Управление безопасностью службы с помощью Windows Server 2008

Опубликовано: 10 Апреля, 2023

Введение

Почти на каждом сервере в вашей среде работает какой-то сервис. Эти службы обеспечивают доступ к данным, ресурсам, приложениям и другим важным областям серверной и сетевой функциональности. Если эти сервисы не защищены, они становятся идеальными кандидатами для злоумышленника. Когда служба подвергается атаке, на карту поставлен доступ к серверу и, возможно, к сети. Также существует вероятность саботажа службы, что может привести к простою и потере денег из-за того, что сервер выполняет функции службы. В Windows Server 2008 Microsoft добавила фантастический новый контроль над службами. Когда вы объединяете весь контроль, который Microsoft предоставляет для служб в объекте групповой политики, вы можете гарантировать, что ваши службы защищены.

Области безопасности службы

Службы по своей сути опасны для ваших серверов и сети из-за того, что они создают дыры в сервере для доступа пользователей, приложений и других серверов к ресурсам. Когда дыра слишком велика или служба не защищена, злоумышленнику может быть предоставлен доступ к серверу с повышенными привилегиями. Поэтому очень важно, чтобы службы были защищены, чтобы доступ предоставлялся только к тому, для чего служба предназначена.

При оценке того, что нужно защитить, вам нужно смотреть дальше основных созданных дыр и думать о потенциальных атаках, которые могут быть выполнены против служб и связанных с ними настроек. Ниже приведен список потенциальных областей, связанных с услугами, которые необходимо защитить:

  • Список контроля доступа к сервису
  • Режим запуска службы
  • Сервисный аккаунт для сервиса
  • Пароль сервисной учетной записи для сервиса

Все эти области службы, связанные с безопасностью, теперь можно контролировать с помощью групповой политики на предприятии Windows Server 2008/Vista. Дополнительные сведения о том, как использовать групповую политику и новые предпочтения групповой политики, см. по адресу:

  • Набор ресурсов групповой политики от MSPress
  • Руководство по сохранению документации групповой политики

Доступ к объектам групповой политики

Чтобы вы могли в полной мере воспользоваться настройками, обсуждаемыми в этой статье, в вашей сети должен быть запущен один из следующих компонентов:

  • Контроллер домена Windows Server 2008
  • Windows Vista SP1 с установленными средствами администрирования удаленного сервера, работающими в домене Windows Active Directory.

После запуска одного из этих компьютеров вы сможете использовать консоль управления групповыми политиками (GPMC) для управления и редактирования объектов групповой политики с этого компьютера. Вы не сможете увидеть новые настройки с другого компьютера, не отвечающего перечисленным выше критериям.

Список контроля доступа службы

Чтобы вы могли управлять списком контроля доступа службы, вам потребуется использовать узел «Службы» в объекте групповой политики, который можно найти по адресу: Конфигурация компьютераПолитикиПараметры WindowsПараметры безопасностиСистемные службы, как показано на рисунке. 1.

Изображение 24283
Рисунок 1: Политика системных служб для управления списком контроля доступа к службам

Чтобы использовать эту политику, вам нужно будет найти службу, которой вы хотите управлять, в списке на правой панели, а затем выбрать ее. Щелкнув правой кнопкой мыши имя службы, вы сможете редактировать свойства службы. При редактировании свойств сервиса вы увидите диалоговое окно Properties, как показано на рисунке 2.

Изображение 24284
Рис. 2. Диалоговое окно «Свойства системных служб»

Чтобы изменить список контроля доступа для службы, установите флажок «Определить этот параметр политики» и нажмите кнопку «Изменить безопасность». После нажатия на кнопку вы увидите диалоговое окно, подобное показанному на рисунке 3.

Изображение 24285
Рис. 3. Диалоговое окно «Безопасность» для управления списком контроля доступа службы

Обратите внимание, что у вас есть некоторые стандартные разрешения, которые вы можете установить для службы, например:

Вы также можете создать собственный список разрешений, нажав кнопку «Дополнительно», которая дает вам до 14 подробных разрешений безопасности, которые вы можете установить для каждой службы.

