

В журнал событий помещаются записи о событиях, происходящих в системе, а в журнал безопасности — события аудита. Раздел групповой политики, отвечающий за журналы, позволяет контролировать такие параметры журналов приложений, безопасности и системы, как максимальный размер, права доступа, настройки и способы обеспечения сохранности. Параметры журналов событий в редакторе GPO расположены по следующему пути:

Administrative Templates\Windows Components\Event Log Service (Административные шаблоны\Компоненты Windows\Служба журнала событий)

Параметры брандмауэра Windows в режиме повышенной безопасности

Брандмауэр из состава Windows 7 по своей структуре очень похож на брандмауэр из ОС Windows Vista. Контроль за его конфигурацией осуществляется в следующем разделе редактора объектов групповой политики:

Computer Configuration\Windows Settings\Security Settings
\Windows Firewall with Advanced Security (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Брандмауэр Windows в режиме повышенной безопасности)

Для установки этих параметров щелкните ссылку Windows Firewall Properties (свойства брандмауэра Windows), расположенную в разделе «Windows Firewall with Advanced Security» (брандмауэр Windows в режиме повышенной безопасности) редактора объектов GPO. В диалоговом окне Windows Firewall with Advanced Security можно задать параметры доменного, частного и общего профилей. Для каждого профиля можно задать общие настройки в разделе State (состояние), после чего в разделе Settings (настройки) нажать кнопку Customize (настроить) для их изменения. В этом разделе документа мы рассмотрим каждый из профилей, настраиваемых в диалоговом окне Windows Firewall with Advanced Security.

В ОС Windows Vista политика брандмауэра базируется на «типе» сетевого подключения — домашнее, рабочее, общее или домен.

Такая схема позволила решить немало проблем с безопасностью брандмауэра в Windows XP с пакетом обновления 1 (SP1), но все равно остались ситуации, в которых она может создавать трудности пользователям и службе поддержки. Допустим, например, что пользователь подключается к Интернету по «Домашней» сети, после чего устанавливает VPN-подключение к корпоративной сети. В этом случае, поскольку тип сети (а значит, и параметры брандмауэра) уже был выбран в соответствии с первой сетью, к которой подключился пользователь, необходимые для корпоративной сети параметры брандмауэра не могут вступить в силу.

В Windows 7 эта проблема решается благодаря поддержке нескольких активных профилей брандмауэра. Это позволяет компьютеру получить и ввести в действие доменные профиль брандмауэра вне зависимости от других активных сетей. Тем самым достигается простота установления подключений и применения политик безопасности, поскольку для локальных и удаленных клиентов действует единый набор правил.

Профиль домена

Этот профиль вступает в силу, когда компьютер подключается к сети и проходит проверку подлинности на контроллере домена, которому принадлежит компьютер. Рекомендуемые параметры брандмауэра в режиме повышенной безопасности для конфигурации EC включают разрешение на работу удаленного рабочего стола и удаленного помощника. Более того, у локальных администраторов в такой среде есть право настраивать локальные правила брандмауэра для разрешения дополнительных видов коммуникаций.

В среде SSLF все входящие коммуникации по умолчанию блокируются, а локальные правила брандмауэров игнорируются компьютерами. Чтобы изменять или дополнять правила, требуется использовать редактор объектов GPO.

Важно Предписанные для среды SSLF параметры брандмауэра серьезно ограничивают прием входящих подключений. Необходимо заранее тщательно протестировать эту конфигурацию, чтобы убедиться в нормальной работе приложений.

Чтобы увидеть правила, установленные для профиля домена, в разделе «Windows Firewall with Advanced Security» редактора объектов GPO щелкните ссылку Inbound Rules (правила для входящих подключений).

