Professional Documents
Culture Documents
Windows Server 2003. Bezpieczeństwo. Biblia
Windows Server 2003. Bezpieczeństwo. Biblia
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
5RKUVTGEK
Zagroenia wewntrzne a zagroenia zewntrzne.................................................................................18
Zagroenia wewntrzne...................................................................................................................18
Zagroenia zewntrzne....................................................................................................................21
rodki bezpieczestwa wewntrznego i zewntrznego.........................................................................26
rodki bezpieczestwa zewntrznego .............................................................................................27
rodki bezpieczestwa wewntrznego............................................................................................27
Typy atakw ..........................................................................................................................................28
Wandalizm w sieci WWW ..............................................................................................................29
Szpiegostwo i kradzie danych .......................................................................................................30
Ataki typu Denial of Service ...........................................................................................................32
Podsumowanie.......................................................................................................................................34
#1
#7 !
Wprowadzenie .....................................................................................................................................236
Prosty system Kerberos.................................................................................................................236
Rozproszony system Kerberos ......................................................................................................236
Uwierzytelnianie Kerberos w ukadzie wieloobszarowym ...........................................................237
Zaawansowane techniki obsugi biletw Kerberos .......................................................................239
Projektowanie architektury Kerberos ..................................................................................................241
Architektura...................................................................................................................................241
Znaczenie synchronizacji czasu ....................................................................................................243
Kerberos a Windows Server 2003 .......................................................................................................243
Konfigurowanie zasad grup ..........................................................................................................244
Wspdziaanie z innymi rodowiskami .......................................................................................245
Podsumowanie.....................................................................................................................................249
#1
)
* ("
<
*;=
' ,,
<
*&>:
3.) ,,
<
*?#
":"5?(@-( ,!
#*"
!!
4Q\F\KC
W rozdziale:
Zasady grup
konfiguracja sprztowa,
konfigurowanie inspekcji,
zasady grup.
Pierwsz rzecz, ktr powinnimy wzi pod uwag, gdy zabezpieczamy komputer, s
zabezpieczenia na poziomie sprztowym. Bezpieczestwo wyposaenia to wany krok
w stron caociowej ochrony systemu.
le zabezpieczone wyposaenie moe umoliwi dostp do chronionych plikw lub naruszenie ochrony caego systemu. Standardowe zabezpieczenia wikszoci platform sprztowych umoliwiaj dowolnej osobie modyfikowanie konfiguracji BIOS-u komputera
oraz adowanie systemu operacyjnego z dyskietki.
Zagadnienie zabezpiecze sprztowych wie si z istotn cech systemu zabezpiecze.
System plikw NTFS moe by obsugiwany przez sterowniki systemw DOS i Linux.
Po uruchomieniu komputera przy uyciu dyskietkowej wersji jednego z tych systemw
operacyjnych wszystkie pliki komputera staj si swobodnie dostpne sterowniki
systemu plikw dla systemw DOS i Linux ignoruj listy kontroli dostpu (ACL). Brak
mechanizmu uwierzytelniania Windows uniemoliwia operowanie odpowiednimi etonami dostpu. Tak uzyskiwany dostp do danych jest uytecznym narzdziem do odzyskiwania danych i zapewnia zgodno systemw. Konsekwencj jest jednak konieczno
uwzgldnienia w zabezpieczeniach dostpu do systemu komputerowego oraz konfiguracji BIOS-u.
Podstawowy problem zabezpiecze sprztowych polega na moliwoci uruchomienia komputera za pomoc dyskietki i uzyskania przy uyciu sterownikw spoza Windows
dostpu do dyskw twardych (wyjtkiem s jedynie pewne konfiguracje RAID obsugiwane
przez sterowniki Windows, ich wprowadzenie nie jednak metod zabezpieczania danych).
Po takim ataku mona wprowadza modyfikacje w plikach systemowych, a nawet Rejestrze
i bazie danych SAM. Efektem moe by zmiana hase lub innego rodzaju osabienie mechanizmw zabezpiecze. Atakujcy ma dostp do wszystkich plikw komputera. Inn
moliwoci moe by zainstalowanie nowego systemu operacyjnego. Po zainstalowaniu
systemu Windows Server 2003 od nowa, atakujcy moe skorzysta z praw administratora
komputera lokalnego i zastpi wczeniejsze listy kontroli dostpu do plikw.
Atak na poziomie sprztowym mona uniemoliwi kilkoma sposobami. Najprostsz metod uniemoliwienia zaadowania systemu operacyjnego z dyskietki lub dysku CD-ROM
jest fizyczna obecno przy komputerze. Dostpne s rwnie specjalne blokady stacji
dyskietek, umieszczane w szczelinie napdu i zamykane na klucz. W zamek moe by
wyposaona rwnie obudowa. Jeeli komputer jest w szafce, mona zamkn szafk.
