NT club. Часть 15. Политика безопасности
— Если у меня много кацэ есть, я имею право носить малиновые штаны, и передо мной и пацак должен два раза приседать, и чатланин "ку" делать, и эцилопп меня не имеет права бить по ночам... никогда...
(с) "Кин-Дза-Дза!"
Кхе-кхе... Начнем лекцию
Безопасность операционной системы основана на правилах, регулирующих разные аспекты ее работы. Вместе эти правила составляют единую политику безопасности. В Windows 2000 и более поздних NT-образных ОС политика безопасности представляет собой часть групповой политики (о чем упоминалось в предыдущей моей статье). В свою очередь, она (политика безопасности) состоит из набора правил, объединенных в следующие группы (вся статья основана на примере Windows XP Professional):
• Политики (правила, эти термины тождественны) учетных записей. Регулируют работу с паролями, условия блокировок и политику Kerberos в доменах.
• Локальные политики. Включают правила аудита событий, назначения привилегий пользователям и группам и некоторые возможности защиты.
• Правила журнала регистрации. Регулируют использование журналов регистрации событий: System (Система), Security (Безопасность), Application (Приложение).
• Правила групп с ограниченным членством. Устанавливают, кто может быть членом таких групп и в какие группы могут входить группы с ограниченным членством.
• Правила системных служб. Определяют работу служб (сервисов) системы.
• Правила реестра. Разграничивают доступ к ветвям реестра, определяют параметры аудита и владельца конкретного элемента реестра.
• Правила файловой системы. Ограничивают доступ к объектам файловой системы, определяют владельца и параметры ведения аудита. Используется только для томов с NTFS.
• Политики открытого ключа. Позволяют настроить, в частности, правила использования файловой системы с шифрованием (EFS, Encrypted File System). Эти политики и все последующие являются дополнительными, они не используются в шаблонах безопасности и не анализируются и не настраиваются оснасткой Анализ и настройка безопасности. О них мы говорить не будем.
• Политики ограниченного использования программ. Разрешают/запрещают запуск программ пользователям. Что есть "программа", определяется по указанному расширению.
• Политики безопасности IP. Определяют настройки фильтров IP, а также использование шифрования пакетов (IPSec).
Так выглядит система безопасности NT-систем в общих чертах. Далее мы рассмотрим ее подробнее. Как и в предыдущей статье, речь будет вестись о локальной системе, не обремененной участием в домене, если не указано обратное. Для лучшего усвоения прочтенного текста желательно открыть оснастку Локальная политика безопасности из меню Администрирование кнопки Пуск. Данная оснастка предоставляет доступ к редактированию правил из части описанных групп правил (см. рис.1), так как наш гипотетический компьютер не входит в домен. Параметры из остальных групп модифицируются другими способами, например, для объектов файловой системы используется закладка Безопасность (редактор списка контроля доступа — ACL Editor) свойств объекта (что для локального компьютера вполне логично и приемлемо).
Политики учетных записей
Данные правила подразделяются на две (три в случае домена — добавляется политика Kerberos) группы: политика паролей и политика блокировки учетной записи.
Правила паролей задают требования, предъявляемые к паролям пользователей системы. Об отдельных правилах говорить не будем, так как я надеюсь, что читатель достаточно любознателен, чтобы исследовать их самостоятельно, к тому же, их названия говорят сами за себя (данное предположение действует и на весь остальной текст).
Так как среди взломщиков ("хакеров" согласно терминологии современного мэйнстрима, хотя это исторически неверно) популярностью пользуются атаки, заключающиеся в подборе пароля по заранее составленному файлу с набором типичных паролей ("словарная атака") и просто грубому перебору всех возможных комбинаций символов ("brut force"), то необходимо принять меры, страхующие систему от подобных методов взлома. Именно этим и занимается политика блокировки учетной записи. Здесь можно установить количество ошибочных попыток набора пароля до блокировки учетной записи, срок этой блокировки и период сброса счетчика неудачных попыток ввода пароля. Это мощное средство, однако им нужно пользоваться с осторожностью, так как возможен обратный эффект от его действия — взломщик может просто заблокировать аккаунт администратора, перешагнув порог блокировки учетной записи своими попытками подобрать пароль. Именно для этого существует правило, задающее срок этой блокировки (он не должен быть слишком большим).
