Управління безпекою настільних комп'ютерів Windows - завдання складне, для її вирішення існує безліч підходів і інструментів. Але в операційних системах Windows є вбудований інструментарій, наділений всією функціональністю, необхідної більшості компаній для надійного захисту настільних комп'ютерів в інформаційному середовищі будь-якого розміру. Це групова політика.
Багато адміністратори розглядають групову політику як засіб для виконання таких завдань управління настільними комп'ютерами, як розгортання програмних продуктів, перенаправлення папок або заборона доступу користувача до редактора реєстру (regedit.exe). Але крім цього, групова політика - важливий інструмент для управління настройками безпеки Windows. Дійсно, у груповий політики є досить багато маловідомих можливостей. У даній статті розглядаються деякі функції безпеки групової політики, пояснюються принципи роботи і даються поради щодо їх використання.
Безпека базової системи
Можливості групової політики з управління настройками безпеки можна розділити на три категорії: безпека базової системи, обмеження для додатків і пристроїв і безпеку Microsoft Internet Explorer (IE). Налаштування безпеки першої з цих категорій зазвичай можна знайти за допомогою редактора групової політики в розділі Computer Configuration Windows SettingsSecurity Settings, як показано на екрані 1 , Отриманому на комп'ютері з Windows Vista. Нижче перераховані деякі можливості групової політики щодо захисту базової системи.
Політики облікового запису
Цей розділ групової політики широко відомий, тому що саме в ньому задаються політики пароля і блокування облікового запису. Наприклад, можна встановити мінімальну довжину пароля або зажадати, щоб пароль містив небуквених символи. Якщо визначити ці політики в об'єкті групової політики (GPO), пов'язаному з доменом (наприклад, в політиці Default Domain), політика пароля обробляється всіма контролерами домену (DC) в домені, і об'єкт GPO управляє політикою паролів для облікових записів користувачів домену. Політика паролів, певна в GPO, прив'язаному до домену, обробляється усіма робочими станціями і серверами, членами домену і встановлює політику облікових записів для будь-яких локальних облікових записів, визначених у цих комп'ютерах.
Як відомо, через групову політику можна визначити тільки одну політику паролів в домені. Але в Windows Server 2008 з'явився новий набір об'єктів політики паролів, визначених у Active Directory (AD), який забезпечує більш повний контроль політики паролів всередині одного домену.
локальні політики
Три категорії політик безпеки в розділі локальних політик дозволяють управляти різноманітними налаштуваннями безпеки на комп'ютерах Windows. Наприклад, вони забезпечують застосування політики аудиту для вибору подій, що вносяться до журналів подій безпеки Windows на серверах; використання процедури призначення прав користувача при визначенні користувачів, які мають право доступу до певного набору серверів і робочих станцій через віддалений робочий стіл; заборона або дозвіл активності і перейменування облікового запису адміністратора на певному наборі комп'ютерів.
Застосовувати політику аудиту досить просто; з її допомогою можна визначити типи подій, що записуються в журнал подій безпеки Windows. Тут можна вказати успішні і / або помилкові події для аудиту різних типів, від доступу до AD до доступу до системного об'єкту (наприклад, файлу або розділу реєстру). Залежно від місця прив'язки об'єкта GPO, що визначає події аудиту, можна включити аудит на контролерах домену або членах-серверах і робочих станціях. Наприклад, якщо прив'язати GPO, що містить політику аудиту, яка дозволяє аудит доступу до служби каталогів, до організаційної одиниці Domain Controllers, то об'єкт буде оброблятися всіма контролерами в домені і, таким чином, весь доступ до AD буде реєструватися на DC, який обслужив запит доступу .
