Обзор: Руководство по безопасности Windows XP
Руководство содержит пошаговые инструкции и, в отличие от некоторых документов Microsoft, не посвящено исключительно типичной корпоративной сети и игнорирует автономные системы или системы, развернутые в небольших неуправляемых средах. Рассматриваются три разных сценария: XP на предприятии (с доменом Windows 2000 или Server 2003), XP в среде «высокой безопасности» (становится все более распространенным явлением) и XP в качестве отдельной машины или в «неуправляемом " Окружающая среда. Это значительно расширяет аудиторию и делает Руководство полезным для ИТ-администраторов в большом количестве организаций.
Примечание:
Вы можете прочитать Руководство по безопасности Windows XP в Интернете или загрузить полный документ по адресу http://www.microsoft.com/technet/security/prodtech/winclnt/secwinxp/default.mspx.
Глава 1: Путеводитель по Руководству
Если вы спешите, как большинство занятых администраторов в наши дни, вы можете пропустить эту главу или просто бегло просмотреть ее. По сути, это просто «руководство к руководству», в котором рассказывается, что будет рассмотрено в следующих главах, объясняется, кто является целевой аудиторией, а также излагаются стратегии безопасности Microsoft и модные словечки (например, инициатива «Защити себя, оставайся в безопасности»). ).
В этой главе есть удобный список всех загружаемых инструментов и шаблонов, включенных в Руководство, и показана структура каталогов для папки, содержащей Руководство и связанные файлы после извлечения архива WinZip, в котором файлы загружены на ваш компьютер. с сайта майкрософт.
В Главу 1 также включены требования к оборудованию для использования Руководства, но, учитывая очень скромные системные рекомендации (процессор 300 МГц, ОЗУ 128 МБ, разрешение видео 800X600), маловероятно, что это будет проблемой. Обратите внимание, что вам потребуется 1,5 ГБ свободного места на диске.
Если вы ищете реальную информацию о безопасности XP, вы, вероятно, захотите двигаться дальше довольно быстро.
Глава 2: Полезная информация о настройке среды AD
Во второй главе вы познакомитесь с «мясом и картошкой» защиты XP, сначала правильно настроив инфраструктуру вашего домена. Эта глава посвящена среде Active Directory, поэтому, если вы используете XP отдельно или в одноранговой сети, вы не найдете здесь много полезного. Однако, если вы пытаетесь найти лучший способ организовать структуру AD и спроектировать организационные единицы для обеспечения максимальной безопасности, вы найдете много хороших рекомендаций, которые помогут вам максимально эффективно применять групповую политику.
В руководстве описано, как создать иерархию организационных единиц, которая начинается с организационной единицы отдела и учитывает защищенных пользователей XP, а также организационные единицы для различных типов клиентских машин XP (настольных компьютеров и ноутбуков), которые могут иметь разные требования к безопасности. Здесь есть хорошее объяснение порядка, в котором применяются групповые политики, с советами о том, как и когда использовать параметры «Без переопределения» и «Блокировка наследования политик».
В этой главе также рассматриваются шаблоны безопасности, рекомендации по управлению ими и пошаговые инструкции по их импорту. Административные шаблоны рассматриваются отдельно, и существуют инструкции по добавлению административного шаблона в объект групповой политики и по поиску дополнительных административных шаблонов (например, набор ресурсов Office содержит административные шаблоны для программ Office). Однако руководство все еще немного устарело, поскольку в нем упоминается Office XP и не упоминается Office 2003.
Учитывая важность надежных паролей как первой линии защиты от вторжений, в этой главе подробно рассматривается, как наилучшим образом настроить политики паролей для предприятия и сред с высоким уровнем безопасности (используя объект групповой политики домена). Не менее подробный раздел посвящен настройке политики блокировки учетных записей в Active Directory.
Наряду с инструкциями есть много советов, основанных на реальном опыте, таких как этот: «Хотя настройка значения для этого параметра [Продолжительность блокировки учетной записи] так, чтобы она никогда не разблокировалась автоматически, может показаться хорошей идеей, это может увеличить число обращений в службу поддержки вашей организации с просьбой разблокировать учетные записи, которые были заблокированы по ошибке. Настройка значения этого параметра на 30 минут для каждого из уровней блокировки снижает вероятность атаки типа «отказ в обслуживании» (DoS). Это значение параметра также дает пользователям возможность снова войти в систему через 30 минут, если их учетные записи заблокированы, период времени, который они, скорее всего, примут, не обращаясь в службу поддержки».
В конце главы представлен обзор некоторых инструментов, входящих в состав Windows XP, которые можно использовать при работе с объектами групповой политики, а также инструкции по использованию оснастки Resultant Set of Policies (RSoP) для MMC. и инструменты командной строки Gpupdate и GpResult.
