Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3511 / 739 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Лекция 8:

Безопасность Windows Server 2003

< Лекция 7 || Лекция 8: 123456 || Лекция 9 >

Защищенные паролем заставки

Защищенная паролем заставка (screensaver) позволяет Windows Server 2003 автоматически блокировать экран после заданного периода "неактивности". Это может быть резервное копирование, когда пользователь или администратор забыл блокировать доступ к рабочей станции. После блокировки экрана компьютера его может разблокировать только пользователь, выполнивший текущий вход на компьютер, или уполномоченный администратор.

Чтобы задать автоматическую блокировку экрана на отдельном компьютере, выполните следующее.

  1. Щелкните правой кнопкой на рабочем столе пользователя и выберите пункт Properties. Появится окно Display Properties (Свойства: Экран).
  2. Щелкните на вкладке Screen Saver (Заставка).
  3. Выберите заставку из раскрывающегося списка Screen Saver.
  4. В поле Wait (Интервал ожидания) введите количество минут периода неактивного состояния, после которого будет инициирована заставка (рекомендуется значение по умолчанию, равное 15 минутам).
  5. Установите флажок On Resume, Password Protect (При возобновлении защита по паролю).
  6. Щелкните на кнопке OK, чтобы задать эту защищенную паролем заставку.

Члены группы Domain Administrators могут активизировать групповую политику Active Directory, чтобы задать, будут ли пользователи использовать заставки и смогут ли они изменять свойства заставки.

Ниже приводятся настройки групповой политики, которые могут влиять на работу заставки.

  • Hide Screen Saver Tab (Скрывать вкладку "Заставка"). Удаление вкладки Screen Saver из окна Display в панели управления (Control Panel).
  • Screen Saver (Заставка).Может запрещать запуск заставок.
  • Screen Saver Executable Name (Имя исполняемого модуля заставки).Указывает заставку для рабочего стола пользователя и препятствует изменениям.
  • Password Protect the Screen Saver (Защита заставки паролем).Разрешает использовать пароли для всех заставок. Отключите, если не хотите использовать пароли для всех заставок.

Чтобы сделать блокировку заставки паролем недоступной для пользователей с помощью групповой политики, выполните следующие шаги.

  1. Щелкните на кнопке Start и затем на кнопке Run.
  2. Введите mmc и затем щелкните на кнопке OK, чтобы запустить консоль управления Microsoft (MMC).
  3. В меню Console щелкните на Add/Remove Snap-ins и затем щелкните на кнопке Add.
  4. Щелкните на Group Policy (Групповая политика) или Local Policy (Локальная политика). Если это будет политика Active Directory, щелкните на кнопке Add, затем на кнопке Browse и выберите сайт, домен или организационную единицу (OU), к которой будут применяться эта политика.
  5. Щелкните на кнопке Close.
  6. Раскройте последовательность User Configuration\Administrative Templates\Control Panel\Display.
  7. В правой панели дважды щелкните на Password protect the screen saver.

  8. Выберите вариант Disable (Отключить) во вкладке Policy. Тем самым пользователи не смогут задавать пароли по заставкам для этого компьютера или домена.
  9. Щелкните на вкладке Explain (Пояснения), чтобы получить информацию по использованию этой политики.
  10. Щелкните на кнопке Apply (Применить).
  11. Щелкните на кнопке OK и затем закройте эту консоль MMC.

IPSec (Internet Protocol Security)

IP Security (IPSec) можно использовать для защищенной передачи данных между двумя компьютерами. Он совершенно прозрачен для приложений, поскольку реализован на транспортном уровне модели OSI, позволяя приложениям выполнять обмен данными с помощью портов TCP и UDP. IPSec имеет следующие возможности.

  • Обеспечивает конфиденциальность сообщений путем шифрования всех данных, передаваемых через сетевые соединения, включая соединения удаленного доступа, например, коммутируемые (dial-up) соединения.
  • Обеспечивает целостность сообщений, передаваемых между двумя компьютерами, путем защиты данных от несанкционированной модификации во время их передачи.
  • Ограничивает список компьютеров, которые могут взаимодействовать друг с другом. Администраторы могут также ограничивать обмен определенными протоколами IP и портами TCP/UDP. IPSec можно использовать как "ограниченный" брандмауэр для блокирования приема или передачи определенного трафика IP.
  • Препятствует воспроизводящим атакам, гарантируя, что допустимые пакеты данных не используются повторно для получения доступа к сети в будущем.
Примечание. Два из наиболее распространенных применений IPSec - брандмауэр на основе хоста и соединение двух серверов, разделенных брандмауэром. Например, IPSec можно использовать для защищенной передачи данных между веб-сервером, находящимся перед брандмауэром, с сервером базы данных, находящимся за брандмауэром в корпоративной сети интранет.

Конфигурация политик IPSec Windows Server 2003 преобразует деловые потребности IPSec в политики IPSec, которые можно назначать на уровне домена, сайта, организационной единицы (OU) или локальных машин. Ее можно реализовать, поместив серверы в OU и назначив политику IPSec этой OU с правилом, которое требует защищенного трафика между серверами и всеми другими компьютерами. В Windows Server 2003 оснастка IP Security Monitor в консоли MMC позволяет администраторам управлять политиками IPSec, включая следующее.

  • Создание и модифицирование политики IPSec.
  • Слежение за информацией IPSec о локальном компьютере и удаленных компьютерах.
  • Просмотр деталей политик IPSec.
  • Просмотр фильтров, статистики и ассоциаций безопасности (security associations) IPSec.

