Реализация защиты серверов ДокладчикMicrosoft
Содержание Основа безопасности серверов Основа безопасности серверов Безопасность Active Directory и защита контроллеров домена Безопасность Active Directory и защита контроллеров домена Защита серверов с помощью шаблонов безопасности и групповых политик Защита серверов с помощью шаблонов безопасности и групповых политик
Принципы безопасности серверов Принципы безопасности Конфиденциальность Конфиденциальность Защита информации от несанкционированного доступа Защита информации от несанкционированного доступа Целостность Целостность Защита информации от несанкционированной модификации Защита информации от несанкционированной модификации Доступность Доступность Надежная и бесперебойная работа информационных ресурсов Надежная и бесперебойная работа информационных ресурсов
Политика безопасности Анализ угроз Управление рисками ТехнологияПроцедурыСтраховка КонфиденциальностьЦелостностьДоступность Защита Обнаружение Корректировка Операции и поддержка Приобретение Исследования Дизайн и внедрение Интеграция Тестирование Сертификация Анализ уязвимостей Обнаружение «вредного»кода и вторжений Аудит и мониторинг Реакция Сортировка Редизайн Повторная сертификация Обучение и тренировка
Моделирование угроз Анализ окружения и конфигураций Анализ окружения и конфигураций Базовые системы и программное обеспечение Базовые системы и программное обеспечение Диаграммы потоков данных и взаимодействия систем Диаграммы потоков данных и взаимодействия систем Сегрегация систем по задачам и требованиям безопасности Сегрегация систем по задачам и требованиям безопасности Определение доверяемых систем Определение доверяемых систем Уровни доверия Уровни доверия Ограничение окружения и привилегий Ограничение окружения и привилегий Минимально допустимые права и привилегии Минимально допустимые права и привилегии Службы и порты, необходимых для работы Службы и порты, необходимых для работы Защита коммуникаций между системами и пользователями Защита коммуникаций между системами и пользователями Компромисс Компромисс Баланс между защищенностью системы и удобством работы с ней Баланс между защищенностью системы и удобством работы с ней
Руководство к действию «Windows Server 2003 Security Guide» «Windows Server 2003 Security Guide» Руководство по защите серверов Руководство по защите серверов Построение инфраструктуры Построение инфраструктуры Создание базовой политики защиты Создание базовой политики защиты Рекомендации по защите различных типов серверов Рекомендации по защите различных типов серверов Инструментарий для реализации защиты с помощью Групповых политик Active Directory Инструментарий для реализации защиты с помощью Групповых политик Active Directory Набор шаблонов безопасности и сценариев Набор шаблонов безопасности и сценариев
Лучшие практики по защите серверов Лучшие практики по защите серверов Своевременно устанавливать все обновления и исправления Объединять серверы по ролям и использовать Групповые политики для централизованной настройки защиты Отключить ненужные службы, переименовать встроенные учетные записи и ограничить их привилегии Ограничить физический и сетевой доступ к серверам
Базовые рекомендации Переименовать встроенные учетные записи Administrator и Guest Переименовать встроенные учетные записи Administrator и Guest Изменить их пароли и описания Изменить их пароли и описания Ограничить права доступа к системе для служебных учетных записей Ограничить права доступа к системе для служебных учетных записей Administrator, Support_388945a0, Guest Administrator, Support_388945a0, Guest Не использовать для работы сервисов доменные учетные записи Не использовать для работы сервисов доменные учетные записи Использовать средства файловой системы NTFS для защиты файлов и папок Использовать средства файловой системы NTFS для защиты файлов и папок
Содержание Основа безопасности серверов Основа безопасности серверов Безопасность Active Directory и защита контроллеров домена Безопасность Active Directory и защита контроллеров домена Защита серверов с помощью шаблонов безопасности и групповых политик Защита серверов с помощью шаблонов безопасности и групповых политик