Глава 3: Все, что вы всегда хотели знать о настройках безопасности Windows XP
В этой главе рассматривается большинство параметров безопасности, которые можно настроить для компьютеров XP с помощью групповой политики. Опять же, мы сосредоточены на среде домена AD. Различают настройки для настольных компьютеров и для ноутбуков/портативных компьютеров.
Существуют подробные пошаговые инструкции по настройке политик аудита, а также справочная информация о том, как работает аудит, и о компонентах аудита: SACL, ACE, участниках безопасности и т. д.
Далее в главе рассматриваются тонкости настроек назначения прав пользователей, проясняя некоторые вопросы, которые часто смущают администраторов, такие как разница между установкой значения права пользователя на «никто» (путем включения параметра, но без добавления каких-либо пользователей или группы к нему) и установив значение «не определено» (не включив настройку). Объясняется каждое соответствующее право пользователя и даются рекомендации для четырех различных сценариев: настольные компьютеры корпоративных клиентов, ноутбуки корпоративных клиентов, настольные компьютеры с высоким уровнем безопасности и ноутбуки с высоким уровнем безопасности.
Кроме того, имеются подробные инструкции по настройке параметров безопасности, которые можно использовать для включения или отключения доступа к дисководам гибких дисков и компакт-дисков, именам учетных записей администратора и гостя, запросам входа в систему, установке драйверов и т. д. Это длинный раздел, который охватывает большое количество настроек и, опять же, содержит отдельные рекомендации для каждого из четырех упомянутых выше сценариев.
Следующий раздел этой главы посвящен настройкам безопасности журнала событий. Здесь есть полезная информация о том, как рассчитать оптимальный размер ваших файлов журналов на основе среднего количества событий безопасности в день и ваших требований к тому, сколько дней или недель вы хотите иметь доступ к данным. Рекомендации для каждой настройки представлены в том же формате, что и выше (четыре сценария типа компьютера).
Также подробно описаны группы с ограниченным доступом и системные службы, а также дополнительные параметры реестра. Существует раздел о ручном усилении защиты и о том, как отключить Dr. Watson и SSDP/UPNP, а также раздел о защите файловой системы (с некоторой полезной информацией об использовании расширенных разрешений).
Один из разделов этой главы посвящен настройке ICF (брандмауэра подключения к Интернету). Эта информация относится к XP без SP2, поэтому, если вы обновили свои компьютеры с XP, вам следует обратиться к приложению, в котором обсуждаются изменения, внесенные SP2 (включая замену ICF на брандмауэр Windows).
Глава 4. Наконец-то разобрались с административными шаблонами?
Эта глава посвящена исключительно тому, как использовать административные шаблоны для применения настроек безопасности. Многие администраторы на самом деле не понимают, как работают эти шаблоны (файлы.adm), изменяя реестр для управления компонентами и приложениями операционной системы.
Включены шаблоны для настройки дополнительной безопасности для компонентов Windows, таких как NetMeeting, Internet Explorer, службы терминалов, Windows Messenger и Центр обновления Windows (также обсуждается служба обновления программного обеспечения или SUS, которая теперь известна как службы обновления Windows или WUS)..
В этой главе есть длинный раздел, посвященный использованию административных шаблонов для настройки Office XP. К сожалению, это не последняя версия Office (хотя многие организации все еще используют ее и найдут эту информацию полезной). Сведения о новых файлах.adm для Office 2003 с пакетом обновления 1 (SP1) см. на странице http://www.microsoft.com/downloads/details.aspx?FamilyID=ba8bc720-edc2-479b-b115-5abb70b3f490&displaylang=en.
Также включены подробные инструкции по использованию административных шаблонов в категории «Система», включая параметры автоматического воспроизведения, параметры входа в систему, параметры обработки групповой политики, параметры обработки политики реестра, параметры удаленной помощи и параметры отчетов об ошибках. В остальных разделах главы рассматриваются параметры конфигурации пользователя, такие как параметры для Internet Explorer, Outlook Express, проводника Windows и системных инструментов (например, как запретить доступ к инструментам редактирования реестра или запрашивать пароль при выходе из режима гибернации или приостановки). режимы).
Эта глава представляет собой одно из наиболее подробных руководств по использованию административных шаблонов для управления поведением XP, которое вы когда-либо найдете.
Глава 5: Когда XP остается в одиночестве
Если вы заинтересованы в защите своей автономной машины XP, до этого момента вы, вероятно, зевали. Эта глава предназначена для вас — в ней рассматриваются особые проблемы, связанные с реализацией безопасности для компьютера, не принадлежащего к домену Active Directory. Вы также захотите ознакомиться с Приложением, поскольку в SP2 добавлено множество параметров безопасности для автономных клиентов. В дополнение к настоящим автономным машинам также обсуждаются компьютеры XP в доменных средах NT 4.0.
