Защита серверов с помощью шаблонов безопасности

Опубликовано: 11 Апреля, 2023

Зачем нужно укреплять серверы

Глубокая безопасность стала требованием для каждой компании. Границы вашей сети, брандмауэры, виртуальные частные сети, мобильные компьютеры, настольные компьютеры, серверы, контроллеры домена и т. д. — все это необходимо учитывать при проектировании безопасной среды. Важно знать, что вы получаете из коробки, а также какие варианты у вас есть для защиты этих сред. Когда вы рассматриваете новую установку Windows Server, 2000 или Server 2003, вы можете не получить ожидаемые параметры безопасности. Безопасность обеих этих операционных систем не будет настроена в соответствии с вашими ожиданиями или требованиями безопасности компании.

Есть много причин, по которым безопасность этих серверов должна быть установлена на более слабую безопасность. Во-первых, с таким количеством других операционных систем, которым может потребоваться взаимодействие с ними, их необходимо настроить на «наименьший общий знаменатель» безопасности для обеспечения совместимости. Например, параметры безопасности, входящие в состав Windows Server 2003, недоступны на рабочих станциях Windows NT 4.0. Во-вторых, на серверах могут работать приложения или службы, которые не могут работать с повышенной безопасностью. Например, на ваших финансовых серверах может быть запущено стороннее бухгалтерское приложение, которое не поддерживает зашифрованную сетевую связь. В-третьих, я считаю, что многие сетевые администраторы и компании обучены использовать серверы в этом состоянии, и любая форма повышенной безопасности при начальной установке может сделать сервер бесполезным. Я видел, как многие сетевые администраторы сбивались с толку, когда на некоторых компьютерах устанавливались повышенные параметры безопасности, что блокировало связь со старыми операционными системами.

Что может установить шаблон безопасности

Шаблоны безопасности существуют уже давно, начиная примерно с Windows NT 4.0 Service Pack 4. Шаблоны безопасности стали популярным методом обеспечения безопасности не только серверов, но и настольных компьютеров. Основная причина их успеха заключается в том, что они предоставляют широкий спектр настроек безопасности и их очень легко реализовать.

В рамках одного шаблона безопасности вы можете настроить широкий спектр параметров безопасности на множестве серверов. Чтобы увидеть шаблон безопасности из первых рук, лучше всего использовать оснастку «Шаблон безопасности». Чтобы получить доступ к этой оснастке, введите MMC в меню Пуск|Выполнить. После того, как вы откроете консоль MMC, вам нужно будет добавить оснастку «Шаблон безопасности». Различные операционные системы имеют разные названия меню, но по большей части вы будете переходить в меню «Файл», где вы можете выбрать опцию «Добавить оснастку». Там вы можете добавить в консоль любое количество оснасток. Шаблон безопасности можно увидеть на рисунке 1.

Изображение 25439
Рис. 1. Оснастка «Шаблон безопасности» в консоли MMC

Каждый шаблон безопасности поставляется с основным набором параметров настройки безопасности. Ниже приведен список областей безопасности, которые можно установить в шаблоне безопасности.

  • Политики паролей – Эти настройки позволяют контролировать длину, сложность и другие параметры пароля учетной записи пользователя.
  • Политики блокировки учетной записи — эти настройки позволяют вам контролировать поведение, которое происходит, когда пользователь забывает свой пароль, и его учетная запись может быть заблокирована.
  • Политики Kerberos — эти параметры управляют поведением службы билетов Kerberos.
  • Политики аудита — эти параметры определяют, как будут настроены различные области аудита, в том числе будут ли отслеживаться успешные и/или неудачные события.
  • Права пользователя — эти настройки контролируют все различные права пользователей и то, каким пользователям и/или группам назначаются определенные права пользователей. Права пользователя зависят от сервера и контролируют действия, которые пользователь может выполнять на этом сервере.
  • Настройки безопасности. Эти настройки включают в себя множество различных областей, включая сетевую безопасность, аутентификацию, устройства и т. д.
  • Параметры журнала событий. Эти параметры позволяют настраивать различные аспекты каждого журнала событий, например размер журнала и время начала перезаписи событий в журнале.
  • Членство в группе — вы можете указать, какой группой вы хотите управлять, используя этот параметр безопасности. Вы можете управлять локальными группами и группами, содержащимися в Active Directory.
  • Службы — с помощью этих настроек вы можете управлять всеми различными службами на сервере, чтобы установить режим запуска и безопасность службы.
  • Разрешения реестра. Используя эти настройки, вы можете управлять списком контроля доступа (ACL) ключей реестра.
  • Разрешения на доступ к файлам и папкам — с помощью этих настроек вы можете управлять списками управления доступом к файлам и папкам на целевом сервере.

