Использование Group Policy для усиления систем XP новым пакетом обновлений
Пакет Windows XP Service Pack 2 (SP2) с брандмауэром Windows Firewall может стать спасительным средством для администраторов, которые изо всех сил пытаются защитить клиентские машины XP (и остальные компоненты сети) от посягательств. Однако перспектива развертывания пакета и настройки конфигурации брандмауэра на всех клиентах не вызывает энтузиазма. Не стоит отчаиваться: с помощью групповой политики можно централизованно развернуть XP SP2 и настроить Windows Firewall. Окончательная версия SP2, скорее всего, будет несколько отличаться от предварительной, которая использовалась при подготовке данной статьи, поэтому процедура может немного измениться.
Развертывание
Во все пакеты исправлений для Windows 2000 и более поздних версий входит файл Windows Installer (.msi), с помощью которого можно автоматически отправлять пакет на соответствующие компьютеры с помощью функции Software Installation групповой политики. Первый шаг к авторазвертыванию XP SP2 — создать общедоступную папку (с подходящим названием, например, xpsp2), в которой компьютеры смогут обращаться к файлу .msi и двум другим необходимым для SP2 файлам. Членам группы Administrators следует предоставить разрешение Full Control в данной папке, а группе Domain Computers — разрешение Read. Затем следует загрузить xpsp2.exe с Web-узла Microsoft (или найти его на компакт-диске XP SP2) и запустить файл с ключом /x, чтобы извлечь пакет обновлений в общую папку.
После этого можно подготовить объект групповой политики Group Policy Object (GPO), который устанавливает SP2 на всех компьютерах XP. Но как ограничить область действия GPO компьютерами XP и предотвратить попытки установки SP2 на Windows Server 2003 и Windows 2000? Область действия GPO нельзя ограничить с помощью фильтра Windows Management Instrumentation (WMI), так как компьютеры Windows 2000 не распознают фильтры WMI, связанные с GPO (и поэтому применяют GPO так, как будто фильтры отсутствуют). Ограничить область действия GPO можно с помощью организационных единиц (OU), но для этого необходима OU, в которую входят все рабочие станции XP, и только они. Если структура OU иная, необходимо сформировать группу Active Directory (AD) — например, с названием XP Workstations — и сделать все компьютеры с XP членами этой группы.
Далее следует создать новый объект GPO в корневом каталоге домена и дать ему имя, например XP Workstation Computer Configuration. Затем нужно открыть диалоговое окно Properties объекта GPO и перейти к вкладке Security. Из списка ACL объекта GPO требуется удалить запись Everyone и добавить запись для группы XP Workstations, а затем предоставить этой группе разрешения Read и Apply Group Policy. После этого, даже если GPO связан с корневым каталогом домена, только компьютеры, которые являются членами группы XP Workstations, смогут применять GPO и устанавливать SP2.
Чтобы настроить конфигурацию GPO с именем XP Workstation Computer Configuration для установки SP2, необходимо отредактировать GPO. В редакторе Group Policy Object Editor следует щелкнуть правой кнопкой мыши на объекте Computer ConfigurationSoftware SettingsSoftware Installation и выбрать из контекстного меню пункты New, Package. В текстовом поле File name диалогового окна Open следует ввести путь Universal Naming Convention (UNC) к общедоступной установочной папке и щелкнуть на кнопке Open. На экране появится вопрос о методе развертывания; следует выбрать режим Assigned и нажать OK. В правой панели Group Policy Object Editor появится объект Windows XP Service Pack 2 (1033) (экран 1).
Экран 1. Установка XP SP2 |
Однако все это пока не приведет к установке SP2 на машинах XP. По умолчанию XP позволяет пользователям регистрироваться даже до того, как им будет предоставлен полный доступ к сети. В результате Group Policy не может автоматически обработать политики Software Installation, добавленные в GPO. В документации Microsoft указывается, что установка будет выполнена при следующей регистрации в сети, но по своему опыту могу сказать, что политики Software Installation, заданные в узле Computer Configuration объекта GPO, не применяются, если не активизирована политика Always wait for the network at computer startup and logon в объекте Computer ConfigurationAdministrative TemplatesSystemLogon. Необходимо активизировать эту политику для GPO. После этого SP2 устанавливается при следующей перезагрузке системы XP.
