Файловый архив студентов. Файловый архив студентов.
1262 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный университет кораблестроения им. адм. Макарова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Турти_Зах__нф_в комп_мер_ч2_new.doc
Скачиваний:
55
Добавлен:
14.02.2015
Размер:
1.76 Mб
Скачать
►Содержание►

Оснастка Шаблоны безопасности

Редактор шаблонов безопасности реализован в виде оснастки ММС (рис. 6.2). Он предназначен для создания и редактирования текстовых файлов конфигурации безопасности операционной системы Windows 2000. Такие файлы значительно легче переносятся с одной системы на другую, чем соответствующие им базы данных безопасности.

Созданные при помощи оснастки Шаблоны безопасности текстовые файлы хранятся на жестком диске и при необходимости могут быть импортированы в базу данных безопасности. В этом случае все хранимые настройки безопасности начнут действовать.

С помощью оснастки Шаблоны безопасности можно конфигурировать:

  • Политики безопасности учетных записей (Account Security). Здесь вы сможете настроить такие параметры безопасности, как политика паролей, политика блокировки паролей и т. д.

    Рис. 6.2. Развернутое дерево оснастки Шаблоны безопасности

  • Локальные политики (Local Policies). Здесь можно настроить параметры безопасности, касающиеся политики аудита, прав пользователей и индивидуальных параметров безопасности конкретной машины Windows 2000. Большинство этих параметров безопасности соответствуют значениям переменных реестра.

  • Журнал событий (Event Log). Здесь настраиваются параметры, определяющие работу журналов системы, безопасности, приложений и службы каталогов (Directory Service).

  • Группы с ограниченным доступом (Restricted Groups). Параметры, определяющие членство в группах, включая поддержку встроенных групп контроллеров домена.

  • Системные службы (System Services). Здесь можно настроить параметры безопасности, касающиеся режима загрузки и управления доступом для всех системных служб, а также параметры, определяющие безопасность редиректора и сервера.

  • Реестр (Registry). Можно управлять доступом к разделам реестра системы.

  • Файловая система (File System). Можно настроить параметры управления доступом к файлам и папкам локальных томов файловой системы и деревьев каталога.

Значения параметров всех перечисленных выше областей обеспечения безопасности заносятся в текстовые файлы с расширением inf, называемые шаблонами безопасности. С их помощью можно конфигурировать систему. Кроме того, при анализе безопасности системы шаблоны могут быть использованы в качестве рекомендованной конфигурации.

Информация о конфигурации безопасности расположена в нескольких разделах. Вся информация шаблонов обрабатывается ядром оснастки Шаблоны безопасности. Шаблоны обладают гибкой архитектурой, позволяющей в случае необходимости создавать новые разделы для конфигурации и анализа информации безопасности.

Оснастка Шаблоны безопасности располагает набором созданных заранее шаблонов безопасности. По умолчанию они хранятся в папке %SystemRoot% \Security\Templates. Они могут быть модифицированы с помощью этой оснастки и импортированы в расширение Параметры безопасности (Security Settings) оснастки Групповая политика.

Шаблоны безопасности отличаются друг от друга совокупностью хранящихся в них настроек. С помощью разных шаблонов можно устанавливать различные по степени защищенности конфигурации безопасности компьютера Windows 2000. Применять шаблоны безопасности, можно только в случае, если система была уже настроена с помощью параметров безопасности, установленных по умолчанию. Новые шаблоны безопасности не изменяют все старые настройки параметров системы безопасности, они лишь дополняют их, увеличивая (инкрементируя) степень защищенности компьютера. Поэтому их называют инкрементирующими шаблонами безопасности. Вы можете использовать их без изменения содержимого или в качестве основы для создания своих собственных шаблонов. Инкрементирующие шаблоны безопасности можно применять в системах Windows 2000, установленных на разделе NTFS. Если компьютер Windows 2000 был установлен путем обновления его из компьютера Windows NT 4.0, на нем необходимо предварительно установить базовый шаблон безопасности, который содержит значения параметров, безопасности, установленные по умолчанию. Если операционная система установлена в разделе FAT, такой компьютер не может быть защищен.

Оснастка Шаблоны безопасности предоставляет средства изменения информации, содержащейся в шаблонах. Поскольку усиленная безопасность часто отрицательно сказывается на производительности системы, настройки безопасности, определенные в заранее созданных шаблонах, не должны применяться в рабочем режиме без тщательного предварительного анализа последствий установки той или другой конфигурации безопасности.

Заранее определенные компанией Microsoft конфигурации безопасности делятся на следующие типы:

Базовая (Basic). Это набор настроек безопасности, генерируемых по умолчанию на рабочих станциях, серверах и контроллерах доменов при первоначальной установке Windows 2000. Базовая конфигурация в основном служит для того, чтобы прекращать действие более жестких типов конфигураций безопасности. Операционная система Windows 2000 содержит три базовых шаблона безопасности:

  • basicwk.inf – для рабочих станций

  • basicsv.inf – для серверов

  • basicdc.inf – для контроллеров доменов

Базовые шаблоны безопасности содержат настройки параметров безопасности, устанавливаемые по умолчанию для всех областей обеспечения безопасности, за исключением прав пользователя и групп. Эти шаблоны можно применять в системе Windows 2000 с помощью оснастки Анализ и настройка безопасности или с помощью утилиты Secedit.exe.