Компоненты Active Directory Лес Лес Функционирует как периметр безопасности Active Directory Функционирует как периметр безопасности Active Directory Домен Домен Организационное подразделение Организационное подразделение Групповые политики Групповые политики Основной инструмент для настройки системы безопасности Основной инструмент для настройки системы безопасности
Политика домена Применение и наследование Групповых политик Локальная политика Политики родительских ОП Политика своего ОП Политика сайта Если контейнеру назначено несколько политик, то они применяются поочередно, снизу вверх по списку
Демонстрация Управление Групповыми политиками
Защита Active Directory Анализ инфраструктуры Анализ инфраструктуры Централизованная интранет-структура Централизованная интранет-структура Удаленный офис Удаленный офис Распределенная экстранет-структура Распределенная экстранет-структура Анализ угроз Анализ угроз Определение угроз Определение угроз Определение типов угроз Определение типов угроз Определение источников угроз Определение источников угроз Выработка мер защиты от угроз Выработка мер защиты от угроз Создание детального плана действий на случай вторжения/атаки Создание детального плана действий на случай вторжения/атаки
Угрозы службе каталогов Цель атакующего: Цель атакующего: Изменить поведение системы/контроллера Изменить поведение системы/контроллера Установка специальных программ Установка специальных программ Модификация базы данных каталога Модификация базы данных каталога Подключение отладчика к процессу LSA Подключение отладчика к процессу LSA Для достижения цели нужно Для достижения цели нужно Получить физический доступ к контроллеру домена Получить физический доступ к контроллеру домена Получить права администратора служб Получить права администратора служб У каждой компьютерной системы есть администратор… У каждой компьютерной системы есть администратор…
Угрозы службе каталогов Анонимный пользователь Аутентифицированный пользователь Физический доступ Сетевые ресурсы Корневой домен Администратор данных Администратор служб Контроллер домена a b.a
Защита на уровне домена Групповая политика для домена Групповая политика для домена Модификация Default Domain Policy GPO или создание новой политики для домена Модификация Default Domain Policy GPO или создание новой политики для домена Политика паролей, учетных записей, параметры протокола Kerberos Политика паролей, учетных записей, параметры протокола Kerberos Аудит системных разделов Active Directory Аудит системных разделов Active Directory Разделение администраторов по категориям Разделение администраторов по категориям Администраторы служб Администраторы служб Администраторы данных Администраторы данных Строгое делегирование и контроль административных полномочий Строгое делегирование и контроль административных полномочий
Группировка серверов Иерархия организационных подразделений Иерархия организационных подразделений Отдельный контейнер для каждой роли Отдельный контейнер для каждой роли Специальные групповые политики для каждой роли Специальные групповые политики для каждой роли Встроенный контейнер для контроллеров домена Встроенный контейнер для контроллеров домена Групповая политика Default Domain Controllers Policy Групповая политика Default Domain Controllers Policy Domain Policy Domain Member Server Baseline Policy Member Servers Domain Controllers Domain Controllers Policy Print Server Policy File Server Policy IIS Server Policy Print Servers File Servers Web Servers Operations Admin Web Service Admin
Важные параметры защиты контроллеров домена Настройка По умолчанию Высокая безопасность Доступ к компьютеру по сети Administrators, Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS, Everyone, Pre- Windows 2000 Compatible Access Administrators, Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS Разрешена регистрация локально Administrators, Account Operators, Backup Operators, Print Operators, Server Operators Administrators Восстановление файлов и каталогов Administrators, Backup Operators, Server Operators Administrators SYSKEY Ключ создается системой и хранится локально на машине Режим 1. Администратор задает пароль и вводит его при старте Режим 1. Администратор задает пароль и вводит его при старте Режим 2. Ключ создается системой и хранится на дискете Режим 2. Ключ создается системой и хранится на дискете
Демонстрация Защита контроллера с помощью SYSKEY
