файл содержащий параметры безопасности носит название
Настройка параметров безопасности (Шаблоны безопасности, Анализ и настройка безопасности)
Управлению безопасностью в сетях Microsoft Windows посвящено немало учебных курсов и хороших книг. В предыдущих разделах мы уже касались политик безопасности, относящихся к учетным записям пользователей (параметры длины и сложности пароля, параметры блокировки учетных записей) и параметрам прав пользователей (в частности, локальный вход в систему на сервере для выполнения лабораторных работ в компьютерном классе).
Оставим подробное изучение безопасности сетей Microsoft за рамками данного курса, но при этом рассмотрим работу с очень полезными оснастками, которые могут помочь начинающему сетевому администратору ознакомиться с некоторыми стандартными шаблонами политик безопасности, которые имеются в самой системе Windows Server, и проводить анализ и текущих настроек сервера в сравнении со этими стандартными шаблонами.
Кнопка » Пуск » — » Выполнить » — mmc — кнопка » ОК «.
Меню » Консоль » — » Добавить или удалить оснастку » — кнопка » Добавить » — выбрать оснастку » Анализ и настройка безопасности » — кнопка » Добавить » — выбрать оснастку » Шаблоны безопасности » — кнопка » Добавить » — кнопка «Закрыть » — кнопка » ОК » (рис. 6.57).
В полученной консоли (ее можно будет сохранить и использовать в дальнейшем неоднократно) можно делать следующее:
Приведем краткие характеристики стандартных шаблонов безопасности:
Теперь на примере рассмотрим, как проводить анализ настроек безопасности.
Щелкнем правой кнопкой мыши на значке оснастки » Анализ и настройка безопасности «, выберем » Открыть базу данных «, укажем путь и название БД (по умолчанию БД создается в папках профиля того администратора, который проводит анализ), нажмем кнопку » Открыть «, выберем нужный нам шаблон (например, hisecdc ) и нажмем » ОК » (рис. 6.58):
Щелкнем правой кнопкой мыши на значке оснастки » Анализ и настройка безопасности «, выберем » Анализ компьютера «, укажем путь и название файла с журналом ошибок (т.е. протоколом проведения анализа), нажмем «ОК», будет выполнено сравнение текущих настроек с параметрами шаблона (рис. 6.59):
Откроем любой раздел оснастки (например, » Политики паролей «, рис. 6.60):
На рисунке сразу видны расхождения между настройками нашего сервера (столбец » Параметр компьютера «) и настройками шаблона (столбец » Параметр базы данных «) — видно, как мы понизили настройке безопасности для проведения практических занятий.
Аналогично проводится анализ всех остальных разделов политик безопасности.
Этой же оснасткой можно одним действием привести настройки нашего компьютера в соответствии с параметрами шаблона (щелкнуть правой кнопкой мыши на значке оснастки » Анализ и настройка безопасности «, выбрать » Настроить компьютер «). Не рекомендуем это делать, не изучив в деталях, какие последствия это может повлечь для всей сети. Высокие требования к параметрам безопасности препятствуют работе в домене Active Directory компьютеров с системами Windows 95/98/ME/NT. Например, данные системы поддерживают уровень аутентификации NTLM версии 2 (который назначается шаблонами hisecdc и hisecws ) только при проведении определенных настроек на компьютерах со старыми системами. Поэтому, прежде чем принимать решение об установке более высоких параметров безопасности в сети, необходимо тщательно изучить состав сети, какие требования к серверам и рабочим станциям предъявляют те или иные шаблоны безопасности, предварительно установить нужные обновления и настроить нужные параметры на «старых» системах и только после этого применять к серверам и рабочим станциям Windows 2000/XP/2003 шаблоны с высокими уровнями сетевой безопасности.
Заметим дополнительно, что данные оснастки имеются не только на серверах, но и на рабочих станциях под управлением Windows 2000/XP Professional, и они позволяют производить аналогичный анализ и настройки на рабочих местах пользователей.
Резюме
Первая часть данного раздела описывает задачи служб каталогов корпоративной сети и основные понятия служб каталогов Active Directory:
Вторая часть дает углубленные знания по логической и физической структуре службы каталогов Active Directory.
Третья часть раздела посвящена практическим вопросам управления системой безопасности корпоративной сети — учетными записями пользователей, компьютеров, групп, организационными подразделениями. Описан также механизм групповых политик — мощное средство управлением настройками пользовательской среды и параметров компьютеров в большой корпоративной сети.
В четвертой части описаны технологии управления сетевой безопасностью — протокол аутентификации Kerberos и применение шаблонов безопасности для настройки параметров безопасности серверов и рабочих станций.
Задачи сетевого администратора при управлении инфраструктурой службы каталогов:
УПРАВЛЕНИЕ ШАБЛОНАМИ БЕЗОПАСНОСТИ
Общие положения
Для упрощения настройки политики безопасности в операционных системах семейства NT реализован механизм шаблонов безопасности. Шаблоны безопасности Windows — это файлы, содержащие в специальном формате описания значений системных настроек операционной системы, необходимых для достижения определенного уровня безопасности. Система шаблонов позволяет экспортировать и импортировать настройки политики безопасности, которые записываются в специального вида текстовые файлы с расширением «.inf». Преимущество такого механизма заключается в упрощении переноса данных безопасности на другие компьютеры по сравнению с использованием баз данных безопасности.
При помощи шаблонов безопасности возможно настраивать параметры политики, которые отвечают за следующие компоненты безопасности:
Рекомендуется не вносить изменения в предустановленный шаблон Setup security.inf, так как при помощи этого шаблона у вас есть возможность восстановления параметров безопасности, используемых по умолчанию. Также, чтобы избежать многих проблем, желательно перед внедрением созданного шаблона в эксплуатацию протестировать его на отдельном компьютере.
Управление шаблонами безопасности в Windows 7 осуществляется с помощью редактора шаблонов безопасности, реализованного в виде оснастки ММС.
Примечание. Microsoft Management Console (ММС) — это компонент ОС Microsoft Windows, который позволяет системным администраторам и пользователям через удобный интерфейс конфигурировать и отслеживать состояние системы.
Он предназначен для создания и редактирования текстовых файлов конфигурации безопасности операционной системы Windows 7. Такие файлы значительно легче переносятся с одной системы на другую, чем соответствующие им базы данных безопасности.
Созданные с помощью оснастки шаблона безопасности текстовые файлы хранятся на жестком диске и при необходимости могут быть импортированы в базу данных безопасности. В этом случае все хранимые настройки безопасности начнут действовать.
Примечание. Новые шаблоны безопасности не изменяют все старые настройки параметров системы безопасности, они лишь дополняют их, увеличивая (инкрементируя) степень защищенности компьютера.