Пользователи не смогут зарегистрироваться до тех пор, пока не будет завершен процесс установки SP2, который занимает до 20 минут. Поэтому я рекомендую заранее предупредить сотрудников предприятия о развертывании SP2. Можно даже попросить пользователей перезапустить компьютеры перед уходом с работы, чтобы установить SP2 до начала следующего рабочего дня. Не следует опасаться снижения скорости подключений пользователей к сети предприятия или VPN, пока Windows будет загружать установочные файлы SP2 через медленное соединение. По умолчанию Windows автоматически распознает медленные линии связи и откладывает применение некоторых разделов Group Policy, в том числе Software Installation. Управлять режимом загрузки можно с помощью политик в принадлежащем GPO объекте Computer ConfigurationAdministrative TemplatesSystemGroup Policy.
Защита
После того как администратор установит SP2 на всех компьютерах XP и освоит новый брандмауэр Windows Firewall, работая с ним на автономном испытательном сервере, можно приступить к централизованной настройке конфигурации Windows Firewall на машинах XP SP2. Для этого необходимо открыть оснастку Group Policy консоли управления Microsoft Management Console (MMC) на одном из компьютеров XP SP2, чтобы отредактировать параметры Group Policy в объекте Computer ConfigurationAdministrative TemplatesNetworkNetwork ConnectionsWindows Firewall, принадлежащем GPO с именем XP Workstation Computer Configuration. Для редактирования GPO на системе должен быть развернут adminpak.msi; подробности описаны во врезке «Редактирование GPO из системы Windows XP». Не следует беспокоиться, если этой папки не видно, когда консоль Group Policy открывается в первый раз: это значит лишь, что новые параметры Windows Firewall пока не внесены в GPO. Windows автоматически обновит GPO и предоставит параметры, когда администратор начнет редактировать GPO.
В консоли Group Policy следует перейти к объекту GPO с именем Computer ConfigurationAdministrative TemplatesNetworkNetwork ConnectionsWindows Firewall. Этот объект содержит две подпапки: одну для профиля домена брандмауэра и одну — для стандартного профиля. Windows Firewall автоматически определяет, подключена ли машина к локальной сети, и если это так, то применяет параметры, заданные в профиле домена. В противном случае Windows Firewall использует параметры, назначенные в стандартном профиле. Наличие двух профилей позволяет применить более строгие политики Windows Firewall для пользователей, работающих вне доверенной внутренней сети. Однако два профиля можно использовать, только если рабочая станция XP входит в состав домена AD, а настроить профили можно только через Group Policy. Далее в статье будет показано, как настроить конфигурацию доменного профиля; следует помнить, что те же параметры содержатся в стандартном профиле. Многие из этих параметров соответствуют ручным параметрам, описанным в статье «Windows Firewall: укрепление защиты», опубликованной в предыдущем номере журнала.
Выбрав папку Domain Profile, нужно дважды щелкнуть на объекте Operational Mode в правой панели и открыть диалоговое окно Properties параметра. Параметру политики можно присвоить значение Not Configured, Enabled или Disabled. Следует выбрать режим Enabled; это позволит настроить Windows Firewall на работу в режиме Off или Enabled. Щелкните на кнопке OK, чтобы закрыть окно настройки. Если выбран режим Not Configured или Disabled (вместо Enabled), то конечные пользователи смогут настраивать Windows Firewall с помощью локальных параметров. Следует помнить, что это справедливо для всех описанных выше параметров: блокирование или отказ от настройки параметра позволяет пользователю изменить параметр локально (если следующему описанному в данной статье параметру, Allow User Preference/Group Policy Settings Merge, присвоено значение Enabled или Not Configured).