Лучшие практики по защите контроллеров Лучшие практики по защите контроллеров Создавать и настраивать контроллеры домена только в защищенном окружении Установить и соблюдать жесткие правила установки и восстановления контроллеров Установить требуемые параметры защиты в Групповой политике для контроллеров домена Обеспечить физическую защиту контроллеров
Содержание Основа безопасности серверов Основа безопасности серверов Безопасность Active Directory и защита контроллеров домена Безопасность Active Directory и защита контроллеров домена Защита серверов с помощью шаблонов безопасности и групповых политик Защита серверов с помощью шаблонов безопасности и групповых политик
Практика использования шаблонов безопасности Практика использования шаблонов безопасности Проверить и (если нужно) модифицировать шаблон безопасности Перед применением шаблона проанализировать его параметры с помощью консоли «Security configuration and analysis» Протестировать политику после импорта в нее шаблона безопасности Хранить шаблоны в защищенном месте
Bastion Hosts Порядок защиты серверов Защита Active Directory Применение Member Server Baseline Policy Применение ролевых политик Certificate Services ServersRADIUS (IAS) ServersIIS ServersFile & Print ServersInfrastructure Servers
Member Server Baseline Security Базовый шаблон для всех серверов, включенных в домен определяет: Базовый шаблон для всех серверов, включенных в домен определяет: Политику аудита Политику аудита Права пользователей Права пользователей Параметры безопасности Параметры безопасности Настройки журналов Настройки журналов Настройки системных служб Настройки системных служб Domain Policy Domain Member Server Baseline Policy Member Servers Domain Controllers Domain Controllers Policy Print Server Policy File Server Policy IIS Server Policy Print Servers File Servers Web Servers Operations Admin Web Service Admin
Базовые параметры защиты Системные параметры Системные параметры Очищать файл подкачки при выключении системы Очищать файл подкачки при выключении системы Цифровая подпись коммуникаций между клиентами и серверами Цифровая подпись коммуникаций между клиентами и серверами При невозможности записать сообщения в журнал безопасности немедленно завершить работу При невозможности записать сообщения в журнал безопасности немедленно завершить работу Запрет на анонимные подключения Запрет на анонимные подключения Отключена аутентификация LM и NTLM v1 Отключена аутентификация LM и NTLM v1 Разрешен только NTLM v2 Разрешен только NTLM v2 Отключено кэширование регистрации пользователей Отключено кэширование регистрации пользователей
Базовые параметры аудита Ограничения для журналов Ограничения для журналов 10 Мб 10 Мб Не переписывать события Не переписывать события Аудит успешных и неуспешных событий Аудит успешных и неуспешных событий Регистрация пользователя, управление учетными записями, доступ к объектам, изменение политик, системные события Регистрация пользователя, управление учетными записями, доступ к объектам, изменение политик, системные события Аудит неуспешных событий Аудит неуспешных событий Доступ к службе каталогов и использование привилегий Доступ к службе каталогов и использование привилегий
Защита серверов инфраструктуры Готовый шаблон безопасности для ОП Infrastructure Servers Готовый шаблон безопасности для ОП Infrastructure Servers Рекомендуемые дополнительные настройки (где требуется): Рекомендуемые дополнительные настройки (где требуется): Журнал сервера DHCP Журнал сервера DHCP Защита от DoS-атак на сервер DHCP Защита от DoS-атак на сервер DHCP Настройка режима зон DNS Настройка режима зон DNS Active Directory-integrated Active Directory-integrated Учетные записи для сервисов Учетные записи для сервисов Блокировка ненужных портов с помощью фильтров IPSec Блокировка ненужных портов с помощью фильтров IPSec
Защита файловых серверов Готовый шаблон безопасности для ОП File Servers Готовый шаблон безопасности для ОП File Servers Рекомендуемые дополнительные настройки: Рекомендуемые дополнительные настройки: Отключить службы DFS и FRS, если они не используются Отключить службы DFS и FRS, если они не используются Назначить строгие права доступа к сетевым каталогам Назначить строгие права доступа к сетевым каталогам Аудит доступа к критичным файлам Аудит доступа к критичным файлам Регистрировать как успешные, так и неуспешные попытки доступа Регистрировать как успешные, так и неуспешные попытки доступа
