Учетные записи, аутентификация и политика безопасности

Средства управления локальной безопасностью

Управление локальными параметрами и политикой не зависит от того, работаете вы с отдельным сервером или с сервером, являющимся частью домена интранет-сети или использующим технологию Active Directory. Локальные настройки и политика применяются к тому компьютеру, на котором они установлены. Даже если компьютер является частью домена, другим системам в домене неизвестны локальные настройки отдельных компьютеров и на них не распространяются.

Windows 2000 и IIS используют три основных набора инструментов для конфигурирования и управления локальными настройками безопасности сервера.

• Пакет средств Microsoft Management Console (MMC).
• IIS Lockdown (IIS Lock).
• Анализ и настройка безопасности MMC и шаблоны.

Набор средств MMC представляет собой пакет инструментов, предназначенных для конфигурирования безопасности и ее поддержки, включая настройку параметров аутентификации, создание пользователей и групп, управление ACL и т.д. Компоненты IIS Lockdown и Security Configuration and Analysis (Анализ и настройка безопасности) являются специализированными средствами. IIS Lock используется для автоматизации настройки параметров безопасности при начальной установке или при изменении конфигурации сервера. Оснастка Security Configuration and Analysis и связанные с ней шаблоны безопасности используются для построения и применения особых локальных политик безопасности.

В "Подготовка и укрепление веб-сервера" вы познакомились с MMC и с IIS Lock и даже использовали эти компоненты для укрепления своего сервера. IIS Lock вновь потребуется при установке новых сервис-пакетов, служб FTP, NNTP и SMTP. MMC используется постоянно, причем не только для защиты, но и для поддержки сервера IIS.

Консоль Microsoft Management Console

Инструменты пакета MMC находятся в папке Administrative Tools (Администрирование) в меню Start (Пуск). На отдельном сервере все локальные учетные записи пользователей, группы, пароли и другие настройки управляются посредством MMC и хранятся локально в файле диспетчера безопасности учетных записей (SAM).

Некоторые средства управления безопасностью в Active Directory MMC несколько отличаются от аналогичных инструментов отдельного сервера. Например, для управления пользователями и группами на отдельном сервере используются папки Local Users (Локальные пользователи) и Groups (Группы) в компоненте MMC Computer Management (Управление компьютером). В среде домена/Active Directory используется компонент Active Drectory Users and Computers (Пользователи и компьютеры Active Directory). Active Directory хранит информацию о домене в отдельном файле, который называется NTDS.DIT и имеется на других контроллерах доменов.

Те читатели, чьи веб-сайты соединены только с интернетом, при выполнении рекомендаций (см. "Подготовка и укрепление веб-сервера" ) не должны были включать свои веб-серверы в домен и, следовательно, использовали локальные средства управления MMC для Windows 2000 и IIS. Обратите внимание, что большая часть параметров локальной безопасности веб-сайта, находящегося в домене, настраивается с помощью локальных инструментов управления MMC. Исключением является управление пользователями и группами интранет-сети, осуществляемое инструментами MMC Active Tools. Причина заключается в том, что пользователи и группы могут быть общими для всех серверов сети интранет. Однако в этой лекции мы не будем рассказывать о средствах Active Directory. В дальнейшем речь пойдет только об управлении локальной политикой безопасности сервера. Таблица 4.2 содержит перечень средств MMC, предназначенных для управления локальной безопасностью Windows 2000/IIS.

Настройка политики безопасности с помощью шаблонов

Шаблоны безопасности представляют собой централизованный метод установки параметров безопасности при работе с оснастками MMC Security Configuration and Analysis (Анализ и настройка безопасности) и Security Template (Шаблон безопасности). На сайте Microsoft Technet находится шаблон безопасности Microsoft. Он содержит основные параметры безопасности для IIS, которые, по мнению Microsoft, должны применяться к защищаемым веб-сайтам. Шаблоном является файл с именем Hisecweb.inf, который можно загрузить с веб-сайта Microsoft по адресу http://support.microsoft.com/support/misc/kblookup.asp?id =Q316347.

Шаблон безопасности представляет хорошую основу для реализации защиты сервера. При запуске программы IIS Lock (см. "Подготовка и укрепление веб-сервера" ) этот компонент применял к серверу настройки файла Hisecweb.inf.

С помощью шаблонов эффективно разрабатывается локальная политика безопасности. Шаблон Hisecweb.inf можно использовать в качестве базы, затем внести в него изменения, после чего сохранить под другим именем для создания собственной политики. Так можно просматривать, настраивать и применять к локальному компьютеру широкий спектр настроек безопасности. Этот метод используется для определения изменений, которые вносятся в настройки политики безопасности Microsoft IIS по умолчанию.

Политики безопасности в шаблоне Hisecweb.inf содержат настройки следующих параметров.

• Account Policies (Политики учетных записей). Защита паролей, блокировки учетных записей и аутентификации Kerberos.
• Local Policies (Локальные политики). Ведение журналов событий, связанных с безопасностью, а также учет присвоения прав пользователям и группам.
• Restricted Groups (Ограниченные группы). Администрирование членов локальной группы.
• Registry (Реестр). Безопасность параметров локального реестра.
• System Services (Системные службы). Режим запуска и безопасность локальных служб.
• Security Options (Параметры безопасности). Правила для других настроек безопасности.

Для получения полного представления о количестве рассматриваемых параметров нужно ознакомиться со всеми лекциями книги. На данном этапе работы необходимо настроить оснастки, так как они понадобятся в последующих лекциях. А сейчас мы создадим шаблоны, работу с которыми продолжим позже.