- •2.Идентификатор безопасности (sid)
- •3. Маркеры и субъекты доступа. Олицетворение.
- •4. Диспетчер уз. Назначение. Виды…
- •5. Взломы паролей. Меры повышения защищенности паролей.
- •6. Защита компа во время запуска. Wsh
- •7. Dep, kpp, wpr, Изоляция сессий, aslr.
- •9. Редактор шаблонов.
- •10. Групповая политика
- •11. Родконтроль
- •12. AppLocker
- •13. Дескрипторы безопасности объекта. Dacl и acl.
- •14. Организация контроля доступа к объекту.
- •15. Особенности наследования
- •16. Efs, причины появления. Механизмы работы
- •17. Основные компоненты.
- •18. Особенности реализации функции KeyRecovery
- •19. Efs, особенности работы в сети операций копирования и перемещения
- •20. Tpm. Использование BitLocker
- •21. Принципы работы системы Bitlocker. Bitlocker to go
9. Редактор шаблонов.
Появился с Win2000. Предназначен для создания и редактирования текстовых файлов конфигурации безопасности. При необходимости эти шаблоны можно переносить с одного компьютера на другой.
С помощью шаблонов безопасности можно настраивать:
-политику УЗ
-локальную политику
-журналы событий
-задавать группы с ограниченным доступом
-производить настройку системных служб
-осуществлять настройку на доступ к системному реестру
-осуществлять настройку на доступ к файловой системе
В ХР имелось несколько встроенных шаблонов:
Deflt.wk– для рабочих станций
.sv– для серверов
.dc- для контроллеров домена
Secure.wk
.sv
.dc
В ХР и Server2003 шаблон безопасностиsecure.wk.inf(secure.sv.inf) :
1) задает параметры надежных паролей
2) запрещает анонимным пользователям просмотр списка УЗ и ресурсов
3) включает по возможности файловую подпись цифровых пакетов SMB
4) настраивает клиент на посылку ответов NTLMV.2, а сервер на отказ от приема ответов в форматеLANManager
Шаблон повышенной безопасности hisecure*.infпозволяет получить идеально защищенную систему, при этом:
1)Не принимает пакеты не только LANManager, но иNTLM
2) обязательная подпись цифровых пакетов на сервере
3) ограниченное использование кэшированных УЗ
4) При выключении ПК очищается страничный файл виртуальной памяти pagefile.sys
«Анализ и конфигурация безопасности»- это оснастка консоли управления ММС(Microsoft Management Console), которая позволяет администратору проверять состояние безопасности системы в соответствии с одним или несколькими шаблонами безопасности и вносить соответствующие модификации. Всю политику
безопасности компании и подразделения можно включить в один шаблон и затем импортировать этот шаблон для быстрого конфигурирования компьютеров.
Оснастка Шаблоны безопасности (Security Templates)
Созданные при помощи оснастки Шаблоны безопасности текстовые файлы хранятся на жестком диске и при необходимости могут быть импортированы в базу данных безопасности. В этом случае все хранимые настройки безопасности начнут действовать.
Операционная система Windows 2000 содержит три базовых шаблона безопасности:
basicwk.inf — для рабочих станций
basicsv.inf — для серверов
basicdc.inf — для контроллеров доменов
Базовые шаблоны безопасности содержат настройки параметров безопасности, устанавливаемые по умолчанию для всех областей обеспечения безопасности, за исключением прав пользователя и групп. Эти шаблоны можно применять в системе Windows 2000 с помощью оснастки Анализ и настройка безопасности или с помощью утилиты Secedit.exe.
Совместимая (Compatible). Эти настройки безопасности генерируются в системах, где не требуются жесткие меры безопасности, и где работают устаревшие программные продукты Файл совместимого шаблона безопасности называется compatws.inf.
Защищенная (Secure). Обеспечивает более надежную безопасность по сравнению с совместимой конфигурациейОна содержит жесткие настройки безопасности для политики учетных записей, аудита и некоторых широко используемых разделов реестра. Защищенную конфигурацию рекомендуется ставить на компьютеры, где не задействованы все возможности Microsoft Office, или если данный компьютер предназначен для решения узкого круга задач. Шаблоны защищенной безопасности находятся в файлах securews.inf и securedc.inf.
Сильно защищенная (High Security). Эта конфигурация позволяет получить идеально защищенную систему Windows 2000, не учитывающую функциональность приложений. Подобная конфигурация при обмене информацией предполагает обязательное использование электронной подписи и шифрования, которое обеспечивается только средствами Windows 2000. Поэтому компьютеры, на которых установлена сильно защищенная конфигурация безопасности, не могут обмениваться данными с другими операционными системами Windows. Сильно защищенную конфигурацию можно применять в системах, где работают приложения, предназначенные для функционирования в среде с усиленной системой безопасности. Шаблоны защищенной безопасности находятся в файлах hisecws.inf и hisecdc.inf.
Приложения, которые успешно работают на определенном уровне безопасности, обеспеченной заранее созданными шаблонами, также успешно функционируют на более низких уровнях безопасности.