Изменения в настройках по умолчанию делают Windows Server 2003 более безопасным (часть 2)

нажмите здесь

Несколько недель назад в части 1 этой статьи, состоящей из двух частей, мы обсуждали, как современная вычислительная среда с высокой степенью риска, изобилующая вирусами, червями и потенциальными злоумышленниками и злоумышленниками, означает, что современные операционные системы должны использовать другой подход к безопасности, чем подходы мимо. Как никогда важно, чтобы более высокий уровень безопасности был частью конфигурации по умолчанию. Следовательно, Microsoft внесла ряд изменений в настройки по умолчанию в Windows 2003, чтобы сделать ее более безопасной «из коробки».

Мы уже рассмотрели некоторые из этих изменений, в том числе различия в разрешениях по умолчанию (как для общего доступа, так и для NTFS), изменения членства в группе «Все» и изменения владения объектами. Во второй части мы рассмотрим изменения, внесенные в настройки по умолчанию для общих служб, и изменения в процессе аутентификации, а также обсудим некоторые области, в которых некоторые считают, что значения по умолчанию в Server 2003 все еще слишком открыты.

Настройки по умолчанию для общих служб

Другое изменение в Windows Server 2003 заключается в том, что меньшее количество служб теперь запускается под учетной записью локальной системы. Почти все службы использовали эту учетную запись в Windows 2000. Программы, работающие в этом контексте, имеют неограниченные привилегии на локальном компьютере, что представляет очевидную угрозу безопасности. Вместо использования учетной записи локальной системы некоторые распространенные службы теперь используют учетную запись локальной службы или сетевой службы. Эти учетные записи имеют гораздо более низкий уровень привилегий, чем локальная системная учетная запись.

По-прежнему существует множество служб, которые входят в систему как локальная система (например, служба автоматического обновления, служба браузера компьютера и клиент DHCP, наряду со многими другими, по-прежнему используют учетную запись локальной системы). Однако некоторые другие этого не делают. Например, служба Alerter, которая использовала учетную запись локальной системы в Windows 2000, использует учетную запись локальной службы в Server 2003, а служба DNS, которая использовала учетную запись локальной системы в Windows 2000, использует учетную запись сетевой службы в Server 2003. обеспечивает лучшую безопасность.

Изменения в процессе аутентификации

Процесс аутентификации был улучшен для повышения безопасности как при входе на локальный компьютер, так и при входе в домен. Одним из важных изменений для аутентификации локального компьютера является невозможность использования пустых паролей при удаленном доступе к системе (обратите внимание, однако, что пустые пароли по-прежнему можно использовать на консоли).

Доверительные отношения между лесами — это новая функция проверки подлинности домена Active Directory. Доверие леса использует Kerberos v5 или NTLM, маршрутизируя запросы проверки подлинности между лесами. Администраторы могут управлять областью проверки подлинности между двумя лесами, имеющими доверительные отношения, с помощью выборочной проверки подлинности. Когда используется выборочная проверка подлинности, вы можете вручную установить разрешения для доменов и ресурсов, к которым вы хотите предоставить доступ пользователям в другом лесу.

Изменения в ИИС

Некоторые из наиболее существенных изменений относятся к параметрам по умолчанию в IIS 6.0. Веб-сервер теперь не устанавливается по умолчанию при установке выпусков Server 2003 Standard, Enterprise и Datacenter (по понятным причинам он устанавливается в выпуске Web Server). Это помогает устранить слишком распространенную ситуацию, когда администраторы непреднамеренно запускают в сети мошеннические веб-серверы.

Если вы устанавливаете IIS 6.0, по умолчанию он находится в «заблокированном» режиме, в котором компоненты динамического содержимого, такие как расширения ASP, WebDAV и FrontPage, отключены. IIS 6.0 также включает новый метод проверки подлинности и авторизацию по URL-адресу для большей безопасности. Дополнительные сведения о новых функциях безопасности IIS 6.0 см. в моей статье « Что нового в Windows 2003 Server: улучшения безопасности IIS» на этом сайте по адресу https://techgenix.com/IIS_Security_Enhancements/.