Совместимая (Compatible). Эти настройки безопасности генерируются в системах, где не требуются жесткие меры безопасности, и где работают устаревшие программные продукты. В выборе между обеспечением выполнения всех функций приложения и обеспечением безопасности данная конфигурация принимает сторону приложения. Помимо некоторого улучшения установок безопасности, совместимые конфигурации содержат в себе специальные настройки, предназначенные для защиты пакета Microsoft Office. В случае, если в системе используется этот продукт, совместимая конфигурация должна быть включена после установки пакета Office. Однако следует помнить, что конфигурация безопасности, создаваемая этим шаблоном, не считается защищенной. Файл совместимого шаблона безопасности называется compatws.inf.

Защищенная (Secure). Обеспечивает более надежную безопасность по сравнению с совместимой конфигурацией. В выборе между обеспечением выполнения всех функций приложения и обеспечением безопасности данная конфигурация принимает сторону безопасности. Она содержит жесткие настройки безопасности для политики учетных записей, аудита и некоторых, широко используемых разделов реестра. Защищенную конфигурацию рекомендуется ставить на компьютеры, где не задействованы все возможности Microsoft Office, или если данный компьютер предназначен для решения узкого круга задач. Шаблоны защищенной безопасности находятся в файлах securews.inf и securedc.inf.

Сильно защищенная (High Security). Эта конфигурация позволяет получить идеально защищенную систему Windows 2000, не учитывающую функциональность приложений. Подобная конфигурация при обмене информацией предполагает обязательное использование электронной подписи и шифрования, которое обеспечивается только средствами Windows 2000. Поэтому компьютеры, на которых установлена сильно защищенная конфигурация безопасности, не могут обмениваться данными с другими операционными системами Windows. Сильно защищенную конфигурацию можно применять в системах, где работают приложения, предназначенные для функционирования в среде с усиленной системой безопасности. Шаблоны защищенной безопасности находятся в файлах hisecws.inf и hisecdc.inf.

Чтобы убедиться в том, что сильно защищённая конфигурация содержит более жёсткие политики безопасности, сравните, например политику паролей базового шаблона (basicwk) и сильно защищённого шаблона (hisecws).

Приложения, которые успешно работают на определенном уровне безопасности, обеспеченной заранее созданными шаблонами, также успешно функционируют на более низких уровнях безопасности.

Архитектура оснастки Шаблоны безопасности предполагает возможность расширения этого программного инструмента. Вы можете добавить расширения в качестве новых направлений обеспечения безопасности или в качестве новых атрибутов внутри существующих направлений. Поскольку информация конфигурации хранится в стандартных текстовых файлах, ее можно легко дополнить новыми параметрами и разделами с полным сохранением обратной совместимости.

Работа с редактором шаблонов безопасности.

Загрузка оснастки Шаблоны безопасности

Для работы с оснасткой Шаблоны безопасности необходимо запустить консоль управления Microsoft и подключить к ней оснастку. Для знакомства с шаблонами в окне оснастки откройте, например, узел Шаблоны безопасности, щелчком выберите шаблон безопасности securews и просмотрите его папку Политика паролей (рис. 6.3).

Рис. 6.3. Просмотр папки Политика паролей шаблона безопасности securews

Как показано на рис. 2.3, помимо раскрытого шаблона безопасности securews.inf существуют и другие стандартные шаблоны, конфигурации которых позволяют получить различные по надежности системы безопасности.

Просмотр и редактирование шаблона безопасности

Щелкните на одном из стандартных шаблонов безопасности, которые вы видите в окне оснастки Шаблоны безопасности. Если вы хотите модифицировать какую-либо настройку безопасности, дважды щелкните на ней и отредактируйте значения параметров.

Создание пользовательского объекта в папке Файловая система или Реестр. Обратите внимание, что для этих папок в правом подокне отображаются не все объекты, а только те, которые представляют интерес с точки зрения политики безопасности.

Кроме того, важно отметить, что модель наследования дискреционного списка управления доступом (Discretionary Access Control List, DACL), принятая в Windows 2000, позволяет распространять действие настроек безопасности на дочерние объекты файловой системы или реестра, список которых приведен в шаблоне безопасности. Например, даже если каталог %SystemRoot%\System32 не присутствует в списке объектов файловой системы шаблона securews, он унаследует настройки безопасности от своего родительского каталога %SystemRoot%, который определен в списке объектов.

Следует отметить, что установленные вами настройки безопасности записываются в файл шаблона безопасности. Их работа начнется, только когда конфигурация, определенная данным шаблоном, будет активизирована в системе (например, импортирована в некоторую групповую политику).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности