Руководство по безопасности Windows Server 2003

Глава 12. Роль узла-бастиона

Опубликовано 20 апреля 2007 г.

На этой странице

Обзор Параметры политики аудита Назначение прав пользователя Параметры безопасности Параметры журнала событий Дополнительные параметры безопасности Создание политики с помощью мастера настройки безопасности Заключение

Обзор

Эта глава посвящена укреплению безопасности узлов-бастионов с Microsoft® Windows* Server™ 2003 *с пакетом обновления 1 (SP1). Узлы-бастионы — это защищенные общедоступные компьютеры, расположенные на внешней стороне демилитаризованной зоны организации. Эта зона также известна как промежуточная подсеть. Узлы-бастионы полностью открыты для атак, поскольку они не защищены ни брандмауэрами, ни фильтрующими маршрутизаторами. Чтобы свести к минимуму вероятность взлома, узлы-бастионы необходимо тщательно проектировать и настраивать.

Такие узлы часто используются как веб-серверы, DNS-серверы, FTP-серверы, SMTP-серверы и NNTP-серверы. Рекомендуется назначать узлам-бастионам только одну из указанных функций. Чем больше функций выполняет сервер, тем больше вероятность оставить незамеченным слабое место в системе безопасности. Обеспечить защиту одной службы на одном узле-бастионе проще, чем если таких служб несколько. Сетевая архитектура с несколькими узлами-бастионами предоставляет организациям дополнительные преимущества.

Настройка защищенных узлов-бастионов существенно отличается от настройки обычных узлов. Все ненужные службы, протоколы, программы и сетевые интерфейсы должны быть отключены или удалены. После этого каждый узел-бастион настраивается для выполнения определенной роли. Такой подход помогает укрепить безопасность узлов-бастионов и ограничить количество возможных вариантов атак.

В следующих разделах данной главы приводится описание различных параметров безопасности, позволяющих укрепить безопасность узлов-бастионов в любой среде. В главе также описываются действия, необходимые для создания узла-бастиона SMTP. Для получения дополнительных возможностей необходимо внести изменения в файлы конфигурации, распространяемые с данным руководством.

Локальная политика узла-бастиона

Роли серверов, описанные ранее в данном руководстве, используют для настройки серверов групповую политику. Однако групповую политику нельзя применить к серверам узлов-бастионов, поскольку они настроены как изолированные узлы, не входящие в домен службы каталогов Active* *Directory®. Такие серверы открыты и не защищены с помощью каких-либо устройств. Поэтому существует только один вариант обеспечения безопасности серверов узлов-бастионов для трех сред, рассматриваемых в данном руководстве. Параметры безопасности, описанные в этой главе, основаны на базовой политике рядовых серверов для среды SSLF. Сведения о MSBP см. в главе 4 «Базовая политика рядовых серверов». Эти параметры содержатся в шаблоне безопасности, который необходимо применить к локальной политике каждого узла-бастиона (BHLP).

Таблица 12.1. Шаблоны безопасности для сервера узла-бастиона

Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
SSLF-Bastion Host.inf SSLF-Bastion Host.inf SSLF-Bastion Host.inf

К началу страницы

Параметры политики аудита

Параметры политики аудита BHLP для узлов-бастионов содержатся в файле SSLF-Bastion Host.inf. Значения этих параметров совпадают со значениями, указанными в файле SSLF-Member Server Baseline.inf** **. Дополнительные сведения о политике MSBP см. в главе 4 «Базовая политика рядовых серверов». Параметры политики BHLP обеспечивают ведение журнала аудита на всех серверах узлов-бастионов с записью всех относящихся к безопасности данных.

К началу страницы

Назначение прав пользователя

Файл SSLF-Bastion Host.inf содержит назначения прав пользователей для узлов-бастионов с помощью политики BHLP. Эти параметры политики основаны на параметрах, которые содержатся в файле SSLF-Member Server Baseline.inf (см. главу 4 «Базовая политика рядовых серверов»). В следующей таблице приведены обобщенные сведения о различиях между политиками BHLP и MSBP. Подробные сведения приведены в тексте, следующем за таблицей.

