1 Политика информационной безопасности Ульяновск – 2013 г. Лекция 16 /

училище гражданской авиации
Кафедра информатики
Лектор: доцент кафедры информатики
кандидат технических

наук, доцент
Капитанчук Василий Вячеславович

для Вузов. – М.: Горячая линия - Телеком, - 2006.

– 544 с.
А.Ю.Щербаков. Введение в теорию и практику компьютерной безопасности. – М.: издатель Молгачева С.В., 2001, 352 с.

паролями, условия блокировок и политику Kerberos в доменах.
Локальные политики. Включают

правила аудита событий, назначения привилегий пользователям и группам и некоторые возможности защиты.
Правила журнала регистрации. Регулируют использование журналов регистрации событий: System (Система), Security (Безопасность), Application (Приложение).
Правила групп с ограниченным членством. Устанавливают, кто может быть членом таких групп и в какие группы могут входить группы с ограниченным членством.

Безопасность операционной системы основана на правилах, регулирующих разные аспекты ее работы. Вместе эти правила составляют единую ПОЛИТИКУ БЕЗОПАСНОСТИ. В Windows 2000 и более поздних NT-образных ОС политика безопасности представляет собой часть групповой политики
В свою очередь, она (политика безопасности) состоит из набора правил, объединенных в следующие группы (все основано на примере Windows XP Professional):

доступ к ветвям реестра, определяют параметры аудита и владельца конкретного

элемента реестра.
Правила файловой системы. Ограничивают доступ к объектам файловой системы, определяют владельца и параметры ведения аудита. Используется только для томов с NTFS.
Политики открытого ключа. Позволяют настроить, в частности, правила использования файловой системы с шифрованием (EFS, Encrypted File System). Эти политики и все последующие являются дополнительными, они не используются в шаблонах безопасности и не анализируются и не настраиваются оснасткой Анализ и настройка безопасности. О них мы говорить не будем.
Политики ограниченного использования программ. Разрешают/запрещают запуск программ пользователям. Что есть «программа», определяется по указанному расширению.
Политики безопасности IP. Определяют настройки фильтров IP, а также использование шифрования пакетов (IPSec).

домена — добавляется политика Kerberos)
1). группы: политика паролей и

2). политика блокировки учетной записи.

Правила паролей задают требования, предъявляемые к паролям пользователей системы. Об отдельных правилах говорить не будем, так как я надеюсь, что читатель достаточно любознателен, чтобы исследовать их самостоятельно, к тому же, их названия говорят сами за себя (данное предположение действует и на весь остальной текст).
Так как среди взломщиков («хакеров» согласно терминологии современного мэйнстрима, хотя это исторически неверно) популярностью пользуются атаки, заключающиеся в подборе пароля по заранее составленному файлу с набором типичных паролей («словарная атака») и просто грубому перебору всех возможных комбинаций символов («brut force»), то необходимо принять меры, страхующие систему от подобных методов взлома.

установить количество ошибочных попыток набора пароля до блокировки учетной записи,

срок этой блокировки и период сброса счетчика неудачных попыток ввода пароля.
Это мощное средство, однако им нужно пользоваться с осторожностью, так как возможен обратный эффект от его действия — взломщик может просто заблокировать аккаунт администратора, перешагнув порог блокировки учетной записи своими попытками подобрать пароль.

Именно для этого существует правило, задающее срок этой блокировки (он не должен быть слишком большим).

компьютера.
Они делятся на три группы:
политики аудита,
назначение прав

пользователя и
параметры безопасности.

ЛОКАЛЬНЫЕ ПОЛИТИКИ

Политика аудита предписывает заносить в журнал Безопасность те или иные события (удачные и/или неудачные). После указания событий, требующих регистрации, можно указать конкретные объекты, за которыми будет вестись слежение (например, после разрешения аудита доступа к объектам можно в свойствах папки указать ведение аудита доступа для конкретных пользователей и/или групп).

станции, рядового сервера и контроллера домена.
Правила назначения прав пользователя

позволяют настроить привилегии пользователей и/или групп.
Например, по умолчанию отлаживать процесс имеет право только администратор, а у вас подрастает сын и уже пытается что-то программировать в Delphi (или еще в чем-нибудь).
Естественно, у него ограниченная пользовательская учетная запись в системе, а идея дать ему права администратора выглядит экстремизмом.
Вся проблема решается добавлением учетной записи вашего сына в правиле Отладка программ.

