Внесение изменений с помощью сценариев.
Операционные системы семейства Windows NT — Windows XP, Windows 2000, NT 4.0 и NT 3.x, как и Novell NetWare и разновидности Unix, надежно защищены тысячами «блокировок» — механизмов операционной системы, с помощью которых администратор может обеспечить определенный уровень безопасности, указав, что только пользователь X имеет право выполнить действие Y над объектом Z. Такие блокировки имеются как в NT, так и в NetWare, а разница в том, что в NetWare они по умолчанию активизированы, и администратор должен отменить некоторые из них по своему выбору. Это не относится к системе Windows Server 2003, в которой реализован подход NetWare. В Windows 2000 блокированных по умолчанию функций больше, чем в NT 4.0, а стандартный режим XP более строгий, чем Windows 2000 Professional.У администраторов Windows Server 2003, XP и Windows 2000 возникает дилемма: надежная защита рабочих станций и серверов с помощью блокировок теоретически возможна, но практическая реализация необходимых мер требует слишком много времени. XP — отличная операционная система, но если для защиты каждого настольного компьютера приходится подходить к нему и настраивать несколько десятков параметров и полномочий, то развертывание XP или любой другой версии NT превращается в длительную дорогостоящую процедуру. Нужен такой сценарий настройки, при котором автоматически изменяется весь набор параметров системы безопасности в соответствии с потребностями конкретной организации.
Составить такой сценарий можно. Шаблоны безопасности представляют собой текстовые ASCII-файлы, с помощью которых задаются локальные полномочия и параметры безопасности, членство в локальных группах, разрешения для доступа к службам, файлам, каталогам и разделам реестра. Шаблон безопасности можно применить единственной командой, в результате выполнения которой все параметры вступят в силу. Таким образом, можно моментально выполнить работу, для которой требовался целый час манипуляций с реестром, оснасткой Computer Management консоли Microsoft Management Console (MMC) и другими инструментами.
Шаблоны безопасности — не нововведение Windows Server 2003 или XP; впервые они появились в пакете обновлений для NT 4.0 Service Pack 4 (SP4). Возможности шаблонов необходимо знать каждому администратору. Все параметры, настраиваемые с помощью шаблонов, можно изменить и каким-нибудь другим способом, но шаблоны позволяют составлять сценарии, чтобы автоматически вносить изменения и без труда проверять системы на соответствие требованиям шаблона. Те же изменения можно внести вручную через графический интерфейс, но это длительная процедура. Шаблоны — удобное средство решения перечисленных ниже пяти задач обеспечения безопасности.
Администрирование групп
С помощью шаблонов можно управлять членством в локальных группах. Если на настольных компьютерах установлены различные версии NT, то администратору требуется определить уровень полномочий пользователей настольных машин. В одних компаниях любой желающий может стать локальным администратором; в других — пользователям предоставляется статус Power User, а в третьих — только статус User.Если полномочия пользователей настольных компьютеров сильно ограничены, можно быть уверенным, что на каком-то этапе администратор будет вынужден отменить эти ограничения, по крайней мере, временно. Предположим, что на рабочих станциях задан режим, в соответствии с которым локальная группа Administrators ограничивается лишь локальной учетной записью Administrator и группой Domain Admins. Что будет, если техник «временно» повысит учетную запись пользователя до группы Administrators с намерением впоследствии отменить это действие, но забудет восстановить прежние полномочия? Если был применен шаблон безопасности, который позволяет состоять в локальной группе Administrators только учетным записям Administrator и Domain Admins, то повторное использование шаблона удалит из группы всех лишних членов.
Шаблоны автоматизируют процесс назначения параметров безопасности, которые можно было бы задать вручную. Но шаблон — не ангел-хранитель, который постоянно следит за системой и применяет нужные параметры. Единственный способ гарантировать, что параметры остаются в силе, — регулярно применять шаблон вручную или создать групповую политику, использующую шаблон. Групповые политики применяются повторно примерно через каждые 90 мин. С помощью групповых политик можно решать те же задачи, что и с использованием шаблонов безопасности, а возможность автоматического повторного применения заставляет обратить на групповые политики особое внимание. Но использовать их можно только при наличии в домене Active Directory (AD). Шаблоны же работают как в домене AD, так и без него.
Настройка полномочий NTFS
Благодаря шаблонам безопасности можно настроить полномочия NTFS. Предположим, что нужно назначить на каталог C:stuff разрешения для System/Full Control и Administrators/Full Control и отказать в доступе всем остальным пользователям. Эти разрешения и ограничения можно установить с помощью шаблона. Кроме того, шаблоны часто применяются на многих компьютерах (если используются групповые политики), поэтому набор разрешений NTFS можно распространить на весь домен. Большинство администраторов NT с ужасом думают о стандартных разрешениях для доступа к файлам и каталогам (Everyone/Full Control) и предпочитают ужесточать ACL. Но при этом легко допустить ошибку и ограничить ACL до такой степени, что никто не сможет работать с компьютером, поэтому, чтобы найти баланс разрешений и ограничений, следует провести ряд экспериментов. После того как нужный баланс будет найден, его можно реализовать в шаблоне и применить этот шаблон на одной или на всех машинах.Запуск и остановка служб
Администратор может включать и отключать службы и решать, кто имеет право запускать и блокировать их. Как блокировать Microsoft IIS на всех компьютерах, за исключением нескольких? Сделать это нелегко, так как IIS по умолчанию устанавливается на каждом сервере Windows 2000 и NT 4.0. К счастью, в Windows Server 2003 столь неудобное условие не действует. Вероятно, IIS — не единственная стандартная служба, от которой администраторы хотели бы избавиться. Среди потенциальных жертв — службы Server, Computer Browser, Index и Wireless Zero Configuration, но обходить все компьютеры, чтобы блокировать службы, — слишком утомительное занятие. К счастью, эту работу можно упростить благодаря шаблонам.С помощью шаблонов безопасности можно отключить службу (в процессе работы) и даже блокировать ее (при запуске компьютера). Когда я начал работать с шаблонами, меня удивило, что благодаря шаблонам можно определить, кто имеет полномочия для запуска и отключения служб. Я не знал, что службы располагают ассоциированными списками управления доступом (ACL), которые можно изменять с помощью шаблонов. Например, если нужно предоставить пользователю право запускать и останавливать службу Server, не назначая его администратором, то сделать это можно, используя шаблон.