Призначення прав користувача - ще один потужний інструмент безпеки в арсеналі групової політики. З його допомогою можна визначати, які користувачі можуть здійснювати ті чи інші дії на конкретному комп'ютері. Приклад прав користувача: право Logon Locally дозволяє визначити, хто може виконати інтерактивну реєстрацію з консолі сервера або робочої станції; право Load and Unload Device надає групі або користувачеві можливість встановлювати драйвери пристроїв, зокрема драйвери принтерів і дисплея. Створюючи об'єкт GPO, прив'язаний на рівень домену, і призначаючи право Deny Log on Locally групі Authenticated Users, адміністратор фактично забороняє всім користувачам домену AD реєструватися на робочих станціях. Звичайно, мета даного прикладу - не навчиться порушувати працездатність, а показати, наскільки широкі можливості призначення прав користувачів і як обережно слід їх використовувати. Як і при роботі з іншими настройками політики, необхідно переконатися, що об'єкт GPO, в якому встановлюються права користувача, застосовується тільки до потрібних комп'ютерів, а права призначаються правильно обраних групах користувачів.
Ще одна особливість призначення прав користувачів полягає в тому, що список прав, які відображаються в редакторі групової політики, залежить від версії Windows, в якій редагується групова політика (тобто версії Windows, в якій запущений редактор). У нових версіях Windows, таких як Server 2008 і Vista, більше прав користувачів, ніж в старих версіях, зокрема Windows XP. Тому, якщо право користувача визначено в об'єкті GPO в Vista і цей GPO застосовується на комп'ютері XP, на якому не реалізовано дане право користувача, XP обробить політику, але потім ігнорує її.
Можна швидко порівняти відмінності в настройках безпеки між версіями Windows, завантаживши таблиці Group Policy Settings Reference, опубліковані компанією Microsoft для кожної версії Windows за адресою download.microsoft.com. Запустіть пошук за ключовими словами «Group Policy Settings Reference», щоб знайти таблиці для кожної версії. У таблицях міститься список всіх стандартних адміністративних шаблонів для даної версії, а також налаштування безпеки.
Призначення прав користувача, як і деякі інші галузі безпеки Windows, можна застосовувати для настройки ролей, що визначають коло дій, які виконуються різними користувачами. Вбудовані групи, такі як оператори сервера і оператори архіву, - просто групи, яким надано права і дозволу для використання інших ресурсів комп'ютера. Безумовно, можна створити групу адміністраторів настільних комп'ютерів і надати їй право виконувати будь-які завдання на комп'ютерах Windows, не включаючи членів цієї групи в групу адміністраторів на кожному комп'ютері.
Остання область в розділі локальних політик редактора групової політики - параметри безпеки, які знаходяться нижче параметрів безпеки локальних політик. Я називаю ці настройки елементами управління вразливістю, так як вони визначають настройки безпеки, керуючі способами визначення заходів безпеки комп'ютера. Наприклад, в цьому розділі можна задати вимоги до підпису пакета SMB на клієнтах і серверах. Підписування SMB - форма захисту з'єднання, при якій ускладнюється доступ зломщиків до мережевих каналах між комп'ютерами з метою перехоплення трафіку. У цьому розділі також можна управляти поведінкою функції контролю облікових записів UAC в Vista, як показано на екрані 2 .
Ймовірно, найцікавіша особливість розділу параметрів безпеки полягає в тому, що список параметрів безпеки, представлений в цьому розділі, хоча і залежить від версії Windows, з якої запущений редактор групової політики, може бути змінений вручну. Список налаштовується за допомогою базового файлу, sceregvl.inf, який знаходиться в папці% windir% inf на розширеному комп'ютері. Усередині цього файлу визначені всі політики, представлені в параметрах безпеки, і файл можна змінити, додавши в нього додаткові настройки, якими потрібно управляти через групову політику. Додаткові відомості про цей файл можна отримати за адресою support.microsoft.com/kb/214752.
Політика груп з обмеженим доступом
Мета політики груп з обмеженим доступом - надати механізм для управління локальним членством на робочих станціях і автономних серверах, членах домену.
Наприклад, можна використовувати політику груп з обмеженим доступом, щоб тільки співробітники служби підтримки були членами групи користувачів віддаленого робочого стола на всіх робочих станціях. Існує два режими застосування груп з обмеженим доступом - Members та Member Of. Режим Members - більш суворий. Членами локальної групи на наборі робочих станцій є тільки перераховані користувачі і групи, а всі інші групи і користувачі видаляються (за винятком локального облікового запису адміністратора, до якої політика груп з обмеженим доступом не застосовується). Однак в режимі Members Of можна неексклюзивними додавати користувачів і групи в інші групи. Іншими словами, можна створити політику, щоб завжди вводити групу адміністраторів настільних комп'ютерів до складу групи локальних адміністраторів на кожному комп'ютері, який обробляє політику. В цьому випадку адміністратори настільних комп'ютерів додаються в групу локальних адміністраторів, але члени всіх інших груп залишаються непорушними.