Параметры безопасности представляют собой дополнительные правила, усиливающие защиту системы.

их переполнения. Тут (и далее) нам придется действовать двумя методами,

так как оснастка
Локальная политика безопасности не позволяет изменять данные параметры. Можно задать эти свойства в оснастке Просмотр событий, а можно воспользоваться оснастками Анализ и настройка безопасности и Шаблоны безопасности (о них мы поговорим чуть позже, а пока загрузите в консоль MMC данные оснастки).
Правила групп с ограниченным членством — мощное средство контроля за членством в группах, которые могут повлиять на работоспособность и безопасность системы.
Например, один администратор добавил нового временного администратора, а потом об этом забыл. Данные же правила запретят ему выполнить подобную операцию. Применяются они, в основном, в рамках домена, так как на локальном компьютере администратор чаще всего один, значит, новых пользователей создает только он, следовательно, за все только он и отвечает.

ОСТАЛЬНЫЕ ПОЛИТИКИ

другие свойства можно также задать в оснастке Службы) и права

доступа к ней. Это критичные параметры, изменяйте их с умом.
Правила реестра задают права доступа к ветвям реестра, владельца и ведение аудита.
Данные параметры можно менять с помощью редактора реестра (Regedit.exe для XP, Regedt32.exe — для остальных NT).
Не рекомендуется изменять значения данных свойств для корневой ветви HKEY_LOCAL_MACHINE во избежание неработоспособности системы.
Правила файловой системы, как и правила реестра, разграничивают доступ к ее объектам, назначают владельца и аудит. Изменение этих параметров доступно из закладки свойств Безопасность.
Не следует изменять параметры по умолчанию для папок и файлов, используемых системой, таких, как %SystemRoot%, Documents and Settings etc.

безопасности и Шаблоны безопасности.
Начнем со второй оснастки.
Данная оснастка предоставляет

нам возможность просматривать и редактировать шаблоны безопасности, содержащие параметры настройки перечисленных в начале групп параметров (кроме дополнительных).
Шаблоны представляют собой обыкновенные текстовые INF-файлы следующего формата:

[Раздел значений] Правило 1 = Значение Правило 2 = Значение

По умолчанию с системой идет ряд стандартных шаблонов, открывающихся сразу

в оснастке Шаблоны безопасности. Они лежат в папке %SystemRoot%\ security\ templates.
Для каждого шаблона можно просмотреть описание, говорящее о его функциональных возможностях. Редактировать стандартные шаблоны не рекомендуется, лучше создать новый, выбрав в контекстном меню пути поиска пункт Создать шаблон…
Кстати, возможно копирование отдельных групп параметров (через контекстное меню), что упрощает создание нового шаблона, т.е. мы будем делать его не с нуля. Если какое-либо правило не определено в шаблоне, то после его применения будет действовать значение по умолчанию.

безопасности на локальном компьютере.
Сравнение установленных значений правил с шаблонными.
Использование в

качестве шаблонных правил добавляемые шаблоны.
Формирование новых правил.
Сохранение новых правил в виде шаблона.
Применение вновь созданных правил к системе.

конфигурации безопасности.
База представляет собой файл, в котором хранятся эталонные

параметры безопасности. В базу можно добавлять шаблоны безопасности. По умолчанию она располагается в каталоге %SystemRoot%\ security\ database.
Для создания новой базы (а имеющаяся secedit.sdb недоступна) нужно в контекстном меню элемента Анализ и настройка безопасности выбрать пункт Открыть базу данных… и ввести новое имя, после чего в нее можно импортировать шаблон пунктом меню Импорт шаблона…
После этих действий можно проанализировать безопасность системы. Для этого загрузите нужную базу, после чего в контекстном меню уже упомянутого не раз элемента выберите пункт Анализ компьютера… Затем можно заняться собственно анализом, так как анализировать будем именно мы.

изменились согласно следующим правилам:
Если в базе параметр задан и соответствует

установленному в системе, то он помечается галочкой.
Если параметр в базе задан, но не соответствует установленному в компьютере, то он помечается крестиком.
Если параметр не задан в базе, то анализ не выполняется, соответственно и значок не изменяется.

