Базовый уровень с помощью шаблонов безопасности

Опубликовано: 13 Апреля, 2023

Посетите веб-сайт Дерека, посвященный средствам аудита и безопасности Windows, статьям, книгам, форумам и многому другому…
www.auditingwindows.com


Решение для создания и реализации базовых показателей безопасности на компьютерах в вашей сети состоит в том, чтобы «просто сделать это». Базовые показатели безопасности закладывают основу для общей безопасности компьютера. Если у компьютера нет фундамента, шансы его взлома очень высоки.


Одна из самых распространенных жалоб на создание и внедрение базовых показателей безопасности заключается в том, что их трудно установить для разных компьютеров в сети и практически невозможно реализовать. Соедините эту жалобу с поддержанием компьютеров в актуальном состоянии с базовыми показателями безопасности, что приведет к тому, что компьютеры будут работать без каких-либо базовых показателей или основы безопасности.


Что такое базовый уровень безопасности?


Я уверен, что вы все слышали об основах безопасности или имели предвзятое их определение. Однако я просто хочу убедиться, что мое определение и ваше определение совпадают для этой статьи. Базовый уровень безопасности — это набор параметров безопасности, которые устанавливаются для каждого типа компьютеров в вашей организации. Базовый уровень безопасности устанавливается таким образом, что компьютер выполняет свои обязанности, но не более того.


Причина такого «ограниченного» подхода заключается в том, что если компьютер не может выполнять ничего, кроме своих предопределенных обязанностей, вероятность успешной атаки на него намного меньше.


Компьютеры с ОС Windows нуждаются в базовых показателях безопасности больше, чем компьютеры любого другого типа, по нескольким причинам. Во-первых, Microsoft печально известна тем, что допускает небезопасную установку своих операционных систем по умолчанию. Я не думаю, что мне нужно сильно защищать это утверждение, учитывая проблемы с Internet Information Services и Internet Explorer за последние пару лет.


Базовый уровень безопасности будет состоять не только из защиты служб и приложений; он пойдет в ядро настроек безопасности компьютера. Типичный базовый уровень безопасности будет включать контроль над службами, разрешения на файлы, разрешения реестра, протоколы аутентификации и многое другое. Базовый уровень безопасности будет установлен для каждого типа компьютеров в вашей организации. Это будет включать контроллеры домена, файловые серверы, серверы печати, серверы приложений, клиенты и т. д.


Шаблоны безопасности для базового уровня


В последней статье, которую я написал, Понимание шаблонов безопасности (ССЫЛКА!!!), вы познакомились с содержимым шаблона безопасности. Там мы увидели, что шаблон безопасности включает в себя настройки для следующих областей:



  • Политика учетной записи
  • Права пользователя
  • Настройки журнала событий
  • Группы с ограниченным доступом
  • Системные службы
  • Права доступа к файлам
  • Разрешения реестра

Как вы можете видеть из этого списка в список, который мы только что представили в разделе базовых показателей выше, они практически охватывают одни и те же параметры безопасности. Хотя типичный базовый план безопасности должен включать несколько областей за пределами шаблона безопасности по умолчанию, он включает в себя так много параметров, что его нельзя игнорировать в качестве решения для реализации ваших базовых показателей безопасности.


Настройка шаблонов безопасности


Первым шагом к внедрению базовых показателей безопасности на ваших компьютерах является определение базовых показателей для каждого типа компьютеров. Следующим шагом является создание среды, позволяющей легко и эффективно реализовать эти настройки. Решением второго шага является разработка шаблонов безопасности для каждого типа компьютеров.