Rwnie wejcie do centrum obliczeniowego czy sali serwerw moe pozostawa stale
zamknite. Warto zadba o stosowanie tego rodzaju rodkw odpowiednio do potrzeb
organizacji. Po zainstalowaniu systemu operacyjnego nic zazwyczaj nie stoi na przeszkodzie, aby cakowicie usun stacj CD-ROM i stacj dyskietek z komputera. Dalsze
oprogramowanie mona instalowa, korzystajc z udziaw sieciowych.
Kolejnym poziomem ochrony jest zmiana konfiguracji BIOS-u komputera. Ustawienia te
musz by zabezpieczone hasem uniemoliwiajcym atakujcemu ich zmian. Rysunek 6.1
przedstawia wprowadzanie hasa BIOS-u w przykadowym komputerze. W wikszoci
komputerw haso zabezpieczajce BIOS okrela si jako supervisor password lub setup
password.
Haso dostpu
do ustawie
konfiguracyjnych
BIOS-u
zabezpiecza
przed wprowadzeniem
niepodanych zmian
Oprogramowanie BIOS produkuj rne firmy, std istotne rnice pomidzy komputerami.
Mimo e konkretne rozwizania mog by nieco odmienne, w niemal kadym programie
konfiguracyjnym BIOS-u znale mona opisywane poniej opcje konfiguracyjne.
Typow moliwoci jest wprowadzenie hasa uytkownika. Komputer moe by wwczas
uruchomiony wycznie po podaniu hasa uytkownika lub hasa dostpu do BIOS-u.
Dodatkow moliwoci moe by ograniczenie moliwoci uzyskania dostpu do napdw dyskw wycznie do sytuacji, gdy przy uruchamianiu komputera podane zostao
haso dostpu do BIOS-u.
Gdy opcja ograniczenia dostpu do napdw dyskw nie jest dostpna, pozostaje okrelenie hase oraz wyczenie dostpu do stacji dyskietek i stacji CD-ROM. Rysunek 6.2
przedstawia opcj konfiguracyjn BIOS-u, ktra umoliwia wyczenie stacji dyskietek.
Stacja dyskietek
powinna
zosta wyczona
w programie
konfiguracyjnym
BIOS-u
Stacja dyskietek,
stacja CD-ROM i sie
zostay wykluczone
z procedur
poszukiwania
systemu
operacyjnego
Po zabezpieczeniu komputerw na poziomie sprztowym kolejnym krokiem logicznym
bdzie instalacja systemu operacyjnego. Pierwszym elementem jest autentyczno nonika plikw instalacyjnych. Kopii dysku, czy to domowego wyrobu czy pirackiej, nie
mona traktowa z penym zaufaniem. Moe si to wydawa nieco przesadnym rodkiem
bezpieczestwa, ale dyski powielane przez firm Microsoft s przed zapakowaniem weryfikowane pod ktem bezpieczestwa. Nowsze CD maj numer i oznaczenia holograficzne
stosunkowo trudne do podrobienia.
Zdarza si, e komputer zostaje zakupiony z zainstalowanym ju systemem operacyjnym.
W wikszoci przypadkw administrator reinstaluje wwczas oprogramowanie zarwno
ze wzgldw bezpieczestwa, jak i dla uatwienia przyszej administracji. Jedynie w szczeglnych przypadkach wielkie serwery i zainstalowany system Windows Server 2003
Datacenter Edition sprzedawane s jako cao i reinstalacja jest wykluczona. Wwczas
pozostaje tylko sprawdzi, czy sprzedawca faktycznie dysponuje prawem do korzystania
z logo authorized reseller. Bezpieczestwo w trakcie dostawy moe zapewni odpowiednie plombowanie.
Na dyskach instalacyjnych systemu operacyjnego stosunkowo atwo umieci pliki z ukrytym oprogramowaniem typu tylne wejcie. Pracownik kopiujcy dysk CD moe umieci na nim zaraony plik. Moe si to wydawa przesadn podejrzliwoci, ale zasada
korzystania z bezpiecznych kopii dyskw instalacyjnych jest na tyle prosta, e nie warto
podejmowa ryzyka. Zabezpieczanie przed lukami w zabezpieczeniach dobrze zacz od
podstaw.
W trakcie instalacji systemu operacyjnego i podstawowych czynnoci konfiguracyjnych
mona korzysta z dalszych rodkw wzmacniajcych bezpieczestwo komputera, takich
jak:
wczenie inspekcji,
System Windows Server 2003 powinien by instalowany na partycji NTFS. Uycie partycji
FAT stoi w ostrej sprzecznoci z deniem do zabezpieczenia komputera. System plikw FAT nie zapewnia adnych mechanizmw zabezpiecze, takich jak listy kontroli
dostpu i szyfrowanie dostpne w systemie NTFS.
