Тема: Настройка операционной системы Windows 2003 Server

После перезагрузки система отображает окно регистрации, доступное после нажатия комбинации клавиш <Ctrl+Alt+Del>. Зарегистрируйтесь в системе и завершите настройку компьютера. При регистрации в домене Windows Server 2003 или Windows 2000 аутентификация выполняется средствами службы Kerberos. Дополнительная информация о транзакциях Kerberos приводится в главе 11, "Безопасность доступа по сети и протокол Kerberos". Служба userinit. ехе настраивает рабочую среду пользователя, создает пользовательский профиль и запускает Explorer (Проводник) в контексте зарегистрированного пользователя. При регистрации на новом сервере отображается окно Configure Your Server (Настройка сервера). Это окно предоставляется мастером настройки сервера (Server Configuration Wizard), код которого хранится в файле srvwiz .dll. Этот мастер является компонентом mshta.exe, утилиты восстановления Internet Explorer. Параметры работы мастера настройки сервера устанавливаются в разделе системного реестра HKCU\Software\Microsoft\Windows NT\CurrentVersion\Setup\Welcome\Srvwiz. Мастер настройки сервера последовательно отображает несколько Java-окон, которые используются для выбора интересующих возможностей сервера с последующей автоматической установкой выбранных возможностей. Результаты работы мастера заносятся в файл журнала \Windows\суs.log.

Теперь можно завершить работу мастера и установить флажок, блокирующий последующий автоматический запуск мастера. Это пригодится, если администратор предпочитает настраивать сервер вручную. Если в дальнейшем возникнет желание воспользоваться мастером настройки сервера, его можно запустить, открыв Control Panel (Панель управления) с помощью аплета Configure Your Server (Мастер настройки сервера).

Тема: Основы политики безопасности

Локальные политики

Задание политики этих учетных записей и назначение им соответствующие права. В Windows 2000 это осуществляется через консоль Локальная Безопасность. Запустить консоль Локальная безопасность следует из Панели управления->Администрирование.

Можно эту же оснастку запустить и как отдельный инструмент

Консоль включает несколько интегрированных контейнеров: "Политика учетных записей", "Локальные политики", "Политики открытого ключа", "Политики безопасности IP на локальный компьютер", каждый из которых включает свои интегрированные компоненты.

Итак, политика управления паролями и политика блокирования учетных записей в Windows 2000 выполняется администратором в узле Политики учетных записей оснастки Локальная безопасность.

В узле Политики паролей вынесены отдельно настройки, связанные с ограничениями на используемые пароли. Давайте их рассмотрим.

Настройка первая - Максимальный срок действия пароля. Настроить определенный параметр политики можно, дважды щелкнув мышкой на выбранном пункте списка в окне соответствующего узла. Таким образом, можно установить Максимальный срок действия пароля.

Как видите, в этом окне указано, что пароли в системе (все оптом) истекают в течение определенного количества дней, по умолчанию - 42 дня. Если у пользователя истек пароль, это не значит, что он не может входить в систему - просто при очередном входе в сеть пользователю будет предложено поменять пароль. Обратите внимание - эта настройка, как и все, перечисленные в этом окне, относятся не к какому ни будь одному пользователю - это настройки для всех сразу. Если Вы хотите, чтобы пароль конкретного пользователя не истекал, в то время как пароли других пользователей имели максимальный срок жизни, то Вы знаете как это сделать - в настройках конкретного пользователя установите галочку Срок действия пароля не ограничен. Для чего ограничивать срок жизни пароля сверху? Если Вы всегда пользуетесь одним и тем же паролем, то высока вероятность, что когда ни будь его удастся кому то подсмотреть, если Вы заставляете пользователей периодически менять пароль с помощью описываемой настройки, то таким образом Вы повышаете безопасность в сети.

Следующая настройка - Минимальный срок действия пароля. Установив его в значение 0, Вы позволите своим пользователям менять пароль когда угодно, указав же некоторое число, Вы заставите пользователя пользоваться установленным по крайней мере некоторое количество дней. Эта настройка полезна, если Ваши пользователи часто от скуки меняют пароли и забывают их, однако совсем запретить изменение паролей Вам не позволяют требования безопасности.

Идем далее - Минимальная длина пароля. Этот параметр по умолчанию имеет значение: 0, что означает разрешение даже пустых паролей, однако из соображений безопасности Вы можете заставить своих пользователей выбирать пароли из числа букв, не меньшего, чем указанное Вами число.

Следующие настройки отвечают за уникальность паролей. Представьте себе: Вы как администратор требуете, чтобы пользователи меняли свои пароли не реже одного раза в 30 дней. Пусть некоторому пользователю Windows 2000 сообщает, что он обязан сменить пароль, а пользователь этого делать не хочет - он привык к своему паролю и ему наплевать на проблемы безопасности. Что тогда сделает пользователь, которого Вы заставляете сменить пароль? Правильно, в качестве нового пароля введет ... пароль старый, такой же как и был, следовательно фактически НЕ сменит пароль, хотя формально процедура смены прошла. Для того, чтобы избегать подобных случае, есть настройка "Требовать не повторяемости паролей". Значение настройки "Не запоминать прежние пароли" установленное в 0 означает, что Windows 2000 не запоминает старые пароли пользователей, не ведет историю паролей. Напротив, если оно установлено в определенное число означает, что Windows 2000 для каждого пользователя будет запоминать его последние пароли и не позволять использовать их в качестве новых.

