Понимание ролей политик безопасности Server 2003

Безопасность на основе политик: что это значит?

Политику безопасности можно определить как набор правил и практик, которые определяют, как организация управляет своими активами и защищает их (которые могут включать помещения, оборудование, инфраструктуру или информацию). ИТ-безопасность фокусируется на защите:

• Компьютерные системы/программное обеспечение
  
• Сетевое подключение
  
• Чувствительная или конфиденциальная информация

Таким образом, безопасность на основе политик начинается с определения философии и приоритетов организации в отношении защиты вышеперечисленного. Это управленческое определение «политики безопасности». Затем применение правил и практик, изложенных в заявлении о политике, осуществляется с помощью технического определения «политики безопасности».

В этом контексте политика безопасности — это шаблон, используемый для выбора и настройки различных механизмов безопасности, поддерживаемых операционной системой или приложением. Современные операционные системы Windows поддерживают множество различных типов политик безопасности, которые настраиваются через интерфейс групповой политики.

Интерфейсы и инструменты политики безопасности

Инструменты операционной системы, которые используются для настройки, управления и применения политик безопасности локально или в домене Windows, включают:

• Локальная политика безопасности MMC: этот интерфейс используется для настройки параметров безопасности, которые применяются только к локальному компьютеру. Доступ к нему осуществляется через меню «Администрирование» в панели управления. К локальным настройкам относятся: политика паролей, политика блокировки учетных записей, политика аудита, политика IPsec, назначение прав пользователей и другие. Локальная политика безопасности не используется на контроллерах домена; они регулируются Политикой безопасности контроллера домена.
  
• Настройки безопасности домена по умолчанию: этот интерфейс используется для установки политик безопасности для всех компьютеров в домене. Эти параметры переопределяют параметры политики локального компьютера для членов домена, если между ними возникает конфликт. Доступ к этому интерфейсу осуществляется через вкладку «Групповая политика» в свойствах узла домена в «Пользователи и компьютеры Active Directory» (меню «Администрирование»).
  
• Параметры безопасности контроллера домена: этот интерфейс используется для настройки параметров безопасности для контроллеров домена в домене. Эти параметры имеют приоритет над политикой безопасности домена для контроллеров домена. Доступ к этому интерфейсу осуществляется путем входа на контроллер домена в качестве администратора и выбора политики безопасности контроллера домена в меню «Администрирование».
  
• Результирующий набор политик (RSoP): RSoP — это инструмент, который позволяет вам запрашивать существующие и запланированные политики и получать результаты запроса, чтобы вы могли увидеть последствия, которые могут иметь изменения политики, до их фактического применения.

Примечание:
Консоль управления групповыми политиками (GPMC) объединяет задачи управления групповыми политиками, доступ к которым ранее требовался из нескольких разных интерфейсов. GPMC можно загрузить с веб-сайта Microsoft по адресу http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en.

Политики безопасности Server 2003

Политики безопасности, которые можно настроить с помощью графического интерфейса пользователя Server 2003 и инструментов командной строки, включают:

• Политика учетной записи: позволяет определить требования к паролю (длина, сложность, максимальный возраст, история), параметры блокировки (количество разрешенных попыток входа в систему, продолжительность блокировки) и политики ключей Kerberos (срок действия ключей).
  
• Политика аудита: позволяет настроить аудит безопасности и определить, какие события будут регистрироваться (например, неудачные/успешные попытки входа в систему, доступ к определенным ресурсам и т. д.).
  
• Криптографическая политика: позволяет управлять алгоритмами, используемыми TLS/SSL.
  
• Политика домена: позволяет добавлять и удалять компьютеры и создавать доверительные отношения между доменами.
  
• Политика брандмауэра: позволяет установить стандартные политики брандмауэра Windows для всех компьютеров в домене или подразделении.
  
• Политика IPsec: позволяет настроить использование безопасности протокола Интернета (IPsec) для шифрования данных, передаваемых по сети.
  
• Политика EFS: позволяет определить, можно ли использовать EFS для шифрования файлов и папок на разделах NTFS.
  
• Политика дисковых квот: позволяет включать/отключать и определять значения по умолчанию для дисковых квот, а также указывать, что происходит при достижении предела квоты.
  
• Политика PKI: позволяет определить поддержку политик PKI, касающихся автоматической регистрации цифровых сертификатов, выданных центром сертификации Windows Server 2003.
  
• Политика использования смарт-карт: позволяет требовать использования смарт-карт для входа в Windows для обеспечения многофакторной проверки подлинности.

