Опубликован: 16.10.2006 | Доступ: свободный | Студентов: 2181 / 313 | Оценка: 4.44 / 4.23 | Длительность: 26:41:00
Лекция 4:

Учетные записи, аутентификация и политика безопасности

Средства управления локальной безопасностью

Управление локальными параметрами и политикой не зависит от того, работаете вы с отдельным сервером или с сервером, являющимся частью домена интранет-сети или использующим технологию Active Directory. Локальные настройки и политика применяются к тому компьютеру, на котором они установлены. Даже если компьютер является частью домена, другим системам в домене неизвестны локальные настройки отдельных компьютеров и на них не распространяются.

Windows 2000 и IIS используют три основных набора инструментов для конфигурирования и управления локальными настройками безопасности сервера.

  • Пакет средств Microsoft Management Console (MMC).
  • IIS Lockdown (IIS Lock).
  • Анализ и настройка безопасности MMC и шаблоны.

Набор средств MMC представляет собой пакет инструментов, предназначенных для конфигурирования безопасности и ее поддержки, включая настройку параметров аутентификации, создание пользователей и групп, управление ACL и т.д. Компоненты IIS Lockdown и Security Configuration and Analysis (Анализ и настройка безопасности) являются специализированными средствами. IIS Lock используется для автоматизации настройки параметров безопасности при начальной установке или при изменении конфигурации сервера. Оснастка Security Configuration and Analysis и связанные с ней шаблоны безопасности используются для построения и применения особых локальных политик безопасности.

В "Подготовка и укрепление веб-сервера" вы познакомились с MMC и с IIS Lock и даже использовали эти компоненты для укрепления своего сервера. IIS Lock вновь потребуется при установке новых сервис-пакетов, служб FTP, NNTP и SMTP. MMC используется постоянно, причем не только для защиты, но и для поддержки сервера IIS.

Консоль Microsoft Management Console

Инструменты пакета MMC находятся в папке Administrative Tools (Администрирование) в меню Start (Пуск). На отдельном сервере все локальные учетные записи пользователей, группы, пароли и другие настройки управляются посредством MMC и хранятся локально в файле диспетчера безопасности учетных записей (SAM).

Некоторые средства управления безопасностью в Active Directory MMC несколько отличаются от аналогичных инструментов отдельного сервера. Например, для управления пользователями и группами на отдельном сервере используются папки Local Users (Локальные пользователи) и Groups (Группы) в компоненте MMC Computer Management (Управление компьютером). В среде домена/Active Directory используется компонент Active Drectory Users and Computers (Пользователи и компьютеры Active Directory). Active Directory хранит информацию о домене в отдельном файле, который называется NTDS.DIT и имеется на других контроллерах доменов.

Те читатели, чьи веб-сайты соединены только с интернетом, при выполнении рекомендаций (см. "Подготовка и укрепление веб-сервера" ) не должны были включать свои веб-серверы в домен и, следовательно, использовали локальные средства управления MMC для Windows 2000 и IIS. Обратите внимание, что большая часть параметров локальной безопасности веб-сайта, находящегося в домене, настраивается с помощью локальных инструментов управления MMC. Исключением является управление пользователями и группами интранет-сети, осуществляемое инструментами MMC Active Tools. Причина заключается в том, что пользователи и группы могут быть общими для всех серверов сети интранет. Однако в этой лекции мы не будем рассказывать о средствах Active Directory. В дальнейшем речь пойдет только об управлении локальной политикой безопасности сервера. Таблица 4.2 содержит перечень средств MMC, предназначенных для управления локальной безопасностью Windows 2000/IIS.

Таблица 4.2. Инструменты управления локальной безопасностью для IIS
Средство Функция
Computer Management (Управление компьютером) Управляет локальными или удаленными компьютерами. Содержит функции по управлению атрибутами сервера, такими как системные события, свойства хранилищ, пользователи и группы, параметры устройств и службы.
Internet Services Manager (Диспетчер служб интернета) Управляет параметрами безопасности веб-сервера IIS, включая разрешения домашних каталогов, методы аутентификации, анонимный доступ и права оператора.
Local Security Policy (Локальная политика безопасности) Управляет локальной политикой безопасности на сервере по отношению к таким параметрам, как свойства IPSec, свойства паролей, свойства группы и свойства блокировки.
Оснастка Security Configuration and Analysis (Анализ и настройка безопасности) Осуществляет анализ и конфигурирование прав пользователя локального компьютера, ограниченных групп, реестра, файловой системы и системных служб с использованием шаблона политики безопасности.
Оснастка Security Templates (Шаблоны безопасности) Определяет политику безопасности, применяемую к группе или компьютеру.

Настройка политики безопасности с помощью шаблонов

Шаблоны безопасности представляют собой централизованный метод установки параметров безопасности при работе с оснастками MMC Security Configuration and Analysis (Анализ и настройка безопасности) и Security Template (Шаблон безопасности). На сайте Microsoft Technet находится шаблон безопасности Microsoft. Он содержит основные параметры безопасности для IIS, которые, по мнению Microsoft, должны применяться к защищаемым веб-сайтам. Шаблоном является файл с именем Hisecweb.inf, который можно загрузить с веб-сайта Microsoft по адресу http://support.microsoft.com/support/misc/kblookup.asp?id =Q316347.

Шаблон безопасности представляет хорошую основу для реализации защиты сервера. При запуске программы IIS Lock (см. "Подготовка и укрепление веб-сервера" ) этот компонент применял к серверу настройки файла Hisecweb.inf.

С помощью шаблонов эффективно разрабатывается локальная политика безопасности. Шаблон Hisecweb.inf можно использовать в качестве базы, затем внести в него изменения, после чего сохранить под другим именем для создания собственной политики. Так можно просматривать, настраивать и применять к локальному компьютеру широкий спектр настроек безопасности. Этот метод используется для определения изменений, которые вносятся в настройки политики безопасности Microsoft IIS по умолчанию.

Политики безопасности в шаблоне Hisecweb.inf содержат настройки следующих параметров.

  • Account Policies (Политики учетных записей). Защита паролей, блокировки учетных записей и аутентификации Kerberos.
  • Local Policies (Локальные политики). Ведение журналов событий, связанных с безопасностью, а также учет присвоения прав пользователям и группам.
  • Restricted Groups (Ограниченные группы). Администрирование членов локальной группы.
  • Registry (Реестр). Безопасность параметров локального реестра.
  • System Services (Системные службы). Режим запуска и безопасность локальных служб.
  • Security Options (Параметры безопасности). Правила для других настроек безопасности.

Для получения полного представления о количестве рассматриваемых параметров нужно ознакомиться со всеми лекциями книги. На данном этапе работы необходимо настроить оснастки, так как они понадобятся в последующих лекциях. А сейчас мы создадим шаблоны, работу с которыми продолжим позже.