Статьи

Застосування GPO для настройки заходів безпеки

  1. Використання групової політики для управління конфігурацією системи безпеки
  2. Політики безпеки для домену
  3. Рекомендовані підходи
  4. Перегляд чинної політики
  5. Гарантоване застосування політики безпеки
  6. Застосування політики безпеки Windows
  7. Слабкі місця Windows
  8. Політика програмних обмежень
  9. Додаткові засоби безпеки
Використання групової політики для управління конфігурацією системи безпеки

Управління конфігурацією безпеки на сотнях або тисячах машин Windows - одна з найважливіших завдань сучасного ІТ-адміністратора. Добре відомо, що невдале рішення цієї проблеми може призвести до втрати даних, необхідності витрачати час на відновлення машин і в гіршому випадку до незворотних наслідків для компанії. На щастя, в Windows 2000 з'явилися групові політики (Group Policy) - потужний засіб для швидкої зміни параметрів безпеки на всіх машинах, які працюють з Windows 2000 і більш пізніми версіями в середовищі Active Directory (AD). У даній статті мова піде про те, як використовувати Group Policy для розгортання та управління конфігурацією системи безпеки, і про деякі труднощі, що виникають при впровадженні різних типів політик безпеки.

Ми розглянемо також ряд параметрів політик безпеки на базі Group Policy і спробуємо максимально використовувати їх переваги. Але спочатку необхідно зрозуміти, як призначити політику безпеки для домену - тобто як налаштувати параметри безпеки на об'єкті групової політики (Group Policy Object, GPO), пов'язаному з доменом AD (GPO можна пов'язати з сайтами AD, доменами або організаційними одиницями - OU).

Слід звернути увагу, що всі розглянуті в даній статті функції реалізовані в Windows Server 2003, Windows XP і Windows 2000, якщо спеціально не обумовлено, що потрібна певна версія операційної системи.

Політики безпеки для домену

Одна з перших проблем безпеки, яку необхідно вирішити при розгортанні AD, - політика для облікових записів (account policy). Політика для облікових записів є частиною параметрів безпеки GPO, за допомогою яких можна задати для облікових записів домену потрібну довжину пароля, його складність і режим блокування. Щоб задати політику, слід відкрити редактор Group Policy Object Editor консолі управління Microsoft Management Console (MMC), відшукати GPO і перейти в розділ Computer ConfigurationWindows SettingsSecurity SettingsAccount Policies для цього GPO. Якщо політику для облікових записів потрібно застосувати до призначених для користувача облікових записів, певним в AD, то цю політику необхідно визначити всередині GPO, пов'язаного з доменом, тому що DC в домені AD обробляють лише політики для облікових записів, які містять GPO, пов'язані з даними доменом. DC також ігнорують три інші політики безпеки, якщо вони не пов'язані з доменом:

  • автоматичне відключення користувачів після закінчення часу реєстрації;
  • перейменування облікового запису administrator;
  • перейменування облікового запису guest.

Ці три політики розташовані в розділі Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options для GPO.

Може виникнути питання, чому Microsoft вимагає, щоб політики для облікових записів і ці три політики безпеки були в GPO, пов'язаному з доменом. Як відомо, якщо сервер в домені призначається контролером домену AD, то за замовчуванням AD зберігає DC в організаційному підрозділі Domain Controllers. Однак якщо перемістити DC в інше організаційне підрозділ OU, то він зможе отримувати різні політики безпеки. Політики для облікових записів і три зазначені політики безпеки повинні бути погоджені на всіх DC, тому фахівці Microsoft склали програмний код обробки GPO таким чином, що ці політики ігноруються, крім тих випадків, коли вони пов'язані з доменом. Таким чином, гарантується, що всі DC, незалежно від місця розташування, отримують однакові політики. Інші політики безпеки, такі як політики аудиту і обмежені групи, можуть бути різними на DC в різних OU. Слід пам'ятати про цю особливість політик, якщо потрібно перемістити DC з організаційної одиниці Domain Controllers.

Рекомендовані підходи

При побудові нового домену AD всередині нього створюються два GPO: Default Domain Policy і Domain Controllers Policy, пов'язані з OU Domain Controllers. Ці GPO допомагають адміністраторам Windows налаштувати доменну обліковий запис і інші політики безпеки, але деякі фахівці не рекомендують зачіпати готові GPO. Тому багато адміністраторів не знають, чи слід використовувати їх для політик безпеки або краще побудувати власні. В принципі, можливі обидва підходи.

