Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3144 / 507 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Лекция 8:

Безопасность Windows Server 2003

< Лекция 7 || Лекция 8: 123456 || Лекция 9 >

Локальные политики безопасности

Политики безопасности критически важны для реализации защищенных серверов Windows Server 2003 и защиты доменов. Администраторы могут управлять политикой безопасности на локальных и удаленных компьютерах, включая политики паролей, политики блокировки учетных записей, политики Kerberos, политики аудита, права пользователей и другие политики. Управлять политиками безопасности можно путем редактирования политик на локальном компьютере, в OU или в домене, а также путем применения файлов с шаблонами безопасности (файлы с расширением имени .inf). Настройки Local Security Policy можно задавать на автономных компьютерах или применять к членам домена. В домене Active Directory настройки Domain Security Policy имеют приоритет по сравнению настройками Local Security Policy.

Примечание. Как Microsoft, так и агентство NSA (National Security Agency) предлагают файлы шаблонов безопасности, которые можно использовать для защиты Windows, серверов, рабочих станций и приложений. Их следует использовать с большой осторожностью и только после обширного тестирования. После их установки может нарушиться работа многих конфигураций приложений и серверов.

Чтобы модифицировать Local Security Policy, сделайте следующее.

  1. Выполните вход на данный компьютер с административными правами.
  2. Выберите Start/Programs/Administrative Tools/Local Security Policy. Появится консоль Local Security Settings.

Локальные политики безопасности для учетных записей

Windows Server 2003 использует политики учетных записей для управления двумя важными составляющими аутентификации по учетной записи.

  • Password policy (Политика паролей). Определяет настройки для реализации функций управления паролями пользователей.
  • Account lockout policy (Политика блокировки учетных записей).Определяет, когда и насколько будет блокирована от системы учетная запись в случае отказа в аутентификации пользователя.
  • Enforce Password History (Журнал паролей).Должно быть задано запоминание 12 паролей.
  • Maximum Password Age (Максимальный срок действия паролей).Промежуток времени, после которого пользователям требуется изменить свой пароль. Должно быть задано значение от 45 до 90 дней.
  • Minimum Password Age (Минимальный срок действия паролей).Минимальный промежуток времени, в течение которого пользователи не могут изменять пароль. Должно быть задано значение 1 день.
  • Minimum Password Length (Минимальная длина паролей).Минимальное количество символов, которое должно быть в пользовательских паролях. Должно быть задано значение не менее 8 символов. Каждый дополнительный символ в пароле существенно повышает трудность взлома пароля.
  • Password Must Meet Complexity Requirements (Пароль должен отвечать требованиям сложности).Требует использования сильных паролей и поэтому должна быть включена (Enabled). Это требует задания пароля, содержащего не менее трех символов из следующих четырех наборов символов: прописные буквы, строчные буквы, числа и неалфавитные символы.
Примечание. Слабые пароли пользователей и администраторов являются одной из основных причин проникновения хакеров на серверы. Если хакер может "разгадать" пароль Domain Administrators, то он фактически "владеет" всем доменом.

Политики блокировки учетных записей

Существует несколько подходов к реализации политик блокировки учетных записей. В одной из рекомендаций говорится, что блокировку учетных записей реализовать не следует: если политики паролей сконфигурированы должным образом, то никакой злоумышленник не сможет разгадать пароль за приемлемый период времени. Кроме того, активизация политик блокировки учетных записей значительно повышает возможность отказа в обслуживании, если делаются попытки компрометации сервера с помощью автоматизированных атакующих программ. Эти программы часто осуществляют перебор небольшого числа типичных паролей, что может привести к блокировке некоторых или всех учетных записей на сервере (за исключением учетной записи Administrator, которая не может быть блокирована).

Внимание. Существует ряд "червей", которые пытаются выполнить вход для открытия разделяемых сетевых ресурсов путем перебора небольшого числа паролей для учетной записи Administrator. Если им удается выполнить вход, это открывает бреши для проникновения хакеров в систему.

Ниже приводятся некоторые рекомендованные настройки на тот случай, если вы решили реализовать политику блокировки учетных записей.

