страница 1страница 2
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Похожие работы
|
Лекция 27. Система обеспечения безопасности в Windows xp professional - страница №1/2
Лекция 27. Система обеспечения безопасности в Windows XP Professional ОС Windows XP Professional обеспечивает безопасность системы несколькими способами. Мы поговорим об управлении локальной политикой безопасности, регистрации, журналах безопасности Internet Connection Firewall, шаблонах безопасности, процессе ввода данных и, наконец, об анализе и конфигурации системы защиты. Инструменты защиты могут использоваться не только для обеспечения безопасности в системе Windows XP Professional, но и для управления настройками системы защиты домена. Начнем с обзора улучшения системы защиты Windows XP Professional. Новое в Windows XP Professional Система защиты в Windows не стоит на месте. При выходе каждой новой версии Windows вы можете ожидать улучшения свойств обеспечения безопасности. Windows XP Professional не является исключением. В ней содержатся все основные средства защиты, которые имелись в Windows NT и Windows 2000, но есть и новые свойства.
В следующих разделах некоторые из этих тем рассматриваются более подробно, а другие не требуют объяснений и запускаются в Windows XP Professional по умолчанию. Локальная политика безопасности Возможность создавать и управлять политикой безопасности на локальном компьютере осуществляется посредством оснастки MMC. Это приложение позволяет вам не только просматривать локальную систему безопасности, но и вносить в нее изменения. Просмотр Для просмотра политики безопасности выберите Start\Control Panel\ Performance and Maintenance\Administrative Tools (Пуск\Панель управления\Производительность и обслуживание\Администрирование). Щелкните дважды на Local Security Policy (Локальная политика безопасности). Появится окно, изображенное на рис. 27.1. Примечание. Вы можете запустить этот инструмент из командной строки, введя secpol.msc. Рис. 27.1. Просмотр локальной политики безопасности Управление локальной политикой Для просмотра отдельной политики безопасности щелкните дважды на значке нужной политики. В качестве примера рассмотрим, как управлять настройками системы безопасности в папке Security Options (Параметры безопасности). После того как вы щелкните дважды на Security Options, появится список настроек системы безопасности (рис. 27.2). Затем щелкните на настройке Devices: Unsigned driver installation behavior (Устройства: поведение при установке неподписанного драйвера). Из рис. 27.3 видно, что можно выбрать один из трех вариантов настройки.
Журнал безопасности Журнал безопасности ICF позволяет создавать список действий системы защиты, а именно установку запрета или разрешения на трафик со стороны ICF. Вы можете модифицировать действия межсетевого экрана с помощью различных правил протокола ICMP. Например, ICMP позволяет разрешить (или запретить) следующее.
Рис. 27.2. Настройки безопасности, содержащиеся в папке локальной политики Security Options (Параметры безопасности) Рис. 27.3. Детали настройки На основании требований протокола ICMP в ICF журнале безопасности будут регистрироваться различные виды информации. Правила протокола ICMP хороши тем, что они не отсекают сеть от остального мира, но, в то же время, строго ограничивают доступ к ней. Запись в журнал безопасности ICF Журналы ICF имеют свой уникальный формат. Во-первых, в заголовке указываются версия используемого межсетевого экрана ICF, имя журнала безопасности, примечание о том, что вход в систему регистрируется по локальному времени, и список доступных полей для регистрационных записей. В таблице 27.1 показаны поля для ввода данных в журнале безопасности ICF.
Польза журнала безопасности ICF состоит в том, что после его просмотра можно обнаружить попытки несанкционированного доступа к сети. Изучив поля action, scr-ip и dst-ip, можно определить, пытается ли кто-то повредить сеть в целом или вывести из строя какое-то определенное устройство. Теперь, когда вы знаете, что должно содержаться в журнале безопасности, давайте подробнее разберемся с тем, как можно применять запись в журнал и настраивать различные служебные функции, облегчающие управление межсетевым экраном ICF. Включение и отключение ведения журнала В связи с тем, что ведение журнала ICF не активировано по умолчанию при инсталляции ICF, его необходимо включать. Для этого выполните следующие действия.