Режим запуска службы

Режим запуска для службы имеет решающее значение для служб, которые вы не можете удалить или не хотите удалять, но хотите, чтобы они не запускались при запуске системы. Существует три уровня режима запуска служб, только один из которых действительно защищает компьютер.



В автоматическом и ручном режимах служба может запускаться в любое время в зависимости от того, как спроектирована служба. Эти два режима позволяют запускать службу вызовом службы.

Однако, если служба отключена, она не запустится, пока для нее не будет установлено значение «Автоматически» или «Вручную» внутри службы. Таким образом, вы защищаете сервер от запущенной службы до тех пор, пока администратор не запустит ее. Использование режима запуска в сочетании со списком управления доступом может быть мощной комбинацией, поскольку разрешения могут ограничивать, какой пользователь может запускать или изменять службу.

Вы будете контролировать режим запуска в той же политике, что и список контроля доступа. Рисунок 2, приведенный выше, иллюстрирует три варианта режима запуска.

Сервисный аккаунт для сервиса

Многие службы требуют использования служебной учетной записи. Это делается для того, чтобы разрешить службе доступ не только к компьютеру, на котором она запущена, но и к другим компьютерам в сети. В этих случаях учетные записи сетевой службы или локальной системы не будут работать.

Раньше настройку учетной записи службы нужно было выполнять на компьютере, на котором работала служба. Теперь с помощью настроек групповой политики вы можете контролировать, какая учетная запись службы используется из Active Directory с помощью групповой политики.

Параметр, который вы хотите настроить, находится в папке Computer ConfigurationPreferencesControl Panel SettingsServices, как показано на рисунке 4.

Изображение 24286
Рисунок 4. Имя учетной записи службы можно настроить с помощью настроек групповой политики.

Чтобы настроить политику для управления вашей службой, щелкните правой кнопкой мыши узел «Службы» и выберите «Создать — Служба». Отсюда вы сможете выбрать службу, которую хотите настроить, в диалоговом окне «Службы», как показано на рисунке 5.

Изображение 24287
Рис. 5. Диалоговое окно «Службы предпочтений групповой политики»

Нажатие на многоточие позволит вам просмотреть список служб и выбрать службу, которой вы хотите управлять. Затем, после того как вы выбрали службу, выберите переключатель Эта учетная запись и найдите учетную запись службы, которую вы хотите использовать, в Active Directory. Когда вы закончите, вы завершите настройку учетной записи службы для службы на каждом компьютере, на который распространяется действие объекта групповой политики, содержащего параметр политики.

Пароль сервисной учетной записи для сервиса

На предыдущем шаге мы настроили только учетную запись службы, но на рис. 5 ясно видно, что вы также можете настроить пароль учетной записи службы. Это очень мощная настройка, поскольку исторически вы могли сделать это только на компьютере, на котором работала служба, или использовать инструмент удаленного администрирования для подключения к этому серверу.

Используя политику служб предпочтений групповой политики, вы можете убедиться, что учетная запись службы, настроенная в вашей службе, имеет правильный пароль, который вы настроили в базе данных Active Directory для учетной записи. Это также означает, что после сброса пароля для учетной записи службы в AD вам нужно будет только обновить эту политику и пароль для учетной записи, чтобы она синхронизировала пароли вместе, как показано на рисунке 6.

Изображение 24288
Рисунок 6. Пароли учетных записей служб можно синхронизировать с AD с помощью объекта групповой политики.

Это добавляет невероятную защиту учетной записи службы из-за того, что большинство учетных записей служб имеют повышенные привилегии и нуждаются в дополнительной защите.

Резюме

С помощью новых функций управления, доступных в Windows Server 2008 и Windows Vista, службы в вашей сети теперь могут быть защищены. Безопасность служб имеет важное значение, поскольку они обеспечивают доступ к серверу и ключевым данным, хранящимся на этих серверах. Безопасность можно обеспечить, контролируя разрешения, режим запуска, учетную запись службы и пароль учетной записи службы. Используя параметры групповой политики, доступные вам в домене Windows Active Directory, вы можете защитить все эти области для любой службы, работающей на серверах в домене.

Управление безопасностью служб с помощью Windows Server 2008 (часть 2)

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023