параметрами сохраняются только в базе. Затем можно выполнить экспорт шаблона

для дальнейшего использования. Это делается командой контекстного меню Экспорт шаблона… Ну, а финалом всех наших манипуляций будет конфигурирование машины согласно загруженной базе безопасности. Для этого жмем во все том же меню пункт Настроить компьютер.
У нас получилась настроенная, безопасная система, готовый шаблон (если взбредет в голову его потом использовать, скажем, на другом компьютере) и база, позволяющая анализировать текущую конфигурацию с шаблонами.
К слову, оснастка Анализ и настройка безопасности в большинстве случаев вполне успешно заменяет оснастки Локальная политика безопасности и Шаблоны безопасности.
И еще. Существует ее консольный аналог — утилита secedit.exe, но с ней разбирайтесь сами

потому что:
Эти записи могут управлять контроллерами домена, серверами и рабочими

станциями домена
Эти записи часто используются для работы приложений и системных служб
Эти записи могут иметь привилегии в других доменах и лесах, связанных доверительными отношениями
Компрометация таких записей может повлиять на безопасность всего леса

то, что эта запись обладает особыми привилегиями, однако при этом

SID остается прежним:
S-1-5-domain-500

Создайте новую административную учетную запись и отключите встроенную запись Administrator

себя:
Разделение пользовательских и административных записей
Использование службы secondary logon
Отключение встроенной записи

Administrator
Применение сложных паролей
Запрет функции делегирования для учетной записи
Повышение безопасности процесса регистрации в сети

ролей:
Используйте единственную надежно защищенную учетную запись с правами Enterprise Admin
Для

каждого администратора создайте две записи: одну с правами пользователя для выполнения обычных повседневных задач, вторую с административными правами для выполнения административных задач
Не ассоциируйте почтовый ящик с административной учетной записью
Не запускайте стандартные приложения и браузер под административной учетной записью

приложений, консолей и элементов в Панели Управления в контексте администратора

и отключите встроенную запись Administrator

сложные пароли
Используйте ключевые фразы в качестве паролей
Не используйте пустые и

слабые пароли
Применяйте сканирование для выявления слабых паролей

Используйте Microsoft Baseline Security Analyzer для сканирования и выявления слабых паролей

записей:
Запретите делегирование для учетных записей компьютеров, не защищенных физически
Отключите делегирование

для всех записей с правами администратора домена, установив в их свойствах параметр Account is sensitive and cannot be delegated

регистрации администратора в сети :
Использование смарт-карт
Разделение учетных данных для наиболее

важных административных записей
Ограничение способов и устройств, с которых разрешена регистрация в сети

функций ОС Windows
Системная служба
Обеспечивает функциональность и контекст безопасности приложения
Прикладная служба
Локальная

или доменная учетная запись для создания контекста безопасности системной или прикладной службы

Учетная запись службы

Служба – это приложение, запускаемое независимо от сеанса текущего пользователя

включают в себя:
До Windows 2000 для доступа к сетевым ресурсам

необходимо было запускать службы в контексте доменной учетной записи

Проблемы на уровне ОС

Некоторые приложения требуют запуска своих служб с правами локального или доменного администратора

Проблемы на уровне приложения

Некоторые администраторы наделяют учетную запись службы административными правами «просто, чтобы это работало»

Административ-ные проблемы

на ваши серверные системы
Повысить общий уровень безопасности в терминах

защиты критически важных данных, хранящихся на серверах
Увеличить время безотказной работы и стабильность системы
Снизить нагрузку на ИТ-персонал и ТСО серверных систем
Обеспечить минимально необходимый набор разрешений для специфичных учетных записей

на подсистему Local System Authority (LSA)
Количеством серверов, на которых службы

запущены в контексте доменных учетных записей
Набором привилегий доменной учетной записи, которая используется для запуска службы

различным уровнем риска:
Служба использует учетную запись доменного администратора на DC

и других серверах домена
Учетная запись службы имеет административные права на ряде серверов домена, включая сервер, на котором одна из служб использует запись администратора домена. Транзитивная уязвимость
Учетная запись службы имеет административные права на ограниченном наборе серверов домена
Учетная запись службы имеет административные права только на один сервер

4
Server 5
Domain Controllers
DC1
DC2

4
Server 5
Domain Controllers
DC1
DC2

прозрачности вашей системы
Принцип минимальности служб
Принцип минимальности привилегий

(sc.exe)
Windows Management Instrumentation (WMI)
WMIC
System Information
Административная консоль Services
Административные

