Удобный способ защиты серверов на базе ролей
Любой администратор нуждается в простом способе защиты серверов в соответствии с их ролями, который избавил бы его от необходимости изучать руководства и документацию Microsoft в поисках оптимальной настройки системы безопасности. Новый мастер Security Configuration Wizard (SCW), который поставляется в составе Windows Server 2003 Service Pack 1 (SP1), поможет быстро и без труда сократить число уязвимых мест серверов Windows 2003 SP1. Основная цель SCW — определить меры безопасности в соответствии с исполняемой сервером ролью или ролями (например, Microsoft SQL Server, Exchange Server, Certificate Server, контроллер домена — DC). С помощью SCW можно не только настроить систему компьютеров, выполняющих единственную роль, но и определять зависимости для систем, на которые возложено несколько ролей в сети.
После запуска SCW нужно ответить на несколько вопросов, указав функциональные требования к целевому серверу (например, система, на которой администратор создает, развертывает или отменяет политику безопасности). В зависимости от ответов на вопросы и по результатам анализа текущей конфигурации целевого сервера, SCW позволяет составить политику безопасности, которая затем применяется (через графический интерфейс или командную строку, либо через Group Policy) для защиты целевого компьютера. С помощью SCW также можно отменить изменения, возвратив целевую систему в первоначальное состояние. Данная статья написана на основе Windows 2003 SP1 Release Candidate — RC, поэтому некоторые детали окончательной версии SCW могут отличаться.
Установка SCW
SCW можно инсталлировать только на системах Windows 2003 SP1. После установки Windows 2003 SP1 или модернизации к SP1, SCW доступен через утилиту Add or Remove Programs в панели управления. Чтобы запустить SCW, нужно зарегистрироваться в качестве члена локальной группы Administrators на целевом компьютере. Затем требуется открыть утилиту Add or Remove Programs, щелкнуть на вкладке Add/Remove Windows Components и вызвать Windows Components Wizard. На странице Windows Components (экран 1) следует установить флажок Security Configuration Wizard (в списке Components) и нажать Next. После завершения установки нужно закрыть утилиту, щелкнув на кнопке Finish.
Экран 1. Установка SCW |
SCW разворачиваются как с графическим интерфейсом, так и с командной строкой. Версия с графическим интерфейсом (scw.exe) находится в папке Administrative Tools; версия с командной строкой (scwcmd.exe) хранится в папке \%SystemRoot%system32.
SCW также пополняет XML-базу данных параметров безопасности, в которой хранится ролевая информация из рекомендаций по оптимальным методам защиты, руководств, описаний архитектуры и другой литературы и документов Microsoft по проблемам безопасности. В базе знаний хранятся готовые шаблоны настроек системы безопасности для более чем 50 ролей. Вместо стандартного локального экземпляра базы знаний можно сохранить ее централизованную копию на сетевом диске. Для этого следует указать местонахождение централизованной базы данных, запустив SCW, и сделать ссылку на общую базу знаний, как показано в следующем примере.
scw /kb serverscwkbshare
Возможности SCW
При использовании SCW для подготовки политики безопасности мастер выполняет несколько действий для укрепления защиты целевого сервера, в частности блокирует необязательные службы и Web-расширения Microsoft IIS, закрывает определенные порты и использует IP Security (IPsec) для защиты открытых портов, позволяет настроить параметры аудита, импортировать шаблоны безопасности Windows и защитить пересылки по NT LAN Manager (NTLM), Lightweight Directory Access Protocol (LDAP) и Server Message Block (SMB).
Блокирование необязательных служб и Web-расширений Microsoft IIS. SCW блокирует службы, которые не требуются для роли или ролей, исполняемых целевым компьютером. Если на целевой системе есть IIS, то SCW блокирует и все необязательные Web-расширения. Например, если роль, назначенная целевой системе, не требует Active Server Pages (ASP), то SCW блокирует ASP.
Блокирование или защита портов. После того как администратор определяет необходимые службы целевой системы, SCW блокирует все порты, не используемые этими службами, комбинируя Windows Firewall и Ipsec. Если целевой компьютер — многодомный, то мастер может ограничить службы конкретными интерфейсами. С помощью SCW можно задействовать Ipsec, чтобы задать ограничения для компьютеров, которым разрешено устанавливать соединение с открытыми портами.
Настройка параметров аудита. SCW позволяет определить цели аудита (например, обнаружение попыток несанкционированного доступа и проведение следственных процедур) для целевой системы.
Импорт существующих шаблонов безопасности Windows. SCW обеспечивает импорт существующих шаблонов безопасности Windows, которые могут содержать определения и параметры для ролей.
Защита пересылок NTLM, LDAP и SMB. SCW задает последовательность вопросов для идентификации клиентов, которые будут подключаться к целевому компьютеру, и защищает пересылки NTLM, LDAP и SMB в соответствии с ответами.
В частности, SCW:
- отменяет аутентификацию NTLM, если в сети нет клиентов Windows 9x;
- организует регистрацию LDAP;
- активизирует регистрацию SMB;
- активизирует файловую систему Common Internet File System (CIFS), которая устанавливает соединение с TCP-портом 445 на сервере, чтобы клиентские компьютеры Windows 2003, Windows XP и Windows 2000 могли подключаться к общим файловым ресурсам;
- отменяет общий доступ к файлам через TCP-порт 139, если в сети нет клиентов Windows 9x.