Далее требуется открыть окно Properties параметра Allow User Preference/Group Policy Settings Merge. Если эту политику не настраивать (Not Configured), то Windows будет игнорировать назначаемые пользователями параметры Windows Firewall. Если выбрать режим Disabled, то Windows полностью блокирует параметры Windows Firewall для конечных пользователей. В режиме Enabled система объединяет любые разрешения, назначаемые конечными пользователями, с параметрами, заданными групповой политикой. Таким образом, в результате активизации политики Allow User Preference/Group Policy Settings Merge пользователи смогут запустить утилиту Windows Firewall панели управления и самостоятельно назначить исключения для брандмауэра, открывая порты и разрешая выполнение программ. Это не самый лучший подход. Следует выбрать режим Disabled, чтобы запретить пользователям доступ к параметрам Windows Firewall и тем самым предотвратить появление уязвимых мест на рабочих станциях (и в сети).
Откройте окно Properties для параметра Define Allowed Programs, который определяет программы на компьютерах XP SP2, обращения к которым допускаются брандмауэром. Следует выбрать режим Enabled и щелкнуть на кнопке Show, чтобы вывести на экран список разрешенных программ. Чтобы внести программу в список, необходимо ввести путь и несколько других значений в форме executablepath:scope:enabled/disabled:friendly name, где scope может быть LocalSubnet или универсальным символом (*) для всех IP-адресов. Например, запись, показанная на экране 2, определяет Windows Messenger как программу, трафик к которой разрешен из всех IP-адресов. Следует добавить или удалить необходимые программы, затем щелкнуть на кнопке OK, чтобы закрыть диалоговое окно Show Contents, и щелкнуть на кнопке OK, чтобы закрыть диалоговое окно Define Allowed Programs Properties.
Экран 2. Задание программ, к которым разрешены подключения |
Затем нужно открыть Properties для параметра Define Custom Open Ports и выбрать режим Enabled, чтобы определить авторизованные порты для входящих соединений. Для авторизации порта необходимо ввести его в формате, похожем на используемый при выборе программ. Для портов формат имеет вид port number:TCP/UDP:scope:enabled/disabled:friendly name, где scope может быть LocalSubnet или универсальным символом (*). Например, 80:TCP:LocalSubnet:enabled: HTTP позволяет компьютерам локальной сети подключаться к Microsoft IIS на локальной рабочей станции.
Может возникнуть вопрос, каково назначение режима блокировки при определении программ и указании портов в параметрах Define Allowed Programs и Define Custom Open Ports? В документации Microsoft говорится, что любое активизирующее правило для данного порта или программы отменяет любое блокирующее правило для того же порта или программы. Однако Windows Firewall по умолчанию закрывает все порты, поэтому блокирующее правило для закрытия системы применять бессмысленно. Зато блокирующие правила позволяют заранее внести невыбранные исключения в список Programs and Services утилиты Windows Firewall в панели управления. Это облегчает временную активизацию определенных программ и портов, — например, если нескольким специалистам, работающим над проектом в клиентском офисе, необходимо организовать одноранговый обмен файлами между собой.
Параметр Allow Dynamically Assigned Ports for RPC and DCOM позволяет управлять доступом других пользователей внутренней сети или Internet к рабочей станции через RPC (Remote Procedure Call — вызов удаленных процедур) или DCOM (Distributed COM — распределенная модель составных объектов). Этот тип трафика охватывает WMI, удаленный доступ к большинству ресурсов в оснастке Computer Management консоли MMC и множество других процессов. Особенно много проблем с RPC и DCOM возникает в брандмауэрах, так как в обоих случаях используются динамически назначаемые порты. Следовательно, Windows Firewall по умолчанию блокирует доступ входящих запросов RPC и DCOM, за исключением запросов к выполняемым файлам из списка разрешенных программ.
С помощью параметра Allow Dynamically Assigned Ports for RPC and DCOM можно указать, каким образом программы, не определенные в качестве исключений, принимают входящие соединения RPC и DCOM. Если выбран режим Enabled, то необходимо присвоить параметру доступности порта RPC значение None, Entire Network или Local Subnet. Если выбрано значение None, то Windows Firewall разрешает входящие запросы только к программам из списка исключений. Если выбрать Entire Network или Local Subnet, то Windows Firewall будет принимать входящие запросы RPC и DCOM из всей сети или локальной подсети соответственно.