Локальные политики
Локальные политики определяют правила безопасности локального компьютера. Они делятся на три группы: политики аудита, назначение прав пользователя и параметры безопасности.
Политика аудита предписывает заносить в журнал Безопасность те или иные события (удачные и/или неудачные). После указания событий, требующих регистрации, можно указать конкретные объекты, за которыми будет вестись слежение (например, после разрешения аудита доступа к объектам можно в свойствах папки указать ведение аудита доступа для конкретных пользователей и/или групп).
Права пользователя на выполнение определенных действий устанавливаются по-разному для рабочей станции, рядового сервера и контроллера домена. Правила назначения прав пользователя позволяют настроить привилегии пользователей и/или групп. Например, по умолчанию отлаживать процесс имеет право только администратор, а у вас подрастает сын и уже пытается что-то программировать в Delphi (или еще в чем-нибудь). Естественно, у него ограниченная пользовательская учетная запись в системе, а идея дать ему права администратора выглядит экстремизмом. Вся проблема решается добавлением учетной записи вашего сына в правиле Отладка программ.
Параметры безопасности представляют собой дополнительные правила, усиливающие защиту системы.
Остальные политики
Правила журнала регистрации определяют максимальные объемы журналов и способы отслеживания их переполнения. Тут (и далее) нам придется действовать двумя методами, так как оснастка Локальная политика безопасности не позволяет изменять данные параметры. Можно задать эти свойства в оснастке Просмотр событий, а можно воспользоваться оснастками Анализ и настройка безопасности и Шаблоны безопасности (о них мы поговорим чуть позже, а пока загрузите в консоль MMC данные оснастки, как показано на рис.2).
Правила групп с ограниченным членством — мощное средство контроля за членством в группах, которые могут повлиять на работоспособность и безопасность системы. Например, один администратор добавил нового временного администратора, а потом об этом забыл. Данные же правила запретят ему выполнить подобную операцию. Применяются они, в основном, в рамках домена, так как на локальном компьютере администратор чаще всего один, значит, новых пользователей создает только он, следовательно, за все только он и отвечает.
Правилами системных служб устанавливаются тип запуска службы (его и некоторые другие свойства можно также задать в оснастке Службы) и права доступа к ней. Это критичные параметры, изменяйте их с умом.
Правила реестра задают права доступа к ветвям реестра, владельца и ведение аудита. Данные параметры можно менять с помощью редактора реестра (Regedit.exe для XP, Regedt32.exe — для остальных NT). Не рекомендуется изменять значения данных свойств для корневой ветви HKEY_LOCAL_MACHINE во избежание неработоспособности системы.
Правила файловой системы, как и правила реестра, разграничивают доступ к ее объектам, назначают владельца и аудит. Изменение этих параметров доступно из закладки свойств Безопасность. Не следует изменять параметры по умолчанию для папок и файлов, используемых системой, таких, как %SystemRoot%, Documents and Settings etc.
О перечисленных в данном разделе параметрах мы более углубленно поговорим в следующей статье, тем более, что изменение разрешений безопасности для объектов файловой системы — одно из наиболее часто выполняемых действий администратора (и вызывает немало проблем у начинающих).
Анализ и настройка параметров безопасности системы
Вот и настало время воспользоваться открытыми нами оснастками Анализ и настройка безопасности и Шаблоны безопасности. Начнем, пожалуй, со второй оснастки.
