Настройка шаблонов безопасности Windows

Опубликовано: 13 Апреля, 2023


Посетите веб-сайт Дерека, посвященный средствам аудита и безопасности Windows, статьям, книгам, форумам и многому другому…
www.auditingwindows.com

Мы все можем согласиться с тем, что объекты групповой политики де-факто являются методом развертывания безопасности на всех компьютерах с Windows на предприятии. Объекты групповой политики не только развертывают параметры безопасности, но и могут применять эти параметры, обеспечивая повторное применение параметров без необходимости перезагрузки компьютера.

В дополнение к предоставлению вам ключей для добавления параметров безопасности к объекту групповой политики, я также приведу примеры параметров безопасности, которые вы, возможно, рассматривали ранее. Эти дополнительные примеры сделают больше, чем просто обеспечат вас арсеналом для защиты компьютеров в домене. Они также обеспечат отличный ресурс для помощи в отслеживании параметров безопасности, которые необходимо внедрить.

Что такое настройка безопасности?

Сначала я должен указать, что я имею в виду под настройкой безопасности в данном контексте. Параметры безопасности в объекте групповой политики (GPO) определяют определенные элементы управления безопасностью на клиентах, серверах и контроллерах домена в домене Active Directory. Конкретный раздел в GPO на самом деле называется «параметры безопасности». Параметры безопасности варьируются в диапазоне от удаления доступа к дискам, отображения сообщения безопасности компьютера и определения контроля над поддерживаемыми протоколами проверки подлинности.

Хотя в объекте групповой политики есть параметры безопасности, которые определяют поведение и безопасность Internet Explorer, брандмауэра Windows, сети и приложений, настройка параметров безопасности не касается этих областей. Чтобы получить лучшее представление о том, что может включать в себя параметр безопасности, вот список некоторых наиболее распространенных параметров безопасности в стандартном объекте групповой политики:

  • Подписывайте сообщения клиентов цифровой подписью
  • Не отображать последнее имя пользователя на экране входа в систему
  • Уровень аутентификации LAN Manager
  • Текст сообщения для пользователей, пытающихся войти в систему
  • Количество предыдущих входов в кэш
  • Разрешить анонимный перевод SID/имени
  • Разрешить всем применять разрешения для анонимных пользователей
  • Не сохранять хеш-значение LAN Manager при следующей смене пароля

Где я могу найти параметры безопасности?

Есть много областей объекта групповой политики (GPO), которые связаны с безопасностью. Однако я сосредоточусь на одной области GPO, связанной с безопасностью. Если вы взломаете GPO и перейдете к узлу Computer ConfigurationSecurity Settings, вы почти окажетесь там. Вам также необходимо развернуть узлы Local PoliciesSecurity Options. На рис. 1 показано, на что следует обращать внимание при переходе к узлу Security Options.

Изображение 26069
Рис. 1. Объект групповой политики с разделом «Параметры безопасности» в разделе «Конфигурация компьютера».

Связывание настроек безопасности с шаблонами безопасности

На рис. 1 вы можете видеть, что есть раздел GPO, который называется Security Settings. Весь этот раздел объекта групповой политики можно настроить, импортировав шаблон безопасности в объект групповой политики. Шаблон безопасности — это метод настройки набора параметров безопасности в контролируемой среде. После настройки параметров безопасности в шаблонах безопасности для различных компьютеров в среде их можно импортировать в соответствующие объекты групповой политики для автоматического развертывания на компьютерах.

Чтобы узнать, что входит в шаблон безопасности, обратитесь к статье Общие сведения о шаблонах безопасности. Чтобы получить информацию о том, как настроить шаблоны безопасности и эффективно их развернуть, обратитесь к статье Базовый уровень с помощью шаблонов безопасности.

Что создает структуру шаблона безопасности?

Часть безопасности объекта групповой политики (Computer ConfigurationSecurity Settings) управляется главным образом файлом sceregvl.inf. Этот файл создает интерфейс и связанные с ним контрольные точки на компьютере для управления безопасностью. Этот файл находится в папке C:Windowsinf на компьютерах с Windows Server 2003 и в папке C:Winntinf на компьютерах с Windows 2000 Server.

Шаблоны безопасности имеют стандартный формат для каждой записи, которая создает интерфейс в шаблоне безопасности. На рис. 2 показана часть файла, которая на первый взгляд может показаться немного запутанной.

Изображение 26070
Рисунок 2: Часть файла sceregvl.inf

Каждая из записей имеет одинаковый формат и синтаксис. Есть четыре основных поля для ввода настроек в файле.