При розгортанні політик безпеки в масштабах домену необхідно дотримуватися два правила. Як уже зазначалося, політику для облікового запису в масштабах домену можна призначити тільки для GPO, пов'язаного з доменом. Якщо потрібно застосувати в домені інші політики безпеки (наприклад, вказати стандартний розмір журналу Security на всіх DC домену), то слід призначати ці політики в GPO, пов'язаному з Domain Controllers OU (передбачається, що DC не були видалені з цієї організаційної одиниці). Windows обробляє GPO по порядку: спочатку локально, потім в сайтах, доменах і OU, тому політики безпеки, задані в GPO, пов'язаних з Domain Controllers OU, обробляються останніми і замінюють будь-які політики, пов'язані з доменами.

Однак це правило може вступити в конфлікт з іншим правилом: включення режиму No Override в GPO, пов'язаному з доменом. У режимі No Override нижні по ієрархії GPO не можуть скасувати суперечать політики вищого рівня. Якщо необхідно, щоб політика була основною у всіх випадках, слід активізувати No Override в пов'язаному з доменом GPO, який задає політику для облікових записів. Але якщо той же пов'язаний з доменом GPO використовується для призначення інших політик безпеки (наприклад, політики аудиту), то він скасує будь-які параметри аудиту, задані в GPO, пов'язаних з OU Domain Controllers. Тому я рекомендую не покладати інших функцій на GPO, який визначає політику для облікових записів. Таким чином, адміністрування цього GPO і політики для облікових записів домену можна делегувати фахівцям з безпеки, залишивши за собою право призначати потрібні політики безпеки безпосередньо на комп'ютери.

Перегляд чинної політики

Часто доводиться чути питання: «Як переглянути діючу політику безпеки на DC, серверах і робочих станціях?» Звичайно, для перегляду параметрів безпеки на даному комп'ютері можна використовувати різні інструменти визначення результуючої політики, наприклад, консолі Resultant Set of Policies (RSoP) або такі інструменти командного рядка, як GPResult. Однак для перегляду локального GPO на даному комп'ютері простіше використовувати редактор Group Policy Object Editor.

Для всіх параметрів політики, за винятком безпеки, при перегляді GPO на локальному комп'ютері відображаються параметри, збережені в статичних файлах в локальній файловій системі (% systemroot% system32grouppolicy). Але при перегляді локального GPO політики безпеки редактор Group Policy Object Editor показує діючі параметри, встановлені на даному комп'ютері. На системі Windows 2000 одночасно відображаються локальні параметри і діючі значення, що надаються об'єктом GPO, пов'язаних з AD (екран 1).

Windows 2003 і XP формують дещо інше уявлення. При перегляді політики безпеки локального GPO в будь-який з цих версій Windows видно тільки діючі параметри. Локальний параметр можна відредагувати, двічі клацнувши на ньому мишкою, але не можна редагувати параметр, керований GPO, пов'язаних з AD.

При зміні політики безпеки локального GPO за відсутності політики безпеки, пов'язаної з AD, зміни вносяться в діючу базу даних SAM даної локальної машини, а не в набір файлів, розташованих в файлової структурі локального GPO в% systemroot% system32grouppolicy, як у випадку з іншими параметрами локального GPO.

Гарантоване застосування політики безпеки

Спосіб, який використовується Windows для обробки політик, іноді суперечить гарантованому розгортання політики безпеки. Щоб розібратися в цьому конфлікті, необхідно мати базові знання про те, як обробляються групові політики. При створенні і редагуванні GPO, пов'язаних з AD, за допомогою редактора Group Policy Object Editor параметри GPO зберігаються в AD і на системному томі (sysvol) комп'ютера, а також призначаються параметри, які GPO буде застосовувати на даній машині. Розширення клієнтської сторони (Client-side Extensions, CSE) на комп'ютері обробляють параметри і вносять зміни в конфігурацію. Microsoft реалізує CSE в DLL і поставляє їх у складі операційної системи. Для кожної з основних областей політики існують свої CSE, наприклад для установки програм безпеки і адміністративних шаблонів політик.

