Безопасность

Политики безопасности в Windows Server 2003

Политики безопасности представляют собой метод усиления стандартов безопасности на компьютере. С помощью шаблонов безопасности можно укрепить стандартные наборы политик. Политики безопасности используются и для повышения уровня надежности параметров реестра. Если вы являетесь членом домена Active Directory, можно использовать Group Policy Object (GPO) – и все серверы домена будут наследовать эти настройки. В противном случае примените локальную политику безопасности.

Создание локальной политики безопасности

Для изменения локальной политики безопасности выберите команду Start\Administrative Tools\Local Security Policy (Пуск\Администрирование\Локальная политика безопасности). В окне Local Security Settings (Настройка локальной политики безопасности) (см. рис. 6.3) непосредственно изменяются параметры локальных политик безопасности.

увеличить изображение
Рис. 6.3. Параметры локальной безопасности

В окне Local Security Settings находятся основные категории политик.

• Account Policies (Политики учетных записей). Настраивает политику блокировки паролей и учетных записей.
• Local Policies (Локальные политики). Настраивает опции Audit Policy (Политика аудита), User Rights Assignment (Присвоение прав пользователей) и Security (Безопасность):
  • Audit Policy (Политика аудита). Настраивает аудит сервера, а также аудит успешных и/или ошибочных событий:
    • вход учетной записи;
    • управление учетной записью;
    • доступ к службе каталогов;
    • события входа;
    • доступ к объектам;
    • изменение политики;
    • использование привилегий;
    • отслеживание процессов;
    • системные события.
  • User Rights Assignment (Присвоение прав пользователям). Служит для указания прав определенным учетным записям пользователей или группам (объектам). Для добавления объекта безопасности в политику щелкните правой кнопкой мыши на имени политики в окне Local Security Settings (Настройка локальной политики безопасности) и выберите Properties (Свойства). Затем нажмите на кнопку Add User Or Group (Добавить пользователя или группу). После этого перейдите к определенному объекту безопасности, выделите его и нажмите на кнопку Add (Добавить). Для удаления объекта из политики выделите его и нажмите на кнопку Remove (Удалить).
  • Security Options (Параметры безопасности). Служит для указания параметров безопасности сервера. Эти параметры напрямую не связаны с IIS, но они все же повышают общий уровень защиты сервера.
• Public Key Policies (Политики открытого ключа). Поддерживают опции файловой системы Encryption File System (EFS), которая осуществляет шифрование на уровне файла. При включении EFS в этом окне настраивается информация агента восстановления.
• Software Restriction Policies (Политики ограничения программ). Определяет программы, запускаемые на компьютере, и учетные записи пользователей, имеющих доступ к этим программам.
• IP Security Policies (Политики безопасности IP). Указывает использование на сервере протокола IPSEC для шифрования канала связи в сети. Опция имеет три параметра.
  • Client (respond only) (Клиент [только ответ]). Использует IPSEC при запросе этого протокола другим компьютером.
  • Server (request only) (Сервер [только запрос]). Пробует установить IPSEC-соединение с вышедшим на связь компьютером. В противном случае устанавливается соединение без шифрования.
  • Secure Server (require security) (Безопасный сервер [защищенность обязательна]). Принудительное использование канала связи IPSEC. Если другой компьютер не использует IPSEC, установка соединения не состоится.

Работа с локальными политиками безопасности

После определения политики безопасности ее можно экспортировать с одного компьютера на другой, что позволяет создать единый шаблон и применить его к набору серверов.

Импорт локальной политики безопасности

Для настройки локальной политики безопасности используются файлы шаблонов посредством импортирования файла .inf, содержащего параметры. Несколько компьютеров настраиваются одновременно, без включения вручную опций на каждом из них. Отдельные демонстрационные шаблоны безопасности поставляются с WS03 и находятся в папке %systemroot%\security\templates. Используйте эти шаблоны или создайте свои собственные. Для импортирования файла шаблона нажмите на кнопку Security Settings (Параметры безопасности) и в строке меню выберите Action\Import Policy (Действие\Импортировать политику). Затем перейдите к файлу шаблона и нажмите на кнопку Open (Открыть). Политика безопасности будет импортирована, а ее параметры –установлены поверх существующих настроек системы.

Экспорт локальной политики безопасности

После настройки системы согласно определенным требованиям шаблон безопасности можно экспортировать в файл .inf для применения на других системах. Для этого нажмите на кнопку Security Settings (Параметры безопасности) и в строке меню выберите Action\Export Policy (Действие\Экспортировать политику). После этого перейдите в каталог, в котором следует сохранить политику, введите имя файла и нажмите на кнопку Save (Сохранить).

Обновление политики безопасности

При изменении параметра политика безопасности обновляется не сразу. Обновление происходит при загрузке системы либо каждые 5 мин (для контроллеров доменов) и каждые 90 мин (не для контроллеров доменов). Для немедленного вступления изменений в силу откройте командную строку и введите gpupdate.exe.

Политики безопасности домена

Шаблоны политики безопасности доменов аналогичны шаблонам локальной политики безопасности. Они отличаются тем, что политики безопасности доменов применяются ко всем серверам в домене, а не только к локальному серверу, на котором они устанавливаются. Эти политики настраиваются в консоли Start\Administrative Tools\Domain Security Policy MMC (Пуск\Администрирование\Политика безопасности домена) на контроллерах доменов.