Параметри безпеки
Першим, на що зверне увагу досвідчений адміністратор, буде новий поділ змісту цього контейнера по категоріях. В Windows 2000 всі пункти розташовувалися просто за абеткою. В Windows XP/.NET вони мають наступний формат:
категорія, назва або короткий опис
Частина "категорія" має досить пряме значення, значення записів категорії "Облікові записи" ставляться до облікових записів користувачів, а категорії "Мережна безпека" - до безпеки мережі. Короткий опис далеко не завжди прямолінійно.
Облікові записи: Стан облікового запису 'Адміністратор'.Цей параметр не застосовується (за замовчуванням), якщо тільки ви не створили ще облікові записи, що входять у локальну групу "Адміністратори". Нічого дивного в цьому ні, вибравши значення "відключений" ви тим самим відключаєте убудований обліковий запис адміністратора так само, як це можна зробити іншими програмами, наприклад, оснащенням локальних користувачів і груп ММС.
Облікові записи: Стан облікового запису 'Гість'.Це ще одне місце, з якого можна відключити або включити локальний обліковий запис "Гість", за замовчуванням вона виключена. Майте на увазі, що якщо у вас значення параметра "Мережний доступ: модель спільного доступу й безпеки для локальних облікових записів" установлено в "Гостьова - локальні користувачі засвідчують як гості", той стан гостьового облікового запису повинне бути включене, інакше мережні підключення (наприклад, по протоколі SMB) будуть недоступні.
Облікові записи: обмежити використання порожніх паролів тільки для консольного входу.Цей параметр установлюється за замовчуванням. При використанні порожніх паролів не будуть дозволені вилучені інтерактивні підключення через службу терміналів. Крім того, не буде дозволене підключення до вилучених служб SMB (таким як спільні ресурси) при уведенні користувачами порожніх паролів.
Облікові записи: Перейменування облікового запису адміністратора.Цей параметр служить ще одним прикладом того, як установки безпеки, певні за допомогою інших інтерфейсів, збираються разом в одному місці. Є кілька причин для такої політики, одна з них полягає в тім, що адміністратор повинен знати свої засоби й мати можливість для поширення таких настроювань через групову політику. Якщо хочете, можете перейменувавши обліковий запис "Адміністратора" у що-небудь менш очевидне, але не забувайте, що RID (Relative Identifier - відносний ідентифікатор) завжди буде мати значення 500. Дійсні параноїки дійсно перейменовують і відключають убудований обліковий запис "Адміністратора".
Облікові записи: Перейменування облікового запису гостюючи.Перейменування облікового запису гостюючи в що-небудь менш очевидне можна вважати ще однією спірною, слабкою спробою маскування.
Аудит: аудит доступу глобальних системних об'єктів.За замовчуванням цей параметр відключений, його установка змушує Windows включати аудита при створенні системних об'єктів, таких як мьюстекси, події й семафори. Звичайно для більшості оточень цей параметр не потрібний, але він ілюструє рівень деталізації конфігурації безпеки, надаваний Windows. Установка цього параметра є необхідною умовою роботи аудита системних об'єктів. Після чого варто визначити в "Аудиті доступу до об'єктів", які саме події повинні виводитися в журнал.
Аудит: аудит прав на архівацію й відновлення.Відключений за замовчуванням, цей параметр вимагає встановити політикові аудита "Аудит використання привілею",перш ніж почнеться запис подій у журнал. Після установки цього параметра буде вестися аудит всіх привілеїв користувача, у тому числі використання привілеїв архівування й відновлення.
Аудит: негайне відключення системи, якщо неможливо внести в журнал запису про аудита безпеки.Цей параметр за замовчуванням не без підстав відключений. Він повинен включатися тільки у високо захищених системах, коли робота неможлива без веління журналів безпеки. Після включення цього параметра переповнення журналу безпеки приведе до аварійної зупинки системи з повідомленням про помилку BSOD (blue screen of death - синій екран смерті).
Пристрої: дозволити від стикування без входу в систему.Цей параметр має значення тільки для переносних комп'ютерів, які не можуть бути від стиковані механічно, тому що програмний контроль над від'єднанням від стикувального вузла неможливий. При відключенні цього параметра (за замовчуванням він включений) користувач буде зобов'язаний входити в систему для від стикування комп'ютера, при цьому йому буде даний дозвіл на "Відключення комп'ютера від стикувального вузла". Цей параметр взаємодіє із правом "Відключення комп'ютера від стикувального вузла".