Нові переваги групової політики, які з'явилися в Server 2008, але можуть застосовуватися в XP і пізніших версіях операційної системи, також забезпечують управління групами всередині області політик Computer (і User) Configuration PreferencesControl Panel SettingsLocal Users and Groups. За допомогою цієї функції можна виконувати такі завдання, як перейменування груп і вибіркове додавання і видалення конкретних користувачів і груп. Уподобання групової політики - набагато більш гнучкий варіант політики груп з обмеженим доступом, їх рекомендується використовувати в якості альтернативи у випадках, коли групи з обмеженим доступом корисні, але потрібно уникнути наявних у них обмежень.
І останнє про використання груп з обмеженим доступом і переваг групової політики. Виникає спокуса використовувати ці політики для управління членством в групах AD. Але в дійсності ці політики не призначені для використання в середовищі AD з багатьма господарями, і можуть виникати неприємні ситуації, якщо групова політика в різні моменти часу застосовує зміни членства в групах з різних контролерів домену DC. Це може привести до ускладнень, так як членство в групах реплицируется з DC, який ініціював зміну. Оскільки групова політика обробляється однаково всіма DC в домені, кожен DC обробить ідентичні зміни членства в групах AD, як зазначено політикою груп з обмеженим доступом, і, по суті, починається «пінг-понг» ідентичних Реплікаційний змін членства в групах по всім контролерам домену, в залежності від часу обробки політики кожним DC.
Політика системних служб
Політика системних служб дозволяє управляти службами Windows, запускаються на даному комп'ютері. Крім того, з її допомогою можна управляти дозволами служби. Наприклад, можна використовувати цю сферу політики, щоб надати тільки адміністраторам сервера можливість зупиняти і запускати службу Print Spooler на всіх серверах Windows, що функціонують як сервери друку. Політику системних служб можна застосувати, щоб надати обраної групи можливість виконати певне завдання, хоча члени цієї групи і не будуть адміністраторами відповідних комп'ютерів.
Уподобання групової політики, розташовані в розділі Computer ConfigurationPreferencesServices, також надають політику для управління системними службами. Ця функція забезпечує додатковий контроль налаштувань, в тому числі можливість змінювати обліковий запис служби і пароль облікового запису служби на декількох комп'ютерах. Остання можливість надзвичайно корисна, так як в минулому, якщо служба виконувалася на декількох комп'ютерах в контексті облікового запису користувача, доводилося відвідувати кожен комп'ютер, на якому було потрібно змінити пароль облікового запису користувача. В результаті багато компаній намагалися не міняти пароль облікового запису служби, що представляло великий ризик для безпеки, тому що багато облікові записи служб - привілейовані порівняно з обліковими записами користувачів. Крім того, переваги групової політики забезпечують механізм «проштовхування» зміни на всі комп'ютери, що дозволяє регулярно міняти пароль облікового запису служби.
Політики реєстру і файлової системи
Ці політики забезпечують можливість централізовано призначати дозволу для файлової системи і розділів реєстру. Наприклад, потрібно убезпечити певний файл або папку, яка існує на всіх настільних комп'ютерах, таких як файл HOSTS робочої станції, щоб шкідливі програми, які проникли в комп'ютер, не могли легко змінити цей файл. В такому випадку політика файлової системи дозволяє централізовано задати дозволу і успадкування дозволів, які повинні існувати для цього файлу на всіх комп'ютерах, що обробляють політику. Але в цілому політики безпеки файлової системи і реєстру нечасто використовуються для централізованого управління безпекою файлової системи і реєстру, а їх неправильне застосування породжує проблеми. Ці політики не можуть ефективно застосовуватися для зміни дозволів для великих дерев файлів і папок або розділів реєстру. Вони просто непридатні для вирішення цього завдання при обробці групової політики; відомо, що іноді швидкодію комп'ютера при обробці політики різко знижується. Проблема посилюється, так як за замовчуванням політика безпеки автоматично оновлюється через кожні 16 годин, навіть якщо політика не змінювалася.