В этой главе объясняется использование локального объекта групповой политики и применение политик с помощью редактора объектов групповой политики или сценариев. Вы можете получить доступ к части политики безопасности локальной политики через Панель управления | Административные инструменты | Local Security Policy, но для редактирования других частей локальной политики вам потребуется запустить gpedit.msc.
В следующем разделе объясняется, как импортировать шаблоны безопасности в XP для настройки автономного клиента. Имеются пошаговые инструкции по созданию базы данных безопасности и созданию пользовательского шаблона, а также инструкции по применению локальной политики безопасности вручную. В этой главе также рассказывается, как использовать инструмент командной строки secedit и как использовать автоматизированные сценарии для применения одинаковых настроек к нескольким компьютерам. Эта глава будет полезна всем, кто хочет защитить компьютер с XP, который не является частью домена Active Directory.
Глава 6: Объяснение политик ограниченного использования программ
Полезным дополнением к Windows XP Professional является возможность использования политик ограниченного использования программ для управления тем, какие приложения можно запускать на компьютере. К сожалению, многие администраторы не до конца понимают, как работает эта функция, и поэтому не пользуются ее возможностями. В этой главе предлагается хорошее объяснение концепций и архитектуры перед тем, как перейти к подробностям вариантов политики ограниченного использования программ и способам разработки и развертывания ограничений программного обеспечения.
Существует подробное объяснение четырех типов правил, которые можно использовать для идентификации программного обеспечения с целью применения политик ограниченного использования программ (правило хеширования, правило сертификата, правило пути и правило зоны). Есть также пошаговые инструкции со снимками экрана, которые показывают, как создавать правила. В удобной таблице показано, какой тип правил лучше всего подходит для каждой из нескольких распространенных задач.
В этой главе мы рассмотрим, как поведение политики ограниченного использования программ определяется двумя различными вариантами принудительного применения: проверка DLL и параметр «Пропустить администраторов». Опять же, включены практические инструкции, чтобы вы точно знали, как реализовать каждый из этих вариантов, а также что они делают.
Наконец, есть целый раздел, посвященный разработке политики ограниченного использования программ, с полезными советами относительно факторов, которые следует учитывать при принятии различных решений политики (например, следует ли применять политику к сайту, домену или организационной единице). Этот раздел содержит список рекомендаций с важной информацией, например о том, что делать, если вы случайно заблокировали рабочую станцию с помощью политики ограниченного использования программ на этапе проектирования. Существует пошаговое руководство, описывающее весь процесс разработки политики ограниченного использования программ и последующего применения ее в качестве объекта групповой политики к компьютерам в вашей сети.
Глава 7: Все хорошее когда-нибудь заканчивается
Эта последняя глава является самой короткой и содержит основную сводную информацию, но стоит проверить ссылки на общие вопросы и ответы, файлы для загрузки и дополнительную информацию в разделе «Дополнительная информация» в конце.
Приложение: больше, чем просто запоздалая мысль, если вы развернули пакет обновления 2 (SP2)
Приложение — это «что нового» в этом Руководстве по безопасности; он охватывает изменения, внесенные в систему безопасности Windows XP при установке пакета обновления 2. Он начинается с обзора пакета обновления 2, который, вероятно, знаком тем администраторам, которые развернули его в своих сетях, но вы можете не знать о новых административных шаблонах. которые включены в пакет обновления 2 (которые работают только с системами XP, на которых установлен пакет обновления 2).
Обсуждаются новые параметры конфигурации компьютера для Internet Explorer, служб терминалов, Центра обновления Windows и системных параметров, а также параметры, используемые для настройки новых доменных и стандартных профилей брандмауэра Windows (профиль домена используется при обнаружении доменной среды, а стандартный profile используется, если обнаруживается недоменная среда). XP использует Network Location Awareness (NLA) для определения типа сети, к которой он подключен. В это приложение также включены обсуждения новых параметров конфигурации пользователя для диспетчера вложений.
Приложение будет бесценным для администраторов, установивших пакет обновления 2 (SP2) на своих сетевых клиентах, предоставляя им гораздо больший контроль с помощью групповой политики над новым брандмауэром Windows и другими механизмами безопасности, добавленными в XP с пакетом обновления 2 (SP2).
Резюме
Обновленное руководство по безопасности Windows XP обязательно должно быть у всех администраторов, использующих компьютеры XP в своих сетях. Это длинный документ, но он хорошо организован и, в отличие от многих «сверхтехнических» документов, выпускаемых Microsoft, он прост для понимания и содержит пошаговые инструкции. В одном документе собрана большая часть информации, необходимой для использования инструментов, встроенных в Windows (в первую очередь групповой политики), чтобы сделать XP более безопасной операционной системой в соответствии с конкретными потребностями безопасности вашей организации.