Разумеется, если вы решите больше не отслеживать работу ICF, то можете отключить ведение журнала. Для этого просто очистите флажки рядом с опциями Log dropped packets (Записывать пропущенные пакеты) и Log successful connections (Записывать успешные подключения). Рис. 27.4. Опции ведения журнала ICF Управление файлом журнала ICF Вы можете переименовать журнал ICF или указать для него путь, отличный от пути по умолчанию. Это удобно, если нужно получать несколько отчетов (время дня, день недели и т. д.). Для изменения пути или имени файла на вкладке Security Logging (Ведение журнала безопасности) (рис. 27.4) в разделе Log file options (Параметры файла журнала) щелкните на Browse (Обзор) и перейдите в то место, где нужно разместить файл журнала. Введите выбранное имя в поле File name (Имя файла) и нажмите на Open (Открыть). Примечание. Если вы оставите поле имени файла пустым, то система Windows XP Professional по умолчанию назовет файл журнала pfirewall.log. Просматривать журнал регистраций ICF так же несложно, как и выполнять другие задачи. На вкладке Security Logging (Ведение журнала безопасности) в области Log file options(Параметры файла журнала) в разделе Name (Имя) щелкните на Browse (Обзор) и найдите журнал. Если вы не сохранили его под определенным именем, то он называться pfirewall.log. Щелкните на нем правой кнопкой мыши и затем выберите Options (Параметры) для просмотра содержания. Изменение размера журнала ICF Вы можете решить, что размер файла журнала ICF слишком мал, что не соответствует вашим нуждам. Размеры файла, в свою очередь, зависят от размеров организации, количества регистрируемых соединений и времени использования журнала ICF. Если нужно сделать журнал побольше (или поменьше, если он занимает слишком много места на жестком диске), то войдите на вкладку Security Logging (Параметры файла журнала), как это было описано выше. Затем в разделе Log file options в Size limit (Ограничение размера журнала) используйте кнопки со стрелками для изменения размера журнала. По умолчанию размер журнала составляет 4 Мб, а максимальный размер - 32 Мб. Примечание. Если журнал (например, используемый по умолчанию) будет заполнен, то регистрация не прекратится. Более того, будут сгенерированы новые файлы журналов с именами pfirewall.log.1 и т. д. Шаблоны безопасности Используя оснастку Security Templates (Шаблоны безопасности), вы можете создавать текстовые файлы, которые содержат в себе все настройки безопасности для безопасных областей, поддерживаемых локальной политикой безопасности. Это удобно для использования всех элементов системы защиты, доступных в Windows XP Professional. В этом разделе мы расскажем о том, как создавать шаблон, модифицировать существующий шаблон и применять его в системе Windows XP Professional. Создание шаблона Для запуска оснастки Security Templates (Шаблоны безопасности) и просмотра настройки политики безопасности проделайте следующие шаги.
Таким образом, вы создадите пустой шаблон, в который можно внести все, относящееся к политике безопасности организации. Для сохранения шаблона откройте меню File (Файл) и щелкните на Save As (Сохранить как). Рис. 27.5. Оснастка Security Templates (Шаблоны безопасности) Редактирование существующих шаблонов Система Windows XP Professional изначально включает в себя ряд шаблонов. Они создают хороший фундамент для построения собственной политики безопасности. У вас может быть готовая политика безопасности, которую вы захотите улучшить и применить позже. Для открытия и редактирования любого шаблона дважды щелкните на нем в левом окне оснастки Security Templates (Шаблоны безопасности). Примечание. Хотя в Security Templates имеются уже готовые шаблоны, неплохо внимательно изучить их заранее и убедиться, что они подходят для нужд вашей организации. Существует четыре основных типа шаблонов:
Эти шаблоны представляют диапазон средств безопасности, начиная со стандартных (Basic) и заканчивая средствами повышенной безопасности (High Secure). Шаблоны Miscelleneous (смешанные) предоставляют настройки безопасности для некоторых категорий, для которых трудно определить место в рамках иерархии Basic, Secure и High Secure. Они содержат настройки для таких опций как Terminal Services (Службы терминалов) и Certificate Services (Службы сертификации). Ниже перечислены некоторые шаблоны, содержащихся в рамках каждой категории.
Любой из десяти образцов шаблонов хорошо подходит для начала разработки сетевой безопасности. Однако при модификации шаблона имеет смысл сохранить его под новым именем, чтобы старый шаблон не был переписан. Применение шаблонов безопасности Создание или редактирование уже существующего шаблона не вносит изменений в настройки системы безопасности. Чтобы произвести такие изменения, следует применить шаблон к своему компьютеру. Для применения вновь созданного или отредактированного шаблона проделайте следующее.
