5. Аналіз безпеки

Стани операційної системи і додатків на комп'ютері динамічно змінюється. Наприклад, може виникнути необхідності тимчасово змінити рівні безпеки для негайного вирішення локальної або мережної проблеми. Проте, такі зміни часто забувають відмінити. Це значить, що комп'ютер більше не відповідає вимогам безпеки підприємства.

Звичайний аналіз дає можливість адміністратору відстежувати і підтримувати певний рівень безпеки на кожному комп'ютері підприємства. Це дає можливість адміністратору точно налагодити рівень безпеки і, що важливіше, знайти вади системи безпеки, які можуть з'явитися пізніше.

Оснащення Анализ и настройка безопасности дає можливість швидко проглянути результати аналізу безпеки. В результатах аналізу поряд з поточними параметрами системи наведені рекомендації, а для виділення областей, в яких поточні параметри не збігаються із запропонованим рівнем безпеки, використовуються значки і відмітки. Крім того, оснащення Анализ и настройка безопасности має можливість усунення невідповідностей, виявлених при аналізі.

 

6. Налагодження системи безпеки

Цей засіб також можна використовувати для безпосередньої налагодження локальної системи. Оскільки для налагодження використовуються особисті бази даних, можна імпортувати в них шаблони безпеки, створені в оснащенні Шаблоны безопасности, і застосовувати ці шаблони до об'єктів групової політики локального комп'ютера. Таким чином безпека системи негайно настроєна відповідно до рівнів, заданих в шаблоні.

Оснащення Анализ и настройка безопасности перевіряє і аналізує налагодження безпеки системи і рекомендує внесення змін в поточні налагодження системи. Області, в яких поточні налагодження не відповідають передбачуваному рівню безпеки, виділяються за допомогою значків і коментарів. Адміністратори можуть використовувати оснащення Анализ и настройка безопасности для налагодження політики безпеки і виявлення слабких місць, що виникають в безпеці системи.

Також можна відкрити оснащення або скористатися консоллю управління Microsoft (MMC). Описи параметрів безпеки наведені у табл. 2.3.

Таблиця 2.3

Описи параметрів безпеки

Область безпеки	Опис
Політики облікових записів	Політика паролів, політика блокування облікового запису і політика Kerberos
Локальні політики	Політика аудиту, призначення прав користувача і параметри безпеки
Журнал подій	Параметри журналів подій додатків, системних подій і подій безпеки
Групи з обмеженим доступом	Склад груп з особливими вимогами до безпеки
Системні служби	Параметри запуску і дозволи для системних служб
Реєстр	Дозволи для розділів реєстру
Файлова система	Дозволи для файлів і папок

 

7. Автоматизація задач налагодження системи безпеки Програма Secedit.Exe

Програма Secedit.exe запускається з пакетного файлу або за допомогою автоматичного планувальника завдань і може використовуватися для автоматичного створення і застосування шаблонів, а також для аналізу системи безпеки. Цю програму також можна запускати вручну з командного рядка.

Програму Secedit.exe використовують у випадках, коли в мережі є декілька комп'ютерів, на яких необхідно вивчити і налагодити систему безпеки в неробочий час.

Програма Secedit.exe настроює і аналізує безпеку системи, порівнюючи поточну конфігурацію хоча б з одним шаблоном.

 

 Команда secedit /analyze

Синтаксис

secedit /analyze /db ім’я_файлу [/cfg ім’я_файлу] [/log ім’я_файлу] [/quiet]

Параметри:

/dbім'я_файлу – обов'язковий параметр. Указує шлях до бази і ім'я файлу бази, що містить збережену конфігурацію, по якій проводитиметься аналіз. Якщо значення ім’я_файлувідповідає новій базі, необхідно вказати параметр командного рядка /cfg ім’я_файлу.

/cfgім’я_файлу – визначає шлях до шаблону безпеки і ім'я файлу шаблону, який імпортуватиметься в базу даних для аналізу. Цей параметр командного рядка може використовуватися тільки разом з параметром /db. Якщо параметр не вказаний, аналіз виконується по конфігурації, що зберігається в базі даних.

/logім’я_файлу – відображає ім'я і шлях файлу журналу для аналізу. Якщо цей параметр не вказаний, використовується файл журналу за умовчанням.

/quiet­– запобігає виводу на екран і у файл журналу. Є можливість подивитися результати аналізу, використовуючи оснащення Анализ и настройка безопасности.

 

Команда secedit /configure

Слугує для налагодження безпеки системи з використанням збереженого шаблону.

Синтаксис

secedit /configure /db ім’я_файлу [/cfg ім’я_файлу ] [/overwrite][/areas область1 область2...] [/log ім’я_файлу] [/quiet]

Параметри

/dbім’я_файлу – обов'язковий параметр. Представляє ім'я файлу бази даних, що містить вживаний шаблон безпеки.

/cfgім’я_файлу – ім'я файлу шаблону безпеки, який імпортуватиметься в базу даних і застосовуватиметься при настройці безпеки. Цей параметр командного рядка може використовуватися тільки разом з параметром /db. Якщо цей параметр не вказаний, використовуватиметься шаблон, що зберігається в базі даних.