Пристрої: дозволене форматування, і витягати знімні носії.Це право за замовчуванням надано "Адміністраторам", але може бути надане по необхідності й групам "Адміністратори й досвідчені користувачі" й "Адміністратори й інтерактивні користувачі".
Пристрої: заборонити користувачам установку драйверів принтера.Цей параметр ставиться тільки до мережних принтерів, а не локальним. При установці цього параметра (за замовчуванням він відключений) установка мережних принтерів буде дозволена тільки групі "Адміністратори й досвідчені користувачі", якщо тільки не буде всиновлений шлях довірчих відносин для завантаження драйверів.
Пристрої: дозволити доступ до дисководів компакт-дисків тільки локальним користувачам.За замовчуванням цей параметр відключений. Включайте цей параметр, коли необхідно заборонити мережний доступ до вашого дисководу компакт-дисків. Майте на увазі, цей параметр має значення тільки при мережному підключенні. При виході із системи ваш дисковід компакт-дисків залишився доступним з мережі.
Пристрої: дозволити доступ до дисководів гнучких дисків тільки локальним користувачам.Включайте цей параметр, коли необхідно заборонити мережний доступ до вашого дисководу гнучких дисків. За замовчуванням цей параметр відключений. Майте на увазі, цей параметр має значення тільки при мережному підключенні. При виході із системи ваш дисковід гнучких дисків залишається доступним з мережі.
Пристрої: поведінка при установці непідписаного драйвера.Установлені драйвери завантажуються в область ядра, отже, серйозним образом впливають на безпеку. Цей параметр визначає спосіб установки драйверів з допомогою API-функції Setup. За замовчуванням Windows буде "Попереджати, але дозволяти установку". Якщо потрібна підвищена безпека, установите значення "Не дозволяти установку", хоча це й не допоможе заборонити установку драйверів іншим способом, наприклад, вручну. Майте на увазі, що тільки "Адміністратори" за замовчуванням мають право на "Завантаження й вивантаження драйверів пристроїв".
Контролер домену: дозволити операторам сервера задавати виконання завдань за розкладом.Оскільки служба планувальника може бути використана для запуску програм у контексті всемогутнього облікового запису системи, рекомендується відключати цей параметр. Інакше член групи "Операторів сервера" може зловжити цією можливістю для підвищення своїх повноважень.
Контролер домену: вимозі підписування для LDAP сервера.Застосовний тільки до контролерів домену, цей параметр визначає, чи вимагає сервер LDAP від клієнта підписувати трафік. Установка цього параметра в "не визначений" або "ні" не вимагає підпису LDAP клієнта. Установка цього параметра в "потрібна підпис", якщо не застосовуються протоколи SSL/TLS, змушує клієнта LDAP звертатися до методів підпису.
Контролер домену: заборонити зміна пароля облікових записів комп'ютера.Звичайно цей, стосовний до контролерів домену, параметр не встановлюється але одній простій причині - він скасовує прийом контролером домену запитів на зміну паролів комп'ютерів. Як правило, ці паролі генеруються рідко й добре захищені, тому не слід дозволяти своїм користувачам міняти їх, якщо тільки на це немає серйозних причин.
Член домену: завжди потрібна цифровий підпис або шифрування потоку даних безпечного каналу.За замовчуванням цей параметр відключений для забезпечення взаємодії із клієнтами й серверами, не спроможними працювати із шифрованими або потребуючим підписом каналами. У більших і різнорідних мережах, можливо, варто залишити цей параметр виключеним. Але ви повинні розглянути можливість включення цього параметра в окремих сегментах, організаційних одиницях або мережах, що складаються тільки з комп'ютерів з операційною системою Windows NT 4.0 SP4 або більше пізніх версій. При включенні цього параметра клієнт Windows ХР буде завжди намагатися шифрувати потік даних або застосовувати підпис при обміні зі своїм контролером домена по безпечному каналі (для Windows NT 4.0 SP4 або більше пізніх версій). Якщо шифрований або канал, що використає підпис, не може бути встановлений, то зв'язок обриваються. Якщо цей параметр відключено, то зв'язок по безпечному каналі однаково може бути встановлена, при цьому установки шифрування й підписи обробляються, по не є необхідними. Установка зв'язку з контролером домена по безпечному каналі звичайно вимагає перевірки ідентифікації NTLM, перегляду відповідностей ідентифікатор/ім'я й обміну іншою ідентифікаційною інформацією.