  • Поле 1 — это полный путь к значению реестра. Например: MACHINESystemCurrentControlSetControlLsaCrashOnAuditFail.
  • Поле 2 — это тип значения реестра. Существует 5 различных типов, с которыми будет связан код в записи настроек. Это 5 различных типов и их код.
    1 — REG_SZ (строковое значение)
    2 — REG_EXPAND_SZ (расширяемое строковое значение)
    3 – REG_BINARY (двоичное значение)
    4 — REG_DWORD (4-байтовое число)
    7 — REG_MULTI_SZ (значение из нескольких строк)
  • Поле 3 — это отображаемое имя, которое отображается в шаблоне безопасности.
  • Поле 4 — это тип отображения, который включает четыре возможных значения.
    0 – логическое значение
    1 – номер
    2 – Строка
    3 – Выбор
    4 – многозначный
    5 — Битовая маска








Примечание
Если поле 4 — «выборы» или «битовая маска», то диапазон значений нужно указывать в формате значение|строка отображения. Примером может быть:

3,0|LM,1|NTLM,2|NTLMv2,3|Керберос

Вот несколько примеров записей в стандартном файле sceregvl.inf:

MACHINESystemCurrentControlSetControlLsaCrashOnAuditFail,4,%CrashOnAuditFail%,0

MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonCachedLogonsCount,
1,%CachedLogonsCount%,1,%Unit-Logons%

MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystemLegalNoticeText,
1,%LegalNoticeText%,2

MACHINESoftwareMicrosoftПодписание драйверовПолитика,3,%DriverSigning%,
3,0|%DriverSigning0%,1|%DriverSigning1%,2|%DriverSigning2%

Примечание
Записи %name% — это переменные, о которых заботятся в разделе [Strings] файла sceregvl.inf. Вы можете либо использовать эти переменные, либо использовать текст внутри записи.

Для последнего примера политики подписи драйверов на рисунке 3 показано, что интерфейс шаблона безопасности показывает для этой записи.

Изображение 26071
Рисунок 3: Интерфейс шаблона безопасности для записи в файле sceregvl.inf

Настройка файла sceregvl.inf

Файл sceregvl.inf может содержать любую запись реестра. Вам просто нужно следовать формату, описанному в разделе выше. Как я упоминал в примечании выше, вам не нужно использовать раздел [Strings], вместо этого вы можете просто поместить текст, который будет отображаться в интерфейсе шаблона безопасности, прямо в запись. Этот файл можно изменить, включив в него другие модификации компьютера, если вы знаете правильный синтаксис и расположение параметра.

Вот пример пользовательской записи в файле sceregvl.inf:

МАШИНАСистемаCurrentControlSetServicesTcpipПараметры

SynAttackProtect,4, "Защита от DoS-атак Syn", 3,0|"Дополнительной защиты нет",1|"Тайм-аут раньше, если обнаружена атака Syn"

Здесь запись безопасности обновит запись реестра SynAttackProtect записью 0 или 1, в зависимости от того, хотите ли вы сохранить настройку по умолчанию (не защищать от атаки Syn) или 1, что означает, что время соединения истекло. быстрее, если обнаружена атака Syn.

Изготовление новой ручки безопасности

После внесения изменений в файл sceregvl.inf вам необходимо зарегистрировать новую запись на компьютере. Существует DLL, которая указывает, что изменения в файле sceregvl.inf вступают в силу. Эта DLL называется scecli.dll, что означает клиент редактора конфигурации безопасности. Чтобы изменения применялись ко всем новым шаблонам безопасности, необходимо зарегистрировать эту DLL. Вы будете использовать следующий синтаксис из командной строки на компьютере, где вы редактируете объекты групповой политики.

Regsvr32 c:windowssystem32scecli.dll

Вы должны получить подтверждение того, что регистрация прошла успешно. Теперь, после того как вы откроете шаблон безопасности или объект групповой политики с компьютера, на котором вы зарегистрировали scecli.dll, вы увидите новую запись, как показано на рисунке 4.

Изображение 26072
Рисунок 4: Новая запись в шаблоне безопасности

Резюме

Если вы сейчас подумаете обо всех параметрах безопасности, которые вы хотели бы внедрить в GPO, все ваши проблемы решены! Шаблоны безопасности предоставляют отличный способ расширить и контролировать практически любой параметр безопасности на компьютере с Windows. Шаги на самом деле не так уж сложны в реализации, просто нужно некоторое время, чтобы убедиться, что синтаксис правильный, а затем вам нужно регистрировать DLL каждый раз, когда вы делаете обновление. Есть один последний шаг, который довольно сложен: отследить все записи реестра для каждого параметра безопасности. Это требует некоторых исследований и усилий. Однако Microsoft предоставила вам хорошую отправную точку на своем веб-сайте. Если вы просто зайдете на http://www.microsoft.com/technet/security/guidance/secmod57.mspx, вы найдете список элементов безопасности, которые Microsoft создала для вас, которые помогут вам начать работу и предоставят отличные средства. за продолжение ваших исследований и внедрение пользовательских настроек безопасности.