Аудит безопасности Так как компьютерные сети постоянно конфигурируются, реконфигурируются и настраиваются, то может случиться так, что уже существующие рабочие настройки безопасности не будут работать корректно после изменений, внесенных в сеть. Чтобы держать под контролем систему обеспечения безопасности сети, полезно использовать инструменты проверки (аудита) безопасности, предоставляемые Windows XP Professional. К таким инструментам относятся:
Рис. 27.6. Применение шаблонов безопасности Проверка проводится посредством оснастки групповой политики ММС. Вы можете увидеть различные элементы, проверка которых возможна в Windows XP Professional, открыв папку Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy в оснастке Group Policy. Что можно проверить Ввод учетной записи регистрируется всякий раз, когда пользователь пытается войти в сеть. Регистрируются как удачные, так и неудачные попытки. Неудачные попытки впоследствии делятся на те, для которых учетная запись устарела, пользователь пытался войти локально, был введен неправильный пароль или другие случаи. Можно проверить следующие элементы.
Перед тем как заняться аудитом, следует составить четкий план, включающий в себя все, что нужно проверять, и то, как использовать эту информацию для позитивных изменений. Аудит в значительной степени расходует ресурсы системы - надо точно знать, что проверять, чтобы не переборщить. Например, если в сети наблюдаются проблемы с выполнением, то начать следует с отслеживания процессов. Сравнив регистрационную запись об отслеживании процессов с общей работой системы, вы сможете определить, отвечают ли конкретные приложения за замедление работы сети. Если вы обнаруживаете избыточный расход тонера (краски для принтера), то аудит доступа к объектам поможет определить, кто из работников использует принтер и для каких целей. Вы сможете решить, нужно ли ограничить разрешение на доступ к принтеру некоторым пользователям. Включение Для включения аудита проделайте следующие шаги.
Рис. 27.7. Аудит папки в Windows XP Professional Рис. 27.8. Выбор объектов для мониторинга
Аудит может интенсивно поглощать время и ресурсы. Однако, решив, какие именно свойства следует проверить, и составив четкий план их анализа, вы сможете убедиться в том, что безопасность системы настроена должным образом. Оснастка Security Configuration and Analysis (Анализ и настройка безопасности) Оснастка Security Configuration and Analysis (Анализ и настройка безопасности) ММС является хорошим инструментом для анализа текущих настроек безопасности и сравнения их с базовым шаблоном безопасности. Учитывая, что в системе Windows XP Professional имеется огромное количество настроек безопасности, отслеживать каждую из них представляется достаточно сложной задачей. Анализ же позволяет обнаруживать дыры в системе безопасности, тестировать влияние множественного изменения настроек безопасности в системе без реализации этого изменения и обнаруживать любые отклонения в политике безопасности, существующей в сети. Например, если вы создали шаблон безопасности и хотите сравнить его (то есть идеальные настройки безопасности) с текущими настройками безопасности системы, воспользуйтесь инструментом Security Configuration and Analysis. Если ваш шаблон безопасности окажется более строгим, чем текущий, то инструмент укажет те области, которые следует укрепить, чтобы они соответствовали новым настройкам. Более того, инструмент сообщит, что произойдет с системой в случае реализации этих новых настроек. Для запуска инструмента Security Configuration and Analysis проделайте следующее.
Теперь инструмент Security Configuration and Analysis доступен вам (рис. 27.9), но еще предстоит его сконфигурировать. Рис. 27.9. Инструмент Security Configuration and Analysis (Анализ и настройка безопасности) Создание базы данных Работа инструмента Security Configuration and Analysis (Анализ и настройка безопасности) основана на использовании базы данных. Вам надо ее создать. Инструмент позволяет создать базу данных конфигураций и анализа безопасности, также называемую локальной базой данных политики компьютера. Изначально база данных создается во время инсталляции Windows XP Professional. В ней содержатся конфигурации безопасности системы по умолчанию. При необходимости можно сразу же после инсталляции экспортировать эту базу данных и держать ее всегда под рукой на случай восстановления первоначальных настроек. База данных определяет локальную политику безопасности компьютера, работающего при той конфигурации, которая определена требованиями политики безопасности. Однако политика безопасности может оказаться недостаточной для определения всей конфигурации в целом. Например, у вас может не оказаться предписаний безопасности для определенных папок или файлов. Запустив Security Configuration and Analysis, вы сможете найти такого рода ошибки. Можно создать столько баз данных безопасности, сколько нужно. Для создания базы данных конфигураций безопасности проделайте следующее.
Анализ базы данных Для анализа конфигураций базы данных проделайте следующие шаги.
После того как задание будет выполнено, просмотрите результаты анализа:
Здесь представлены результаты анализа конфигурации следующих областей.
