Опубликован: 10.03.2009 | Уровень: специалист | Доступ: платный
Лекция 12:

Проектирование защищенной инфраструктуры клиентов

< Лекция 11 || Лекция 12: 12 || Лекция 13 >
Аннотация: Лекция посвящена вопросам разработки схем подразделений для клиентских компьютеров и пользователей, и разработки соответствующих групповых политик.

Клиентские компьютеры корпоративной сети, как и сервера, играют различные роли. Очевидно, что защиту этих компьютеров также можно построить на основе этих ролей. Однако в отличие от сетевых серверов роли клиентских компьютеров не всегда совпадают с функциями пользователей, которые за ними работают. Поэтому, проектируя защиту клиентских компьютеров, необходимо сделать следующее: разработать соответствующую схему подразделений для клиентских компьютеров и пользователей; разработать соответствующие групповые политики и применить их к подразделению. Рассмотрим более подробно оба этих компонента.

Активный каталог хранит не только учетные записи пользователей, но и учетные записи компьютеров со своими именами, свойствами и идентификаторами безопасности. Разрабатывая схему организационных подразделений для пользователей, естественно руководствоваться принадлежностью пользователя к тому или иному структурному подразделению организации и его административной ролью в корпоративной сети.

При разработке юнитов для компьютеров можно разбить их на группы по территориальному принципу (по одному юниту на каждый офис или отдел ), в зависимости от операционных систем, которыми управляются компьютеры (один юнит для Windows NT, один для Windows XP и т.д.) или в зависимости от того является ли компьютер переносным или настольным (один юнит для переносных компьютеров, один для настольных, один для серверов).

Наиболее выгодной представляется иерархическая структура юнитов для компьютеров. В этом случае для юнитов верхнего уровня применяется деление в зависимости от операционных систем. На втором уровне юниты разбиваются по географическому принципу, а на третьем – в зависимости от того являются ли компьютеры переносными. При этом групповые политики можно применять к юнитам всех уровней и обеспечить за счет этого более адекватную настройку параметров в зависимости от корпоративных требований. В принципе допускается любая комбинация дочерних и родительских подразделений, т.к. в групповых политиках можно настроить фильтры их применения.

Для защиты клиентских компьютеров как в отдельности, так и являющихся членами подразделений, можно спроектировать шаблон безопасности. Применение шаблонов безопасности к клиентским компьютерам напоминает защиту серверов с помощью шаблонов. Существуют четыре предустановленных шаблона безопасности для клиентов Windows XP, которые предоставляют настройки средней или высокой безопасности для портативных или настольных клиентов. Безусловно, можно разработать свой шаблон безопасности и интегрировать в групповую политику именно его. Если компьютер является членом иерархии организационных подразделений, то рекомендуется разработать базовый шаблон безопасности для юнита верхнего уровня и варьировать настройки в шаблонах для вложенных юнитов.

При разработке шаблонов безопасности нужно следовать рекомендациям, приведенным ниже. Группе Все запретить вход в систему через Службу терминалов. Подобное право нужно выдать только конкретным пользователям, которые в нем нуждаются. Пользователям всех категорий запретить изменять системное время своих компьютеров. Ограничить права на локальный вход в систему, заставляя пользователей аутентифицироваться в домене. Разделить полномочия резервного копирования и восстановления файлов. Последнее право назначить только специальной группе администраторов, чтобы злоумышленники и вредоносные программы не заменяли важные файлы своими. По возможности запретить кэширование учетных данных, используемых для идентификации. Отключить возможность копирования дискет и доступ ко всем дискам из Консоли восстановления, чтобы злоумышленник не мог скопировать локальную базу данных безопасности. Обязательно настройте использование ограниченных групп, это исключит возможность самостоятельного делегирования расширенных прав пользователям.

В шаблоне необходимо оставить включенными только необходимые системные службы, в обязательном порядке отключив Службу удаленного администрирования. В базовом шаблоне безопасности необходимо настроить надежные политики паролей и блокировки учетной записи пользователя. Также в шаблоне можно настроить политику аудита в зависимости от требований на предприятии.

Для большей защиты клиентского компьютера в шаблоне необходимо ограничить удаленный доступ и права пользователей на удаленное выключение компьютера. Также необходимо переименовать учетную запись администратора, запретить отображение последнего имени пользователя. Важно запретить локальное хранение хэша пароля LAN Manager, и использовать для сетевой аутентификации протокол NTLM или NTLMv2. Необходимо также очищать файл подкачки при входе в систему, и отключить возможность входа в Консоль восстановления с автоматическими административными правами.

Вообще говоря, шаблон безопасности состоит из двух частей: базовых элементов безопасности (о которых говорилось выше) и административной части. С помощью последней можно управлять различными настраиваемыми параметрами операционной системы (например, отображением дисков в окне Мой компьютер, видом Панели управления, возможностями Проводника и прочее). Подобных параметров более 200. Таким образом, функциональные возможности клиентской операционной системы можно настроить максимально адекватно пользовательским задачам. Принцип настройки один – оставить пользователю только те функциональные возможности, которые ему действительно нужны. Это преобразованный принцип наименьших привилегий. Настраивать шаблоны безопасности можно с помощью редактора Объекты групповой политики.

Мощным инструментом защиты операционной системы являются Политики ограниченного использования программ. С помощью этого инструмента можно разрешить или запретить запуск исполняемых файлов в операционной системе. При настройке Политик ограниченного использования программ необходимо: выбрать тип файла, который считается программой (существует список расширений исполняемых файлов по умолчанию, который можно редактировать), выбрать возможность запуска файлов из списка (разрешить или запретить), выбрать правило использования.

Правила использования бывают: для путей (распространяются на конкретную папку или файл), для хэша (привязываются к конкретному файлу и действуют для него вне зависимости от переименования или иного изменения файла), для сертификата (ограничивают запуск программ в зависимости от наличия цифровой подписи) и для зоны Интернета (определяют возможность запуска программ, полученных из Интернета). Основного эффекта от применения политик ограниченного использования программ можно добиться следующим образом:

  1. запретить запуск программ со сменных носителей, создав правила для путей к соответствующим дискам (таким образом можно защититься от вредоносных программ, запускаемых при старте сменных носителей);
  2. разрешить пользователям записывать данные только в те папки, для которых установлены запретительные политики использования программ. Исполнение программ для пользователей разрешить только из тех папок, для которых у пользователя нет права на запись (таким образом записанные пользователем вредоносные программы не могут запуститься или перезаписаться в места, из которых возможен запуск).
< Лекция 11 || Лекция 12: 12 || Лекция 13 >
Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????

Татьяна Крыжановская
Татьяна Крыжановская
Украина, Одесса
Valeriya Gubareva
Valeriya Gubareva
Россия