Якщо потрібно дещо обмежити дозволу файлової системи або реєстру, рекомендується використовувати який-небудь інший метод, без групових політик, наприклад сценарії, шаблони безпеки або інструменти безпеки незалежних постачальників. Але ці політики можна використовувати, якщо призначаються дозволу лише невеликій кількості файлів, папок або розділів реєстру. Даний спосіб може виявитися найбільш вдалим для захисту ключових ресурсів, враховуючи циклічний метод обробки групової політики.
Обмеження для додатків
В ідеальному випадку адміністратор вказує кожен процес, який може запустити користувач, і виключає всі зайві процеси. Таким чином вдається уникнути запуску небажаних програм, необачно встановлених користувачами. Такий загальний підхід політик обмеженого застосування програм Software Restriction Policies (SRP), які знаходяться в каталозі Computer and User ConfigurationWindows Settings Security SettingsSoftware Restriction Policies. По суті, через різноманітні механізми правил можна визначати програми, які дозволено виконувати.
SRP можна налаштувати для роботи в трьох режимах. У режимі за замовчуванням можна виконувати будь-які програми, і адміністратор явно забороняє конкретні програми і сценарії. Цей процес називають внесенням в чорний список (blacklisting), і, хоча організувати його просто, надійність цього методу невисока через занадто великого елемента невідомості і неможливості вказати кожну програму, яку можуть спробувати запустити користувачі.
Другий режим передбачає складання білого списку (whitelisting) і являє собою найнадійніший варіант SRP, але вимагає великих зусиль від адміністратора. У цьому режимі можна встановити за замовчуванням рівень виконання Disallowed, тобто заборонити виконання будь-яких програм, крім програм ядра Windows і явно зазначених додатків і сценаріїв. Режим за замовчуванням можна призначити в папці Security Levels, вкладеної в Software Restriction Policies, як показано на екрані 3.
Включаючи цей режим, необхідно створити правила, які вказують дозволені програми. Для цього потрібно знати, які процеси будуть запускати користувачі, і своєчасно задовольняти їх потреби в нових програмах. Завдання управління білими списками дуже трудомістка, але забезпечує високу безпеку середовища, якщо користувачі працюють з обмеженою кількістю додатків. Наприклад, при внесенні в білий список додатків, які дозволено виконувати, користувачі не можуть запустити необачно завантажені шкідливі програми, так як їх немає в списку схвалених додатків. Дозволені і заборонені додатки задаються з використанням правил SRP, описаних нижче.
Останній режим, звань Basic user, Вперше з'явився в Vista, но підтрімується и в XP. У випадках коли користувачі працюють як адміністратори і адміністратор встановлює рівень за замовчуванням Basic user, з усіх процесів, що запускаються адміністратором, видаляються адміністративні маркери, що, по суті, призводить до виконання процесу від особи користувача без адміністративних привілеїв. Такий підхід корисний, якщо потрібно домогтися, щоб адміністратори не виконувалась певні процеси від імені адміністративних облікових записів.
Основа підходу до використання SRP полягає в тому, щоб спочатку встановити рівні безпеки за замовчуванням в значення Unrestricted, Disallowed або Basic user. Потім можна підготувати правила, використовуючи папку Additional Rules в Software Restriction Policy, як показано на екрані 4 . Ці додаткові правила вводять виключення, щоб дозволити або заборонити запуск конкретних процесів. У SRP існує чотири типи правил: хешу, шляхи, сертифікатів і мережевий зони.
Правила хешу. Правила хешу використовуються, щоб унікально ідентифікувати виконуваний фрагмент програмного коду. При використанні правила хешу вибирається певна версія програми або сценарію, і тільки ця конкретна версія позначається як дозволена (Unrestricted) або заборонена (Disallowed). Якщо користувач перейменовує виконуваний файл, хеш залишається дійсним, а користувач блокується, якщо встановлено значення Disallowed. Але при кожній зміні версії програми необхідно підготувати нове правило хешу, щоб відобразити цю зміну. Якщо існують різні версії додатка для різних випусків Windows, то для кожної версії необхідно власне хеш-правило. Правила такого типу незручно обслуговувати при великій кількості додатків, але вони дуже надійні, якщо потрібно заборонити або дозволити конкретне застосування. Хеш-правило складається в редакторі групової політики під час додавання виконуваного файлу в політику.