Poza rodowiskami testowymi system plikw FAT nie powinien by stosowany
do formatowania adnych partycji pod kontrol systemu Windows Server 2003.
Partycj systemow mona utworzy w trakcie instalowania systemu operacyjnego. Rysunek 6.5 przedstawia ekran wybierania systemu plikw partycji Windows Server 2003.
Aby zapewni
bezpieczestwo
komputera, w trakcie
instalowania systemu
Windows Server 2003,
formatujemy partycj
systemow
w formacie NTFS
Minimalizowanie liczby skadnikw systemu operacyjnego to, jak pisalimy w rozdziale 3.,
metoda ograniczania liczby elementw zagroonych potencjalnymi lukami w zabezpieczeniach. Wczeniej wspomnielimy ju pojcie ograniczania profilu systemu. Kada
aplikacja i usuga to kolejny skadnik oprogramowania, w ktrym mog wystpowa
szkodliwe bdy przepenienia bufora, wykorzystania cigu formatujcego i inne. Gdy
taka luka zostanie odkryta w przyszoci, a administrator w por nie uzyska odpowiedniej informacji, atakujcy moe uzyska dostp do komputera, lokalnie lub zdalnie.
W przeciwiestwie do wczeniejszych wersji systemu Windows, w tym Windows 2000
Server i Windows NT 4.0 Server, system Windows Server 2003 nie oferuje w trakcie
instalacji moliwoci wybierania skadnikw. Standardowo instalowany jest ograniczony
zestaw podstawowego oprogramowania serwera. Przed instalacj skadnikw sieciowych
wprowadzamy:
dane uytkownika,
klucz produktu,
nazw komputera,
haso administratora,
dat i godzin.
Procedura instalowania skadnikw sieciowych zapewnia konfiguracj standardow, umoliwiajc wielu komputerom natychmiastowe rozpoczcie pracy w sieci. Adres IP jest
pobierany z serwera DHCP. Wczone zostaj rwnie standardowe usugi sieciowe.
W wikszoci przypadkw nie unikniemy oczywicie wprowadzania rcznych korekt
tej konfiguracji. Mona wyczy niektre usugi lub okreli statyczny adres IP.
Aby przejrze ustawienia sieciowe, klikamy Ustawienia niestandardowe (Custom Settings),
a nastpnie Dalej (Next).
Wywietlone zostanie wwczas okno konfiguracji sieci. Nie bdziemy raczej wycza
klienta sieci Microsoft Networks ani protokou TCP/IP. Elementem wartym rozwaenia
jest jednak Udostpnianie plikw i drukarek w sieciach Microsoft Networks (File and
Printer Sharing for Microsoft Networks).
Jeeli konfigurowany komputer nie bdzie wykorzystywany jako serwer plikw lub serwer
drukarek, wyczamy t usug. Jej pozostawienie naraa na luki w zabezpieczeniach
wynikajce z niewystarczajcych ogranicze dostpu do plikw lub bdw w oprogramowaniu usugi. Nie ma powodu, aby instalowa usug udostpniania na dedykowanym
serwerze WWW lub poczty elektronicznej. Jeeli zdecydujemy si wyczy usug, klikamy w towarzyszcym jej nazwie polu wyboru. Kolejnym krokiem moe by dostosowanie ustawie TCP/IP, po ktrym klikamy Dalej (Next), aby przej do kolejnego okna.
Kolejnym istotnym wyborem jest okrelenie, czy serwer bdzie pracowa w domenie czy
w grupie roboczej.
Serwer nalecy do domeny zezwala uytkownikom na dostp z tej domeny. Inne komputery w domenie s dla niego komputerami godnymi zaufania. Dobr praktyk jest pozostawianie poza domen tych serwerw, ktrych funkcja nie wymaga takiej przynalenoci. Dotyczy to przede wszystkim serwerw WWW, FTP i serwerw pocztowych.
Naruszenie zabezpiecze serwera nalecego do domeny uatwia ataki na inne komputery.
Pozostawienie serwerw szczeglnie wraliwych na ataki poza domen pozwala unikn
tego problemu.
Wczenie serwera do domeny zapewnia wiele uatwie. W miejsce zarzdzania osobn
list uytkownikw kadego serwera udostpniamy zasoby uytkownikom w domenie.
Kusi to wielu administratorw do wczania do domeny serwerw WWW i innych, ktre
w rzeczywistoci nie wymagaj uwierzytelniania domenowego. Problemem jest to, e naruszenie zabezpiecze tak otwartych systemw moe suy do atakw na inne komputery
domeny.
Po zakoczeniu pracy instalatora systemu Windows dysponujemy wstpn konfiguracj
systemu operacyjnego, ktra wymaga systematycznego dostosowania do konkretnego
zastosowania komputera.