Тема взаємовпливу параметрів постійно простежується, і ви не повинні забувати про цю взаємодію. Принцип Microsoft деталізувати настроювання "завжди" й "у міру можливості" дає нам гнучкість при визначенні вимог безпеки або прозорість при їхній обробці
Член домену: шифрування даних безпечного каналу, коли це можливо.Цей параметр включений за замовчуванням і повинен залишатися таким з тієї причини, що шифрований обмін даними з контролером домену більше кращий, чим нешифрований. Включення цього параметра не робить обов'язковим шифрування даних, тому обмін даними із системами, що не підтримують шифрування, однаково буде здійснюватися.
Член домену: цифровий підпис даних цифрового каналу, коли це можливо.Цей параметр включений за замовчуванням і повинен залишатися таким з тієї причини, що використання цифрового підпису при обміні даними з контролером домену більш переважно, ніж її відсутність.
Член домену: відключити зміна пароля облікового запису комп'ютера.Є серйозні підстави для відключення цього параметра за замовчуванням. Краще залишити цей параметр у цьому стані, якщо тільки у вас немає гострої необхідності змінювати паролі облікових записів комп'ютера. Ведення цих паролів здійснюється прямо Windows і контролерами домену й не вимагає людського втручання. Якщо вам буде потрібно перемінити паролі облікових записів комп'ютера, це можна зробити за допомогою оснащення "Користувачі й комп'ютери Active Directory". Необхідно вибрати ім'я комп'ютера, клацнути правою кнопкою миші по ньому й вибравши пункт меню "Скинути обліковий запис" (Reset Account) По-умовчанню паролі міняються кожні 30 днів, даний період установлюється параметром "Максимальний термін дії пароля облікових записів комп'ютера".
Член домену: максимальний термін дії пароля облікових записів комп'ютера.По-умовчанню - 30 днів, цей параметр задає періодичність зміни паролів облікових записів комп'ютера, виконуваної Windows автоматично.
Член домену: вимагає стійкого ключа сеансу (Windows 2000 або вище)Якщо всі ваші контролери домену управляються Windows 2000 або вище, і вам потрібно встановити для деяких комп'ютерів зв'язок з доменами тільки по захищених каналах зі стійким 128-бітним шифруванням, тоді об'єднаєте ці комп'ютери в організаційну одиницю й включите для неї цей параметр Підключення до контролера домену звичайно вимагає перевірки ідентифікації NTLM, перегляду відповідностей ідентифікатор/ім'я й обміну іншою ідентифікаційною інформацією. Даний параметр не має відносини до обміну по протоколі SMB (ServeiMessage Block), про яке поговоримо далі. За замовчуванням цей параметр відключений, тобто хости Windows XP допускають використання для захищених каналів нестійких ключів шифрування.
Інтерактивний вхід у систему: не відображати останнього імені користувача.Хоча за замовчуванням цей параметр відключений, вам належить включити його, щоб заборонити вивід на екран імені останнього користувача, що підключався. Звичайно цей параметр установлюється через GPO для всіх комп'ютерів домену.
Інтерактивний вхід у систему: не вимагати натискання CTRL+ALT+DEL.Знайома послідовність "CTRL+ALT+DEL", що передує входу в Windows 2000,за замовчуванням не потрібно для входу в не включені в мережу комп'ютери з Windows XP Professional. Замість цього застосовується "Швидке перемикання користувачів", що не запускає процедуру безпечного входу, як це робить "CTRL+ALT+DEL". Однак, як тільки комп'ютер з Windows XP Professional стає членом домена, цей параметр автоматично відключається, а уведення послідовності "CTRL+ALT+DEL" стає обов'язковим.
Інтерактивний вхід у систему: текст повідомлення для користувачів при вході в систему.Це ще один параметр, звичайно встановлюваний через GPO на рівні домена, т до правила організації вимагають видачі повідомлення при вході в систему. Якщо ви ще не використаєте цей механізм, варто включити його для всіх ваших об'єднаних у мережу комп'ютерів. Юридичні нюанси вимагають наявності повідомлення при вході в систему, що містить попередження про заборону неавторизованого про доступ у систему.