Правила шляху. Правила шляху більш гнучкі, ніж правила хешу. З їх допомогою можна вказати шлях в файлової системі, де зберігається виконуваний код, і дозволити або заборонити всі програми, що містяться на цьому шляху (і в дочірніх папках). Визначаючи правила, можна використовувати групові символи і змінні середовища, щоб зробити правила ще більш гнучкими. Недолік правил шляху полягає в тому, що вони хороші лише настільки, наскільки вдалі дозволу в локальній файловій системі. Правило шляху виявиться марним, якщо користувачі можуть обійти його, просто скопіювавши потрібну їм програму в іншу папку. Наприклад, місця зберігання тимчасових файлів зазвичай відкриті для запису з боку користувачів, тому потрібно підготувати правило шляху, яке забороняє виконувати будь-який програмний код з папок тимчасових файлів в Windows. Таким чином, оптимальним рішенням може виявитися комбінація правил шляху, правил хешу і строгі дозволу файлової системи.
Правила сертифікатів і мережевий зони. Ці правила використовуються рідше за інших. Правило сертифікатів дозволяє вказати програму, яка може запускатися в залежності від особи, яка підписала програмний код з використанням сертифікатів відкритого ключа. Недолік цих правил - в необхідності підписувати всі запускаються програми, що не завжди можливо. Правила мережевої зони дозволяють управляти способами установки файлів в залежності від їх походження, але майже не приносять користі, так як застосовуються тільки до файлів Windows Installer (.msi). Крім того, правило ігнорується, якщо користувач завантажує файл setup.exe.
Обмеження для пристроїв
Контроль дій, що здійснюються користувачами над важливими бізнес-даними, настільки ж необхідний, як і контроль виконання програм. Захист даних передбачає не тільки забезпечення безпеки сховища, а й контроль дій користувачів, які можуть фізично вилучити дані з комп'ютерів. Вартість мініатюрного USB-накопичувача місткістю в декілька гігабайт - всього 20 дол., І зловмисник може просто непомітно забрати корпоративні дані в кишені. Вирішити проблему допоможуть накладаються на пристрої обмеження на основі групової політики. Ці обмеження для пристроїв з'явилися в Server 2008 і Vista і задаються в Computer (або User Configuration) Administrative TemplatesSystemRemovable Storage Access. Можна заборонити доступ для читання або запису (або і те й інше) для будь-якого класу змінних носіїв, в тому числі USB-накопичувачів, що записуються CD- і DVD-дисків, і змінних жорстких дисків, як показано на екрані 5.
У минулому ввести обмеження для пристроїв, що підключаються до настільних комп'ютерів з операційними системами, які передують Vista, можна було тільки за допомогою продуктів незалежних виробників. Але з появою переваг групової політики обмеження для пристроїв поширені і на Windows Server 2003 і XP. Можна дозволити або заборонити певні класи пристроїв по їх унікальним ідентифікатором в Computer (User) ConfigurationPreferencesControl Panel SettingsDevices. Ця функція не забезпечує достатньої деталізації, щоб управляти можливістю читання, але не записи, як розглянута раніше політика для пристроїв Vista, але, по крайней мере, можна створити набір політик, які обмежують, наприклад, все змінні пристрої зберігання, як показано на екрані 6 .
Безпека IE
Ймовірно, найскладніше налаштувати за допомогою групової політики браузер IE. Причина полягає в тому, що існує принаймні три різні способи налаштувати IE через групову політику. Перший спосіб налаштувати IE - задіяти політику настройки IE (в User ConfigurationWindows SettingsIE Maintenance Policy). Другий спосіб - застосувати адміністративний шаблон політик (в Computer - або User - ConfigurationAdministrative TemplatesWindows ComponentsInternet Explorer). Третій метод - налаштувати IE з використанням переваг групової політики (в User ConfigurationPreferencesControl Panel SettingsInternet Settings).