скрипты
Специализированные серверные продукты

и службы, которые необходимы для выполнения бизнес-задач
Отключите все ненужные службы

в процессе первичной конфигурации нового сервера
Учитывайте вопросы безопасности при настройке сервера на выполнение нескольких ролей
Избегайте запуска дополнительных служб на контроллерах домена
Используйте групповые политики для настроек и контроля служб

выполнения своих функций
По возможности запускайте службы от имени учетной записи

LocalService
Используйте запись NetworkService для служб, которым необходим доступ к сетевым ресурсам
Используйте запись LocalSystem для служб, которым необходим доступ к сетевым ресурсам и полный набор прав на локальный компьютер
Применяйте повышенные меры безопасности к серверам, на которых запущены службы с правами доменного администратора

service
Domain admin
Пользов. запись
Local system
Local admin

каталога в случае контроллера, доступ к сети от имени учетной

записи компьютера

Local System

Минимальные права на локальный компьютер, анонимный доступ к сетевым ресурсам

Local Service

Ограниченные права на локальный компьютер, доступ к сети от имени учетной записи компьютера

Network Service

Службы могут использовать следующие встроенные учетные записи:

быть наделены дополнительными правами явным образом или за счет членства

в группах

Локальные пользователи

Полный неограниченный доступ к локальному компьютеру

Локальные админ-ры

Ограниченные права в домене. Могут быть наделены дополнительными правами явным образом или за счет членства в группах

Доменные пользователи

Для запуска служб возможно использование следующих категорий пользовательских записей:

Полный неограниченный доступ к домену, а в случае группы Enterprise Admins – ко всему лесу

Доменные админ-ры

относительно встроенных служб Windows Server 2003:
Многие встроенные службы теперь запускаются

в контексте записей Local Service или Network Service, а не Local System, как было в предыдущих версиях
Для надежной работы системы не изменяйте настройки безопасности встроенных служб

службы на компьютере можно использовать:
Детальное описание всех системных служб в

руководстве “Threats and Countermeasures”
Краткое описание, доступное в свойствах каждой службы в консоли Services
Security Configuration Wizard

автоматически:
Отключает ненужные службы
Отключает ненужные виртуальные директории IIS
Блокирует неиспользуемые порты
SCW также

позволяет:

Защитить открытые порты с помощью фильтров IPSec
Снизить уязвимость протоколов LDAP, NTLM и SMB
Реализовать multi-homed сценарии
Импортировать шаблоны безопасности

имени пользовательской записи с административными правами
Служба запускается от имени

встроенной записи Administrator
Служба запускается от имени доменного администратора на недостаточно защищенных серверах
Административная запись используется с простым паролем

сервера, для которых необходимо сделать исключения из общей политики
1
Добавьте в

эту группу учетные записи серверов, определенных на первом шаге

3

Создайте доменную локальную группу и добавьте в нее все учетные записи с правами администратора домена

4

Создайте GPO с параметрами Deny log on as a service и Deny log on as a batch job для группы, созданной на шаге 4. Примените GPO ко всем подразделениям, содержащим сервера

5

В GPO установите фильтр для группы Service Account Exceptions, чтобы на серверах этой группы можно было запускать службы с правами доменного администратора

6

Создайте универсальную группу Service Account Exceptions

2

служб необходимо помнить следующее:
При установке пароля для службы SCM* сохраняет

пароль в сервисной базе данных и в дальнейшем не проверяет его соответствие паролю в AD или SAM
Необходимо обновлять настройки службы, запущенной от имени доменной или локальной пользовательской записи, когда пароль этой записи изменяется

Используйте встроенные учетные записи для упрощения процедур управления паролями служб

* SCM – Service Control Manager

на серверах
Применяйте принцип минимальности служб и привилегий для повышения безопасности

служб

Четко разделяйте стандартные и административные учетные записи. Используйте последние только для выполнения административных задач

Применяйте аутентификацию на основе смарт-карт для всех администраторов домена

ü

ü

ü

ü

обучение по безопасности
https://www.microsoftelearning.com/security
Интерактивные веб-трансляции
http://www.microsoft.com/events/security/default.mspx
Информация по безопасности Windows Server 2003
http://www.microsoft.com/technet/security/prodtech/ windowsserver2003/w2003hg/sgch00.mspx