Gdy po raz pierwszy logujemy si w nowo zainstalowanym systemie Windows Server 2003,
wywietlane jest okno narzdzia Zarzdzanie tym serwerem (Manage Your Server),
przedstawione na rysunku 6.6. Narzdzie to suy do konfigurowania serwera do pracy
w okrelonej roli. Rola (ang. role) jest tutaj zestawem plikw i usug zapewniajcych
realizacj pewnych funkcji komputera, takich jak serwer DNS lub serwer Active Directory.
1. Aby przypisa komputerowi now rol, klikamy Dodaj lub usu rol
(Add or remove a role).
Powinnimy dokadnie przeczyta list czynnoci wstpnych, wywietlan
na pierwszej karcie kreatora konfigurowania serwera. Przypomina ona midzy
innymi o tym, e przed rozpoczciem pracy z rolami powinnimy zakoczy
konfigurowanie poczenia sieciowego i instalowanie urzdze peryferyjnych.
Klikamy Dalej (Next).
2. Rysunek 6.7 przedstawia kolejny krok kreatora. Opcja Konfiguracja standardowa
dla pierwszego serwera (Typical configuration for a first server) zapewni
skonfigurowanie serwera jako pierwszego kontrolera domeny w nowej domenie,
wraz z instalacj odpowiednich usug.
Opcja Konfiguracja niestandardowa (Custom configuration) pozwala dostosowa
konfiguracj serwera do specyficznych wymaga jego rodowiska i przeznaczenia.
Wybieramy Konfiguracja niestandardowa (Custom configuration) i klikamy
Dalej (Next).
Narzdzie Zarzdzanie tym serwerem automatycznie konfiguruje serwer
do okrelonej roli
!
Opcja
typowej konfiguracji
zapewnia
zainstalowanie usug
zwizanych z prac
komputera jako
pierwszego kontrolera
nowej domeny
nazwa,
opis,
stan,
typ uruchamiania,
sposb logowania.
#
Konsola Usugi
umoliwia wczanie
i wyczanie usug
Windows
Stan usugi to informacja o tym, czy jest ona w danym momencie uruchomiona (aktywna). Sposb logowania to nazwa konta wykorzystywanego przez usug w procedurach
uwierzytelniania.
Opcja Typ uruchomienia (Startup Type) moe mie trzy wartoci:
Skonfigurowanie usugi jako Wyczony (Disabled) jest najbezpieczniejsz metod wyczenia niepotrzebnej usugi. Cakowicie uniemoliwia to jej uruchomienie.
Lista usug jest duga i ronie wraz z instalowanymi aplikacjami, ktre niekiedy dodaj do
niej zarzdzanie wasnymi skadnikami oprogramowania. Istotne jest jednak, aby pozna
znaczenie kadej z nich i podj waciw decyzj o jej pozostawieniu lub wyczeniu.
Prostym przykadem moe by usuga klienta DHCP. Jest ona odpowiedzialna za pobieranie danych zwizanych z adresem IP z serwera DHCP, gdy przycze komputera jest
skonfigurowane do korzystania z usugi DHCP. Poniewa serwery najczciej konfiguruje
si do pracy ze statycznymi adresami IP (co uniezalenia je od zakce pracy usugi
DHCP), usuga klienta moe w wikszoci przypadkw zosta wyczona.
1. Klikamy prawym przyciskiem myszy wiersz usugi DHCP i wybieramy z menu
podrcznego polecenie Waciwoci (Properties). Powoduje to wywietlenie
arkusza waciwoci usugi.
Uprawnienia dostpu do plikw (ang. file permissions) albo, krcej, uprawnienia do
plikw to wany element mechanizmw zabezpiecze systemu Windows Server 2003.
Uprawnienia mona przypisywa zarwno plikom zapisywanym przez uytkownikw,
jak i plikom systemowym.
We wczeniejszych wersjach systemu Windows wane pliki i katalogi, takie jak pliki
systemu Windows, nie byy odpowiednio zabezpieczone. W Windows Server 2003 podejcie to zostao zmienione.
Najbardziej typowym powodem do zmiany domylnych uprawnie pliku jest konfigurowanie ochrony plikw w serwerze. Przykadem moe by sytuacja, gdy umieszczamy
w serwerze wane dane grupy ksiegowosc. Zazwyczaj pierwszym krokiem jest wwczas
utworzenie katalogu.
Standardowo,
uprawnienia
s dziedziczone
po folderze
nadrzdnym.
Wprowadzenie
poprawnych
ogranicze dostpu
wymaga wyczenia
tej funkcji
Gdy wyczamy
dziedziczenie
uprawnie, musimy
zdecydowa pomidzy
zachowaniem
istniejcej konfiguracji
zabezpiecze obiektu
a cakowitym
usuniciem uprawnie
dziedziczonych
6. Klikamy przycisk Dodaj (Add), aby doda do listy grup ksiegowosc. Wywietlone
zostaje okno Wybieranie: Uytkownicy lub Grupy (Select Users, Computers,
or Groups), przedstawione na rysunku 6.14.