Помимо использования SCW для подготовки политик безопасности, с помощью мастера можно выполнить несколько задач из области настройки и анализа. Эти операции необязательно выполнять на локальном компьютере; в качестве целевой можно выбрать и удаленную систему, необходимо только быть членом локальной группы Administrators на целевом компьютере. С помощью мастера можно сравнить настройки безопасности целевого компьютера с заданной политикой безопасности, чтобы убедиться в соответствии выбранного компьютера этой политике. Версия SCW, запускаемая из командной строки, scwcmd.exe, преобразует политики безопасности в шаблоны, которые можно импортировать в Group Policy Object (GPO) и затем применять объект к учетным записям компьютеров. Scwcmd.exe используется, в частности, для настройки или анализа нескольких целевых компьютеров. SCW поддерживает применение языка XSL (Extensible Style Language) для преобразования XML-определений, политик безопасности и результатов анализа мастера в документы HTML (для удобства просмотра). Если сеть или политики в компании меняются, то с помощью SCW ранее созданные политики можно изменить.
Развертывание политики безопасности
Следующий шаг после подготовки политики безопасности — развернуть ее на одном или нескольких компьютерах, выполняющих данную серверную роль. Процедура развертывания изменяется в зависимости от используемого метода: собственно SCW, командная строка или Group Policy.
SCW. Самый простой способ развернуть одну политику безопасности на одном локальном или удаленном сервере — из графического интерфейса SCW. Следует зарегистрироваться на компьютере, на котором установлен SCW, от имени члена локальной группы Administrators (если политика будет применяться на локальном компьютере) или в качестве члена локальной группы Administrators целевого компьютера (если политика применяется к целевой системе).
Требуется открыть мастер Security Configuration Wizard в разделе Administrative Tools. На странице Welcome to the Security Configuration Wizard нужно щелкнуть на кнопке Next. На странице Configuration Action необходимо щелкнуть на кнопке Apply an existing security policy, а затем Browse. По умолчанию специальные политики безопасности хранятся в папке \%System-Root%securitymsscwpolicies. В диалоговом окне Open следует щелкнуть на XML-файле политики безопасности, которую нужно применить, а затем — на кнопке Open.
На странице Configuration Action следует нажать Next. На странице Select Server необходимо указать имя DNS, имя NetBIOS или IP-адрес целевого сервера, а затем щелкнуть на кнопке Next. На странице Apply Security Policy можно просмотреть параметры политики, щелкнув на View Security Policy. Убедившись в корректности файла политики безопасности, можно нажать Next.
На экране появляется страница Applying Security Policy, которая показывает последовательность применения политики безопасности. Когда в строке состояния появляется сообщение Application complete, нужно щелкнуть на кнопке Next. На странице Completing the Security Configuration Wizard следует нажать Finish.
Командная строка. Другой метод развертывания политики безопасности — с использованием версии SCW, запускаемой из командной строки. Преимущество командной строки заключается в возможности применения сценариев для развертывания на нескольких целевых компьютерах.
Чтобы развернуть политику безопасности из командной строки, необходимо применить команду scwcmd configure. Синтаксис команды следующий:
scwcmd configure [[[/m:machine
| /ou:ou] /p:policy] |
/i:machinelist] [/u:username]
[/t:threads]
где:
- /m:machine указывает имя DNS, имя NetBIOS или IP-адрес целевой системы;
- /ou:ou указывает полное доменное имя Fully Qualified Domain Name (FQDN) организационной единицы (OU) в Active Directory (AD); конфигурация всех систем в OU будет настроена с применением указанной политики;
- /p:policy указывает путь и имя XML-файла политики, который предстоит применить (используется совместно с ключами /m и /ou);
- /i:machinelist указывает путь и имя XML-файла, содержащего список систем вместе с предпочтительными файлами политики; файлы политики применяются к соответствующим системам;
- /u:username указывает альтернативные учетные данные для удаленной настройки (при удаленной настройке из командной строки по умолчанию выбирается текущее имя пользователя; если команда запускается по расписанию, то по умолчанию используются учетные данные, указанные для данной задачи);
- /t:threads указывает число одновременно выполняемых операций по настройке; значение по умолчанию — 40.
Например, чтобы применить политику безопасности с именем CertAuthorities.xml ко всем центрам сертификации Certification Authority (CA) в OU с именем OU=CAs,DC=Servers,DC=identit,DC=ca, использовалась следующая команда:
scwcmd configure /ou: CAs,
DC=Servers,DC=identit,DC=
ca /p:CertAuthorities.xml
Чтобы составить список систем для развертывания, был создан XML-файл, подобный приведенному в листинге 1. Развертывание систем, перечисленных в этом файле (названном ServerSystems.xml), осуществлялось с помощью следующей команды:
scwcmd configure
/i:ServerSystems.xml /t:100
Данная команда увеличивает число потоков до 100 в целях повышения скорости развертывания.