Данная оснастка предоставляет нам возможность просматривать и редактировать шаблоны безопасности, содержащие параметры настройки перечисленных в начале групп параметров (кроме дополнительных). Шаблоны представляют собой обыкновенные текстовые INF-файлы следующего формата:
[Раздел значений]
Правило 1 = Значение
Правило 2 = Значение
Более подробно об их содержимом можно почитать в справке Windows. По умолчанию с системой идет ряд стандартных шаблонов, открывающихся сразу в оснастке Шаблоны безопасности. Они лежат в папке %SystemRoot%\security\ templates. Для каждого шаблона можно просмотреть описание, говорящее о его функциональных возможностях. Редактировать стандартные шаблоны не рекомендуется, лучше создать новый, выбрав в контекстном меню пути поиска пункт Создать шаблон... Кстати, возможно копирование отдельных групп параметров (через контекстное меню), что упрощает создание нового шаблона, т.е. мы будем делать его не с нуля. Если какое-либо правило не определено в шаблоне, то после его применения будет действовать значение по умолчанию.
Оснастка Анализ и настройка безопасности предоставляет нам следующие возможности:
• Анализирование политики безопасности на локальном компьютере.
• Сравнение установленных значений правил с шаблонными.
• Использование в качестве шаблонных правил добавляемые шаблоны.
• Формирование новых правил.
• Сохранение новых правил в виде шаблона.
• Применение вновь созданных правил к системе.
При первом запуске оснастка предложит нам создать или открыть базу конфигурации безопасности. База представляет собой файл, в котором хранятся эталонные параметры безопасности. В базу можно добавлять шаблоны безопасности. По умолчанию она располагается в каталоге %SystemRoot%\security\database. Для создания новой базы (а имеющаяся secedit.sdb недоступна) нужно в контекстном меню элемента Анализ и настройка безопасности выбрать пункт Открыть базу данных... и ввести новое имя, после чего в нее можно импортировать шаблон пунктом меню Импорт шаблона...
После этих действий можно проанализировать безопасность системы. Для этого загрузите нужную базу, после чего в контекстном меню уже упомянутого не раз элемента выберите пункт Анализ компьютера... Затем можно заняться собственно анализом, так как анализировать будем именно мы. Просматривая параметры после запуска анализа, мы заметим, что значки параметров изменились согласно следующим правилам:
• Если в базе параметр задан и соответствует установленному в системе, то он помечается галочкой.
• Если параметр в базе задан, но не соответствует установленному в компьютере, то он помечается крестиком.
• Если параметр не задан в базе, то анализ не выполняется, соответственно и значок не изменяется.
Дополнительно можно просмотреть файл журнала (пункт Показать файл журнала контекстного меню).
После анализа вам наверняка что-то захочется подправить. Любые действия над параметрами сохраняются только в базе. Затем можно выполнить экспорт шаблона для дальнейшего использования. Это делается командой контекстного меню Экспорт шаблона... Ну, а финалом всех наших манипуляций будет конфигурирование машины согласно загруженной базе безопасности. Для этого жмем во все том же меню пункт Настроить компьютер. Вуаля! У нас получилась настроенная, безопасная система, готовый шаблон (если взбредет в голову его потом использовать, скажем, на другом компьютере) и база, позволяющая анализировать текущую конфигурацию с шаблонами. К слову, оснастка Анализ и настройка безопасности в большинстве случаев вполне успешно заменяет оснастки Локальная политика безопасности и Шаблоны безопасности. И еще. Существует ее консольный аналог — утилита secedit.exe, но с ней разбирайтесь сами, устал я:-).
В общем, это основное, что я хотел вам поведать. Встретимся на следующем занятии, где продолжим изучение подсистемы безопасности NT, как и было обещано ранее.
Хорошего дня!
Creator, creator_vom@tut.by
(с) "Кин-Дза-Дза!"