Объекты групповой политики

Параметры безопасности можно применять с помощью объектов групповой политики (GPO) на различных уровнях иерархии Active Directory. Объект групповой политики — это, по сути, набор параметров политики, влияющих на пользователей и компьютеры и связанных с объектом-контейнером Active Directory (сайтом, доменом, подразделением) или локальным компьютером. Один объект групповой политики может быть связан с несколькими контейнерами, или несколько объектов групповой политики могут быть связаны с одним контейнером. Групповые политики наследуются дочерними объектами и применяются в порядке возрастания. Групповые политики обрабатываются в следующем порядке:

• Локальный объект групповой политики (применяется только к локальному компьютеру). Доступ к нему осуществляется через описанный выше интерфейс локальной политики безопасности.
  
• GPO сайта (применяется ко всем пользователям и компьютерам во всех доменах сайта). Доступ к ним и их редактирование осуществляется через вкладку «Групповая политика» на странице «Свойства» сайта, доступ к которой можно получить, щелкнув сайт правой кнопкой мыши в инструменте администрирования сайтов и служб Active Directory.
  
• Объект групповой политики домена (применяется ко всем пользователям и компьютерам в домене). Доступ к ним осуществляется с помощью инструмента «Пользователи и компьютеры Active Directory» или консоли управления групповыми политиками, как описано выше.
  
• OU GPO (применяется ко всем пользователям и компьютерам в OU, а также во всех OU, вложенных в OU). Доступ к ним осуществляется через вкладку «Групповая политика» на странице свойств OU, доступ к которой можно получить, щелкнув правой кнопкой мыши OU в Active Directory Users and Computers MMC.

Как видите, групповая политика применяется ко всем пользователям и компьютерам в контейнере, с которым связан объект групповой политики. Это не влияет на группы безопасности, но вы можете фильтровать групповую политику в соответствии с группами безопасности, устанавливая разрешения группы в объекте групповой политики.

Информация о групповой политике для всех политик, кроме локальных, хранится в контейнерах групповой политики и в шаблоне групповой политики. Контейнер групповой политики — это область в Active Directory. Шаблоны групповой политики — это папки, расположенные в папке Policies в папке SysVol на контроллерах домена. Каждая папка шаблона содержит в своем корне файл с именем Gpt.ini, в котором хранится информация о GPO. Домен, в котором хранится каждый объект групповой политики (кроме локальных политик), является доменом хранения. Объект групповой политики может быть связан с доменами, отличными от того, в котором он хранится.

Примечание:
Несмотря на то, что групповая политика может обрабатываться между доменами, лучше избегать назначения междоменных объектов групповой политики, поскольку это замедляет вход в систему и запуск, когда групповая политика должна быть получена из другого домена.

По умолчанию вы можете создавать новые объекты групповой политики и редактировать существующие объекты групповой политики, если вы являетесь членом одной из следующих групп:

• Администраторы домена
  
• Администраторы предприятия
  
• Владельцы создателей групповой политики

Эти групповые политики не будут применяться к членам этих групп, если у них не установлен атрибут «Применить групповую политику» как член какой-либо группы, к которой они принадлежат. Однако по умолчанию пользователи, прошедшие проверку, имеют разрешения на чтение объектов групповой политики с атрибутом «Применить групповую политику», а члены вышеуказанных групп также являются членами группы «Пользователи, прошедшие проверку». Если вы не хотите, чтобы политика применялась к администраторам, вы можете установить для атрибута «Применить групповую политику» значение «Запретить» для групп «Администраторы домена» и «Администраторы предприятия». Это переопределит атрибут «Применить групповую политику — Разрешить», установленный в группе «Прошедшие проверку» для этих администраторов, поскольку параметр «Запретить» в любой группе, к которой вы принадлежите, всегда имеет приоритет.

Резюме

Windows Server 2003 полагается на безопасность на основе политик, а политики реализуются через групповую политику. Понимание связи организационных политик с применением групповой политики и того, как развертывание политик работает на разных уровнях. Дополнительные сведения о настройке политик безопасности в Windows Server 2003 см. в следующих ресурсах:

• Руководство администратора общих критериев Windows Server 2003
  http://www.microsoft.com/downloads/details.aspx?FamilyID=75736009-59e9-4a71-879e-cf581817b8cc&DisplayLang=en
  
• Руководство по безопасности Windows Server 2003
  http://www.microsoft.com/downloads/details.aspx?FamilyID=8a2643c1-0685-4d89-b655-521ea6c7b4db&DisplayLang=en
  
• Справочник по параметрам групповой политики для Windows Server 2003 с пакетом обновления 1 (SP1)
  http://www.microsoft.com/downloads/details.aspx?FamilyID=7821C32F-DA15-438D-8E48-45915CD2BC14&displaylang=en