Таблица 12.2. Рекомендуемые параметры для назначения прав пользователя

Назначение прав пользователя Параметр
Отказ в доступе к компьютеру из сети АНОНИМНЫЙ ВХОД, встроенная учетная запись администратора, Support_388945a0, учетная запись гостя, все учетные записи служб, не относящихся к операционной системе

Отказ в доступе к компьютеру из сети

Примечание. АНОНИМНЫЙ ВХОД, встроенная учетная запись администратора, Support_388945a0, учетная запись гостя и все учетные записи служб, не относящихся к операционной системе, не включены в шаблон безопасности. Этим учетным записям и группам присвоены уникальные идентификаторы безопасности (SID). Таким образом, необходимо добавить указанные учетные записи в политику BHLP вручную.

Этот параметр политики определяет, каким пользователям запрещен доступ к компьютеру по сети. Он также запрещает использование ряда сетевых протоколов, в число которых входят протоколы семейства SMB, NetBIOS, протокол CIFS, HTTP и модель COM+. Данный параметр политики имеет приоритет над параметром Разрешить доступ к этому компьютеру по сети в случае, если обе эти политики применяются учетной записью пользователя. Предоставление этого права пользователя для других групп ограничивает возможности пользователей выполнять делегированные административные задачи в среде.

В главе 4 данного руководства «Базовая политика рядовых серверов» рекомендуется для обеспечения наивысшего уровня безопасности включать группу Гости в список тех пользователей и групп, которым предоставлено это право пользователя. Учетная запись IUSR, используемая для анонимного доступа к службам IIS, входит в группу Гости по умолчанию.

Параметр Отказ в доступе к компьютеру из сети для узлов-бастионов в среде SSLF включает следующие учетные записи: «АНОНИМНЫЙ ВХОД», встроенную учетную запись администратора, Support_388945a0, учетную запись гостя и все учетные записи служб, не относящихся к операционной системе.

К началу страницы

Параметры безопасности

Значения параметров безопасности политики BHLP для узлов-бастионов совпадают со значениями, указанными в файле SSLF-Member Server Baseline.inf (см. главу 4 «Базовая политика рядовых серверов»). Эти параметры политики BHLP обеспечивают единообразие значений всех параметров безопасности на всех серверах узлов-бастионов.

К началу страницы

Параметры журнала событий

Значения параметров журнала событий политики BHLP для узлов-бастионов совпадают со значениями, указанными в файле SSLF-Member Server Baseline.inf (см. главу 4 «Базовая политика рядовых серверов»). Эти параметры политики BHLP обеспечивают единообразие значений всех параметров журнала событий на всех серверах узлов-бастионов.

К началу страницы

Дополнительные параметры безопасности

Параметры безопасности политики BHLP значительно повышают уровень безопасности серверов узлов-бастионов. Однако существуют и дополнительные параметры. Такие параметры нельзя применить с помощью локальной политики. Необходимо сделать это вручную на всех серверах узлов-бастионов.

Сопоставление уникальных групп безопасности с правами пользователя вручную

Для большинства назначений прав пользователя с помощью политики MSBP в шаблонах безопасности, распространяемых с данным руководством, указаны соответствующие группы безопасности. Однако некоторые учетные записи и группы безопасности нельзя включить в эти шаблоны, так как их идентификаторы безопасности (SID) различаются для каждого домена Windows* Server *2003. Параметр назначения прав пользователя, приведенный в следующей таблице, необходимо настраивать вручную.

Внимание! Таблица ниже содержит значения для встроенной учетной записи администратора. Не следует путать эту учетную запись со встроенной группой безопасности Администраторы. Для отмены случайного предоставления группе безопасности Администраторы права пользователя «Запретить доступ» необходимо войти в систему локально. Кроме того, в соответствии с рекомендациями, содержащимися в главе 4 «Базовая политика рядовых серверов», встроенная учетная запись администратора может оказаться переименованной. При назначении прав пользователя учетной записи администратора убедитесь в том, что указывается переименованная учетная запись.