Кхе-кхе... Начнем лекцию
Безопасность операционной системы основана на правилах, регулирующих разные аспекты ее работы. Вместе эти правила составляют единую политику безопасности. В Windows 2000 и более поздних NT-образных ОС политика безопасности представляет собой часть групповой политики (о чем упоминалось в предыдущей моей статье). В свою очередь, она (политика безопасности) состоит из набора правил, объединенных в следующие группы (вся статья основана на примере Windows XP Professional):
• Политики (правила, эти термины тождественны) учетных записей. Регулируют работу с паролями, условия блокировок и политику Kerberos в доменах.
• Локальные политики. Включают правила аудита событий, назначения привилегий пользователям и группам и некоторые возможности защиты.
• Правила журнала регистрации. Регулируют использование журналов регистрации событий: System (Система), Security (Безопасность), Application (Приложение).
• Правила групп с ограниченным членством. Устанавливают, кто может быть членом таких групп и в какие группы могут входить группы с ограниченным членством.
• Правила системных служб. Определяют работу служб (сервисов) системы.
• Правила реестра. Разграничивают доступ к ветвям реестра, определяют параметры аудита и владельца конкретного элемента реестра.
• Правила файловой системы. Ограничивают доступ к объектам файловой системы, определяют владельца и параметры ведения аудита. Используется только для томов с NTFS.
• Политики открытого ключа. Позволяют настроить, в частности, правила использования файловой системы с шифрованием (EFS, Encrypted File System). Эти политики и все последующие являются дополнительными, они не используются в шаблонах безопасности и не анализируются и не настраиваются оснасткой Анализ и настройка безопасности. О них мы говорить не будем.
• Политики ограниченного использования программ. Разрешают/запрещают запуск программ пользователям. Что есть "программа", определяется по указанному расширению.
• Политики безопасности IP. Определяют настройки фильтров IP, а также использование шифрования пакетов (IPSec).
Так выглядит система безопасности NT-систем в общих чертах. Далее мы рассмотрим ее подробнее. Как и в предыдущей статье, речь будет вестись о локальной системе, не обремененной участием в домене, если не указано обратное. Для лучшего усвоения прочтенного текста желательно открыть оснастку Локальная политика безопасности из меню Администрирование кнопки Пуск. Данная оснастка предоставляет доступ к редактированию правил из части описанных групп правил (см. рис.1), так как наш гипотетический компьютер не входит в домен. Параметры из остальных групп модифицируются другими способами, например, для объектов файловой системы используется закладка Безопасность (редактор списка контроля доступа — ACL Editor) свойств объекта (что для локального компьютера вполне логично и приемлемо).
Политики учетных записей
Данные правила подразделяются на две (три в случае домена — добавляется политика Kerberos) группы: политика паролей и политика блокировки учетной записи.
Правила паролей задают требования, предъявляемые к паролям пользователей системы. Об отдельных правилах говорить не будем, так как я надеюсь, что читатель достаточно любознателен, чтобы исследовать их самостоятельно, к тому же, их названия говорят сами за себя (данное предположение действует и на весь остальной текст).
Так как среди взломщиков ("хакеров" согласно терминологии современного мэйнстрима, хотя это исторически неверно) популярностью пользуются атаки, заключающиеся в подборе пароля по заранее составленному файлу с набором типичных паролей ("словарная атака") и просто грубому перебору всех возможных комбинаций символов ("brut force"), то необходимо принять меры, страхующие систему от подобных методов взлома. Именно этим и занимается политика блокировки учетной записи. Здесь можно установить количество ошибочных попыток набора пароля до блокировки учетной записи, срок этой блокировки и период сброса счетчика неудачных попыток ввода пароля. Это мощное средство, однако им нужно пользоваться с осторожностью, так как возможен обратный эффект от его действия — взломщик может просто заблокировать аккаунт администратора, перешагнув порог блокировки учетной записи своими попытками подобрать пароль. Именно для этого существует правило, задающее срок этой блокировки (он не должен быть слишком большим).
