Изменения в параметрах по умолчанию делают Windows Server 2003 более безопасным (часть 1)
Есть два основных подхода, которые можно использовать, когда речь идет о безопасности сети и операционной системы, и они основаны на двух очень разных философиях. Ни «правильный», ни «неправильный» — тот, который лучше всего подходит для данного компьютера или сети, зависит от обстоятельств, потребностей и приоритетов организации или отдельного пользователя. Самое главное, выбор зависит от того, что важнее в данной ситуации: доступ или контроль:
- Доступ как высший приоритет: в этом случае будет выбрана открытая по умолчанию система, в которой меры безопасности реализуются по мере необходимости. Вы начинаете со всего доступного, затем определяете, к чему не следует обращаться, и блокируете эти элементы.
- Контроль (безопасность) как главный приоритет: в этом случае лучшим выбором является закрытая по умолчанию система, основанная на принципе наименьших привилегий. Вы начинаете с того, что все заблокировано, а затем открываете только то, что необходимо.
Они всегда будут на противоположных концах континуума безопасности. Чем больше у вас контроля над сетью или ОС и чем надежнее вы защищаете ее от опасностей вычислений во взаимосвязанном мире (включая злоумышленников, злоумышленников, вирусы и другие вредоносные программы), тем менее доступной она будет. С другой стороны, чем проще вы сделаете доступ к ресурсам для сотрудников, клиентов, партнеров и других лиц, тем менее контролируемым и безопасным он будет. Этот компромисс неизбежен, поэтому первым шагом в разработке плана обеспечения безопасности является определение того, что является более приоритетным и на каком этапе континуума находятся ваши потребности. Идеальная система была бы полностью удобна для авторизованных и абсолютно непроницаема для всех остальных, но такой системы нет и быть не может.
В прошлом операционные системы Microsoft основывались на том, что доступ был приоритетом, и в прошлом для большинства организаций это было правдой. Если пользователи не могли получить доступ к необходимым им ресурсам, производительность (и деньги) терялись. Десять лет назад потребность в легком доступе перевесила риск вторжения или атаки. Но времена изменились, виртуальные улицы стали злее, а распространенность и возросшая изощренность хакеров и вирусописателей повысили ставки. Сейчас для большинства организаций безопасность является главным приоритетом. Microsoft отреагировала на это разными способами, начиная с инициативы «надежные вычисления». Одно большое изменение, очень заметное в Windows Server 2003, — это разница в настройках по умолчанию. В этой статье, состоящей из двух частей, мы рассмотрим, чем стандартный сервер отличается по умолчанию от предыдущих версий, и как новые значения по умолчанию делают ОС более безопасной (в то же время вызывая разочарование у некоторых администраторов). и пользователи, которые не могут получить доступ, который был доступен без какой-либо перенастройки в более ранних операционных системах). В части 1 мы сосредоточимся на том, как изменились разрешения по умолчанию, изменения членства в группе «Все» и владение объектами.
Новые настройки разрешений по умолчанию
Кандидаты на MCSE в треках NT и 2000 вдолбили себе это в головы, и многие «OJT» (обученные на рабочем месте) сетевые администраторы усвоили это на собственном горьком опыте: по умолчанию права доступа как к общему ресурсу, так и к NTFS были широко открыты — группа «Все» полный контроль. Это означало, что любой мог сделать что угодно с папкой или файлом: изменить его, удалить, даже изменить права доступа к нему. Первое, что сделал опытный администратор, заботящийся о безопасности, — это изменил значение по умолчанию.
Теперь, с Server 2003, все несколько более заблокировано. По умолчанию группа «Все» имеет только разрешения «Чтение» и «Выполнение» в корневом каталоге каждого диска. Эти разрешения не наследуются вложенными папками; группа «Все» по умолчанию не имеет прав доступа к вновь созданной папке или файлу.