Защита серверов печати Готовый шаблон безопасности для ОП Print Servers Готовый шаблон безопасности для ОП Print Servers Рекомендуемые дополнительные настройки: Рекомендуемые дополнительные настройки: Сервис «Print Spooler» должен быть включен и сконфигурирован Сервис «Print Spooler» должен быть включен и сконфигурирован На каждом сервере печати На каждом сервере печати Для нормальной работы пользователей с очередью печати нужно отключить режим цифровой подписи коммуникаций в настройках протокола SMB Для нормальной работы пользователей с очередью печати нужно отключить режим цифровой подписи коммуникаций в настройках протокола SMB
Защита серверов IIS 5.0 Готовый шаблон безопасности для ОП IIS Servers Готовый шаблон безопасности для ОП IIS Servers Рекомендуемые дополнительные настройки Рекомендуемые дополнительные настройки Установить «IIS Lockdown» и настроить URLScan Включить только необходимые компоненты IIS Установить права доступа (NTFS) для папок, содержащих файлы веб-страниц и приложений Разместить эти файлы на отдельном томе Если возможно, не допускать одновременного разрешения на запись и исполнение для веб- сайта Установить для приложений Средний или Высокий уровень защиты Заблокировать все порты, кроме 80 and 443 с помощью фильтров IPSec
Безопасность IIS 6.0 Безопасная инсталляция по умолчанию Безопасная инсталляция по умолчанию В Windows Server 2003 IIS 6.0 по умолчанию не установлен В Windows Server 2003 IIS 6.0 по умолчанию не установлен По умолчанию включена усиленная защита По умолчанию включена усиленная защита «IIS Lockdown» и «URL Scan» «IIS Lockdown» и «URL Scan» По умолчанию обслуживается только статический контент По умолчанию обслуживается только статический контент Web Service Extensions Web Service Extensions Разрешение или запрет расширений Разрешение или запрет расширений Права и разрешения Права и разрешения Такие же, как в IIS 5.0 Такие же, как в IIS 5.0
Защита серверов, не включенных в домен Серверами, которые не являются членами домена, невозможно управлять с помощью групповых политик Серверами, которые не являются членами домена, невозможно управлять с помощью групповых политик Все настройки нужно делать в ручную, непосредственно на серверах Все настройки нужно делать в ручную, непосредственно на серверах Возможно потребуется создать собственные шаблоны безопасности для каждого сервера Возможно потребуется создать собственные шаблоны безопасности для каждого сервера Для применения настроек можно использовать консоль «Security Configuration and Analysis» или утилиту Secedit Для применения настроек можно использовать консоль «Security Configuration and Analysis» или утилиту Secedit Security Configuration And Analysis Security Configuration And Analysis Графический инструмент для анализа настроек сервера и применения шаблонов Графический инструмент для анализа настроек сервера и применения шаблонов Secedit Secedit Инструмент командной строки для автоматического применения шаблонов Инструмент командной строки для автоматического применения шаблонов
Демонстрация Импорт, анализ и применение ролевых шаблонов безопасности
Лучшие практики защиты ролевых серверов Лучшие практики защиты ролевых серверов Защита известных встроенных учетных записей Включены должны быть только те сервисы, которые необходимы для конкретной роли Включить журнал работы сервисов Персональная модификация шаблонов для серверов, выполняющих одновременно несколько ролей Блокировка ненужных портов с помощью фильтров IPSec
Информация Информационный ресурс Microsoft по безопасности Информационный ресурс Microsoft по безопасности Для профессионалов IT: Для профессионалов IT: На русском языке: На русском языке: Руководства Microsoft по защите серверов Руководства Microsoft по защите серверов default.asp?url=/technet/security/prodtech/ win2003/w2003hg/sgch00.asp default.asp?url=/technet/security/prodtech/ win2003/w2003hg/sgch00.asp default.asp?url=/technet/security/prodtech/ win2003/w2003hg/sgch00.asp default.asp?url=/technet/security/prodtech/ win2003/w2003hg/sgch00.asp
© 2004 Microsoft Corporation. All rights reserved. This session is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.