Опубликован: 31.07.2006 | Уровень: специалист | Доступ: платный

Лекция 15: Вопросы безопасности Windows 2000/ Windows 2003 Server

Уровень аутентификации LAN Manager

Аутентификация LAN Manager - это система аутентификации, позволяющая серверам Windows 2000 работать с клиентами Windows 95 и Windows 98 (а также Windows для рабочих групп). Схемы аутентификации LAN Manager значительно более слабы, нежели система аутентификации NT или Windows 2000 (которая называется NTLM v2) и, таким образом, могут позволить злоумышленнику произвести атаку грубой силой на зашифрованные пароли с использованием гораздо меньших вычислительных мощностей. Чтобы в принудительном порядке использовать аутентификацию NTLM v2, примените следующие параметры.

  1. Выберите параметр политики LAN Manager Authentication Level (Уровень аутентификации LAN Manager).
  2. Выберите соответствующий уровень в ниспадающем меню.

Устанавливаемое значение зависит от рассматриваемой среды. Существуют шесть уровней:

  • Send LM and NTLM Responses (Отправлять ответы LM и NTLM). Это уровень по умолчанию. Происходит отправка обоих ответов - LAN Manager и NTLM. В системе никогда не будет использоваться защита сеанса NTLM v2;
  • Send LM и NTLM, Use NTLM v2 If Negotiated (Отправка LM и NTLM, использование NTLM v2 при согласии);
  • Send NTLM Response Only (Отправлять только ответ NTLM);
  • Send NTLM v2 Response Only (Отправлять только ответ NTLM v2);
  • Send NTLM v2 Response Only, Refuse LM (Отправка только ответа NTLM v2, отклонение LM);
  • Send NTLM v2 Response Only, Refuse LM and NTLM (Отправка только ответа NTLM v2, отклонение LM и NTLM).

Внимание!

Перед тем как вносить изменение в эти настройки политики, определите функциональные требования для рассматриваемой сети. Если в сети установлены клиенты Windows 95 или Windows 98, необходимо разрешить ответы LAN Manager.

Дополнительные ограничения для анонимных соединений

Этот параметр политики позволяет администратору определить, какие действия разрешены для выполнения через анонимное соединение. Он имеет три опции:

  • None, Rely On Default Permissions (Нет ограничений, использовать разрешения по умолчанию);
  • Do Not Allow Enumeration of SAM Aсcounts and Shares (Запретить перечисление учетных записей и общих местоположений в SAM);
  • No Aсcess Without Explicit Anonymous Permissions (Запретить доступ без отдельных разрешений на анонимный доступ).

Эти параметры могут предотвратить получение доступа к информации о пользователях системы при работе в недействительных пользователей через недействительные сеансы.

Дополнительные параметры локальной политики безопасности в Windows 2003

Единственным отличием локальных политик безопасности Windows 2003 Server и Windows 2000 являются политики ограничения программного обеспечения (Software Restriction Policies) (см. рис. 15.3). Политики ограничения программного обеспечения позволяют осуществлять контроль над тем, какие программы могут выполняться на данном локальном компьютере. Преимуществом этой возможности является то, что администратор может указывать, выполнение каких программ разрешено в системе, и, таким образом, предотвращать выполнение программ, не пользующихся доверием.

Политика ограничения программного обеспечения для локальной системы

Рис. 15.3. Политика ограничения программного обеспечения для локальной системы

Вы можете определить уровень безопасности по умолчанию Unrestricted (Без ограничений) (разрешить все, что не запрещено) или Disallowed (Запрещено) (Запретить все, что не разрешено). Последний вариант лучше с точки зрения безопасности, однако при его использовании могут возникнуть проблемы из-за того, что этот уровень окажется слишком ограничительным. Настоятельно рекомендуется потратить время на то, чтобы проверить эти настройки на тестовой системе, перед тем как применять их на работающих системах.

После установки уровня по умолчанию можно указать исключения в данном уровне безопасности посредством создания правил политики ограничения программного обеспечения для конкретных программ. Исключения могут быть указаны на основе программного обеспечения:

  • хеши;
  • сертификаты;
  • пути (включая путь реестра);
  • зоны интернета.

Некоторые примеры действий, которые можно реализовать посредством политик ограничения программ:

  • запрет на запуск определенных типов файлов в каталоге вложений электронной почты используемой почтовой программы;
  • ограничение того, какие программы могут запускаться пользователями на серверах терминала.

Примечание

Политики ограничения программ не должны использоваться вместо антивирусного программного обеспечения.

Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Олег Ивченков
Олег Ивченков
Россия
Зарина Каримова
Зарина Каримова
Казахстан, Алматы, Гимназия им. Ахмета Байтурсынова №139, 2008