Чтобы задать параметры, которые необходимо активизировать на рабочих станциях XP, требуются тщательный анализ и тестирование. Я рекомендую запретить доступ RPC и DCOM в тестовой сети, а затем полностью протестировать функции управления системой (например, Microsoft Systems Management Server, SMS) и функции удаленного доступа (например, функции консоли Computer Management, сценарии WMI), которые используются для администрирования рабочих станций через сеть. Если установить связь не удается, то нужно определить имя соответствующей серверной программы и настроить эту программу на принятие входящих запросов RPC.
Параметр Allow File and Printer Sharing запускает политику, ускоряющую работу администратора. С ее помощью можно активизировать все порты, необходимые для совместного использования файлов, — в частности, UDP-порты 137, 138 и 139 и TCP-порты 139 и 445. Чтобы активизировать данную политику, необходимо установить режим доступности Local subnet only или Global visibility.
Политика Allow ICMP Settings позволяет управлять обработкой сообщений ICMP (Internet Control Message Protocol — протокол управляющих сообщений Internet) в Windows Firewall. Активизируя эту политику, необходимо разрешить определенные типы сообщений ICMP.
Параметр Allow Remote Assistance Support — еще одна политика, ускоряющая работу администратора. Она определяет, будут ли разрешены незатребованные запросы Remote Assistance. Активизация TCP-порта 135 для всей сети и добавление helpsvc.exe к списку разрешенных программ оказывают такое же действие, как этот параметр.
Параметр Allow Universal Plug and Play задействует политику, ускоряющую работу администратора. Она определяет, разрешит ли Windows Firewall работу протокола Universal Plug and Play (UPnP) на системах XP SP2. Если параметр активизирован, то Windows Firewall открывает TCP-порты 1900 и 2869 и UDP-порт 2869 для всей сети.
Надежное убежище
Новые функции безопасности XP SP2 очень хороши, особенно Windows Firewall. Администратору следует тщательно выбирать порты и программы, которые могут принимать входящие соединения, когда рабочая станция подключена к внутренней сети, и использовать режим LocalSubnet при каждой возможности. Единственный существенный недостаток Windows Firewall — отсутствие режима, подобного LocalSubnet, который позволял бы задавать несколько подсетей; с его помощью брандмауэр мог бы распознавать внутренние и внешние соединения в крупных компаниях. При настройке стандартного профиля следует различать порты и службы, которые должны быть открытыми, когда рабочие станции соединены с intranet и когда компьютеры связаны с какой-нибудь другой сетью. Процедуру развертывания SP2 с применением Group Policy необходимо согласовать с пользователями, чтобы у них не возникало проблем при перезагрузке и запуске процесса установки SP2.
После того как SP2 будет развернут на всех рабочих станциях и компьютеры будут перезагружены, я рекомендую задействовать базовый анализатор Microsoft Baseline Security Analyzer (MBSA) для поиска компьютеров, на которых по каким-то причинам отсутствует SP2. Можно протестировать несколько машин с помощью сканера портов, чтобы убедиться в корректности параметров Group Policy. И как всегда, следует тщательно проанализировать и протестировать возможные последствия установки SP2 перед развертыванием пакета. Эти меры позволят превратить сеть в неприступную крепость.
Рэнди Франклин Смит — редактор Windows & .NET Magazine и президент компании Monterey Technology Group, которая занимается обучением и консалтингом в области защиты Windows NT. Связаться с ним можно по адресу: rsmith@montereytechgroup.com
Редактирование GPO из системы Windows XP
Для редактирования объекта групповой политики в AD с компьютера Windows XP необходима установка adminpak.msi, которая содержит оснастку Active Directory Users and Computers для Microsoft Management Console (MMC). Необходимо установить adminpak.msi, который хранится в каталоге Windows Server 2003 или Windows 2000 (либо на установочном компакт-диске). После установки adminpak.msi следует запустить mmc.exe с командной строки. После загрузки пустой консоли MMC требуется выбрать File, Add/Remove snap-in. Нажмите Add, укажите Active Directory Users and Computers и снова нажмите Add. Затем нужно щелкнуть Close и в конце OK.