Чтобы завершить создание этого шаблона безопасности, вы будете использовать оснастку «Шаблоны безопасности». Оснастка «Шаблоны безопасности» включена в консоль управления Microsoft (MMC). Чтобы получить доступ к MMC и включить оснастку, выполните следующие действия:



  1. Нажмите кнопку «Пуск».
  2. Выберите пункт меню «Выполнить».
  3. Введите MMC в текстовое поле и нажмите кнопку OK.
  4. Выберите «Консоль» на панели инструментов, чтобы получить доступ к параметрам меню.
  5. Выберите пункт меню оснастки «Добавить-удалить».
  6. Нажмите кнопку Добавить.
  7. Выберите «Шаблоны безопасности» в списке оснасток, затем нажмите кнопку «Добавить».
  8. Нажмите кнопку «Закрыть», затем нажмите кнопку «ОК».
  9. Разверните узел Security Templates, затем разверните узел C:WinntSecurityTemplates, чтобы увидеть список шаблонов безопасности, как показано на рисунке 1.


Изображение 26083
Рис. 1. Оснастка «Шаблоны безопасности» предоставляет доступ к шаблонам по умолчанию, а также возможность создавать новые шаблоны.


Вы можете начать с одного из предварительно настроенных шаблонов безопасности или создать свой собственный. Если один из предварительно сконфигурированных шаблонов имеет 90% настроек, которые вы предпочитаете, вы можете просто скопировать его в качестве отправной точки.


Если вы хотите создать собственный шаблон безопасности, просто щелкните правой кнопкой мыши папку шаблона безопасности (C:WinntSecurityTemplates) и выберите Новый шаблон.


Это создаст новый шаблон, в котором изначально нет конфигураций. В качестве предложения убедитесь, что вы называете шаблон безопасности в соответствии с тем, что он будет контролировать, потому что их может быть трудно отследить, когда создано множество шаблонов.


После создания шаблона вы просто углубитесь в различные тематические области шаблона безопасности, установив параметры, соответствующие установленным вами базовым параметрам безопасности.


Чтобы сделать процесс создания всего шаблона безопасности более эффективным, вы можете создать матрицу, включающую все базовые показатели безопасности и их параметры. Начните с создания шаблона безопасности с наименьшим количеством базовых параметров. Затем скопируйте этот шаблон, чтобы создать дополнительные шаблоны, которые нужно будет только настроить с учетом отличий от исходного шаблона безопасности.


Развертывание шаблонов безопасности


После создания шаблона безопасности его необходимо развернуть. Если вам нужно развернуть параметры безопасности только на нескольких компьютерах, вы можете выбрать ручной метод, который позволяет более жестко контролировать установку безопасности на компьютерах. Если вы против развертывания шаблонов безопасности на тысячах компьютеров, вам следует выбрать автоматизированное решение, обеспечивающее постоянные последствия. Существует три основных метода развертывания шаблонов безопасности для установления базовых показателей безопасности на ваших компьютерах: вручную, с помощью инструмента командной строки и с помощью объекта групповой политики.


Руководство


Вы, вероятно, можете догадаться, что из трех методов это наименее используемый метод. Причина кажется довольно очевидной: вы не хотите вручную настраивать тысячи компьютеров, чтобы установить на них безопасность. Однако ручное развертывание шаблонов безопасности является распространенным явлением. Скорее всего, вы увидите это, когда компьютер не является частью домена Windows Active Directory и когда администратор компьютера не имеет прав администратора Active Directory, но имеет административные права на компьютер.


Этот метод включает использование оснастки «Конфигурация и анализ безопасности» (SCA). Доступ к оснастке осуществляется так же, как мы обращались к оснастке «Шаблоны безопасности» сверху.


SCA работает только на том компьютере, на котором запущена MMC. Инструмент не может настраивать компьютеры удаленно, и здесь ограничения очевидны. Чтобы настроить компьютер с помощью шаблона безопасности, выполните следующие действия в оснастке SCA:



  1. Щелкните правой кнопкой мыши узел SCA и выберите «Открыть базу данных».
  2. Выберите имя для базы данных
  3. Выберите шаблон безопасности, который вы хотите использовать
  4. После создания базы данных щелкните правой кнопкой мыши узел SCA и выберите параметр «Настроить компьютер сейчас».

