Мастер настройки безопасности в Windows Server 2003 с пакетом обновления 1

Опубликовано: 13 Апреля, 2023


Введение


Не секрет, что Microsoft необходимо поработать над безопасностью своих операционных систем. Также не секрет, что многие из их попыток на сегодняшний день не сработали так гладко, как они изначально планировали. Тем не менее, Microsoft, наконец, что-то поняла, представив новый мастер настройки безопасности, который входит в пакет обновления 1 для Windows Server 2003.


Мастер работает в сочетании с политиками безопасности. Полученные в результате политики безопасности можно применять к любому серверу в вашей сети, что обеспечивает согласованность и стабильность параметров безопасности на всех серверах. Политики безопасности создаются на основе базового сервера. После создания политики безопасности ее можно применить к базовому серверу или любому другому серверу в организации.


В этой статье мы рассмотрим варианты, которые у вас есть при работе с мастером настройки безопасности, начиная с вариантов управления политиками безопасности. Мы также рассмотрим ключевые области, на которые нацелен мастер, включая службы, сетевую безопасность, параметры реестра, администрирование и другие обязанности сервера.


Переход к мастеру настройки безопасности


Мастер настройки безопасности не устанавливается по умолчанию после установки пакета обновления 1 для Windows Server 2003. Чтобы установить мастер, вам потребуется воспользоваться апплетом «Установка и удаление компонентов Windows» на панели управления.


После установки мастера вы можете легко получить к нему доступ, перейдя в меню «Администрирование» из меню «Пуск». После запуска мастера вам будет представлен экран, показанный на рисунке 1.



Изображение 26046
Рисунок 1: Экран приветствия мастера настройки безопасности


Обратите внимание на сообщение, выделенное желтым знаком выхода. Сообщение указывает, что мастер обнаружит входящие порты, используемые этим сервером. Для этого необходимо, чтобы все приложения, использующие входящие порты, были запущены до того, как вы запустите мастер и создадите политику безопасности.


Работа с политиками безопасности


После запуска мастера вам сначала будет предложено принять решение о политике безопасности, с которой вы собираетесь работать. Вы можете создать новую политику, изменить существующую политику, применить существующую политику или отменить последнюю примененную политику. Все эти варианты можно увидеть на рисунке 2.



Изображение 26047
Рисунок 2. Вам нужно принять первоначальное решение о том, что вам нужно делать с политикой безопасности.


Политики безопасности создаются в виде XML-файлов с использованием расширения XML-файла. Местом хранения политики безопасности по умолчанию является C:WindowsSecuritymsscwpolicies. Вы можете предоставить описание каждой политики безопасности, что очень полезно, если у вас есть множество политик.


При работе с XML-файлом политики безопасности вы не будете работать с файлом в целом; вы будете работать с файлом в разных разделах. Эти разделы организованы и связаны с интерфейсом мастера настройки безопасности с использованием структуры базы данных конфигурации безопасности. Вы можете просмотреть базу данных конфигурации безопасности с помощью средства просмотра SCW, которое можно увидеть на рисунке 3.



Изображение 26048
Рисунок 3. Средство просмотра SCW позволяет просматривать все параметры, настроенные в политике безопасности, без просмотра собственного XML-кода или использования средства просмотра XML.


Настройка политики безопасности


После создания базы данных конфигурации безопасности вы будете работать с мастером настройки безопасности, чтобы настроить параметры безопасности, необходимые для сервера или группы серверов. Мастер мягко проведет вас через ряд разделов, связанных с ролями и функциями, за которые отвечает сервер. Ниже приводится сводка различных разделов, с которыми вы столкнетесь при настройке политики безопасности.


Конфигурация службы на основе ролей. В этом разделе представлен способ настройки установленных и доступных служб в зависимости от роли сервера и других функций. Мастер не предназначен для установки компонентов или настройки сервера для выполнения определенных ролей. Вместо этого он предназначен для включения служб и открытых портов на основе списка ролей сервера и функций клиента.



Примечание:
Чтобы установить компоненты или настроить сервер для роли, запустите мастер настройки сервера.


Этот раздел разбит на подразделы, которые позволяют вам выбирать роли сервера, клиентские функции, службы и т. д. Вот список подразделов, с которыми вы столкнетесь в разделе конфигурации службы на основе ролей:



  • Выберите роли сервера
  • Выберите функции клиента
  • Выберите администрирование и другие параметры.
  • Выберите дополнительные услуги
  • Работа с конкретными службами
  • Подтвердить изменения услуги

Сетевая безопасность — этот раздел предназначен для настройки входящих портов с помощью брандмауэра Windows. Конфигурации будут основываться на ролях и параметрах администрирования, выбранных в предыдущем разделе. Вы также сможете ограничить доступ к портам и настроить трафик порта для подписи или шифрования с использованием IPSec. Выбор портов основан на портах и приложениях, использующих определенные порты, как показано на рисунке 4.



Изображение 26049
Рис. 4. Сетевая безопасность контролируется путем настройки портов на сервере.


Параметры реестра — этот раздел предназначен для настройки протоколов, используемых для связи с компьютерами в сети. Безопасность коммуникационных протоколов важна из-за того, что устаревшие операционные системы Windows требуют протоколов, уязвимых для взлома паролей и атак типа «человек посередине». Ключевые области, на которые нацелен этот раздел, включают:



  • Сигнатуры безопасности SMB
  • Подписание LDAP
  • Протоколы исходящей аутентификации
  • Протоколы входящей аутентификации

Политика аудита — в этом разделе будет настроен аудит сервера на основе ваших целей аудита. Политика аудита в мастере может быть настроена на отсутствие аудита событий, аудит только успешных событий или аудит как успешных, так и неуспешных событий. Политика аудита будет настраивать не только события доступа к объектам, но и весь список событий политики аудита. На рис. 5 показано, какой будет политика аудита для сервера, который должен отслеживать как успешные, так и неуспешные события.



Изображение 26050
Рисунок 5: Параметры политики аудита.


Информационные службы Интернета — этот раздел будет отображаться только в том случае, если вы выбрали сервер для выполнения роли веб-сервера. Этот раздел предназначен для настройки аспектов безопасности информационных служб Интернета (IIS). Подразделы, которые будут показаны для этого раздела, включают:



  • Выберите расширения веб-службы для динамического содержимого
  • Выберите виртуальные каталоги для сохранения
  • Предотвращение доступа анонимных пользователей к файлам содержимого

Резюме


После того, как вы создадите свою политику безопасности, вы сможете контролировать другие компьютеры в сети в согласованной и безопасной конфигурации. При сохранении политики безопасности вам будет предоставлена возможность также включить в политику один или несколько шаблонов безопасности. Эта дополнительная возможность включения шаблонов безопасности обеспечивает мощный способ централизации параметров безопасности для серверов в вашей организации. Отличной встроенной функцией использования политики безопасности является возможность использования функции отката. Эта функция позволяет отказаться от самого последнего приложения политики безопасности, если приложения, службы или другие функции не работают из-за слишком безопасных настроек.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023