Microsoft Windows и сертификация Common Criteria, часть II
«Чтобы получить полное руководство по безопасности, ознакомьтесь с учебным пособием Security+ Study Guide and DVD Training System на Amazon.com».
Использование шаблонов конфигурации безопасности Windows 2000 Common Criteria
Часто при работе с шаблонами Common Criteria Certification вы просто слышите или называете их «Шаблоны безопасности». Итак, шаблоны конфигурации безопасности, с которыми вы работаете в Windows 2000, основаны на Common Criteria. Их настоящее название — шаблоны конфигурации безопасности Windows 2000 Common Criteria. Теперь, прочитав часть I этой статьи, вы должны быть хорошо осведомлены о том, что такое сертификация Common Criteria. Теперь вы можете лучше понять это, поскольку фактически применяете его к серверной операционной системе класса EAL 4 — Windows 2000 Server. Как я упоминал в первой части этой статьи, Windows Server 2003 находится в процессе сертификации. В этой статье мы рассмотрим, как шаблоны, поставляемые с Windows 2000, реально применяют эту безопасность, и вы увидите, как ее реально применить. Один совет, прежде чем мы продолжим, вы должны сделать это на тестовой системе. Не применяйте произвольно шаблон безопасности к производственной системе без предварительного тестирования шаблона и его влияния на тестовую систему. Крайне важно, чтобы вы «понимали» каждую функцию каждого шаблона, прежде чем применять их, потому что каждый шаблон делает что-то свое, кроме того, примененный шаблон может действительно настроить ваш мир на катастрофу, когда вы применяете его, и он отключает рабочий веб-сайт. к которому обращались тысячи. Например, существует разница между общими критериями и «рекомендуемыми настройками», поскольку в шаблонах общих критериев применяются только те из них, которые необходимы для соответствия общим критериям, а затем есть другие шаблоны, которые применяют как общие критерии, так и 'рекомендуемые настройки'. В базовой терминологии используемые базовые шаблоны конфигурации будут применять настройки Common Criteria, тогда как шаблоны High Security будут применять оба параметра. Вы должны знать об этом, чтобы знать, что есть что. В таблице 1 показано распределение файлов шаблонов для операционной системы Windows 2000.
CC_Baseline_W2K_Server.inf | Сервер Windows 2000 | Общие критерии |
CC_Baseline_W2K_Professional.inf | Windows 2000 Профессиональная | Общие критерии |
CC_Baseline_W2K_Domain.inf | Контроллер домена Windows 2000 | Общие критерии |
CC_Baseline_W2K_DC.inf | Контроллер домена Windows 2000 | Общие критерии |
CC_HiSec_W2K_Server.inf | Сервер Windows 2000 | Общие критерии и высокий уровень безопасности |
CC_HiSec_W2K_Professional.inf | Windows 2000 Профессиональная | Общие критерии и высокий уровень безопасности |
CC_HiSec_W2K_Domain.inf | Контроллер домена Windows 2000 | Общие критерии и высокий уровень безопасности |
CC_HiSec_W2K_DC.inf | Контроллер домена Windows 2000 | Общие критерии и высокий уровень безопасности |
Таблица 1
Из таблицы видно, что существует четыре шаблона, предлагающих базовую защиту (Общие критерии), и четыре шаблона, которые добавляют рекомендуемые параметры, обеспечивающие более высокий уровень безопасности. Итак, теперь, когда мы знаем все о том, как Common Criteria связаны с Microsoft Window 2000 и как они напрямую связаны с шаблонами безопасности, включенными в операционную систему, давайте начнем рассматривать, как применить такие настройки к серверу Windows 2000, чтобы получить он готов соответствовать «Общим критериям». Также помните, что Windows 2000 — это уровень EAL 4, который также рассматривается в первой части этой статьи.
Начиная
Чтобы применить шаблон, вам нужно настроить сервер для его использования. Шаблоны недоступны для начинающего пользователя Windows. Администратор сервера с опытом должен будет применить его, потому что, как я упоминал ранее, он не всегда доступен, а применение шаблона к рабочему серверу опасно — одним из примеров может быть то, что шаблон убивает службу, необходимую для одного из ваших приложений. бегать. Вы упали.
Чтобы подготовить сервер, выполните следующие действия:
- Перейти к Пуск => Выполнить
- Тип MMC /a в диалоговом окне «Выполнить» Откройте: поле и нажмите Клавиша ввода
- На Меню консоли => нажмите «Добавить/удалить оснастку » => нажмите «Добавить».
- Выберите «Шаблоны безопасности» => нажмите «Добавить » => нажмите «Закрыть » => нажмите «ОК».
- Чтобы сохранить настройку оснастки => нажмите «Сохранить» в меню «Консоль».
- Введите имя для этой консоли (вы можете назвать что-то вроде security.msc) => нажмите «Сохранить».
- в Оснастка «Шаблоны безопасности » => дважды щелкните «Шаблоны безопасности».