Из оснастки IP Security Policies можно централизованно управлять политикой IPSec для членов Active Directory или для локальных компьютеров. Политика IPSec состоит из набора фильтров, действий фильтров и правил. Фильтр содержит следующие данные.

  • Один исходный IP-адрес или диапазон адресов.
  • Один целевой IP-адрес или диапазон адресов.
  • Протокол IP, такой как TCP, UDP или "any" (любой).
  • Исходный и целевой порты.

Действие фильтра (filter action) указывает, что происходит, когда вызывается фильтр. Например, это может быть разрешение отправки и приема трафика IP без блокирования, блокирование трафика и согласование протокола безопасности для его использования между компьютерами.

Правило связывает фильтр с действием фильтра. Отраженная политика применяет правила ко всем пакетам, где меняются местами указанные исходный и целевой IP-адреса.

Внимание. Windows Server 2003 содержит списки заранее определенных файлов, действий фильтров и политик по умолчанию IPSec. Они предназначены для использования только как пример политик IPSec. Их не следует использовать без модификации. Эти политики по умолчанию определены для компьютеров в сетях интранет, поскольку они разрешают членам домена Active Directory получать незащищенный трафик.

Для добавления, редактирования или удаления политик IPSec используйте MMC, чтобы открыть консоль, содержащую IP Security Policy Management (Управление политиками IPSec), и затем выполните одну из следующих процедур.

  • Добавление новой политики. Выберите Action/Create IP Security Policy. Выполняйте инструкции мастера IP Security Policy Wizard, пока не появится диалоговое окно Properties для этой новой политики.
  • Модифицирование существующей политики.Дважды щелкните на политике, которую вы хотите модифицировать, и внесите необходимые изменения.
  • Удаление политики.Щелкните на политике, которую вы хотите удалить, и в меню Action щелкните на пункте Delete.

Если вы добавляете или модифицируете политику, щелкните на вкладке General, введите уникальное имя в поле Name и введите описание этой политики безопасности в поле Description.

Чтобы задать частоту проверки обновлений агентом политик IPSec Policy Agent, введите в поле Check (Проверка) количество минут для интервала проверки изменений политик.

Если у вас имеются особые требования к безопасности обмена ключами, щелкните на кнопке Settings, щелкните на вкладке Rules (Правила) и создайте или измените все необходимые правила для данной политики. Активизируйте или отключите правила, как это вам нужно.


Внимание. Фильтры являются наиболее важной частью политики IPSec для компьютера, защищаемого с помощью IPSec. Если фильтры неверно сконфигурированы в политиках компьютеров или серверов либо изменились IP-адреса, то защита, обеспечиваемая IPSec, может быть потеряна.

Для добавления, редактирования или удаления фильтров IPSec выполните следующее.

  1. Используйте MMC, чтобы открыть консоль, содержащую IP Security Policies.
  2. Дважды щелкните на политике, которую вы хотите модифицировать.
  3. Дважды щелкните на правиле IP Security, содержащем список фильтров IP, который вы хотите модифицировать.
  4. Во вкладке IP Filter List (Список фильтров IP) дважды щелкните на списке фильтров IP, содержащем фильтр IP, который вы хотите модифицировать.
  5. В диалоговом окне IP Filter List выполните одну из следующих процедур.
  6. Для добавления фильтра щелкните на кнопке Add.
  7. Для изменения существующего фильтра выберите этот фильтр и затем щелкните на кнопке Edit.
  8. Для удаления существующего фильтра выберите этот фильтр и затем щелкните на кнопке Remove.
  9. В диалоговом окне IP Filter List выполните одну из следующих процедур.
  10. Чтобы использовать мастер IP Filter Wizard для создания фильтра, проследите, чтобы был установлен флажок Use Add Wizard (Использовать мастер добавления), и затем щелкните на кнопке Add.
  11. Чтобы создать фильтр вручную, сбросьте флажок Use Add Wizard и затем щелкните на кнопке Add.
  12. Чтобы модифицировать существующий фильтр, выберите этот фильтр и затем щелкните на кнопке Edit.
  13. Во вкладке Addresses (Адреса) выберите исходный адрес (Source Address).
  14. Щелкните на Destination Address (Адрес назначения) и повторите шаг 7 для адреса назначения.
  15. В секции Mirrored (Зеркальный) выберите нужную настройку.
  16. Чтобы автоматически создать два фильтра с одинаковыми настройками, один для трафика в точку назначения и второй - из точки назначения, установите флажок Mirrored.
  17. Чтобы создать один фильтр, сбросьте флажок Mirrored.
  18. В поле Description вкладки Description введите описание этого фильтра.

Оснастка IPSec Monitor

В Windows 2000 была автономная исполняемая программа IP Security Monitor, которая называлась IPSecmon.exe. В Windows Server 2003 реализована оснастка MMC IP Security Monitor, с помощью которой вы можете делать следующее.

  • Следить за информацией IPSec для локальных и удаленных компьютеров.
  • Просматривать детали активных политик IPSec, включая имя, описание, дату последнего изменения, хранилище, путь, OU и имя объекта Group Policy.
  • Просматривать информацию фильтров IP.
  • Просматривать статистику IPSec.
  • Просматривать ассоциации безопасности в основном и быстром режимах.
  • Выполнять поиск фильтров по исходному IP-адресу или IP-адресу назначения.

< Лекция 7 || Лекция 8: 123456 || Лекция 9 >