Інтерактивний вхід у систему: заголовок повідомлення для користувачів при вході в систему.Цей текст виводиться в заголовку вікна, що містить повідомлення при вході в систему.
Інтерактивний вхід у систему: кількість попередніх підключень до кэшу (у випадку відсутності доступу до контролера домена).За замовчуванням у кэш містяться облікові дані десяти останніх підключень Подібне поводження вважається небезпечним, чи тому що облікові дані зберігаються в захищеній частині системною реєстру, звідки можуть бути витягнуті ким-небудь із правами адміністратора. З першого погляду ця проблема неочевидна, але допустимо, хтось із користувачів має права адміністратора на своїй машині, а адміністраторові домена знадобиться виття1й у систему із цієї машини для виконання яких-небудь робіт. Навряд чи ви будете спокійні, знаючи, що ваші облікові дані адміністратора домена залишилися в реєстрі цього комп'ютера. Явні параноїки обнуляют значення цього параметра, забороняючи кэшування облікових даних при вході. З іншого боку, це приводить до того, що при неприступності контролера домена користувачі з обліковими записами домена не зможуть увійти в цей комп'ютер. Для користувачів переносних комп'ютерів і багато, що роз'їжджають працівників, необхідно встановити значення цього параметра не менш 1, щоб зберігалися дані останнього підключення. Це дозволить їм входити в комп'ютер без підключення до мережі (за умови, що останніми в комп'ютер входили вони) Ретельно вибирайте значення цього параметра.
Інтерактивний вхід у систему: нагадувати користувачам про закінчення терміну дії пароля заздалегідь.За замовчуванням нагадування користувачеві починають видаватися за 14 днів до закінчення терміну дії пароля Привласніть цьому параметру значення кількості днів до закінчення терміну дії пароля, коли почне видаватися повідомлення про зміну пароля.
Інтерактивний вхід у систему: вимагати перевірки на контролері домена для скасування блокування комп'ютераПри установці цього параметра робоча станція не може бути розблокована з обліковим записом домена у випадку неприступності домена. Якщо у вас є мобільні користувачі, для них не треба включаючи цей параметр. Варто подумати про об'єднання 1аких користувачів в окрему організаційну одиницю зі своєї власної GPO.
Інтерактивний вхід у систему: потрібна смарт-карта (тільки для AD Windows.NET)
В Active Directory Windows .NET при інтерактивному підключенні від користувачів вимагається ідентифікація за допомогою смарт-карт. За замовчуванням цей параметр відключено, але його можна включити й визначити в GPO для деяких організаційних одиниць або доменів, для членів яких потрібне наявність смарт-карт при вході. Ідентифікація за допомогою смарт-карт на сучасний момент є самою надійною.
Інтерактивний вхід у систему: поведінка при витяганні смарт-картиМожна визначити спосіб реагування на витягання смарт-карти підключеного користувача. Або не виконується ніяких дії, або робоча станція блокується, або здійснюється примусове відключення користувача Для більшості випадків достатньо безпечно буде "Блокування робочої станції"
Клієнт мережі Microsoft: використати цифровий підпис (завжди) Цілосніть повідомленьдосягається застосуванням цифрового підпису й з боку клієнта, і з боку сервера, що дозволяє запобігати атак при підключенні до мережі зсередини. Цей метод використання цифрового підпису називається взаємною ідентифікацією та є найбільш захищеним. Такий тип спілкування клієнта із сервером заснований на протоколі SMB. За замовчуванням цей параметр відключено, тому що для мереж з різними видами операційних систем не всі системи підтримують підпис у протоколі SMB. Якщо у вашій мережі застосовується тільки Windows 2000 та вище, то вам обов'язково варто включити цей параметр для забезпечення найбільшої безпеки. Для "взаємної ідентифікації" варто також включити параметр "Сервер мережі Microsoft: використавши цифровий підпис (завжди)"
Застосування цифрового підпису пакетів дає істотне навантаження на процесори як сервера, так і клієнта.
Клієнт мережі Microsoft: використаний, цифровий підпис (з погодження сервера). Цей параметр включений за замовчуванням і повинен таким залишатися. Його установка забезпечує спробу використовувати захищений обмін даними із застосуванням цифрового підпису, але не приводить до помилки якщо одна зі сторін не може підписувати пакети.