Таблица 12.3. Назначения прав пользователя, добавляемые вручную

Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Отказ в доступе к компьютеру из сети Встроенная учетная запись администратора, Support_388945a0, учетная запись гостя, все учетные записи служб, не относящихся к операционной системе Встроенная учетная запись администратора, Support_388945a0, учетная запись гостя, все учетные записи служб, не относящихся к операционной системе Встроенная учетная запись администратора, Support_388945a0, учетная запись гостя, все учетные записи служб, не относящихся к операционной системе

Внимание! К понятию «все учетные записи служб, не относящихся к операционной системе» относятся учетные записи служб, используемые на предприятии для определенных приложений, КРОМЕ таких учетных записей как «ЛОКАЛЬНАЯ СИСТЕМА», «ЛОКАЛЬНАЯ СЛУЖБА» и «СЕТЕВАЯ СЛУЖБА». Эти встроенные учетные записи используются операционной системой.

Обеспечение безопасности известных учетных записей

Операционная система Windows Server 2003 с пакетом обновления 1 (SP1) содержит ряд встроенных учетных записей пользователей, которые нельзя удалить, но можно переименовать. Две самые известные встроенные учетные записи Windows Server 2003 — «Гость» и «Администратор».

На рядовых серверах и контроллерах домена учетная запись гостя по умолчанию отключена и включать ее не рекомендуется. Многие вредоносные программы для получения несанкционированного доступа к серверу в первую очередь пытаются использовать встроенную учетную запись администратора. Поэтому следует переименовать встроенную учетную запись «Администратор» и изменить ее описание, чтобы предотвратить нарушение безопасности удаленных серверов злоумышленниками, пытающимися использовать эту широко известную учетную запись.

Эффективность такого переименования в последние годы снизилась из-за появления средств атаки, указывающих при обращении к серверу идентификатор безопасности (SID) встроенной учетной записи администратора. По идентификатору безопасности определяется настоящее имя учетной записи, после чего делается попытка несанкционированного доступа. Идентификатор безопасности — это число, однозначно определяющее каждого пользователя, группу, учетную запись компьютера или сеанс входа в систему при работе в сети. Изменить идентификатор безопасности этой встроенной учетной записи невозможно. Однако оперативные группы организации смогут с легкостью отслеживать попытки атак на учетную запись администратора, если ей будет присвоено уникальное имя.

Защита известных учетных записей на серверах узлов-бастионов

  • Переименуйте учетные записи администратора и гостя и затем измените пароли, подбирая длинные и сложные сочетания, на каждом сервере.

  • Для каждого сервера назначайте разные пароли и имена учетных записей. При использовании одинаковых паролей и имен учетных записей злоумышленник, получив доступ к одному из серверов, сможет получить доступ и ко всем другим.

  • Чтобы предотвратить идентификацию учетной записи по ее описанию, смените описание.

  • Храните записи сделанных изменений в безопасном месте.

Отчеты об ошибках

Таблица 12.4. Рекомендуемые значения параметров отчета об ошибках

Параметр Среда устаревших клиентов Среда корпоративных клиентов Специальная безопасная среда с ограниченной функциональностью
Отключить отчеты об ошибках Windows Включен Включен Включен

Данная служба помогает корпорации Майкрософт отслеживать и устранять ошибки. Эту службу можно настроить на создание отчетов об ошибках операционной системы, компонентов Windows или программ. Она имеется только в системах Windows XP Professional и Windows Server 2003.

Служба отчетов об ошибках может уведомить корпорацию Майкрософт об ошибках через Интернет или сохранить сведения о них во внутренней общей папке. Хотя отчеты об ошибках могут содержать важные и даже конфиденциальные сведения, политика конфиденциальности корпорации Майкрософт гарантирует, что корпорация Майкрософт не будет использовать эти сведения ненадлежащим образом. Однако посторонние могут перехватить и просмотреть эти данные, так как они передаются по протоколу HTTP открытым текстом.