Простое повторное применение настроек безопасности по умолчанию

Новая функция безопасности Server 2003 позволяет легко повторно применять параметры безопасности по умолчанию, если вы внесли изменения. Есть два способа сделать это:

• С графическим интерфейсом
• В командной строке

Чтобы повторно применить настройки с графическим интерфейсом, вы используете инструмент «Конфигурация и анализ безопасности» (создайте пользовательскую MMC и добавьте оснастку «Конфигурация и анализ безопасности»). Войдите в систему с соответствующими административными привилегиями (локальный администратор для повторного применения параметров по умолчанию к локальному компьютеру или прав администратора домена или предприятия для повторного применения параметров к компьютеру домена). Необходимо импортировать соответствующий шаблон (шаблон безопасности контроллера домена для контроллеров домена или шаблон безопасности установки для контроллеров, не являющихся контроллерами домена), а затем выполните следующие действия:

1. Установите флажок Очистить эту базу данных перед импортом.
2. Щелкните Открыть.
3. Щелкните правой кнопкой мыши Конфигурация и анализ безопасности в дереве консоли и выберите Настроить компьютер сейчас.
4. Укажите путь к файлу журнала ошибок или примите путь по умолчанию.
5. Нажмите OK, чтобы выполнить настройку.

Вы также можете использовать команду secedit для повторного применения настроек по умолчанию для определенных областей вместо применения всего шаблона безопасности настройки.

ПРИМЕЧАНИЕ. Дополнительные сведения об использовании командной строки для повторного применения параметров см. в разделе secedit /configure в файлах справки Windows Server 2003.

Значения по умолчанию все еще недостаточно заблокированы?

Сторонники строгой философии безопасности «принцип наименьших привилегий» довольны тем, что Microsoft предприняла шаги по созданию более закрытой среды для Windows Server 2003, но утверждают, что они не зашли достаточно далеко. Вопрос, как всегда, в том, какую доступность пользователи и администраторы готовы обменять на большую безопасность?

В своей предыдущей карьере я был инструктором в полицейской академии и обучал молодых новобранцев оборонительной тактике. Вопрос, который всегда возникал у полицейских-новичков, касался «кобуры безопасности» — она была разработана для того, чтобы злоумышленнику было труднее отобрать пистолет у полицейского. Единственная проблема заключалась в том, что со многими из этих высокозащищенных кобур мы обнаружили на учениях по обращению с огнестрельным оружием, что офицер сам не мог вытащить оружие, когда это было необходимо — да, Вирджиния, может быть, есть такая вещь, как слишком много безопасности.

Точно так же мы уже слышим жалобы от веб-администраторов на IIS 6.0 — многие функции «выключены» по умолчанию, что ухудшает функциональность приложения. В академии мы советовали тем, кто решил использовать кобуры с высоким уровнем безопасности, что цена, которую они должны были заплатить, заключалась в том, чтобы научиться ими пользоваться. То же самое относится и к новым операционным системам и приложениям с высоким уровнем безопасности: кривая обучения будет больше. Это не обязательно плохо, но важно, чтобы этот компромисс был понят заранее. Безопасность имеет свою цену, и эта цена — доступность. В сегодняшнем опасном мире (как онлайн, так и офлайн) это зачастую приемлемая цена.

Резюме

Windows Server 2003 включает множество новых функций безопасности, и одной из таких функций являются настройки по умолчанию, обеспечивающие более строгую безопасность (и меньшую доступность), чем в предыдущих версиях Windows. В этой статье, состоящей из двух частей, мы рассмотрели, как новые настройки по умолчанию делают Windows Server 2003 самой безопасной серверной операционной системой Microsoft.