Okno Wybieranie:
Uytkownicy
lub Grupy
pozwala docza
uytkownikw
lub grupy do listy
na karcie
Zabezpieczenia
arkusza
waciwoci folderu
7. W polu Wprowad nazwy obiektw do wybrania (Enter the object names to select)
wprowadzamy nazw grupy i klikamy przycisk Sprawd nazwy (Check Names).
Nastpnie klikamy OK, aby zakoczy dodawanie grupy.
Cho zazwyczaj nie jest to potrzebne, warto pamita, e mona zarzdza uprawnieniami
ze znacznie wiksz ziarnistoci.
1. Na karcie Zabezpieczenia (Security) klikamy przycisk Zaawansowane (Advanced),
aby wywietli okno Zaawansowane ustawienia zabezpiecze (Advanced Security
Settings).
2. Na karcie Uprawnienia (Permissions) wywietlana jest lista przypisanych uprawnie.
Zaznaczamy grup ksiegowosc i klikamy Edytuj (Edit). Wywietlone zostaje
okno Wpis uprawnienia (Permission Entry), przedstawione na rysunku 6.16.
Jak atwo zauway, przyznanie uprawnienia Modyfikacja (Modify) na karcie
Zabezpieczenia (Security) zapewnio przyznanie niemal wszystkich uprawnie
z listy. Wyjtkami s uprawnienia pozwalajce uytkownikowi lub grupie zmienia
uprawnienia do folderu: Pena kontrola (Full Control), Zmiana uprawnie (Change
Okno Wpis
uprawnienia suy
do zmieniania
uprawnie do obiektu
z wiksz
ziarnistoci
4. Waciciel obiektu moe zmienia uprawnienia do tego, nawet gdy nie ma jawnie
przypisanego uprawnienia penej kontroli. Jest to wygodne, poniewa administrator
moe przej wasno obiektu, nawet jeeli uprawnienia maj uniemoliwi
uzyskanie do niego dostpu. Aby zmieni waciciela obiektu, wybieramy z listy
uytkownika, ktry ma by nowym wacicielem, i klikamy OK. Wasno mog
przejmowa wycznie administratorzy i uytkownicy, ktrym przyznano
uprawnienie Przejcie na wasno (Take Ownership).
Inspekcja to bardzo uyteczne narzdzie administratora zabezpiecze. W systemie Windows Server 2003 mona rejestrowa ogromn ilo rnych typw zdarze. Inspekcja
polega na zapisywaniu kadej operacji uytkownika, dla ktrej funkcja ta zostaa wczona. Poniewa zakoczylimy wanie omawianie uprawnie do plikw, rozpoczniemy
od przedstawienia zasad inspekcji plikw.
Pierwszym krokiem jest uaktywnienie mechanizmw inspekcji. Jeeli serwer nie naley
do domeny, korzystamy z lokalnych zasad zabezpiecze, a jeeli serwer naley do domeny
z zasad grup dotyczcych serwera domeny. Sposb wczania inspekcji przy uyciu
zasad grup omwimy nieco dalej.
1. W przypadku samodzielnego serwera klikamy Start/Narzdzia administracyjne/
Zasady zabezpiecze lokalnych (Start/Administrative Tools/Local Security Policy).
Otwieramy w ten sposb konsol MMC zasad zabezpiecze lokalnych.
2. W lewej czci okna podwjnie klikamy Zasady lokalne (Local Policies),
a nastpnie Zasady inspekcji (Audit Policy). Lista dostpnych zasad zostaje
wywietlona w prawej czci okna. Przedstawiamy j na rysunku 6.18.
"
Aby uaktywni
procedury
rejestrowania,
musimy zmieni
zasady inspekcji
3. Dla kadego typu inspekcji, ktry wczamy, musimy klikn prawym przyciskiem
myszy odpowiedni pozycj listy i wybra z menu podrcznego Waciwoci
(Properties). W wywietlanym wwczas oknie wybieramy rodzaj rejestrowanych
operacji: Sukces (Success), Niepowodzenie (Failure) lub oba (jak na rysunku 6.19).
Klikamy OK.
#
Zasada inspekcji
moe by wczana
i wyczana
dla operacji udanych
oraz nieudanych
niezalenie
Okno Wpis inspekcji
suy do uaktywniania
funkcji rejestrowania
dla okrelonych
zdarze dotyczcych
obiektu
Okno Wpis inpekcji (Auditing Entry) jest podobne do omwionego wczeniej okna Wpis
uprawnie (Permission Entry). Kadej operacji na licie towarzysz pola wyboru Sukces
(Successful) i Niepowodzenie (Failed). Odpowiadaj one rejestrowaniu udanych i nieudanych operacji na obiekcie. Aby rejestrowa, przykadowo, tworzenie plikw, klikamy pole
wyboru Sukces (Successful) dotyczce operacji Tworzenie plikw/Zapis danych (Create
Files/Write Data). Zostanie wwczas zarejestrowana kada udana operacja tworzenia pliku.
