- •Гальчевский ю.Л., Щелконогов о.А. Методические указания
- •Часть 2
- •Введение
- •Аудит доступа к ресурсам.
- •Объём работы:
- •Теоретические сведения. Аудит: обзор
- •Аудит событий.
- •Параметры аудита для объектов.
- •Выбор объектов для применения элементов аудита
- •Влияние наследования на аудит файлов и папок
- •Просмотр журнала событий.
- •Порядок выполнения работы.
- •1. Аудит событий.
- •2. Настройка, просмотр, изменение и отмена аудита файла или папки
- •Задание на лабораторную работу.
- •Контрольные вопросы:
- •Локальная политика безопасности
- •2. Преимущества групповой политики.
- •3. Объекты групповой политики. Оснастка Групповая политика
- •Узел Конфигурация компьютера
- •Узел Конфигурация пользователя
- •Расширения оснастки Групповая политика
- •Административные шаблоны
- •Параметры безопасности
- •Установка программ
- •Сценарии
- •Перенаправление папки
- •4. Настройка групповых политик на автономном компьютере
- •5. Инструменты настройки безопасности
- •Оснастка Шаблоны безопасности
- •Оснастка Анализ и настройка безопасности
- •Порядок выполнения работы. Оснастка Групповая политика.
- •2. Настройка групповых политик на автономном компьютере.
- •Оснастка Шаблоны безопасности
- •Оснастка Анализ и настройка безопасности
- •Задание на лабораторную работу
- •Контрольные вопросы
- •Ip-безопасность (ipSec)
- •Принцип работы ipsec
- •Протоколы безопасности ipsec
- •Обработка пакетов ipsec
- •Управление политикой безопасности ip
- •Свойства политики ipsec
- •Групповая политика
- •Предопределенные политики ipsec
- •Предопределенные правила
- •Предопределенные действия фильтра
- •Методы безопасности ipsec
- •Предопределенные методы безопасности
- •Настраиваемые методы безопасности
- •Взаимодействие параметров шифрования
- •Порядок выполнения работы.
- •Выбор политики ipSec для рабочей станции
- •Задание на лабораторную работу.
- •Контрольные вопросы.
- •Межсетевой экран (firewall)
- •Как устроена сеть Интернет
- •Что можно делать в Интернет
- •Зачем нужен firewall
- •Что такое firewall
- •Как Работает Firewall
- •Основные типы межсетевых экранов
- •От чего защищает firewall
- •Обзор основных firewall
- •Настройка AtGuard (AtGuard settings) Web
- •Настройка AtGuard (AtGuard settings) Firewall
- •Как использовать правило Ignore.
- •Настройка AtGuard (AtGuard settings) Options
- •Несколько простых практических приемов
- •Как перенести настройки с одной машины на другую
- •Задание на лабораторную работу.
- •Контрольные вопросы.
- •Как устроена сеть Интернет?
- •Содержание
Установка программ
Оснастка Установка программ предназначена для организации централизованного управления установкой программного обеспечения на компьютеры сети Windows 2000. Она позволяет настроить два режима установки ПО на группу компьютеров, или для группы пользователей – назначение (assignment) и публикация (publishing).
Назначение ПО группе пользователей или компьютеров предполагает, что все пользователи, которым необходима данная программа, будут автоматически получать ее без привлечения администраторов или технического персонала. Если для приложения установлен принудительный режим, ярлык, соответствующий данной программе, появляется в меню Пуск, а в реестр заносится информация о данном приложении, включая местоположение пакета и других файлов, необходимых для установки данного ПО. При первом обращении пользователя к ярлыку соответствующее программное обеспечение устанавливается и запускается.
Сценарии
С помощью этого расширения можно задать сценарии, которые должны выполняться на компьютере при загрузке и завершении работы операционной системы, а также при регистрации пользователя в системе и окончании сеанса работы. Выполнять сценарии, написанные на Visual Basic Scripting Edition и JScript, можно с помощью сервера сценариев Windows Windows Scripting Host. Это независимый от языка сервер выполнения сценариев, предназначенный для 32-разрядных платформ Windows.