  • Account Lockout Duration (Длительность блокировки учетной записи).Должна быть задана равной 0, что требует помощи администратора для разблокирования учетной записи. Эта политика блокирует учетную запись на указанный период времени после неудачных попыток ввода пароля.
  • Account Lockout Threshold (Предельное число попыток перед блокировкой учетной записи).Учетные записи следует блокировать после пяти неверных попыток входа.
  • Reset Account Lockout Counter After (Сброс счетчика попыток через).Должно быть задано значение 30 минут. Эта политика задает, как долго должно оставаться в счетчике предельное число попыток, прежде чем выполнить его сброс.

Локальные политики

Локальные политики позволяют администраторам реализовать настройки безопасности, которые относятся к отдельным компьютерам или пользователям. Для конфигурирования можно использовать секцию Local Policies.

  • User rights assignment (Назначение прав пользователей).Охватывает разнообразные политики, определяющие типы действий, которые могут выполнять отдельные пользователи или группы. Их конкретная реализация зависит от сайта и компьютера.
  • Security options (Параметры безопасности).Управление различными настройками для компьютера. Их конкретная реализация зависит от окружения сайта и того, как используется сервер.
  • Audit policy (Политика аудита). Определяет, какие события безопасности регистрируются в журнале событий безопасности на данном компьютере. Управление журналом безопасности Windows Security осуществляется из оснастки Event Viewer.

Существует целый ряд опций безопасности,которые вы можете реализовать в Windows Server 2003. Конфигурирование этих опций сильно зависит от окружения сервера и характера использования данного сервера. Например, контроллер домена может иметь опции, отличные от связанного с интернетом веб-сервера. Возможно, вы захотите просмотреть и реализовать некоторые из этих политик. Две из наиболее важных политик - это переименование учетной записи Administrator и учетной записи Guest.


Следующие политики безопасности можно задавать для повышения безопасности локальных компьютеров и компьютеров, являющихся членами домена.

  • Set Additional Restrictions for Anonymous Connections (Задание дополнительных ограничений для анонимных соединений).Отключает для анонимных пользователей возможность доступа к спискам учетных записей SAM и разделяемых ресурсов. Это затрудняет определение учетных записей, которые могут быть компрометированы. Эта политика должна быть включена (Enabled).
  • Disable Shutdown Without Logon (Запрет завершения работы компьютера до выполнения входа). Запрещает пользователям завершать работу компьютера, пока он не выполнил вход в систему. Эта политика должна быть отключена (Disabled).
  • Clear Virtual Memory Page File When System Shuts Down (Удаление файла виртуальной памяти при завершении работы системы).Удаление файла подкачки при завершении работы системы. Это гарантирует, что любая информация, остающаяся в файле подкачки, будет недоступна следующему пользователю, выполняющему вход на эту машину. Эта политика должна быть включена (Enabled).
  • Disable CTRL+ALT+DEL Required for Logon (Исключить требование CTRL+ALT+DEL для входа). Упрощает вход в сеанс пользователя. По умолчанию эта политика отключена (Disabled). Не активизируйте эту политику!
  • Do Not Display Last User Name on Logon Screen (Не выводить имя последнего пользователя в окне входа).Удаление имени последнего пользователя из сеанса входа. В этом случае злоумышленнику придется угадывать идентификатор и пароль пользователя. Эта политика должна быть включена (Enabled).
  • Implement an Authorized Usage Warning (Реализация предупреждения об авторизованном использовании). Реализация интерактивного окна входа, где выводится баннер входа с заголовком и предупреждением. Администраторы могут задавать заголовок и текст сообщения.
  • Rename Administrator Account (Переименование учетной записи администратора).Снижает вероятность успешных атак за счет того, что потенциальному хакеру придется угадывать пароль и пользовательский идентификатор учетной записи

    Administrator. Администраторы могут задавать новое имя для учетной записи Administrator.

  • Rename Guest Account (Переименование учетной записи гостя). Снижает вероятность успешных атак за счет того, что потенциальному хакеру придется угадывать пароль и пользовательский идентификатор учетной записи Guest. Администраторы могут задавать новое имя для учетной записи Guest.
< Лекция 7 || Лекция 8: 123456 || Лекция 9 >
Игорь Ермачков
Игорь Ермачков
Латвия, Рига
Александр Демиденко
Александр Демиденко
Россия, Брянск