Точно так же, когда вы создаете общий диск или папку, группа «Все» теперь по умолчанию имеет только разрешение «Чтение», а не полный доступ. Это большое отличие от более ранних версий Windows, где каждая новая папка давала всем полный контроль как через NTFS, так и через общие разрешения.
ПРИМЕЧАНИЕ. Хотя у группы «Все» нет разрешений NTFS для вновь созданной папки или файла, у группы «Пользователи» есть следующие разрешения: «Чтение и выполнение», «Чтение» и «Список содержимого папки». В чем разница между всеми и пользователями? Одно большое отличие состоит в том, что вы можете добавлять и удалять членов группы «Пользователи». По умолчанию любой новый пользователь, которого вы создаете, будет принадлежать к группе «Пользователи», но это можно изменить. Группа «Все» — это встроенная группа с заданным членством (то есть вы не можете добавлять и удалять участников, как в большинстве других групп безопасности).
По умолчанию группа «Администраторы», система и владелец/создатель по-прежнему имеют полный контроль над новыми папками через разрешения NTFS.
Разрешения могут применяться не только к файлам и папкам NTFS и общим папкам (независимо от файловой системы), но и к объектам Active Directory. Еще одно изменение в Windows Server 2003 касается разрешений Active Directory по умолчанию для контейнера политик безопасности IP, которые являются более строгими, чем в Windows 2000. Теперь единственными пользователями, имеющими разрешение на чтение, являются владельцы-создатели групповой политики и члены группы «Компьютеры домена». Члены группы администраторов домена могут вносить изменения в конфигурацию этого контейнера.
Изменения в составе группы «Все»
В прошлых версиях Windows встроенная группа «Все» состояла буквально из всех, кто имел доступ к системе, включая анонимных пользователей. В Server 2003 группа «Все» не включает анонимных пользователей, так что даже если разрешения предоставлены группе «Все», те, кто входит в систему анонимно, не имеют этих разрешений.
Те, кто входит в систему анонимно, входят в группу Anonymous Logon, еще одну встроенную группу с заданным членством.
Обратите внимание, что в доменной среде Windows Server 2003 можно разрешить членам группы «Анонимный вход» быть членами группы «Все» на контроллере домена, изменив политику безопасности домена ( Пуск | Программы | Администрирование | Политика безопасности домена). В левой панели консоли разверните следующие узлы: Политика контроллера домена по умолчанию, Конфигурация компьютера, Параметры Windows, Параметры безопасности, Локальные политики и щелкните Параметры безопасности. В области сведений щелкните правой кнопкой мыши Доступ к сети: Разрешить применение разрешений для всех к анонимным пользователям. Выберите «Свойства» и установите флажок «Определить эту политику», затем выберите «Включено», чтобы применить политику.
Изменения в праве собственности на объект
По умолчанию создатель файла или папки в разделе NTFS является владельцем этого объекта. В предыдущих версиях Windows можно было стать владельцем, но владелец не мог передать право собственности кому-то другому. Однако в Server 2003 вы можете «отдать» право собственности на объект, если являетесь его владельцем.
Это можно сделать, щелкнув правой кнопкой мыши файл или папку, выбрав «Свойства», выбрав вкладку «Безопасность» и нажав кнопку « Дополнительно». Щелкните вкладку Владелец ; это показывает текущего владельца элемента. В разделе «Изменить владельца» вы можете выбрать учетную запись пользователя или группы, которой вы хотите назначить право собственности. Это дает вам больше контроля и упрощает изменение владельца объектов файлов и папок (это также относится к объектам принтеров).
Резюме
Параметры по умолчанию в Windows Server 2003 предназначены для обеспечения более закрытой среды, чем когда-либо прежде. Во второй части мы рассмотрим изменения параметров по умолчанию для общих служб, изменения в процессе аутентификации, а также те области, в которых, по мнению некоторых, параметры по умолчанию Server 2003 все еще слишком открыты.