У кожного з перерахованих варіантів є свої переваги і недоліки. Наприклад, якщо потрібно налаштувати такі параметри, як proxy-сервер або домашня сторінка IE, можна застосувати політику настройки IE або переваги групової політики. По можливості рекомендується використовувати переваги групової політики, так як політика настройки IE давно відома як не дуже надійне засіб доставки параметрів політики клієнтам. Звичайно, в більшості випадків переваги групової політики - всього лише переваги. Вони не забороняють користувачам змінювати, наприклад, настройки proxy-серверів, як політика настройки IE. Так що, якщо для управління, наприклад, настройками proxy-сервера застосовуються переваги групової політики, необхідно використовувати адміністративний шаблон політик для відключення сторінки в IE, яка дозволяє користувачам отримувати доступ до цих налаштувань. Мета політики безпеки IE - не дозволяти відвідувачам Web-вузлів завантажувати сумнівні матеріали. Використовуючи такі можливості, як примусове призначення proxy-сервера, можна зробити так, щоб користувачі зверталися в Internet тільки через контрольований proxy-сервер. Блокуючи елементи IE в адміністративному шаблоні політик, можна запобігти зміні конфігурації IE користувачем, який намагається обійти встановлені обмеження.
Якщо потрібно налаштувати зональну безпеку IE (щоб централізовано визначати безпечні Web-вузли) або внести адреси Web-вузлів у списки блокування спливаючих вікон або зони безпеки, то для управління цими параметрами можна використовувати всі три методи. Кожен метод має свої особливості і має в своєму розпорядженні різними наборами параметрів. Наприклад, можна задіяти політики в Computer (або User) Configuration Administrative TemplatesWindows ComponentsInternet ExplorerInternet Control PanelSecurity Page для настройки безпеки кожної зони IE (надійні вузли, місцева, Internet), а також списку зіставлення вузлів і зон, за допомогою якого можна вказати, які Web -узли вносяться в кожну зону безпеки для користувачів. Якщо застосовується даний метод, користувачі не зможуть додавати вузли або змінювати ці параметри в IE - вони будуть повністю блоковані. Але якщо використовується політика настройки IE, то можна налаштувати зональну безпеку і зіставити вузли зонам, але користувачі все ж зможуть додавати Web-вузли в зону. Нарешті, якщо використовуються переваги групової політики, то можна налаштувати зонний безпеку, але не можна додавати Web-вузли до зон. Однак переваги групової політики забезпечують повний доступ до всіх налаштувань на вкладці Advanced у властивостях IE (див. Екран 7), чого не забезпечують два інших методу.
Корисні ресурси для початківців
Для настройки одного і того ж набору параметрів нерідко існує кілька методів, але деякі завдання по забезпеченню безпеки настільного комп'ютера можна виконати за допомогою групової політики. Почати роботу рекомендується з вивчення посібників з безпеки для Vista і XP, опублікованих Microsoft. Завантажити їх можна з сайту download.microsoft.com, виконавши пошук за ключовими словами Security Guide. У цих документах наведені оптимальні методи налаштування безпеки настільних комп'ютерів, а також шаблони безпеки і таблиці параметрів, в яких визначені надійні конфігурації. Крім того, компанія Microsoft надає програму GPO Accelerator (www.microsoft.com/downloads/details.aspx?FamilyID=a46f1dbe-760c-4807-a82f-4f02ae3c97b0) із заздалегідь підготовленими об'єктами GPO, які можна імпортувати і використовувати для реалізації оптимальних методів, зазначених в інструкціях з безпеки. Готові об'єкти GPO не завжди точно відповідають потребам адміністратора, але можуть служити відправною точкою для реалізації і тестування безпечної конфігурації мережі.
Даррен Мар-Еліа ( [email protected] ) - редактор Windows IT Pro, технічний директор і засновник компанії SDM Software
Налаштування безпеки системи в розділі реєстру Computer Configuration Windows Settings / Security Settings в Vista
Перегляд налаштувань UAC в параметрах безпеки
Завдання рівня обмеження за замовчуванням для програм
Підготовка правил Software Restriction Policy
Aspx?