Щоб побачити CSE, зареєстровані в даний момент на даній машині, потрібно відкрити реєстр і переглянути підрозділи HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonGPExtensions. Кожен GUID-іменований підрозділ в розділі GPExtensions представляє один CSE. Усередині GUID-іменованих підрозділів знаходиться ім'я DLL, в якій реалізовані функціональність політики та параметри, що керують поведінкою CSE при обробці параметрів політики.

Загальна особливість всіх GSE полягає в тому, що вони не виконують повторну обробку GPO, якщо об'єкт не змінювався за час, що минув з попередньої обробки. Windows обробляє політику для комп'ютера, наприклад політику безпеки, при запуску (або виключенні) системи, а політику для користувача - при реєстрації або завершенні сеансу користувача. Такі події називаються активними процесами. На додаток до цих двох процесів Windows обробляє політики у фоновому режимі через кожні 90 хвилин (з невеликим відхиленням) на робочих станціях і автономних серверах домена і через кожні 5 хвилин - на контролерах домену. Однак CSE пропускають обробку даного GPO як в активному, так і в фоновому режимі, якщо він не змінювався з часу останнього циклу обробки. Тому якщо користувач якимось чином вносить в локальну конфігурацію зміни, що суперечать політиці пов'язаного з AD об'єкта GPO, то це локальна зміна залишається в силі до тих пір, поки хто-небудь не змінить GPO, котра управляє цією політикою, - можливо, через багато часу . З цієї причини CSE безпеки періодично оновлюють політику безпеки, незалежно від того, чи змінювався GPO. Параметр MaxNoGPOListChangesInterval розділу HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonGPExtensions {827D319E-6EAC-11D2-A4EA-00C04F79F83A} визначає інтервал оновлення. Стандартне значення - 960 хвилин (16 годин), але інтервал можна збільшити або зменшити, змінивши значення параметра реєстру. Якщо потрібно максимально суворе застосування політики безпеки, то CSE можна налаштувати на обробку політики безпеки в кожному циклі, незалежно від змін GPO. Безумовно, додаткова обробка збільшує обчислювальну навантаження, але обробку можна виконувати лише на окремих машинах, забезпечивши своєчасне зміна конфігурації системи безпеки на найважливіших серверах і робочих станціях.

Щоб змінити поведінку CSE на комп'ютері, слід відкрити Group Policy Object Editor і перейти в розділ Computer ConfigurationAdministrative TemplatesSystemGroup PolicySecurity Policy Processing для GPO, оброблюваного комп'ютером. Навіть якщо об'єкти Group Policy не змінилися, слід вибрати Process (екран 2). Після цього система буде оновлювати політику безпеки під час кожного фонового і пріоритетного циклу обробки.

Я розглянув деякі механізми розгортання політик безпеки на базі GPO. Наше завдання - максимально ефективно використовувати сильні сторони політик безпеки Windows.

Застосування політики безпеки Windows

У Windows 2003, XP і Windows 2000 налічуються сотні параметрів для налаштування захищеної конфігурації серверів і робочих станцій. Як відшукати всі ці параметри і визначити їх призначення? Відправною точкою для вивчення параметрів політик безпеки може служити документація Microsoft.

У квітні Microsoft випустила керівництво Windows Server 2003 Security Guide, в якому наведені шаблони безпеки для різноманітних типових ролей серверів (наприклад, конфіденційних файлів-серверів і DC). Аналогічні шаблони можна завантажити для Windows 2000 Server. В XP базові шаблони безпеки знаходяться в папці% systemroot% security emplates.

Для використання шаблону в середовищі Group Policy достатньо імпортувати в GPO файл шаблону .inf, в якому будуть зберігатися параметри, клацнувши правою кнопкою на контейнері Security Settings в редакторі Group Policy Object Editor, і вибрати пункт Import Policy. Можна також скористатися оснащенням Security Templates консолі MMC для перегляду і редагування шаблонів Windows 2003 і Windows 2000 (екран 3).

Слабкі місця Windows

Вивчаючи шаблони, можна помітити, що в багатьох з них параметри безпеки встановлені в контейнері Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options об'єкта GPO. Я називаю цю сферу політики безпеки сторінкою захисту вразливих місць (vulnerability defense page), так як в ній зберігаються параметри, призначені для усунення виявлених за період експлуатації Windows слабких місць.