Рис. 27.10. Исследование результатов анализа
Другие записи включают в себя сервисы системы, журнал и файловую систему. Проанализировав свою систему безопасности, возможно, вы захотите внести изменения в ее настройки. Если вы считаете настройку актуальной, то отметьте флажок Define this policy (Определить следующую политику в базе данных) во время исследования системы безопасности. Если очистить флажок, то данная политика будет удалена из конфигурации. В будущем для использования различных видов конфигурации и анализа просто щелкните на элементе управления Еdit Security Settings (Изменить параметры безопасности), чтобы изменить текущее определение безопасности, содержащееся в базе данных. Обеспечение безопасности серверов Хотя Windows XP Professional не имеет версии, предназначенной специально для серверов, тем не менее, следует предпринять несколько важных шагов по обеспечению безопасности сервера (Windows NT, 2000 или .NET) во время постройки и конфигурирования Windows XP Professional сети. Так же следует обдуманно настраивать соединения сервера с Windows XP Professional-клиентами. В этом разделе рассматриваются такие методы обеспечения безопасности сервера, как IPSec, протоколы безопасности, групповая политика, аутентификация и списки управления доступом. IPSec Windows XP Professional обеспечивает безопасность передачи пакетов в сетях TCP/IP с помощью протокола IPSec. IPSec можно использовать для создания сквозных безопасных решений, основанных на применении шифрованной передачи данных. IPSec-решение предлагает следующее.
Как работает протокол IPSec На рис. 27.11 схематически изображена работа протокола IPSec. Хост с активной политикой безопасности хочет установить соединение с другим компьютером, использующим политику безопасности.
Разумеется, весь процесс происходит быстро и незаметно для пользователей компьютеров А и В. Однако на шифрование и дешифрование этих пакетов расходуются дополнительные циклы работы процессора. Согласование протоколов IPSec На каждом компьютере в Windows XP/2000/.NET сетях имеется агент IP-политки. Является он активным или нет, решает администратор. Если агент активен, то он извлекает IPSec-политику, которая описывает согласование методов локальной защиты, и внедряет ее на локальном компьютере.
SA является контрактом, заключаемым между двумя компьютерами до начала обмена данными. В этом соглашении определены следующие особенности обмена данными.
Установка IPSec-политики По умолчанию Windows XP Professional предоставляет три вида заранее определенной политики безопасности, которые подходят для большинства случаев. Вы также можете начать с одного из этих видов политики и модифицировать его в соответствии со своими нуждами. Ниже дается описание этих политик.
Выбор правильной политики основывается на тщательной оценке данных. Необдуманное предписание самого высокого уровня безопасности для всех пользователей и серверов создаст огромную и ненужную нагрузку на серверах и клиентских рабочих станциях. Это связано с дополнительной работой компьютеров по шифрованию и дешифрованию всего сетевого трафика. Однако разрешение любому клиенту устанавливать связь с безопасным сервером открывает широкий доступ для потока небезопасной информации. Создание и применение IPSec-политики Консоль Microsoft Management Console (MMC) используется для создания и конфигурирования IPSec-политики. Для этого в ММС надо добавить оснастку IPSec Policy Management (рис. 27.12).
Примечание. Добавление IPSec в ММС происходит аналогично добавлению других оснасток, упомянутых в этом курсе. Просмотрев список доступных оснасток, выберите IP Security Policy Management. После добавления IPSec в консоль ММС появится запрос, каким компьютером эта оснастка будет управлять. Можно выбрать следующие опции:
Когда вы в первый раз откроете оснастку IPSec, то увидите три вида политик, предоставленных по умолчанию, чтобы вы могли модифицировать их так, как нужно. Вы можете создать собственную политику, используя мастер политики IP-безопасности. Мастер запускается правым щелчком мыши на оснастке IPSec в левом окне с последующим выбором Create IP Security Policy (Создать политику безопасности IP). При запуске мастер запросит следующую информацию.
Фрагмент готовой IPSec-политики показан на рис. 27.13. Можно также регулировать настройки, относящиеся к работе с ключами и к ограничениям информации, которой вы будете обмениваться. Например, щелкнув дважды на All IP Traffic (Весь IP-трафик), можно уточнить настройки данной характеристики. Как показано на рис. 27.14, эта специфическая деталь IPSec указывает на фильтрацию всего IP-трафика, ICMP-трафика или трафика обоих видов. Дальше IPSec-политика может быть присвоена групповой политике (Group Policy). Здесь она будет применяться ко всем компьютерам, которые являются членами группы, и ко всем пользователям. В отличие от других видов политики, локальная политика безопасности имеет приоритет над политиками, стоящими выше с иерархической точки зрения. Например, локальная IPSec-политика организационной единицы аннулирует политику, присвоенную домену. Рис. 27.13. Конфигурирование IPSec-политики в ММС Рис. 27.14. Редактирование правил IPSec Вход в систему Впервые пользователь сталкивается с политикой безопасности при входе в систему. Когда он усаживается за свой компьютер и нажимает на CTRL-ALT-DEL, то видит приглашение ко вводу имени пользователя и пароля. В этом разделе мы подробно рассмотрим, что представляет собой процесс входа в системе Windows XP Professional, и как осуществляется переход от одной учетной записи пользователя к другой. Типы процессов входа в систему При использовании Windows 2000 в качестве операционной системы сервера Windows XP Professional использует четыре типа процессов входа.