Второй узел Политики учетных записей - Политика блокировки учетных записей. Что это такое? Это ситуация, когда учетная запись пользователя приостанавливает свое действие вследствие того, что пользователь несколько раз неверно ввел свой пароль - очевидно эта мера предназначена для борьбы с попытками подбора паролей.

По умолчанию учетные записи пользователей не блокируются при неверных вводах пароля, однако администратор может включить эту функцию (параметр Блокировка учетной записи на). Соответственно, администратор может настроить через какое количество неверных попыток ввести пароль учетная запись пользователя блокируется (параметр Пороговое значение блокировка). Следующая настройка - Сброс счетчика блокировки через говорит о том, через какое время сбрасывается счетчик неверных попыток, если блокировка еще не наступила.

В целом процедура формирования политики использования паролей состоит из трех шагов: устанавливаются требования к созданию паролей, трудных для "взлома"; устанавливаются правила изменения паролей на регулярной основе и, наконец, необходимо сделать так, чтобы злоумышленникам требовалось больше времени для "взлома" паролей методом повторяющейся регистрации.

Политики позволяют надежно заделать возможные "дыры" в системе защиты, и не только с помощью пароля. В арсенале администратора имеется политика блокировки учетной записи, которая затруднит работу программы автоматического перебора паролей.

Таким образом, мы рассмотрели политики безопасности в сети относительно учетных записей. Следующие узел оснастки Локальные безопасности.

Настройка доступа.

Прежде всего, необходимо настроить систему для того, чтобы доступ к компьютеру из сети стал возможен. Обыкновенно советы сводятся к следующему: отключите брандмауэр, выключите простой общий доступ, включите гостя и разрешите ему доступ. Это неправильно. Такая политика действительно позволит использовать общий доступ к ресурсам, но она никак не защищает владельца от злонамеренных действий клиентов. При таких обстоятельствах, возможно что любой пользователь сможет удалить данные на вашем жестком диске.

Итак, как сделать правильно. Заходим в свойства брандмауэра, используя соответствующий пункт «Панели управления» и отмечаем чекбокс "Общий доступ к файлам и принтерам" как показано на рис.1. Этим мы разрешаем доступ к портам TCP 139 и 445, а также UDP 137-138. Вообще, при открытии сетевого доступа к разделяемым ресурсам, брандмауэр настраивается автоматически. Мы проделали эту операцию, дабы совершенно точно знать, что возможные проблемы не связаны с политиками брандмауэра.

По умолчанию Windows ищет в сети общие папки и принтеры. Можно по-разному относиться к данной возможности, но если необходимо ее задействовать, то лучше воспользоваться компонентом "Одноранговая сеть", который включается через "Установку и удаление программ" - "Компоненты Windows" - "Сетевые службы" (Рис.2). Брандмауэр будет настроен автоматически.

Помимо того, необходимо убедиться в том, что задействована "Служба общего доступа к файлам и принтерам". Проверить это можно в свойствах сетевого соединения (Рис.3). По умолчанию данная служба включена, если не используется модемное подключение.

Теперь необходимо определиться с методом доступа к компьютеру из сети. В Windows XP предусмотрены две модели доступа: "Гостевая" и "Обычная". Гостевой доступ упрощает управление разделяемыми ресурсами, но существенно ограничивает возможности, такие как удаленное администрирование, аудит и разделение ресурса между пользователями по правам доступа т.п. При выборе этой модели, все пользователи, которые пытаются подключиться к компьютеру из сети, автоматически признаются гостями операционной системы. Если никакие из вышеперечисленных функций не используются, то можно ограничиться гостевым доступом.

Гостевая модель доступа.

Чтобы воспользоваться данной моделью доступа, а она активирована в Windows по умолчанию, достаточно просто включить учетную запись "Гость" в оснастке управления компьютером, либо через панель управления и разрешить ему доступ из сети в политике безопасности.

Учетная запись «Гость» включается следующим: образом: правый клик по системному значку "Мой компьютер", который, в зависимости от выбранного интерфейса ОС, «классического», либо Windows XP, находится или на «рабочем столе» или в меню "Пуск". В появившемся меню выбираем "Управление". В открывшейся оснастке переходим к категории «Локальные пользователи и группы», затем выбираем «Пользователей», дважды щелкаем по учетной записи “Гость” и снимаем флажок в чекбоксе "Отключить учетную запись". Затем нажимаем "Применить" и "ОК". Красный крестик у «Гостя» должен исчезнуть (Рис.4). Также в оснастку «Управление компьютером» можно попасть через «Панель управления», выбрав в ней пункт «Администрирование».