Poza plikami i folderami inspekcj mona wcza dla wielu innych obiektw. W przypadku
samodzielnego serwera mona rejestrowa midzy innymi operacje logowania. Rejestrowanie tego rodzaju zdarze pozostaje zwizane z odpowiednimi zasadami inspekcji.
Miejscem zapisywania danych inspekcji jest dziennik zabezpiecze systemu. Zdarzenie
logowania zostaje w nim zapisane przy kadym logowaniu uytkownika. Wpisy inspekcji
plikw i logowania s podobne, ale informacje o logowaniu s obszerniejsze. Przykadowy wpis przedstawia rysunek 6.22.
Zasady grup (ang. group policies) to najbardziej wszechstronne narzdzie do dostosowywania zabezpiecze systemu Windows Server 2003 dostpne w warunkach infrastruktury
Active Directory. Zasady definiuje si przy uyciu narzdzia Active Directory Users
and Computers (Uytkownicy i komputery usugi Active Directory). Mog dotyczy wybranych uytkownikw, grup lub komputerw czonych w jednostki organizacyjne (ang.
organizational unit, OU), lokacje (ang. site) i domeny. Kad pojedyncz zasad okrela
si jako Group Policy Object (GPO, obiekt zasad grup). Zbir GPO to zasady grupy.
Kada jednostka organizacyjna, lokacja i domena ma domylny obiekt GPO dotyczcy
wszystkich obiektw w tej OU, lokacji lub domenie. Poza modyfikowaniem zasad domylnych istnieje moliwo dodawania nowych, w celu wprowadzenia logicznych podziaw
zasad. Zasady wie te system priorytetw prowadzcy do zastpienia pewnych zasad
Wpis dziennika
utworzony
po uaktywnieniu
zasady
Przeprowad inspekcj
zdarze logowania
zawiera nazw
uytkownika i stacji,
z ktrej korzysta,
jak rwnie inne,
bardziej techniczne
informacje
Do konfigurowania zasad grup suy konsola Active Directory Users and Computers
(Uytkownicy i komputery usugi Active Directory).
1. Otwieramy narzdzie, korzystajc z polecenia menu Start/Narzdzia administracyjne/
Uytkownicy i komputery usugi Active Directory (Start/Administrative Tools/Active
Directory Users and Computers).
2. Klikamy prawym przyciskiem myszy nazw domeny, lokacji lub jednostki
organizacyjnej, dla ktrej konfigurowa bdziemy zasady grupy. W menu
podrcznym klikamy Waciwoci (Properties).
3. Klikamy zakadk Zasady grupy (Group Policy), aby wywoa kart przedstawion
na rysunku 6.23. Na karcie wywietlana jest lista istniejcych obiektw GPO
konfigurowanej domeny lub powizanych z konfigurowan domen.
Tworzenie nowego obiektu GPO jest stosunkowo proste. Na karcie Zasady grupy (Group
Policy) klikamy w tym celu przycisk Nowy (New). Wprowadzamy nazw nowego obiektu
GPO i wciskamy Enter. Na licie GPO pojawi si wwczas nowy wpis.
Karta Zasady grupy
arkusza
waciwoci domeny
suy
do konfigurowania
zasad grup
!
Aby doda cze do obiektu GPO w innej jednostce organizacyjnej, lokacji lub domenie,
wykonujemy nastpujce czynnoci:
1. Na karcie Zasady grupy (Group Policy) klikamy przycisk Dodaj (Add). Powoduje
to otwarcie okna Dodawanie cza obiektu zasad grupy (Add a Group Policy
Object link), przedstawionego na rysunku 6.24. Standardowo wywietlane s
wycznie GPO domen i jednostek organizacyjnych.
Okno Dodawanie
cza obiektu zasad
grupy suy
do czenia GPO
domeny, lokacji
lub OU z inn
domen, lokacj
lub OU
2. Klikamy zakadk Lokacje (Sites), aby wywietli obiekty GPO lokacji lub zakadk
Wszystkie (All), aby wywietli wszystkie obiekty GPO katalogu Active Directory.
3. Z jednej z trzech list wybieramy obiekt GPO i klikamy OK. Poczony obiekt GPO
zostanie wywietlony na licie na karcie Zasady grupy (Group Policy).
