Партнерка на США и Канаду по недвижимости, выплаты в крипто
- 30% recurring commission
- Выплаты в USDT
- Вывод каждую неделю
- Комиссия до 5 лет за каждого referral
· События ввода. Регистрируются все события, связанные с вводом данных в сети.
· Доступ к объекту. Регистрируются все попытки доступа к конкретному объекту (папке, принтеру).
· Изменения политики. Регистрируется всякое успешное изменение политики сети. Полезно, если вы хотите переустановить политику до определенного состояния и нуждаетесь в справочном материале.
· Использование привилегий. Регистрируются попытки воспользоваться специальными привилегиями. Регистрационная запись делается как для удачной, так и для неудачной попытки.
· Отслеживание процесса. Регистрируются процессы, запускаемые пользователем. Эта функция используется для мониторинга приложений, запускаемых пользователем в течение дня.
· События системы. Регистрируются события, происходящие в системе, например перезапуск системы.
Перед тем как заняться аудитом, следует составить четкий план, включающий в себя все, что нужно проверять, и то, как использовать эту информацию для позитивных изменений. Аудит в значительной степени расходует ресурсы системы - надо точно знать, что проверять, чтобы не переборщить.
Например, если в сети наблюдаются проблемы с выполнением, то начать следует с отслеживания процессов. Сравнив регистрационную запись об отслеживании процессов с общей работой системы, вы сможете определить, отвечают ли конкретные приложения за замедление работы сети. Если вы обнаруживаете избыточный расход тонера (краски для принтера), то аудит доступа к объектам поможет определить, кто из работников использует принтер и для каких целей. Вы сможете решить, нужно ли ограничить разрешение на доступ к принтеру некоторым пользователям.
Включение
Для включения аудита проделайте следующие шаги.
1. Щелкните правой кнопкой мыши на объекте, который вы хотите проверить, и затем щелкните на Properties (Свойства).
2. На вкладке Security (Безопасность) нажмите кнопку Properties.
3. Появятся расширенные настройки безопасности для страницы SharedDocuments (Общие документы). Щелкните на вкладке Auditing (Аудит) (рис. 27.7).
4. Щелкните на кнопке Add (Добавить). Появится список пользователей и групп. Выберите пользователя или группу, чьи действия вы хотите проверять.
5. Можете выбрать несколько пользователей или групп. Для каждого из них решите, что нужно отслеживать: успешные действия, неудачные или оба вида (см. рис. 27.8).
6. Выберите, будет ли аудит проводиться только в отношении этого объекта, или будет включать в себя и дочерние объекты. Например, если выбрана папка Documents, в которой содержатся подкаталоги AdministrationDocuments и AccountingDocuments, и требуется мониторинг их использования, выберите опцию применения аудита к объектам и/или контейнерам внутри этого контейнера (Applyauditingentriestoobjectsand/orcontainerswithinthiscontaineronly).
7. Выполните все настройки для мониторинга выбранных пользователей, компьютеров или групп и нажмите на ОК.
Рис. 27.7.Аудитпапкив Windows XP Professional
Рис. 27.8. Выбор объектов для мониторинга
8. Откройте оснастку GroupPolicy (Групповая политика) ММС. Перейдитев Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
9. Щелкните дважды на Auditobjectsaccess (Аудит доступа к объектам).
10. Отметьте или очистите флажки "successful" (успех) или "failed" (неудача) в соответствии с требованиями проверки.
11. Нажмите на ОК.
Аудит может интенсивно поглощать время и ресурсы. Однако, решив, какие именно свойства следует проверить, и составив четкий план их анализа, вы сможете убедиться в том, что безопасность системы настроена должным образом.
Оснастка SecurityConfigurationandAnalysis (Анализ и настройка безопасности)
Оснастка SecurityConfigurationandAnalysis (Анализ и настройка безопасности) ММС является хорошим инструментом для анализа текущих настроек безопасности и сравнения их с базовым шаблоном безопасности. Учитывая, что в системе Windows XP Professional имеется огромное количество настроек безопасности, отслеживать каждую из них представляется достаточно сложной задачей. Анализ же позволяет обнаруживать дыры в системе безопасности, тестировать влияние множественного изменения настроек безопасности в системе без реализации этого изменения и обнаруживать любые отклонения в политике безопасности, существующей в сети.