Параметр Отключить отчеты об ошибках Windows позволяет разрешить или запретить службе отчетов об ошибках передавать какие-либо данные.

В системе Windows Server 2003 этот параметр политики можно настроить в следующем разделе редактора объектов групповой политики:

Конфигурация компьютера\Административные шаблоны\Система\Управление связью через Интернет\Параметры связи через Интернет

Присвойте параметру Отключить отчеты об ошибках Windows значение Включен в базовой политике узла-бастиона для всех трех сред, рассматриваемых в данном руководстве.

К началу страницы

Создание политики с помощью мастера настройки безопасности

Для настройки необходимых параметров безопасности при создании политики сервера следует использовать как мастер настройки безопасности (SCW), так и шаблоны безопасности, включенные в загружаемую версию данного руководства.

При создании собственной политики пропустите разделы «Параметры реестра» и «Политика аудита». Соответствующие параметры будут взяты из шаблонов безопасности для выбранной среды. Такой способ настройки гарантирует, что элементы политики, содержащиеся в шаблонах, будут иметь более высокий приоритет по сравнению с элементами, заданными с помощью мастера настройки безопасности.

Все настройки следует выполнять на компьютере с вновь установленной операционной системой, чтобы избежать переноса устаревших параметров или приложений из прежних конфигураций. Для обеспечения максимальной совместимости старайтесь использовать оборудование, аналогичное тому, которое будет применяться при развертывании. Компьютер с заново установленной операционной системой называется контрольным компьютером.

Во время создания политики сервера из списка обнаруженных ролей можно удалить роль файлового сервера. Эта роль часто бывает настроена на серверах, где она не нужна, и может представлять угрозу безопасности. Если на сервере требуется роль файлового сервера, ее можно включить при настройке другой политики, описанной ниже.

Создание политики узла-бастиона

  1. Установите систему Windows Server 2003 с пакетом обновления 1 (SP1) на новый контрольный компьютер.

  2. Установите на компьютер мастер настройки безопасности. Откройте для этого панель управления, дважды щелкните значок «Установка и удаление программ» и выберите вариант «Установка компонентов Windows».

  3. Установите и настройте только те приложения, использование которых является обязательным на каждом узле-бастионе, например антивирусные и антишпионские служебные программы.

  4. Запустите графический интерфейс пользователя мастера настройки безопасности, выберите пункт Создать новую политику и укажите контрольный компьютер.

  5. Убедитесь в том, что обнаруженные роли сервера (например веб-сервер) соответствуют узлу-бастиону. Удалите все остальные роли сервера.

  6. Убедитесь в том, что обнаруженные функции клиента подходят для среды. Для уменьшения контактной зоны удалите все ненужные функции клиента, например функции Сетевой клиент Майкрософт и DHCP-клиент.

  7. Для обеспечения максимальной защиты удалите все административные параметры, за исключением тех параметров, которые относятся к брандмауэру Windows. Дополнительные параметры увеличивают не только управляемость узла-бастиона, но и контактную зону. Тщательно обдумайте все преимущества каждого параметра и связанные с ним риски, в случае если эти параметры не являются ключевыми для работы узла-бастиона.

  8. Убедитесь в том, что найдены все дополнительные службы, необходимые для выполнения базовых функций, например агенты внешних хранилищ и антивирусные программы.

  9. Определите порядок работы со службами, которые не были указаны при создании политики. Для обеспечения дополнительной безопасности можно установить этот параметр политики в значение Отключен. Прежде чем развертывать конфигурацию в рабочей сети, ее необходимо протестировать, так как могут возникнуть проблемы, если на рабочих серверах запущены дополнительные службы, не продублированные на контрольном компьютере.

  10. В разделе «Безопасность сети» снимите флажок Пропустить данный раздел. Нажмите кнопку Далее. Соответствующие порты и приложения, определенные ранее, настраиваются в качестве исключений брандмауэра Windows. Снимите флажки для всех портов, кроме тех, которые необходимы для работы узла-бастиона.