Частный профиль

Этот профиль будет использоваться, только если пользователь с правами локального администратора назначит его сети, ранее использовавшей общий профиль. Использовать этот профиль рекомендуется только для доверенных сетей. Рекомендуемые параметры брандмауэра в режиме повышенной безопасности для конфигурации EC включают разрешение на работу удаленного рабочего стола. Более того, у локальных администраторов в такой среде есть право настраивать локальные правила брандмауэра для разрешения дополнительных видов коммуникаций. В среде SSLF все входящие коммуникации по умолчанию блокируются, а локальные правила брандмауэров игнорируются компьютерами. Чтобы изменять или дополнять правила, требуется использовать редактор объектов GPO. Чтобы увидеть правила, установленные для частного профиля, в разделе «Windows Firewall with Advanced Security» редактора объектов GPO щелкните ссылку Inbound Rules (правила для входящих подключений).

Общий профиль

Этот профиль по умолчанию применяется для компьютера, не подключенного к домену. Его параметры должны накладывать самые сильные ограничения, поскольку компьютер подключается к публичной сети, где безопасность нельзя гарантировать в той степени, что в контролируемой ИТ-среде. В конфигурациях EC и SSLF все входящие подключения по умолчанию блокируются, и нет правил, которые разрешали бы дополнительные виды коммуникаций. Более того, локальные правила брандмауэра в обеих конфигурациях игнорируются. Чтобы изменять или дополнять правила из общего профиля, требуется использовать редактор объектов GPO.

Конфигурация компьютера\Административные шаблоны

Предписанные этим руководством параметры политик расположены в следующих дочерних узлах раздела Computer Configuration\Administrative Templates (Конфигурация компьютера\Административные шаблоны) редактора объектов GPO.

   • Network (сеть)
      • BranchCache
      • Network Connections (сетевыеподключения)

   • System (система
      • Logon (вход в систему)
      • Group Policy (групповая политика)
      • Power Management (управление электропитанием)
      • Remote Assistance (удаленный помощник)
      • Remote Procedure Call (удаленный вызов процедур (RPC)
      • Internet Communication Management\Internet Communication Settings (Управление связью через Интернет\Параметры связи через Интернет)

   • Windows Components (компоненты Windows)
      • Autoplay Policies (политикиавтозапуска)
      • Credential User Interface (пользовательскийинтерфейсучетныхданных)
      • Event Log Service (служба журнала событий)
      • HomeGroup
      • Remote Desktop Services (службы удаленных рабочих столов)
      • Windows Explorer (проводник Windows)
      • Windows Remote Shell (удаленнаяоболочка Windows)
      • Windows Update

Параметры раздела Windows Update контролируют способ распространения обновлений и исправлений на компьютеры с ОС Windows 7. Обновления загружаются с веб-сайта Windows Update, но в целях дополнительного административного контроля можно указать веб-сайт интрасети, с которого их вместо этого следует загружать.

Службы обновления Windows Server Update Services (WSUS) — это инфраструктура, построенная на зарекомендовавших себя технологиях Microsoft Windows Update и Software Update Services (SUS). Через нее распространяются критические обновления Windows, позволяющие устранить найденные уязвимости и другие угрозы стабильности в операционных системах Windows.

Службы WSUS устраняют необходимость устанавливать обновления вручную. Вместо этого предлагается динамическая система уведомлений на основе интранет-сервера, оповещающая о критических обновлениях, вышедших для систем Windows. Для обращения к этой службе клиентским компьютерам не нужен доступ в Интернет. Система также обеспечивает простой, автоматизированный способ распространения обновлений по рабочим местам и серверам.

Службы Windows Server Update Services предлагают следующие возможности.

• Административный контроль синхронизации содержимого интрасети. Служба синхронизации размещается на сервере и получает последние критические обновления с веб-сайта Windows Update. При появлении там новых обновлений сервер служб WSUS по заданному расписанию автоматически загружает их и помещает на хранение.

• Внутренний сервер обновлений Windows Update. Этот простой в использовании сервер ведет себя как виртуальный сервер Windows Update. На нем размещены службы синхронизации и средства администрирования обновлений. Он обслуживает HTTP-запросы на получение обновлений от клиентских компьютеров. Сервер также может хранить критические обновления, полученные от службы синхронизации, и предоставлять клиентским компьютерам доступ к ним.