Перенаправление папки
Оснастка Перенаправление папки позволяет перенаправить некоторые папки профиля пользователя в другое место (как правило, на общий ресурс сети). Перенаправление возможно для следующих папок:
Application Data
Мои рисунки (My Pictures)
Рабочий стол (Desktop)
Главное меню (Start Menu)
Мои документы (My Documents)
Перенаправление папки на общий ресурс сети позволяет, например, обеспечить доступ к информации перечисленных папок для различных компьютеров сети (особенно важно для папки Мои документы), а также повысить отказоустойчивость и упростить создание резервных копий информации.
4. Настройка групповых политик на автономном компьютере
В операционной системе Windows 2000 реализована новая концепция управления политиками безопасности компьютера. Каждый компьютер обладает своим собственным локальным объектом групповой политики (Local Group Policy Object, LGPO), который можно редактировать. Если компьютер Windows 2000 не присоединен к домену, то на нем активна только локальная групповая политика. После присоединения к домену групповые политики применяются в соответствии с их иерархией. Следует обратить внимание, что локальная групповая политика применяется даже при включенной блокировке наследования политики от контейнеров более высокого уровня.
Для редактирования локального объекта групповой политики загрузите его в оснастку Групповая политика (при присоединении оснастки в поле ввода Объект групповой политики нужно указать опцию Локальный компьютер).
5. Инструменты настройки безопасности
Обеспечение эффективной безопасности системы имеет несколько аспектов.
Во-первых, операционная система должна соответствовать базовым требованиям к безопасности. Например, требования к системе, соответствующей уровню безопасности С2, включают защиту памяти, дискреционное управление доступом и наличие средств аудита.
Во-вторых, для создания эффективной безопасности следует создать инструмент, позволяющий управлять всеми средствами обеспечения безопасности, заложенными в операционной системе. В Windows 2000 для управления безопасностью системы применяется Набор инструментов настройки безопасности (Security Configuration Tool Set). В него включены параметры безопасности операционной системы, собранные в единый блок управления, и ряд программных инструментов, позволяющих управлять этими параметрами.
Набор инструментов настройки безопасности состоит из следующих компонентов:
Служба настройки безопасности (Security Configuration Service) – служба, являющаяся ядром Набора инструментов настройки безопасности. Она работает на любой машине и отвечает за выполнение функций, связанных с настройкой безопасности и ее анализом. Эта служба является центральной для всей инфраструктуры безопасности системы.
Начальная безопасность (Setup Security) – первоначальная конфигурация безопасности, создаваемая при установке Windows 2000 с помощью заранее определенного шаблона, поставляемого вместе с системой. На каждом компьютере Windows 2000 формируется первоначальная база данных безопасности, называемая локальной политикой компьютера (Local Computer Policy).
Оснастка Шаблоны безопасности (Security Templates) – этот инструмент позволяет определять конфигурации безопасности, не зависящие от машины, которые хранятся в виде текстовых файлов.
Оснастка Анализ и настройка безопасности (Security Configuration and Analisys ) – этот инструмент позволяет импортировать одну или несколько хранящихся конфигураций безопасности в базу данных безопасности (это может быть база данных локальной политики компьютера или любая другая личная база). Импорт конфигураций создает специфическую для машины базу данных безопасности, которая хранит композитную настройку. Ее можно активизировать на компьютере и проанализировать состояние текущей конфигурации безопасности по отношению к композитной настройке, хранящейся в базе данных.
Использование шаблонов для реализации политик безопасности.
Windows 2000, как вы уже знаете, имеет богатый и разнообразный набор средств безопасности. Однако эти средства сопровождаются множеством политик безопасности и атрибутов, которые нужно конфигурировать. Конфигурирование системы с помощью политик, согласуясь с требованиями безопасности вашей компании, – это непростая задача. Если умножить эту работу на количество компьютеров вашего сайта или всей организации, то это покажется вам непосильной ношей. И мы ещё не говорили о затратах времени на обслуживание, которые требуются, когда возникает необходимость пересмотра политик компании.
Введём понятие шаблонов безопасности. Шаблон безопасности – это просто файл конфигурации для всех атрибутов безопасности системы. Шаблоны безопасности являются мощным средством и помогают снижать нагрузку администрирования. Используя простой интерфейс, администратор может создавать шаблон безопасности, отражающий требования безопасности компании, и затем применять его к локальному компьютеру или импортировать его в какой-либо объект групповой политики в Active Directory. Если вы включаете шаблон в объект Групповая политика, то все компьютеры, на которые влияет этот объект, получают настройки, заданные в шаблоне.