Опубликован: 31.07.2006 | Уровень: специалист | Доступ: свободно

Лекция 15: Вопросы безопасности Windows 2000/ Windows 2003 Server

Аннотация: В лекции рассмотрены вопросы безопасности в ОС Windows 2000/2003, настройка данной ОС, управление пользователями и системой, поиск вторжений в данную ОС.
Ключевые слова: Windows, ПО, сервер, net, информация, server, RC2, функции безопасности, место, интерфейс, control, tools, Local, security policy, администрирование, политика безопасности, конфигурирование, attempt, файл, параметр, clear, virtual memory, system, shutting, опция, HAVING, log, аутентификация, LAN Manager, системы аутентификации, windows 95, NTLM, authentication level, значение, negotiation, функциональные требования, permissions, enumerate, SAM, anonymity, анонимный доступ, software, restriction, контроль, администратор, disallow, NTFS, FAT, convert, программа, файловая система, злоумышленник, DOS, чтение файла, элементы управления, EFS, дешифрование, шифрование, advanced, general, encrypt, secure, Data, ключ, алгоритм симметричного шифрования, доступ, команда, пользователь, Copy, расшифрование, диск, компьютер, симметричные алгоритмы, IPC, admin, контроллер доменов, список, Computer Management, Дополнение, порт, Kerberos, SMB, IP, UDP, Internet, key exchange, IKE, AND, print sharing, microsoft network, совместный доступ к файлу, network, сеть, меню, PDC, BDC, централизованное управление, directory, домен, организационные единицы, administrator, guest, security, rename, запись, пароль, рабочая станция, group, групповая политика, complexity, requirements, DLL, длина, store, encryption, блокировка, системная консоль, remote, administration, рабочий стол, terminal, remote administration, удаленное администрирование, сеанс, configuration, FIPS, federation, logon, аутентификационные данные, учетная запись пользователя, Network adapter, enterprise, USER, SDK, управление безопасностью, new, идентификатор, change, password, уязвимость, Add, member, член группы, безопасность, CFG, Verbose, quiet, синтаксис, операции, overwrite, базы данных, шаблон, время выполнения, аудит, управление учетными записями, системное событие, переполнение, поиск, подозрительная активность, резервное копирование, save, AS, event, viewer, пробел, запуск системы, manager, диспетчер, процент, CMD, AD, служба каталогов, пространство имен, DNS, root, доверительные отношения, with, поддержка, Интернет, trust, principal, связь сайта, управление конфигурацией, system policy, утилита, computer, policy, объект, сайт, конфигурация, default, domain, controller, Object, editor, объект групповой политики, lockout, audit policy, event log, ip security, ключевой параметр, maintenance, network drive, Disconnect, ADM, wireless networking, IEEE 802.11, infrastructure, 802.11, EAP, smart card, certificate, смарт-карта, замыкание, loopback, merge, объединение, Replace, ACL, site, подразделения, override, наследование, policy management, консоль, MMC, COM, SET OF, запрос, дерево, Wizard, единица, сценарий

В системе Microsoft Windows 2000 были, по большей части, заменены внутренние и внешние настройки, присутствовавшие в Windows NT. Без сомнения, Windows 2000 является одной из наиболее передовых (если не самой передовой) операционной системой в отношении интернета. Также очевиден тот факт, что в Windows 2000 сохранены традиционные возможности, такие как серверы файлов, печати и баз данных для внутреннего пользования, а также веб-серверы и серверы приложений для работы с интернетом. Дополнительные возможности, такие как сервер telnet, позволяют выполнять в Windows 2000 те функции, которые зарезервированы для систем Unix. Несмотря на то, что эти функции могут использоваться, совершенно понятно, что в Windows 2000 будет храниться и осуществляться работа с секретной информацией. Windows 2003 (ранее Windows.NET) призвана вывести операционную систему на новый уровень с замещением общих для предыдущих версий установок, имеющихся в Windows 2000. Windows 2003 специально разрабатывалась как сервер (у нее нет версии для рабочих станций) и, как и предполагалось, начала быстро внедряться в организации.