При входе в систему Windows XP Professional с использованием интерактивного процесса данные, удостоверяющие личность пользователя, сверяются с данными, хранящимися на локальном компьютере или на контроллере домена. Эти процессы будут различаться в зависимости от того, где хранятся данные о пользователе. Примечание. При входе в домен Windows 2000 в диалоговом окне должна появится надпись Logon domain (Домен входа). Если этого не произошло, щелкните на кнопке Options (Параметры) и выберите домен или введите имя пользователя в следующем формате: username@ mycomputer.myorganization.com. Интерактивный вход Для конечного пользователя процесс входа представляется достаточно простым. Надо вписать свое имя пользователя и пароль и нажать на Enter. Однако большая часть событий, необходимых для осуществления интерактивного входа, происходит "за кулисами". В процессе входа задействованы следующие компоненты.
Запуск от имени Если вы в своей Windows-сети выполняете всю работу, используя свои администраторские данные для удостоверения личности, то подвергаете сеть необоснованному риску. Например, вы можете неумышленно занести вирус, который распространится по всей сети. Наилучшим способом минимизировать риск является использование для входа прав обычного или опытного пользователя и своей учетной записи администратора, только если этого требует работа. К сожалению, выходить из системы в качестве пользователя и снова входить в нее в качестве администратора - дело достаточно нудное и неэффективное. Поэтому в Windows XP Professional есть инструмент под названием Run As (Запуск от имени). Он позволяет пользователю входить в систему с одним набором данных, удостоверяющих его личность, а затем запускать приложения, используя другой набор привилегий. Например, используя данные удостоверения личности обычного пользователя, вы можете выполнять свою ежедневную работу, заходить на сайты в интернете и т. д. Затем, если потребуется управление группой пользователей, вы обращаетесь к Run As, выполняете свои административные задачи и закрываете Run As. Запуск от имени позволяет запускать:
Для запуска Run As проделайте следующие шаги.
Рис. 27.15. Диалоговое окно Run As (Запуск от имени)
Если инструмент Run As (Запуск от имени) не работает, убедитесь в том, что сервис Run As подключен, используя оснастку Services (Службы) ММС. Протоколы Существует много протоколов обеспечения безопасности, и система Windows XP Professional использует два наиболее распространенных: Kerberos и NTLM. NTLM используется по умолчанию как протокол входа в систему в сетях Windows NT. Kerberos применяется как протокол по умолчанию для доменов Windows 2000. Протокол Kerberos применяется в том единственном случае, когда контроллеры доменов используют Windows 2000 или .NET, а клиенты используют Windows XP Professional. В остальных сценариях применяется протокол NTLM. В следующих разделах рассматривается работа этих протоколов безопасности. Kerberos - это протокол аутентификации по умолчанию, используемый в системах Windows 2000 и Windows XP Professional. Протокол Kerberos был разработан в Технологическом институте (Массачусетс) в 1232323 г. Этот протокол предоставляет быстрый одноразовый вход в систему Windows-сети, а также в сети с другими операционными системами, поддерживающими Kerberos. Протокол Kerberos обеспечивает следующие возможности:
Протокол Kerberos обеспечивает взаимно-секретную аутентификацию. Это означает, что знают пароли только клиент и другой компьютер (называемый центром распространения ключей - KDS). Kerberos предоставляет быструю аутентификацию, поскольку снимает бремя этой задачи с сервера и передает его клиенту и KDS. NTLM Протокол NTLM осуществляет аутентификацию компьютеров и клиентов по принципу вызов/ответ. При работе по протоколу NTLM исходный сервер должен контактировать с контроллером домена для подтверждения подлинности пользователя или компьютера. Примечание. Протокол NTLM можно использовать не только в окружении домена, но также при взаимодействии двух устройств одного ранга и в групповой работе. Следующие шаги поясняют, что происходит при интерактивном входе в систему в соответствии с протоколом NTLM.
Примечание. LSA - это объект, который получает имя пользователя и пароль от Winlogon и принимает решение о разрешении входа в систему локального компьютера или сети.
|
|