"
Aby usun obiekt GPO lub cze do obiektu GPO, wybieramy go z listy na karcie Zasady
grupy (Group Policy) i klikamy przycisk Usu (Delete). Wywietlone zostaje okno dialogowe przedstawione na rysunku 6.25. Umoliwia ono usunicie albo samego cza do
obiektu GPO, albo cza wraz z obiektem. Zawsze naley uwaa, aby nie usun przez
pomyk obiektw GPO, ktre zostay powizane z innymi jednostkami organizacyjnymi,
lokacjami lub domenami. Usunicie obiektu GPO ma charakter globalny i nie bdzie on po
takiej operacji dostpny. Gdy obiekt GPO wci jest w uyciu, wybieramy opcj usunicia cza. Kliknicie OK koczy operacj.
Po klikniciu przycisku
Usu mona wybra
pomidzy usuniciem
obiektu GPO
a jedynie cza
do niego
Modyfikowanie obiektw zasad grup to operacja prowadzca do faktycznego zdefiniowania zasad dla OU, lokacji lub domeny, ktrej obiekt GPO zostanie przypisany. Procedura wprowadzania zmian w GPO polega na wybraniu waciwego obiektu w drzewie
narzdzia Edytor obiektw zasad grup (Group Policy Object Editor) i zmianie ustawie
tego obiektu. Rozpoczynamy ponownie od polecenia menu Start/Narzdzia administracyjne/Uytkownicy i komputery usugi Active Directory (Start/Administrative Tools/Active Directory Users and Computers).
1. W oknie konsoli MMC klikamy prawym przyciskiem myszy nazw domeny,
lokacji lub jednostki organizacyjnej, dla ktrej konfigurowa bdziemy zasady
grupy. W menu podrcznym klikamy Waciwoci (Properties).
2. Klikamy zakadk Zasady grupy (Group Policy).
3. Wybieramy obiekt GPO i klikamy Edytuj (Edit), aby wywoa Edytor obiektw
zasad grup (Group Policy Object Editor), przedstawiony na rysunku 6.26.
Edytor GPO jest podzielony na dwie czci Konfiguracja komputera (Computer Configuration) i Konfiguracja uytkownika (User Configuration). S to kategorie zapewniajce
logiczne oddzielenie ustawie zwizanych z komputerami od ustawie zwizanych z uytkownikami. Jeeli w jednostce OU, lokacji lub domenie s zarwno komputery, jak i uytkownicy, ustawienia konfiguracji komputera s stosowane w odniesieniu do obiektw
typu komputer, a ustawienia konfiguracji uytkownika do obiektw typu uytkownik.
Nie moemy w tym rozdziale opisa wszystkich ustawie dostpnych w edytorze GPO,
ale znaczenie wikszoci z nich jest do oczywiste. Dla przykadu, przejdmy do gazi
Konfiguracja komputera/Ustawienia systemu Windows/Ustawienia zabezpiecze/Zasady lokalne/Zasady inspekcji (Computer Configuration/Windows Settings/Security Settings/
Local Policies/Audit Policy), jak przedstawia to rysunek 6.27.
Edytor obiektw GPO suy do okrelania zasad zapisanych w wybranym GPO
! Ga Zasady inspekcji w czci Konfiguracja komputera suy do konfigurowania
lokalnych zasad inspekcji komputerw
Przykadem ustawie konfiguracji uytkownika mog by tzw. opcje Ctrl+Alt+Del, przedstawione na rysunku 6.29, dostpne w gazi Konfiguracja uytkownika/Szablony administracyjne/System (User Configuration/Administrative Templates/System). Zbir dostpnych
opcji wywietlany jest w prawym obszarze okna. Jest to grupa ustawie okrelajcych, jakie
przyciski zostan wywietlone, gdy uytkownik, ktrego dotyczy GPO, wcinie kombinacj
klawiszy Ctrl+Alt+Del. Aby wyczy wywietlanie wybranego przycisku, podwjnie
klikamy odpowiednie ustawienie, wprowadzamy zmian ustawienia i klikamy OK.
Zasady grup mog by wykorzystywane do wspomagania najrniejszych czynnoci administracyjnych, od zabezpieczania stacji roboczych i okrelania zasad kont uytkownikw
po automatyczne instalowanie oprogramowania.
Dla samego obiektu GPO mona zdefiniowa tylko kilka ustawie konfiguracji zabezpiecze, okrelajcych uprawnienia do wykonywania operacji na nim.
# Zarwno dla uytkownikw i dla komputerw dostpne s ogromne zbiory zasad
Karta Zabezpieczenia
arkusza
waciwoci GPO
suy
do konfigurowania
zabezpiecze samego
obiektu GPO
!"
Internet Connection Firewall (ICF, zapora poczenia internetowego) to element, ktry
raczej rzadko bdzie wykorzystywany w konfiguracji systemw Windows Server 2003.
W wikszoci rodowisk stosuje si kompletn, niezalen zapor firewall. Zapora ICF
pozostaje jednak kuszcym rozwizaniem dla mniejszych sieci.