Например, если вы создали шаблон безопасности и хотите сравнить его (то есть идеальные настройки безопасности) с текущими настройками безопасности системы, воспользуйтесь инструментом SecurityConfigurationandAnalysis. Если ваш шаблон безопасности окажется более строгим, чем текущий, то инструмент укажет те области, которые следует укрепить, чтобы они соответствовали новым настройкам. Более того, инструмент сообщит, что произойдет с системой в случае реализации этих новых настроек.
Для запуска инструмента SecurityConfigurationandAnalysis проделайте следующее.
1. Введите в командную строку MMC/s.
2. В меню File (Файл) щелкните на Add/RemoveSnap-in (Добавить или удалить оснастку).
3. Щелкните на Add (Добавить).
4. В AvailableStandaloneSnap-ins (Доступные изолированные оснастки) найдите SecurityConfigurationandAnalysis (Анализ и настройка безопасности) и сделайте двойной щелчок.
5. Нажмите на Close (Закрыть), затем на ОК.
Теперь инструмент SecurityConfigurationandAnalysis доступен вам (рис. 27.9), но еще предстоит его сконфигурировать.
Рис. 27.9. Инструмент SecurityConfigurationandAnalysis (Анализ и настройка безопасности)
Создание базы данных
Работа инструмента SecurityConfigurationandAnalysis (Анализ и настройка безопасности) основана на использовании базы данных. Вам надо ее создать. Инструмент позволяет создать базу данных конфигураций и анализа безопасности, также называемую локальной базой данных политики компьютера.
Изначально база данных создается во время инсталляции Windows XP Professional. В ней содержатся конфигурации безопасности системы по умолчанию. При необходимости можно сразу же после инсталляции экспортировать эту базу данных и держать ее всегда под рукой на случай восстановления первоначальных настроек.
База данных определяет локальную политику безопасности компьютера, работающего при той конфигурации, которая определена требованиями политики безопасности. Однако политика безопасности может оказаться недостаточной для определения всей конфигурации в целом. Например, у вас может не оказаться предписаний безопасности для определенных папок или файлов. Запустив SecurityConfigurationandAnalysis, вы сможете найти такого рода ошибки.
Можно создать столько баз данных безопасности, сколько нужно. Для создания базы данных конфигураций безопасности проделайте следующее.
1. В левом окне ММС щелкните правой кнопкой мыши на SecurityConfigurationandAnalysis (Анализ и настройка безопасности).
2. Щелкните на OpenDatabase (Открыть базу данных).
3. В диалоговом окне Name (Имя) введите имя, которое вы хотите дать новой базе данных, и щелкните на Open (Открыть).
4. Выберите имеющийся шаблон безопасности для импорта в базу данных.
5. Щелкните на Open.
Анализ базы данных
Для анализа конфигураций базы данных проделайте следующие шаги.
1. В левом окне ММС щелкните правой кнопкой мыши на SecurityConfigurationandAnalysis (Анализ и настройка безопасности).
2. Щелкните на AnalyzeComputerNow (Анализ компьютера).
3. В появившемся диалоговом окне Errorlogfilepath (Путь к файлу журнала ошибок) введите место, в котором будут сохранены результаты анализа, например, c:\logs\securitylog. log.
4. Щелкните на Open (Открыть) и затем нажмите ОК. По мере проверки инструментом настроек безопасности компьютера в окне состояния будет отображаться процесс выполнения задания
После того как задание будет выполнено, просмотрите результаты анализа:
1. В левом окне ММС щелкните правой кнопкой мыши на SecurityConfigurationandAnalysis (Анализ и настройка безопасности).
2. Щелкните на View (Просмотр) и затем щелкните на Customize (Настроить).
3. Выберите описание для отображения базы данных, над которой вы работаете, и щелкните ОК.
4. Влевомокнещелкнитена Security Configuration and Analysis.
5. В правом окне щелкните дважды на любой записи для получения подробного объяснения (см. рис. 27.10).
Здесь представлены результаты анализа конфигурации следующих областей.
· Accountpolicies (Политика учетной записи). Показывает пароль, блокировку учетной записи и политику аутентификации, соответствующую протоколу Kerberos (в системе Windows 2000 только контроллеры доменов)
· Eventlog (Журнал событий). Показывает методы аудита, включая доступ к объекту, изменение пароля и операции входа/выхода в систему.
Рис. 27.10. Исследование результатов анализа
· Localpolicies (Локальная политика). Показывает методы аудита назначения прав пользователей и опции безопасности компьютера.
· Restrictedgroups (Группы с ограниченным доступом). Показывает членство для групп, определенных как секретные.
· Objecttrees (Объектные деревья). Как и Windows 2000, контроллер доменов показывает объекты каталогов, журнал подключей и записей, а также локальную файловую систему.