Командная строка


Если у вас есть несколько компьютеров, которые необходимо настроить, но у вас нет доступа или контроля над объектами групповой политики в Active Directory, вы можете развернуть шаблоны безопасности с помощью параметра командной строки. Инструмент командной строки называется SECEDIT.EXE и является версией SCA для командной строки. Почти все, что вы можете сделать в SCA, вы также можете сделать с помощью инструмента SECEDIT.


SECEDIT можно запускать на каждом компьютере или создать сценарий для автоматического запуска на многих компьютерах. Команда, которая развернет шаблон безопасности на компьютере:


SECEDIT /configure /db db1.sdb cfg имяшаблона_сектора.inf /log имя_журнала.log


При этом локальный компьютер будет настроен с использованием имени базы данных db1.sdb, имени шаблона безопасности sectplatename.inf и файла журнала logname.log. Эти имена могут быть какими угодно. Если вы пишете команду в сценарии, вам нужно поместить файл шаблона безопасности в сетевую папку и использовать сетевой путь, чтобы указать компьютеру файл.


объекты групповой политики


Самый эффективный и простой способ развертывания шаблонов безопасности — использование объектов групповой политики. Объект групповой политики предоставляет масштабируемое и постоянное решение. Для решения требуется домен Active Directory и доступ к объектам групповой политики. Использование объектов групповой политики для реализации ваших шаблонов безопасности более эффективно, чем два других решения, потому что два других решения просто не масштабируются на весь домен компьютеров. Объекты групповой политики предоставляют метод реализации шаблонов безопасности в структуре Active Directory, где учетные записи компьютеров расположены и организованы в рамках организационных единиц (OU).


В объектах групповой политики проще реализовать шаблоны безопасности, поскольку шаблоны можно импортировать непосредственно в объект групповой политики. Поскольку объекты групповой политики связаны с организационными единицами, которые обычно создаются для размещения типов компьютерных объектов, это идеальное решение.


Первым шагом к использованию объектов групповой политики для реализации шаблонов безопасности является создание структуры OU, что имеет место в большинстве доменов Active Directory. Далее, должен быть уникальный объект групповой политики, связанный с каждым из OU, которые содержат разные типы компьютеров, например файловые серверы, серверы печати, серверы приложений и клиенты. По сути, для каждого базового уровня безопасности должно быть по крайней мере одно подразделение и объект групповой политики.


Чтобы получить шаблоны безопасности в объектах групповой политики, вам потребуется отредактировать объекты групповой политики с помощью интерфейса ADUC или консоли управления групповыми политиками. После редактирования объекта групповой политики вы развернете узел Computer Configuration, как показано на рисунке 2.



Изображение 26084
Рис. 2. Типичный объект групповой политики, открытый для импорта шаблона безопасности


Щелкнув правой кнопкой мыши на узле «Параметры безопасности», вы можете выбрать параметр «Импортировать политику». Откроется окно просмотра, позволяющее выбрать шаблон безопасности для каждого объекта групповой политики, который должен содержать шаблон безопасности. Затем просто закройте объект групповой политики, и настройки будут на месте.


После импорта шаблона безопасности и сохранения объекта групповой политики на компьютерах внутри подразделения автоматически будут настроены параметры шаблона безопасности в течение примерно 90 минут. Это обеспечивает простой способ развертывания шаблонов безопасности, легко влияет на все вычисления в домене и сохраняет их.


Резюме


Базовые показатели безопасности помогут как ИТ-специалистам, так и аудиторам, если они правильно разработаны и внедрены. Базовый уровень должен включать все параметры безопасности, которые необходимы для блокировки компьютеров, но при этом позволяют им выполнять свои функции. Должны быть созданы шаблоны безопасности для каждого типа клиентов и серверов, требующих различных настроек безопасности. После создания шаблонов безопасности для каждого типа компьютеров существует три различных варианта их реализации на компьютерах. Наиболее эффективным и простым способом развертывания шаблонов безопасности является использование объектов групповой политики. Объекты групповой политики будут связаны с OU, содержащими учетные записи компьютеров. Объекты групповой политики автоматически применяют параметры шаблона безопасности к компьютерам в домене.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023