Group Policy. С помощью команды scwcmd transform можно преобразовать XML-файлы политики безопасности мастера в файлы шаблонов безопасности, развертываемые с использованием Group Policy. В ходе данной операции в AD создается GPO, в который копируются все результирующие файлы. Чтобы применить команду scwcmd transform, необходимо быть членом группы Domain Admins или иметь делегированное полномочие для создания объектов GPO, а на компьютере, на котором применяется команда, должна быть активизирована служба Windows Firewall. Чтобы создать GPO, нужно использовать синтаксис
scwcmd transform
[/p:policyfile.xml]
[/g:GPODisplayName]
где:
- /p:policyfile.xml указывает путь и имя XML-файла политики, которую предстоит трансформировать (этот параметр должен быть указан);
- /g:GPODisplayName указывает выводимое имя GPO (этот параметр должен быть указан).
Например, чтобы преобразовать политику CertAuthorities.xml в шаблон безопасности в GPO с именем PKI — Issuing CA Security Policy, использовалась следующая команда:
scwcmd transform
/p:CertAuthorities.xml
/g:»PKI — Issuing CA Security
Policy»
Параметры безопасности IIS невозможно развернуть с помощью Group Policy. Поэтому, если в политику безопасности входят параметры безопасности для IIS, необходимо применить эти параметры из графического интерфейса мастера или командной строки. Например, если необходимо блокировать определенные службы внутри IIS (например, WebDAV), это нужно делать из графического интерфейса SCW или команды scwcmd. Параметр безопасности IIS нельзя активизировать через Group Policy.
Созданный GPO можно привязать к OU, содержащей учетные записи компьютеров, к которым требуется применить политику безопасности. Для этого следует зарегистрироваться в качестве члена группы Domain Admins или от имени учетной записи, которой делегированы полномочия для привязки объектов GPO к OU. Следует открыть оснастку Active Directory Users and Computers консоли Microsoft Management Console (MMC). Консоль должна быть подключена к домену, в котором находятся учетные записи целевых компьютеров. Необходимо щелкнуть правой кнопкой мыши на имени домена, содержащем учетные записи целевых компьютеров, затем выбрать пункт Properties из контекстного меню. На вкладке Group Policy нужно щелкнуть на кнопке Add. В диалоговом окне Add a Group Policy Object Link следует перейти к вкладке All. Из раскрывающегося списка Look in требуется выбрать домен, в котором создан GPO (например, PKI — Issuing CA Security Policy) и щелкнуть на кнопке OK. В диалоговом окне OU Properties следует также нажать OK.
Отмена политики безопасности
В процессе применения политики безопасности в папке \%SystemRoot%securitymsscw ollback создается файл отмены политики. С помощью файла отмены целевой сервер можно вернуть в состояние, в котором он был до применения политики безопасности.
Чтобы вернуть целевой сервер в предыдущее состояние, нужно зарегистрироваться на компьютере, где установлен SCW, в качестве члена локальной группы Administrators. Компьютер должен иметь доступ к файлу отмены, созданному в ходе применения политики на целевом компьютере.
Затем следует открыть графический интерфейс SCW. На странице Welcome to the Security Configuration Wizard нужно щелкнуть на кнопке Next. На странице Configuration Action последовательно щелкнуть на Rollback the last applied security policy и на кнопке Next. На странице Select Server необходимо выбрать имя DNS, имя NetBIOS или IP-адрес целевого сервера. Параметры отмены можно увидеть на странице Rollback Security Configuration, щелкнув на кнопке View Rollback File. Убедившись, что применяется правильный файл, следует щелкнуть на кнопке Next.
На экране появляется страница Rolling Back Security Configuration, на которой отображается ход операции отмены внесенных изменений. После того, как в панели состояния появится сообщение Rollback complete, следует нажать Next. На странице Completing the Security Configuration Wizard нужно щелкнуть на кнопке Finish.
Оптимальные приемы работы с SCW
Экран 2. Структура OU, обеспечивающая применение ролей |
Чтобы полностью реализовать преимущества SCW, я рекомендую придерживаться следующих приемов работы с мастером. Во-первых, следует определить роли безопасности для сетевых серверов. Во-вторых, нужно создать структуру OU, например, такую, как показана на экране 2, чтобы обеспечить возможность применения ролей. Развертывая отдельные OU для каждой роли, можно применять политики безопасности через Group Policy. В-третьих, следует протестировать все политики безопасности в лаборатории, прежде чем применять их на производственных серверах. Если в лаборатории нет настоящего тестового леса, можно использовать виртуальную сетевую среду (с применением технологии виртуальных машин — VM). И наконец, следует преобразовать политики безопасности в объекты GPO для более согласованного применения политик.
В целом SCW представляет собой удобный инструмент, который упрощает защиту серверов Windows 2003 SP1 и явно заслуживает внимания администраторов.
Президент компании IdentIT Inc. и консультант по безопасности, специализирующийся на защите сетей и инфраструктурах с открытым ключом. Автор книги Microsoft Windows Server 2003 PKI and Certificate Security (издательство Microsoft Press). bkomar@identit.ca