/overwrite – вказується в тому випадку, якщо шаблон безпеки, заданий  параметром /cfg, повинен заміщати будь-який шаблон або складений шаблон, що зберігається в базі даних, замість того, щоб додавати результати в базу даних, що зберігається. Цей параметр командного рядка може використовуватися тільки разом з параметром /cfg. Якщо параметр не вказаний, шаблон, вказаний в аргументі /cfg, буде доданий в шаблон, що зберігається в базі даних.

/areasобласть1область2... – визначає області безпеки, які потрібно застосувати в системі. Якщо область не вказана, в системі застосовуються всі  області. Імена областей повинні розділятися пропусками. Імена областей безпеки наведені у табл. 2.4.

Таблиця 2.4

Імена областей безпеки

Ім'я області	Опис
SECURITYPOLICY	Локальна політика і політика для домена, включаючи політики облікових записів, політики аудиту і т.п.
GROUP_MGMT	Налагодження обмежень для всіх груп, вказаних в шаблоні безпеки
USER_RIGHTS	Права користувачів на вхід в систему і надання привілеїв
REGKEYS	Безпека розділів локального реєстру
FILESTORE	Безпека локальних пристроїв зберігання файлів
SERVICES	Безпека для всіх визначених служб

 

/logім’я_файлу – відображає ім'я і шлях файлу журналу для аналізу. Якщо шлях не заданий, використовується шлях за умовчанням.

/quiet – запобігає виводу на екран і у файл журналу.

 

Команда secedit /export

Слугує для експорту збереженого шаблону з бази даних безпеки у файл шаблону безпеки.

Синтаксис

secedit /export [/mergedpolicy] [/DB ім’я_файлу] [/CFG ім’я_файлу] [/areas область1 область2...] [/log ім’я_файлу] [/quiet]

Параметри:

/mergedpolicy – об'єднує і експортує налагодження безпеки локальної політики і налагодження політики домена.

/dbім’я_файлу  – вказує файл бази даних, що містить шаблон, що експортується. Якщо база даних не вказана, використовується база даних системної політики.

/dbім’я_файлу  – визначає ім'я файлу, де повинен бути збережений шаблон.

/areasобласть1область2... – задає області безпеки, які потрібно експортувати в шаблон. Якщо область не вказана, то експортуються всі області. Імена областей повинні розділятися пропусками. Імена областей наведені в табл. 8.4.

/logім’я_файлу – відображає ім'я і шлях файлу журналу для аналізу. Якщо шлях не заданий, використовується шлях за умовчанням.

/quiet – запобігає виводу на екран і у файл журналу.

 

Команда secedit /validate

Слугує для перевірки синтаксису шаблону безпеки при його імпорті в  базу даних або застосуванні до системи.

Синтаксис

secedit /validate ім’я_файлу

Параметр

ім’я_файлу – вказує ім'я файлу шаблону безпеки, який був створений за допомогою засобу «Шаблоны безопасности».

 

Команда Gpupdate

Оновлює локальні параметри і параметри групової політики Active Directory, включаючи параметри безпеки. Ця команда замінює застарілий параметр /refreshpolicy команди secedit.

Синтаксис

gpupdate [/target:{computer|user}] [/force] [/wait:значення] [/logoff] [/boot]

Параметри:

/target:{computer|user} – обробляє тільки параметри комп'ютера або параметри поточного користувача. За умовчанням обробляються і параметри комп'ютера, і параметри користувача.

/force – ігнорує всі оптимізації в процесі обробки і відновлює всі попередні налагодження.

/wait:значення – час очікування закінчення обробки політики в секундах. За умовчанням цей час складає 600 секунд. 0 означає «без очікування»; -1 означає «час очікування не обмежено».

/logoff – задає вихід з системи після закінчення оновлення. Це необхідно для тих клієнтських розширень оснащення Групповая политика, які обробляються не у фоновому режимі, а при вході користувача в систему, наприклад, при установці програмного забезпечення і перенаправленні папок. Цей параметр не працює, якщо розширення, що викликаються, необхідні для виходу користувача з системи, відсутні.

/boot – перезапускає комп'ютер після завершення оновлення. Це необхідно для тих клієнтських розширень оснащення Групповая политика, які обробляються не у фоновому режимі, а при вході користувача в систему, наприклад, при установці програмного забезпечення і перенаправленні папок. Цей параметр не працює, якщо розширення, що викликаються, необхідні для перезапуску комп'ютера, відсутні.

/? – виводить довідку в командному рядку.

 

Приклади

Далі наведені приклади використання команди gpupdate:

gpupdate

gpupdate /target:computer

gpupdate /force /wait:100

gpupdate /boot

 

Практичне завдання

1. Створити власну консоль для реалізації політики безпеки.

1.1.Щоб додати оснащення, виконайте наступні дії.

1.1.1. Відкрийте консоль MMC.

1.1.2. В меню Консоль виберіть команду Добавить или удалить оснастку.

1.1.3. В діалоговому вікні Добавить/удалить оснастку натисніть кнопку Добавить.

1.1.4. В діалоговому вікні Добавить изолированную оснастку виберіть оснащення, яке вимагається додати на консоль, і натисніть кнопку Добавить

Для додавання додаткових оснащень слід повторити кроки з 1.1.2 по 1.1.4.

Примітки.

• Для запуску консолі MMC натисніть кнопку Пуск і виберіть команду Выполнить. В полі Открыть введіть mmc і натисніть кнопку ОК.

• Для отримання відомостей про використання оснащення виберіть команду Справка в меню Действие.