Переходим в оснастку редактора групповых политик – нажимаем "Пуск", выбираем "Выполнить", вводим GPEDIT.MSC и нажимаем "ОК". В открывшейся оснастке находим ветвь "Назначение прав пользователя" (Рис.5), затем - пункт "Отказ в доступе к компьютеру по сети", дважды щелкаем по нему, подсвечиваем «Гостя», нажимаем "Удалить", "Применить", "ОК".

В принципе все, гостевой доступ включен, но есть тонкости.

1. Изменение в политике безопасности применяются через полтора часа (90 мин.) по умолчанию. Принудительно применить параметры можно двумя способами: осуществив перезагрузку ОС, либо используя принудительное обновление групповой политики. Сделать это можно следующим образом: "Пуск", "Выполнить", вводим “gpupdate /force” (без кавычек) и нажимаем "ОК".

2.Если вы меняли модель доступа ранее, то верните ее назад к гостевой модели, как показано на рис.6 или рис. 7.

Обычная модель доступа.

Теперь рассмотрим более правильный с моей точки зрения вариант с “Обычной” моделью доступа, которую еще называют «Классической».

Сначала нам требуется отключить простой общий доступ. Это можно сделать двумя способами. Первый и самый простой показан слева. Открыть диалог «Свойства папки» можно раскрыв любую папку, хотя бы «Мой компьютер» и в меню «Сервис» выбрать «Свойства папки». Достаточно снять галочку, как показано на рис.6, и простой общий доступ будет выключен. Второй способ сложнее, через политики безопасности. Как было сказано выше, введя команду GPEDIT.MSC в окошко «Выполнить» меню «Пуск», мы попадаем в окно оснастки редактора групповых политик. Далее, следуя по дереву консоли, находим пункт «Сетевой доступ: модель совместного доступа и безопасности…», как показано на рис.7. Но обратите внимание, как называется данный пункт. "Сетевой доступ: модель совместного доступа...". Такой вот маленький чекбокс слева, а полностью меняет модель доступа

Итак, модель сетевого доступа выбрана «Обычная». Это значит, что все пользователи, пытающиеся попасть на компьютер из сети, перестают автоматически быть гостями. При этом Windows начнет производить проверку их верительных данных на предмет совпадения с хранящимися на локальном компьютере учетными записями, а также проверку полномочий доступа, предоставленных этим пользователям. В этом случае имеется возможность создавать локальных пользователей и задавать им права доступа к папкам и подпапкам. Это пригодится, когда надо открыть доступ к определенной папке одному пользователю, но закрыть другому. При простом общем доступе сделать это невозможно, поскольку все клиенты используют одну учетную запись – «Гость».

В политиках безопасности существует пункт, регламентирующий использование пустых паролей. По умолчанию использование пустых паролей допускается только для консольного входа. Если кто-то из пользователей, кроме «Гостя» должен попадать в систему с пустым паролем, то значение данного пункта надо перевести в положение «Отключен». Тем самым разрешается доступ к компьютеру по сети учетным записям, имеющим пустой пароль. Но имейте ввиду, что тем самым открывается доступ с пустыми паролями и к так называемым «административным» разделяемым ресурсам, что совсем не безопасно.

Эффективное функционирование ни одной многопользовательской операционной системы невозможно без четкого разграничения доступа к ресурсам. Одним из средств, позволяющих настраивать параметры безопасной работы пользователей в сети в операционных системах Windows, являются политики безопасности. В предыдущих версиях Windows NT Server политика безопасности домена хранилась в базе данных Диспетчера учетных записей безопасности SAM (Security Accounts Manager). Политика состояла из дескриптора безопасности, предоставляющего доступ к выполнению операции (таких, например, как создание учетной записи и просмотр учетных записей) и свойств, описывающих политики в отношении паролей и блокировки учетных записей пользователей. Локальная политика хранилась в базе данных политик и состояла из информации о привилегиях пользователей и конфигурации аудита. Она реплицировалась между контроллерами домена, поэтому все контроллеры получали одинаковые настройки аудита и привилегий. Политика домена действовала в отношении всего домена, но не могла быть общей для нескольких доменов. Дополнительное управление политиками могло быть осуществлено с помощью членства пользователей в группах.

Реализация политик безопасности в Windows 2000 предоставляет значительно более широкие возможности. При необходимости вы можете устанавливать политики для всего дерева доменов. Различные контроллеры в пределах одного домена могут обладать индивидуальными политиками безопасности. Установив политику безопасности в одном месте, администраторы могут контролировать безопасность всех серверов и рабочих станций домена. Политики безопасности в Windows 2000 реализуются с помощью средств групповых политик (group policy).

Групповая политика имеет следующие преимущества:

Основываясь на службе Active Directory системы Windows 2000, позволяет как централизованно, так и децентрализовано управлять параметрами политики.

Обладает гибкостью и масштабируемостью. Может быть применена в широком наборе конфигураций системы, предназначенных как для малого бизнеса, так и для больших корпораций.

Предоставляет интегрированный инструмент управления политикой с простым и хорошо понятным интерфейсом — оснастку консоли управления Групповая политика (Group Policy).