Другие записи включают в себя сервисы системы, журнал и файловую систему. Проанализировав свою систему безопасности, возможно, вы захотите внести изменения в ее настройки. Если вы считаете настройку актуальной, то отметьте флажок Definethispolicy (Определить следующую политику в базе данных) во время исследования системы безопасности. Если очистить флажок, то данная политика будет удалена из конфигурации.
В будущем для использования различных видов конфигурации и анализа просто щелкните на элементе управления ЕditSecuritySettings (Изменить параметры безопасности), чтобы изменить текущее определение безопасности, содержащееся в базе данных.
Обеспечение безопасности серверов
Хотя Windows XP Professional не имеет версии, предназначенной специально для серверов, тем не менее, следует предпринять несколько важных шагов по обеспечению безопасности сервера (Windows NT, 2000 или. NET) во время постройки и конфигурирования Windows XP Professional сети. Так же следует обдуманно настраивать соединения сервера с Windows XP Professional-клиентами. В этом разделе рассматриваются такие методы обеспечения безопасности сервера, как IPSec, протоколы безопасности, групповая политика, аутентификация и списки управления доступом.
IPSec
Windows XP Professional обеспечивает безопасность передачи пакетов в сетях TCP/IP с помощью протокола IPSec. IPSec можно использовать для создания сквозных безопасных решений, основанных на применении шифрованной передачи данных. IPSec-решение предлагает следующее.
· Конфиденциальность. Отдельные лица не могут перехватывать и читать сообщения.
· Аутентификация. Отправители сообщений действительно являются теми, кем себя объявляют.
· Целостность. Сообщения гарантированно не могут быть фальсифицированными при передаче.
· Защита. Блокируя определенные порты или протоколы, IPSec защищает от возможных отказов от обслуживания (denialofservice, DoS).
Как работает протокол IPSec
На рис. 27.11 схематически изображена работа протокола IPSec. Хост с активной политикой безопасности хочет установить соединение с другим компьютером, использующим политику безопасности.
1. Хост А пытается передать данные. IPSec-драйвер хоста А связывается с IPSec-драйвером хоста В для установления ассоциированной безопасности (SA), о которой пойдет речь в следующем разделе.
2. Два компьютера производят обмен секретными ключами проверки подлинности, создавая секретные ключи совместного пользования.
3. Используя методику безопасности, согласованную в SA, хост А подписывает и шифрует пакеты, предназначенные для хоста В.
4. Хост В получает пакеты, и драйвер IPSec проверяет подпись и ключ пакетов. После аутентификации данные передаются по стеку в хост В.
Разумеется, весь процесс происходит быстро и незаметно для пользователей компьютеров А и В. Однако на шифрование и дешифрование этих пакетов расходуются дополнительные циклы работы процессора.
Согласование протоколов IPSec
На каждом компьютере в Windows XP/2000/.NET сетях имеется агент IP-политки. Является он активным или нет, решает администратор. Если агент активен, то он извлекает IPSec-политику, которая описывает согласование методов локальной защиты, и внедряет ее на локальном компьютере.
Рис. 27.11. Для обмена информацией два хоста устанавливают связь посредством протокола IPSec
SA является контрактом, заключаемым между двумя компьютерами до начала обмена данными. В этом соглашении определены следующие особенности обмена данными.
· Протокол IPSec. Заголовок аутентификации, инкапсулированная полезная нагрузка.
· Алгоритм целостности. MessageDigest 5, алгоритм безопасногохэширования.
· Алгоритм шифрования. DataEncryptionStandard (DES), Triple DES, 40-битное DES или никакого.
Установка IPSec-политики
По умолчанию Windows XP Professional предоставляет три вида заранее определенной политики безопасности, которые подходят для большинства случаев. Вы также можете начать с одного из этих видов политики и модифицировать его в соответствии со своими нуждами. Ниже дается описание этих политик.
· Client (Работает только в режиме отклика). Компьютеру дается указание использовать протокол IPSec, если другой компьютер запрашивает его. IPSec не требуется при установке связи с другим компьютером. Эта политика лучше всего подходит для компьютеров, в которых находится очень мало или отсутствуют секретные данные.
· Server (Защита желательна). Эта политика предназначена для серверов, которые должны по мере возможности использовать протокол IPSec, но не отменяют сеанс связи, если клиент не поддерживает IPSec. При необходимости тотальной безопасности должна применяться политика SecureServer, описанная ниже. Политика Server применяется в таком окружении, где не каждый клиент может использовать IPSec. Например, во время миграции из системы Windows NT.