За допомогою параметрів контейнера Security Options можна виконати такі дії, як перейменування облікових записів administrator і guest на всіх машинах або відключення анонімного перегляду (enumeration) облікових записів SAM. Завдяки блокуванню відомих уразливих місць, в шаблонах безпеки Windows 2003 і Windows 2000 реалізовані оптимальні режими захисту Windows-машин, але перед масовим запровадженням необхідно протестувати параметри. Деякі параметри можуть перешкодити коректному функціонуванню мережі, особливо якщо клієнти працюють з операційними системами старих версій, несумісних з цими параметрами.

Політика програмних обмежень

У даній статті неможливо описати всі політики безпеки, реалізовані в Group Policy, але одна область заслуговує на увагу - це політика програмних обмежень (software restriction policy). Дана політика - нововведення Windows 2003 і XP, тому використовувати її можна лише з цими версіями. Політика програмних обмежень доступна в Group Policy як параметр для окремих комп'ютерів або окремих користувачів. По суті, політика програмних обмежень забороняє запуск певних додатків. Додаток можна обмежити відповідно до сертифіката X.509, використаним для підпису, значенням хеш-функції, Internet-зоною, в якій розміщується програма, або шляхом до файлу.

Щоб пояснити, як використовується політика програмних обмежень, найпростіше проаналізувати приклад. Припустимо, нам потрібно заборонити всім користувачам домену AD виконувати будь-які додатки, що запускаються з папки Temporary Internet Files в профілі користувача. Як правило, в цій папці тимчасово зберігаються файли, завантажені браузером Microsoft Internet Explorer (IE); тому в ній слід обмежити виконання програмного коду.

Перш за все необхідно встановити програмні обмеження всередині GPO. Для цього слід перейти до Computer ConfigurationWindows SettingsSecurity Settings, натиснути правою кнопкою миші на контейнері Software Restriction Policies і вибрати пункт Create New Policies. Windows негайно створює набір об'єктів, за допомогою яких можна змінити обмеження, що накладаються на програми, і відображає їх в редакторі Group Policy Object Editor (екран 4). Три кінцевих вузла в правій панелі - Enforcement, Designated File Types і Trusted Publishers - дозволяють встановити глобальні параметри для політики програмних обмежень. У більшості випадків для кожного з них можна вибрати стандартні параметри.

Папка Security Levels містить два параметри, з яких слід вибрати один, Disallowed і Unrestricted. За замовчуванням вибирається режим Unrestricted, в якому користувачі можуть запускати всі програми, за винятком явно заборонених політикою програмних обмежень. У режимі Disallowed користувачі не можуть запускати ніяких програм, крім явно дозволених політикою програмних обмежень. В даному прикладі використовується обираний за замовчуванням режим Unrestricted.

Основні компоненти політики програмних обмежень знаходяться в папці Additional Rules. Якщо клацнути на ній правою кнопкою миші, можна буде скласти правила відповідно до чотирма описаними вище критеріями. Для даного прикладу потрібно скласти правило, яке забороняє виконання будь-яких програм з папки Temporary Internet Files в профілі користувача. Тому я створив нове правило для шляху, призначив шлях% userprofile% local settings emporary internet files, а потім встановив для цього правила режим безпеки Disallowed (екран 5).

Після того як дана політика набуде чинності, система не буде виконувати з папки Temporary Internet Files ніяких додатків, чиї типи внесені в список Designated File Types. Очевидно, що політика програмних обмежень може бути потужним засобом, який не дозволить невідомому програмного коду заподіяти шкоду мережевому середовищі.

Додаткові засоби безпеки

Сподіваюся, після прочитання статті у багатьох читачів з'явиться бажання більш глибоко вивчити і активно використовувати параметри налаштування безпеки Windows Group Policy. Крім згадуваних політик, адміністратор може призначати повноваження для файлів, реєстру і служб і навіть використовувати політики обмежених груп для управління членством в групах. У Windows 2003 реалізована політика для бездротових мереж, за допомогою якої можна визначити, з якими вузлами доступу Access Point дозволяється встановлювати з'єднання бездротовим клієнтам Windows і чи обов'язково при цьому використовувати захист Wired Equivalent Privacy.

В цілому групові політики чудово забезпечують тонке налаштування системи безпеки Windows, так що в інтересах адміністратора вивчити їх можливості досконало.

Даррен Мар-Еліа - редактор журналу Windows & NET Magazine. З ним можна зв'язатися за адресою: [email protected] .

Як відшукати всі ці параметри і визначити їх призначення?

Новости