Zewntrzne zapory firewall stosuje si do zabezpieczania przed atakami caych sieci. Zapora ICF jest przydatna w mniej rozbudowanym rodowisku, na przykad pojedynczego
serwera przyczonego do Internetu poczeniem DSL lub kablowym.
Zagadnienia zwizane z zewntrznymi zaporami firewall bdziemy omawia
w rozdziale 16. i kolejnych.
Okno
pocze sieciowych
prezentuje wszystkie
przycza sieciowe
komputera
Pierwsze pole wyboru pozwala uaktywni zapor. Bezporednio po uaktywnieniu zapora nie
dopuszcza adnych pocze przychodzcych. Jest to rozwizanie idealne dla komputera domowego lub stacji roboczej. W przypadku serwera przyczonego do Internetu bdziemy zainteresowani zapewne umoliwieniem dostpu do serwera WWW lub poczty elektronicznej.
Okno
Ustawienia usugi
suy do doczania
lub modyfikowania
wpisw usug
rozpoznawanych
przez ICF
Okno ustawie usugi
uywane
do zdefiniowania
w konfiguracji zapory
pocze
przychodzcych
z usug Microsoft
SQL Server
Pierwsza z opcji rejestrowania dotyczy podejmowanych przez uytkownikw z zewntrz i zablokowanych przez zapor prb dostpu do usug komputera. Druga zapewnia
ledzenie pocze wychodzcych.
W dolnej czci okna dostpny jest przycisk Przegldaj (Browse), umoliwiajcy okrelenie pooenia pliku dziennika zapory oraz pole limitu rozmiaru. Po jego osigniciu
najstarsze wpisy w dzienniku s zastpowane nowymi. Warto zwrci uwag, e funkcje
rejestrowania generuj stosunkowo due iloci danych, zwaszcza w stacjach roboczych
z wczon funkcj rejestrowania udanych pocze wychodzcych.
Ostatni kart w oknie ustawie zaawansowanych jest karta ICMP przedstawiona na rysunku 6.38. ICMP to prosty protok uywany do przesyania stosunkowo niewielkich
iloci danych zwizanych z zarzdzaniem prac stosu TCP/IP. Przykadem wykorzystania
procedury wymiany komunikatw ICMP moe by praca narzdzia
.
Standardowa konfiguracja zapory ICF uniemoliwia innym uytkownikom sieci Internet
wywoywanie komputera poleceniem
w celu potwierdzenia jego aktywnoci. Jest
to prosta konsekwencja zasady blokowania wszystkich pakietw przychodzcych, ktra
obejmuje rwnie dania ICMP
. Prost metod umoliwienia komputerowi odbierania i odpowiadania na dania
jest wczenie opcji Zezwalaj na przychodzce
dania echa (Allow incoming echo request) na karcie ICMP.
Na karcie ICMP mona znale take opcje zwizane z mniej znanymi typami komunikatw ICMP. Lista da przychodzcych (ang. incoming) obejmuje stosunkowo nietypowe dania, jak zapytania o mask podsieci lub router domylny. Potrzeba zezwolenia
na ich odbieranie raczej nie powinna si pojawi, zwaszcza w niewielkiej sieci czy w samodzielnym komputerze.
"
Karta ICMP
okna ustawie
zaawansowanych
suy
do konfigurowania
ogranicze wymiany
pakierw ICMP,
zarwno
przychodzcych,
jak i wychodzcych
dania wychodzce (ang. outgoing) rwnie nie s w zwykych konfiguracjach wymagane, zwaszcza gdy zapora chroni jeden komputer. Mog by potrzebne, gdy stosowany
jest routing do sieci lokalnej.
Ostania opcja na licie dotyczy przekazywania pakietw ICMP . S one przesyane, gdy zmienia si tabela tras routera zdalnego. Mog jednak doprowadzi do znieksztacenia zawartoci tabeli tras komputera i zakce typu DoS. Nie powinny by odbierane
ani przez komputer zapory, ani przez komputery w sieci wewntrznej.
Po zakoczeniu konfigurowania zapory ICF klikamy OK, aby zamkn okno ustawie
zaawansowanych. Kolejnym klikniciem OK zamykamy okno waciwoci poczenia
sieciowego, co ostatecznie uaktywnia zapor.
#
W rozdziale przedstawilimy zwize omwienie zagadnienia zabezpiecze systemu Windows Server 2003. Przedstawilimy kolejne rodki zapewniajce ochron komputera:
konfiguracj sprztow, waciw instalacj systemu operacyjnego, uprawnienia dostpu
do plikw, mechanizmy rejestrowania oraz zasady grup. Odpowiednie poczenie tych
rodkw pozwala osign maksymalnie zabezpieczon konfiguracj komputera. Istotne
jest, aby nie pomin istotnych elementw, takich jak system plikw NTFS, jedyny,
ktry powinien by stosowany do formatowania partycji systemowej Windows.