• Административный контроль обновлений. Перед развертыванием по интрасети организации обновлений, полученных с веб-сайта Windows Update, их можно проверить и утвердить. Развертывание происходит по расписанию, заданному администратором. Если службы WSUS работают на нескольких серверах, можно задать, какие компьютеры к каким серверам будут обращаться. Это достигается через групповую политику в рамках среды Active Directory либо изменением значений реестра.

• Автоматическое обновление компьютеров (рабочих станций и серверов). Компонент автоматического обновления Windows можно настроить на автоматическую проверку наличия обновлений, опубликованных на веб-сайте Windows Update. В службах WSUS эта возможность используется для развертывания одобренных администратором обновлений с сервера, расположенного во внутренней сети.

Примечание Если обновления распространяются другим способом, например через диспетчер Microsoft System Center Configuration Manager, то рекомендуется отключить параметр Configure Automatic Updates (настройка автоматического обновления).

В разделе Windows Update имеется несколько параметров. Чтобы включить эту службу, необходимо настроить как минимум три: Configure Automatic Updates (настройка автоматического обновления), No auto-restart for scheduled Automatic Updates installations (не выполнять автоматическую перезагрузку при запланированной автоматической установке обновлений) и Reschedule Automatic Updates scheduled installations (перенос запланированной автоматической установки обновлений). Использование четвертого параметра, Specify intranet Microsoft update service location (указать размещение службы обновлений Майкрософт в интрасети), не обязательно и зависит от конкретных условий.

Параметры данной политики в редакторе GPO расположены по следующему пути:

Computer Configuration\Administrative Templates\Windows Components
\Windows Update (Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Windows Update)

Настроенная служба Windows Update необходима для обеспечения безопасности, поскольку она позволяет в кратчайшие сроки распространять обновления безопасности на клиентские компьютеры.

Примечание Служба Windows Update зависит от некоторых других служб, в частности от службы удаленного реестра и фоновой интеллектуальной службы передачи.

Дополнительные сведения

Подробнее о вопросах безопасности Windows 7 можно узнать из следующих источников на Microsoft.com.

• Архивирование, восстановление, копирование и импорт (центр Windows Server TechCenter).

• Управление в масштабе предприятия с помощью консоли GPMC.

• Статья базы знаний Майкрософт номер 950876 «При включении некоторых политик подписывания SMB параметры групповой политики не применяются к компьютерам-участникам домена, работающим под управлением Windows Server 2008 или Windows Vista с пакетом обновления 1 (SP1)».

• Статья базы знаний Майкрософт номер 324744 «Как в ОС Windows Server 2003 предотвратить несанкционированную смену паролей пользователями».

• Статья базы знаний Майкрософт номер 921469 «Использование групповой политики для настройки подробных параметров аудита безопасности на компьютерах с системой Windows Vista или Windows Server 2008 в домене Windows Server 2008, домене Windows Server 2003 или домене Windows 2000».

• Ограничение проверки подлинности NTLM.

• Статья базы знаний номер 231287 «Режим замыкания при обработке групповой политики».

• Перенос объектов GPO между доменами с помощью консоли GPMC.

• Статья «Мастер делегирования управления» из устанавливаемой справочной системы Windows Server 2008 R2.

• Средства удаленного администрирования сервера для Windows 7.

• Статья базы знаний 885409 «Поддержка руководств по обеспечению безопасности», содержащая подробные сведения о возможных побочных эффектах, которые некоторые параметры могут вызвать в предыдущих версиях Windows.

• Угрозы и меры противодействия, глава 5 «Параметры безопасности».

• Улучшения безопасности Windows 7.

• Хорошо известные идентификаторы безопасности в операционных системах Windows.

• Брандмауэр Windows .

• Службы Windows Server Update Services (WSUS).

Обратная связь

Вопросы и комментарии по поводу этого руководства направляйте на адрес secwish@microsoft.com.