Как и в "Безопасность UNIX" , мы будем обсуждать основные этапы настройки имеющейся системы, а также то, как правильно осуществлять управление пользователями в домене Windows 2000 или 2003. Мы обсудим вопросы управления системой с точки зрения безопасности. В последнем разделе этой лекции мы попытается определить ключевые признаки вторжений, на которые должны обращать внимание администраторы во время своей работы.

Примечание

Информация Windows 2003 Server базируется на RC2, поэтому некоторые моменты будут изменены в окончательной версии. Кроме того, все ссылки на Windows 2000 также применимы и к Windows 2003. По мере необходимости в книге будут указываться моменты, специфичные для Windows 2003.

Настройка системы

В Windows 2000 добавлены серьезные функции безопасности к тем возможностям, которые имели место в Windows NT. Как вы увидите в следующих разделах, польза от этих новых возможностей довольно ощутима. К сожалению, их использование требует гомогенной среды Windows 2000. При использовании в смешанных средах Windows 2000 и Windows NT в системе должны быть установлены самые "слабые" настройки Windows NT для обеспечения взаимодействия.

Windows 2000 не является защищенной системой сразу после установки (хотя уровень ее защиты по умолчанию выше, чем у Windows NT). Имея это в виду, необходимо произвести настройку некоторых параметров для повышения уровня безопасности, прежде чем система будет готова к работе. Параметры конфигурации подразделяются на параметры локальной политики безопасности и параметры конфигурации системы.

Параметры локальной политики безопасности

В Windows 2000 появилось новое средство - графический пользовательский интерфейс редактирования локальной политики. Чтобы запустить эту утилиту, откройте Control Panel/Administrative Tools/Local Security Policy (Панель управления/Администрирование/Локальная политика безопасности) (см. рис. 15.1). Это средство позволяет настраивать политики учетных записей и локальные политики безопасности. Позже мы обсудим конфигурирование учетной записи. Сейчас давайте сконцентрируем внимание на локальных политиках безопасности.

Графический пользовательский интерфейс локальных политик безопасности в действительности является лишь внешней оболочкой процесса внесения изменений в реестр. Следовательно, для внесения изменений в общие параметры реестра больше не требуется использовать программы regedit или regedit32 - лучше использовать утилиту, чем открывать реестр и вносить изменения собственноручно.

На рисунке 15.2 показаны элементы политики безопасности, которые можно настраивать через графический пользовательский интерфейс локальных политик безопасности. В следующих разделах более подробно обсуждаются рекомендуемые изменения для внесения в политику безопасности.

Графический пользовательский интерфейс управления локальными политиками безопасности

увеличить изображение
Рис. 15.1. Графический пользовательский интерфейс управления локальными политиками безопасности
Настраиваемые элементы локальной политики безопасности

увеличить изображение
Рис. 15.2. Настраиваемые элементы локальной политики безопасности

Примечание

Windows 2000 содержит набор шаблонов, которые используются для конфигурации системы, настройки локальной политики безопасности и параметров управления пользователями в системе. Если вы будете использовать один из этих шаблонов, убедитесь, что вам понятны изменения, которые будут внесены в систему.

Сообщение входа

В Windows 2000 имеются два параметра, настраивающие сообщение входа, отображаемое пользователям:

  • Message Text for Users Attempting to Log On (Текст сообщения для пользователей, пытающихся осуществить вход);
  • Message Title for Users Attempting to Log On (Название сообщения для пользователей, пытающихся осуществить вход);

Очистка файла виртуальной памяти при отключении системы

Страничный файл виртуальной памяти содержит важную системную информацию во время работы системы, такую как ключи шифрования или пароли. Чтобы Windows 2000 очищала системный страничный файл при отключении системы, включите параметр Clear Virtual Memory Pagefile When System Shuts Down (Очистить файл подкачки при отключении системы).

Разрешить отключение системы без осуществления входа

Пользователи не должны иметь возможность отключать системы, если они не могут осуществлять вход. Следовательно, опция Allow System to Be Shut Down Without Having to Log On (Разрешить отключение системы без входа) должна быть отключена.

Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Евгений Рогонков
Евгений Рогонков
Россия, Гремячево, Гремячевская СОШ, 2008