Клієнт мережі Microsoft: посилати незашифрований пароль стороннім SMB-серверам.Цей параметр виключений за замовчуванням і повинен таким залишайся. В такий спосіб забороняється посилання незашифрованих паролів серверам SMB, що не підтримують шифрування при обміні обліковою інформацією. Якщо по якимсь причинам вам знадобиться включити цей параметр, зробіть це тільки для комп’ютерів у спеціально створеній організаційній одиниці й попередивши всіх про можливі наслідки. Якщо хтось зможе запустити в ній аналізатор або налаштувати комп'ютер на передачу незашифрованих облікових даних, то ці дані можуть бути перехоплені й використані.
Сервер мережі Microsoft: Тривалість простою перед відключенням сеансу.Ви можете задати час простою для з'єднань по протоколу SMB. За замовчуванням значення цього параметра не визначено для робочої станції Windows XP і дорівнює 15 хвилинам для серверів. Наприклад, якщо відсутній обмін даними у встановленому із сервером з'єднанні за протоколом SMB на протязі 15 хвилин, сервер відключає це з'єднання.
Сервер мережі Microsoft: використати цифровий підпис (завжди). В ідеальному випадку всі цифрові комунікації повинні використати підпис для підтвердження ідентифікації сторін. Однак у реальному житті існують такі речі, як зворотна сумісність різнорідних середовищ оточення й не підтримуючі підпис клієнти (і навіть сервери), отже цей параметр можна включати тільки коли ви повністю впевнені в тому, що кожен комп'ютер може працювати з підписом. Не можна сказати що включення цього параметра (за замовчуванням відключений) відразу забезпечить безпеку але принаймні, ваші комп’ютери під керуванням Windows 2000/XP/.NET будуть вимагати, щоб весь обмін з віддаленими клієнтами по протоколу SMB відбувався з використанням підписів.
Сервер мережі Microsoft: використати цифровий підпис (з погодження клієнта).Цей параметр відключений для робочі станції й включений для серверів, але гірше не буде, якщо включити його для робочих станцій під керуванням Windows 2000 і ХР. Це насправді гарна пропозиція. Застосуйте її, і сервер SMB буде намагатися використовувати підпис при будь-якому спробі підключення до нього віддаленого комп’ютера. Якщо віддалений комп'ютер відмовиться підписувати дані, то зв'язок все одно буде встановлено.
Сервер мережі Microsoft: відключати клієнтів після закінчення дозволених годин входу.При установці цього параметра віддалені сеанси будуть примусово завершуватися по витіканню інтервалу дозволених годин входу Хоча цей параметр відключений за замовченням, його треба включити, якщо ви встановлюєте дозволений інтервал часу для підключення.
Доступдо мережі: Дозволити трансляцію анонімного SID в ім'я.З'явився в Windows XP/.NET цей параметр відключений для робочі станції й включений для серверів. Певні аспекти ідентифікації контролером домену вимагають дозволу трансляції анонімного SID в ім'я але, однозначно, це не є необхідним для всіх серверів. Вам належить залишити цей параметр виключеним для запобігання спроб віддалених анонімних користувачів вияснити відповідність імен користувачів та їх SID. Трансляція SID в ім'я широко застосовується хакерами для складання списків імен облікових записів й ідентифікаторів адміністраторів (й інших користувачів) на віддалених комп'ютерах.
Мережний доступ: не дозволяти перерахування облікових записів SAM анонімними користувачами.Робота із ключем "RestrictAnonymous" (обмеження анонімного доступу) була поліпшена в Windows XP, більше деталізований контроль над анонімним доступом без порушення працездатності доменів в Windows 2000. У порівнянні з Windows 2000 цей параметр був розділений на декілька окремих параметрів, відповідає ключу реєстру "RestrictAnonymousSam", включений за замовченням він перешкоджає перерахуванню облікових записів анонімним користувачем.
Обробка ключа RestrictAnonymous була заново перероблена в Windows XP. В Windows2000 значення цього ключа рівне 2 не дозволяє анонімним користувачам навіть підключатися до спільних ресурсів, що приводить до завершення доступу клієнта й перепису імен облікових записів довіреного домену. Однак в Windows XP/.NET все відбувається по іншому, тут є засоби більш тонкого настроювання обмеження анонімного доступу.
Мережний доступ: не дозволяти перерахування облікових записів SAM анонімними користувачами.