· SecureServer (Защита обязательна). Эта политика подходит для серверов, содержащих секретные данные. Она требует использования IPSec всеми клиентами. Все исходящие соединения безопасны, а все небезопасные запросы клиентов получают отказ.
Выбор правильной политики основывается на тщательной оценке данных. Необдуманное предписание самого высокого уровня безопасности для всех пользователей и серверов создаст огромную и ненужную нагрузку на серверах и клиентских рабочих станциях. Это связано с дополнительной работой компьютеров по шифрованию и дешифрованию всего сетевого трафика. Однако разрешение любому клиенту устанавливать связь с безопасным сервером открывает широкий доступ для потока небезопасной информации.
Создание и применение IPSec-политики
Консоль MicrosoftManagementConsole (MMC) используется для создания и конфигурирования IPSec-политики. Для этого в ММС надо добавить оснастку IPSecPolicyManagement (рис. 27.12).
Рис. 27.12.ОснасткаIPSec Policy Management
Примечание. Добавление IPSec в ММС происходит аналогично добавлению других оснасток, упомянутых в этом курсе. Просмотрев список доступных оснасток, выберите IP SecurityPolicyManagement.
После добавления IPSec в консоль ММС появится запрос, каким компьютером эта оснастка будет управлять. Можно выбрать следующие опции:
· этот компьютер;
· контроллер домена ActiveDirectory, членом которого является этот компьютер;
· другой домен ActiveDirectory;
· другой компьютер.
Когда вы в первый раз откроете оснастку IPSec, то увидите три вида политик, предоставленных по умолчанию, чтобы вы могли модифицировать их так, как нужно. Вы можете создать собственную политику, используя мастер политики IP-безопасности. Мастер запускается правым щелчком мыши на оснастке IPSec в левом окне с последующим выбором Create IP SecurityPolicy (Создать политику безопасности IP).
При запуске мастер запросит следующую информацию.
· Имя и описание политики.
· Будет ли политика отвечать на запросы по установке безопасных соединений.
· Метод аутентификации (Kerberos, сертификат или общий секретный ключ).
Фрагмент готовойIPSec-политики показан на рис. 27.13.
Можно также регулировать настройки, относящиеся к работе с ключами и к ограничениям информации, которой вы будете обмениваться. Например, щелкнув дважды на All IP Traffic (Весь IP-трафик), можно уточнить настройки данной характеристики. Как показано на рис. 27.14, эта специфическая деталь IPSec указывает на фильтрацию всего IP-трафика, ICMP-трафика или трафика обоих видов.
Дальше IPSec-политика может быть присвоена групповой политике (GroupPolicy). Здесь она будет применяться ко всем компьютерам, которые являются членами группы, и ко всем пользователям. В отличие от других видов политики, локальная политика безопасности имеет приоритет над политиками, стоящими выше с иерархической точки зрения. Например, локальнаяIPSec-политика организационной единицы аннулирует политику, присвоенную домену.
Рис. 27.13. Конфигурирование IPSec-политики в ММС
Рис. 27.14. Редактирование правил IPSec
Вход в систему
Впервые пользователь сталкивается с политикой безопасности при входе в систему. Когда он усаживается за свой компьютер и нажимает на CTRL-ALT-DEL, то видит приглашение ко вводу имени пользователя и пароля. В этом разделе мы подробно рассмотрим, что представляет собой процесс входа в системе Windows XP Professional, и как осуществляется переход от одной учетной записи пользователя к другой.
Типы процессов входа в систему
При использовании Windows 2000 в качестве операционной системы сервера Windows XP Professional использует четыре типа процессов входа.
· Интерактивный. Используется при входе пользователя на локальный компьютер.
· Сетевой. Используется при входе пользователя в сеть. Локальный администратор безопасности (LocalSecurityAuthority, LSA) клиентской рабочей станции предпринимает попытку авторизации с помощью аутентификационных данных входа в систему.
· Сервисный. Сервисы на базе Win32 загружаются на локальный компьютер, используя данные удостоверения личности из учетной записи пользователя локальной сети (или домена) или учетной записи LocalSystem. При использовании учетной записи LocalSystem (в Windows 2000 Server) сервис будет иметь свободный доступ к ActiveDirectory. С другой стороны, если сервис использует привилегии безопасности учетной записи пользователя, то у него не будет доступа к сетевым ресурсам.
· Пакетный. Этот тип входа в систему редко используется в Windows-окружении и применяется, в основном, для крупных пакетов заданий.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 |