Это всего лишь параметры безопасности, которые можно установить в стандартном шаблоне безопасности по умолчанию. Как и почти все остальное в компьютерной среде, вы также можете настроить параметры. (Подробнее о том, как это сделать, см. в статье «Настройка шаблонов безопасности Windows».) В шаблоне безопасности можно выполнить настройку для изменения значений реестра.

Варианты развертывания шаблонов безопасности

Теперь, когда у вас настроены шаблоны безопасности для ваших серверов, их необходимо развернуть на каждом сервере. Существует три варианта развертывания шаблона безопасности на сервере. Первый вариант — ручной метод и не очень эффективен. Второй вариант является полуавтоматическим, но для его развертывания все же требуется ручное управление шаблоном безопасности. Третий и последний вариант является предпочтительным методом, поскольку он позволяет автоматически развертывать шаблоны безопасности.

В качестве первого варианта вы можете использовать оснастку «Конфигурация и анализ безопасности» в MMC на целевом сервере. Эта оснастка загружается в MMC идентично оснастке «Шаблоны безопасности», которую мы обсуждали ранее. После загрузки оснастки у вас есть пункт меню «Открыть базу данных», который фактически добавляет шаблон безопасности в инструмент для анализа и развертывания. После того, как вы добавите шаблон безопасности в инструмент, опция «Настроить компьютер сейчас» станет активной. Это возьмет настройки из шаблона безопасности и установит их на сервере.

Для второго варианта вы можете создать сценарий (или запустить команду из окна командной строки), который использует инструмент Secedit.exe. Этот инструмент дает вам некоторую гибкость при настройке и анализе компьютера в отношении шаблонов безопасности. Команда имеет много переключателей, но вы будете использовать переключатель /configure со следующими параметрами:

Единственными обязательными параметрами являются настройки /configure и /db. Все остальное дополнительно определяет детали шаблона безопасности, если вам нужно быть детальным при развертывании параметров безопасности.

Последний вариант развертывания шаблона безопасности — использовать существующую структуру Active Directory и полагаться на групповую политику. Групповая политика имеет механизм по умолчанию для импорта и развертывания шаблонов безопасности. Например, у вас могут быть все ваши веб-серверы в организационном подразделении (OU) с именем WebServers. Если вы создаете и связываете объект групповой политики (GPO) с OU WebServers, вы можете импортировать шаблон безопасности в GPO. Инструментом для управления объектом групповой политики является консоль управления групповыми политиками (GPMC). Чтобы импортировать шаблон безопасности в объект групповой политики, вы сначала отредактируете объект групповой политики из консоли управления групповыми политиками. После запуска редактора групповой политики вы откроете объект групповой политики, чтобы открыть узел настроек безопасности, как показано на рисунке 2.

Изображение 25440
Рис. 2. Узел «Параметры безопасности» в редакторе групповой политики

Щелкнув правой кнопкой мыши по этому узлу, вы получите возможность «Импортировать политику». Эта опция меню даст вам возможность импортировать шаблон безопасности в объект групповой политики. Как только шаблон безопасности находится в объекте групповой политики, он автоматически развертывается на всех целевых серверах (на основе серверов в подразделении) с использованием обработки групповой политики по умолчанию. Для серверов эта обработка происходит автоматически каждые 90 минут.

Резюме

Не существует установленных по умолчанию серверов Windows, которые полностью удовлетворяли бы ваши потребности в безопасности. Поэтому вам необходимо рассмотреть наиболее экономичные и эффективные способы настройки этих серверов. Поскольку безопасность не является узким набором настроек, вам необходимо использовать какой-то механизм, который может обрабатывать самые разные настройки. Шаблоны безопасности предоставляют широкие, но глубокие возможности настройки параметров безопасности для ваших серверов. Благодаря разнообразию конфигураций безопасности, которые входят в стандартную комплектацию шаблонов безопасности, в сочетании с возможностью их настройки, вы можете настроить большинство параметров безопасности, используя только это одно решение. Наконец, используя любой из трех методов развертывания шаблонов безопасности, наиболее эффективными из которых являются объекты групповой политики, вы можете быстро обеспечить безопасное функционирование своих серверов.