Настройка полномочий для работы с реестром
С помощью шаблонов безопасности можно изменить полномочия доступа к реестру. В реестре содержится множество данных, которые пользователи могут прочитать, но не могут изменить. Например, после перевода рабочих станций AutoCAD с NT 4.0 на Windows 2000 неожиданно может оказаться, что для работы с AutoCAD пользователи должны обладать правами локального администратора. Какие изменения в реестре вызвали такую ситуацию?Грамотно составленные приложения хранят параметры программы в двух разделах реестра: HKEY_LOCAL_MACHINESOFTWARE и HKEY_CURRENT_USERSoftware. Сотрудник с правами администратора должен выполнить начальную установку, настроить большинство параметров и сохранить их в HKEY_LOCAL_MACHINESOFTWARE. Но пользователи должны иметь возможность настраивать некоторые аспекты своих приложений, и приложениям необходимо где-то сохранить параметры установки пользователей. Если приложения хранят все параметры в HKEY_LOCAL_MACHINESOFTWARE, то пользователям придется обращаться к администратору всякий раз, когда нужно изменить, например, английские единицы измерения на метрические. Грамотно составленные приложения хранят незначительные параметры — пользовательские предпочтения — в подразделе HKEY_CURRENT_USERSoftware, поэтому пользователям необходимо предоставить право записи в этот подраздел. Приложения должны иметь право читать как главные параметры в HKEY_LOCAL_MACHINESOFTWARE, так и вспомогательные в HKEY_CURRENT_USERSoftware. Пользователи, не имеющие прав администратора, смогут по крайней мере читать HKEY_LOCAL_MACHINESOFTWARE, а также читать и записывать в HKEY_CURRENT_USERSoftware.
К сожалению, многие разработчики программ не видят разницы между HKEY_LOCAL_MACHINESOFTWARE и HKEY_CURRENT_USERSoftware и сохраняют все параметры в HKEY_LOCAL_MACHINESOFTWARE. Такой подход не вызывает проблем в NT 4.0, так как в данной операционной системе каждому пользователю по умолчанию предоставляется право записи в HKEY_LOCAL_MACHINE. В этом случае никто не жалуется, что AutoCAD записывает все параметры, в том числе пользовательские предпочтения, в HKEY_LOCAL_MACHINESOFTWARE. Постоянные пользователи могут запустить AutoCAD в среде NT 4.0, так как списки управления доступом ACL в HKEY_LOCAL_MACHINE не накладывают жестких ограничений. Но в Windows 2000 появился новый набор стандартных ACL, которые позволяют пользователям, не имеющим прав администратора, лишь читать HKEY_LOCAL_MACHINE. Таким образом, AutoCAD будет работать, только если на машине зарегистрировался локальный администратор.
Какой может быть выход из этой ситуации? Следует приобрести новую версию программы или вернуть ACL реестра XP или Windows 2000 к состоянию NT 4.0. Эту операцию можно выполнить вручную с помощью редактора реестра (regedit в XP или Windows Server 2003 и regedt32 в Windows 2000) либо воспользоваться шаблоном. Администратору даже не придется создавать шаблон, так как разработчики Microsoft уже позаботились об этом: winntsecurity emplatescompatws.inf справится с такой задачей. Еще один шаблон Microsoft, winntsecurity emplatesasicws.inf, приводит полномочия к стандартному уровню Windows 2000. Управление параметрами локальной политики безопасности
Каждая машина располагает десятками локальных параметров безопасности, например, показывающих имя последнего зарегистрированного пользователя или частоту изменения паролей локально хранящихся учетных записей. В NT 4.0 для настройки этих параметров используется локальная версия User Manager, lusrmgr.exe. В Windows 2000 следует задействовать оснастку Local Security Policy: secpol.msc.
Для изменения параметров необходимо выполнить следующие действия. Сначала нужно запустить Local Security Policy (находится в Administrative Tools) или просто щелкнуть на Start, Run; ввести в диалоговое окно имя secpol.msc и нажать Enter. С помощью Local Security Policy можно включать или отключать функцию аудита, управлять политиками паролей, назначать или ограничивать многочисленные полномочия пользователей XP и Windows 2000, управлять IPSec. На самом деле, Local Security Policy — едва ли не единственный инструмент управления IPSec, обладающий полезным механизмом обеспечения безопасности соединений в XP и Windows 2000.
Я надеюсь, читатели найдут подходящее применение грамотно составленному шаблону; все задачи, перечисленные в данной статье, можно решить с помощью одного-единственного файла.
Маарк Минаси — редактоp Windows NT Magazine MCSE и автор книги «Mastering Windows NT Server 4.0» (изд-во Sybex). С ним можно связаться по адресу: mark@minasi.com.