  11. В разделе «Параметры реестра» установите флажок Пропустить этот раздел и нажмите кнопку Далее. Данные параметры политики импортируются из прилагаемого файла с расширением INF.

  12. В разделе «Политика аудита» установите флажок Пропустить этот раздел и нажмите кнопку Далее. Данные параметры политики импортируются из прилагаемого файла с расширением INF.

  13. Включите соответствующий шаблон безопасности (например SSLF-Bastion Host.inf).

  14. Сохраните политику с соответствующим именем (например Bastion Host.xml).

Проверка политики с помощью мастера настройки безопасности

После создания и сохранения политики корпорация Майкрософт настоятельно рекомендует развернуть ее в тестовой среде. В идеале тестовые серверы должны иметь такое же оборудование и программное обеспечение, как и рабочие серверы. Это позволит обнаружить и устранить возможные проблемы, например присутствие непредусмотренных служб, затребованных определенными устройствами.

Необходимо применить эти параметры с помощью мастера настройки безопасности, так как компьютеры, исполняющие роль узлов-бастионов, не присоединены к домену. Нельзя использовать групповую политику вне пределов домена.

Цель тестирования политик — удостовериться, что применение той или иной политики к серверам не повлияет негативно на их основные функции. После применения настроек следует проверить базовые возможности компьютера. Например, если сервер настроен как центр сертификации, следует удостовериться, что клиенты смогут запрашивать и загружать сертификаты, списки отзыва сертификатов и т. д.

По окончании работы с настройкой политик, следует использовать команду Scwcmd (см. процедуру ниже) для преобразования политик в объекты групповой политики.

Дополнительные сведения о тестировании политик мастера настройки безопасности см. в руководстве по развертыванию мастера настройки безопасности по адресу http://technet2.microsoft.com/WindowsServer/rus/Library/5254f8cd-143e-4559-a299-9c723b3669461033.mspx**(на английском языке) и в документации по мастеру настройки безопасности по адресу http://go.microsoft.com/fwlink/?linkid=43450 (на английском языке).

Применение политики

После тщательной проверки политики разверните ее. Для этого выполните следующие действия.

  1. Запустите мастер настройки безопасности.

  2. Выберите пункт Применить существующую политику безопасности.

  3. Выберите созданный ранее XML-файл (например Bastion Host.xml).

  4. Для применения параметров завершите работу мастера настройки безопасности.

Если файл политики безопасности для мастера настройки безопасности содержит параметры брандмауэра Windows, то для успешного завершения этой процедуры брандмауэр Windows должен быть запущен на локальном компьютере. Чтобы запустить брандмауэр Windows, откройте панель управления и выберите пункт Брандмауэр Windows.

Выполните окончательную проверку правильности значений параметров, заданных с помощью мастера настройки безопасности. Для завершения процедуры подтвердите, что значения параметров установлены правильно и функциональные возможности не изменились.

К началу страницы

Заключение

Узлы-бастионы с Windows* Server *2003 с пакетом обновления 1 (SP1), подвержены атакам извне, так как они не защищены с помощью каких-либо устройств, например брандмауэров. Необходимо обеспечить максимальную безопасность узлов-бастионов. Это повысит их доступность и снизит до минимума возможные риски. На наиболее защищенные серверы узлов-бастионов разрешен доступ только с доверенными учетными записями. Кроме того, на таких серверах выполняются только те службы, которые необходимы для функционирования сервера.

В главе описаны параметры и действия, которые помогут укрепить безопасность серверов узлов-бастионов. Многие из этих параметров можно применить с помощью локальной групповой политики. Также даны рекомендации по ручной настройке параметров.

Дополнительные сведения

Ниже приведены ссылки на документы, содержащие дополнительные сведения об укреплении безопасности серверов узлов-бастионов с Windows Server 2003 с пакетом обновления 1 (SP1).

Загрузить

Загрузить руководство по безопасности Windows Server 2003 (на английском языке)

Уведомления об обновлении

Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках

Обратная связь

Присылайте свои комментарии и предложения

К началу страницы