Инструменты приложения шаблона конфигурации безопасности
Для редактирования и применения шаблонов конфигурации безопасности Common Criteria необходимо войти в систему как администратор с соответствующими правами. При этом у вас есть две основные оснастки, которые вам нужно учитывать. Одним из них являются уже рассмотренные шаблоны безопасности, а также оснастка «Конфигурация и анализ безопасности». Есть два инструмента, которые вы можете использовать для настройки безопасности в вашей системе. Оба являются оснастками MMC (Microsoft Management Console), недоступными без дополнительной настройки вашей системы. В этой статье показано, как их настроить. Давайте кратко рассмотрим оба и что они из себя представляют, остальная часть статьи покажет вам, как манипулировать ими, чтобы вы могли их использовать.
Шаблоны безопасности (оснастка): как упоминалось ранее, мы рассматриваем шаблоны, которые помогают применять общие критерии, а также общие критерии и дополнительные конфигурации с высоким уровнем безопасности, если они выбраны. Оснастка позволит вам получить доступ к этим шаблонам. Эта оснастка позволяет создавать текстовый файл шаблона, который содержит параметры безопасности — каждый шаблон применяет различные типы параметров к различным типам систем (см. Таблицу 1).
Настройка и анализ безопасности (оснастка): хотя мы не будем использовать эту оснастку в этой статье, вы должны знать о ней и о ее полезности. Оснастка «Конфигурация и анализ безопасности» — это инструмент, который поможет «проанализировать», каково текущее состояние безопасности вашей системы. Это достигается путем переноса параметров конфигурации вашей системы из шаблона (шаблоны Common Criteria) и изучения различий. Это поможет вам получить базовые показатели безопасности вашей системы.
Другая статья, посвященная этой теме в конкретной теме
Анализ безопасности системы Windows Server 2003 «Быстро и просто»
Роберт Дж. Шимонски
8. Теперь, когда у вас запущена консоль с добавленными оснастками, вы увидите ее, как показано на рисунке 1.
фигура 1
Примечание. Эта консоль показана в системе Windows XP Professional, вы можете использовать шаблоны безопасности как на рабочих станциях, так и на серверах.
- Открыв консоль (как показано на рисунке 1), вы можете выбрать шаблон Common Criteria, с которым хотите работать. Здесь я выбрал DIFFXP. На самом деле не имеет значения, что вы выберете для целей этой статьи, просто помните, что вам действительно следует сначала запустить это на тестовой системе, чтобы не разрушить вашу производственную систему, если вы удалите что-то, что должно было там быть. Просто будьте осторожны и протестируйте его, прежде чем применять его к производственной системе.
- Теперь вы можете настраивать шаблоны или просто просматривать их для собственного изучения и анализа. Взгляните на каждый из них и попытайтесь понять, как изменить их в соответствии с вашими потребностями. Для получения списка шаблонов XP и более подробной информации щелкните эту ссылку TechNet.
Применение шаблонов безопасности Common Criteria
Теперь, когда вы знаете, что такое Общие критерии (Часть I статьи) и теперь, как добраться до них и работать с ними (Начало этой статьи), наш последний шаг — применить их.
- Войдите в систему, в которой вы хотите установить шаблон. Убедитесь, что вы вошли в систему с правами администратора.
- Откройте ММС, которую вы сделали в первой части этой статьи.
- Выберите «Конфигурация безопасности и анализ».
- Щелкните правой кнопкой мыши Конфигурация и анализ безопасности.
- Вам нужно будет запустить рабочую базу данных. Для этого щелкните правой кнопкой мыши значок «Конфигурация и анализ» и выберите «Открыть базу данных». Вы можете назвать базу данных любым именем, которое имеет для вас смысл, когда вам нужно просмотреть ее снова, обычно используется стандарт даты и времени. Нажмите «Открыть», после чего вы сможете выбрать шаблон для анализа этого компьютера. Вам придется просмотреть, что означают шаблоны, прежде чем запускать их, иначе вы не будете знать, что ищете.
- После настройки базы данных снова щелкните правой кнопкой мыши «Конфигурация и анализ» и выберите «Импортировать шаблон». Выберите шаблон конфигурации безопасности Common Criteria, который вы хотите использовать.
- Щелкните правой кнопкой мыши «Конфигурация и анализ безопасности» => выберите «Настроить компьютер сейчас».
- Появится окно с указанием пути к файлу журнала ошибок => нажмите «ОК».
- Последнее, что нужно сделать, это перезагрузить систему. Некоторые настройки вступают в силу немедленно, другие должны вступить в силу после перезагрузки.
Вы успешно установили шаблон безопасности Common Criteria в своей системе.
Резюме
В этой статье мы рассмотрели, почему вы должны знать и понимать сертификацию Common Criteria и как она напрямую отражается на продуктах Windows. Мы сделали еще один шаг вперед и объяснили, как установить сертификат Common Criteria в вашей системе. Для получения дополнительной информации об общих критериях и о том, как они непосредственно влияют на системы Windows, воспользуйтесь приведенными выше ссылками для получения дополнительной информации.
Ссылки и ссылки
http://www.microsoft.com/technet/Security/topics/issues/w2kccscg/w2kscgcf.mspx
Общие критерии сайта Microsoft.com
http://www.microsoft.com/presspass/features/2003/apr03/04-14WS03Security.asp
Веб-сайты общих критериев
Великобритания
http://www.cesg.gov.uk
НАС
http://niap.nist.gov
Схема общих критериев
http://niap.nist.gov/cc-scheme/
Уровни английского языка
http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=1&displayPage=13
Уровни ИТСЕК
http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=1&displayPage=12