Локальные политики
Локальные политики определяют правила безопасности локального компьютера. Они делятся на три группы: политики аудита, назначение прав пользователя и параметры безопасности.
Политика аудита предписывает заносить в журнал Безопасность те или иные события (удачные и/или неудачные). После указания событий, требующих регистрации, можно указать конкретные объекты, за которыми будет вестись слежение (например, после разрешения аудита доступа к объектам можно в свойствах папки указать ведение аудита доступа для конкретных пользователей и/или групп).
Права пользователя на выполнение определенных действий устанавливаются по-разному для рабочей станции, рядового сервера и контроллера домена. Правила назначения прав пользователя позволяют настроить привилегии пользователей и/или групп. Например, по умолчанию отлаживать процесс имеет право только администратор, а у вас подрастает сын и уже пытается что-то программировать в Delphi (или еще в чем-нибудь). Естественно, у него ограниченная пользовательская учетная запись в системе, а идея дать ему права администратора выглядит экстремизмом. Вся проблема решается добавлением учетной записи вашего сына в правиле Отладка программ.
Параметры безопасности представляют собой дополнительные правила, усиливающие защиту системы.
Остальные политики
Правила журнала регистрации определяют максимальные объемы журналов и способы отслеживания их переполнения. Тут (и далее) нам придется действовать двумя методами, так как оснастка Локальная политика безопасности не позволяет изменять данные параметры. Можно задать эти свойства в оснастке Просмотр событий, а можно воспользоваться оснастками Анализ и настройка безопасности и Шаблоны безопасности (о них мы поговорим чуть позже, а пока загрузите в консоль MMC данные оснастки, как показано на рис.2).
Правила групп с ограниченным членством — мощное средство контроля за членством в группах, которые могут повлиять на работоспособность и безопасность системы. Например, один администратор добавил нового временного администратора, а потом об этом забыл. Данные же правила запретят ему выполнить подобную операцию. Применяются они, в основном, в рамках домена, так как на локальном компьютере администратор чаще всего один, значит, новых пользователей создает только он, следовательно, за все только он и отвечает.
Правилами системных служб устанавливаются тип запуска службы (его и некоторые другие свойства можно также задать в оснастке Службы) и права доступа к ней. Это критичные параметры, изменяйте их с умом.
Правила реестра задают права доступа к ветвям реестра, владельца и ведение аудита. Данные параметры можно менять с помощью редактора реестра (Regedit.exe для XP, Regedt32.exe — для остальных NT). Не рекомендуется изменять значения данных свойств для корневой ветви HKEY_LOCAL_MACHINE во избежание неработоспособности системы.
Правила файловой системы, как и правила реестра, разграничивают доступ к ее объектам, назначают владельца и аудит. Изменение этих параметров доступно из закладки свойств Безопасность. Не следует изменять параметры по умолчанию для папок и файлов, используемых системой, таких, как %SystemRoot%, Documents and Settings etc.
О перечисленных в данном разделе параметрах мы более углубленно поговорим в следующей статье, тем более, что изменение разрешений безопасности для объектов файловой системы — одно из наиболее часто выполняемых действий администратора (и вызывает немало проблем у начинающих).
Анализ и настройка параметров безопасности системы
Вот и настало время воспользоваться открытыми нами оснастками Анализ и настройка безопасности и Шаблоны безопасности. Начнем, пожалуй, со второй оснастки.
Данная оснастка предоставляет нам возможность просматривать и редактировать шаблоны безопасности, содержащие параметры настройки перечисленных в начале групп параметров (кроме дополнительных). Шаблоны представляют собой обыкновенные текстовые INF-файлы следующего формата:
[Раздел значений]
Правило 1 = Значение
Правило 2 = Значение
Более подробно об их содержимом можно почитать в справке Windows. По умолчанию с системой идет ряд стандартных шаблонов, открывающихся сразу в оснастке Шаблоны безопасности. Они лежат в папке %SystemRoot%\security\ templates. Для каждого шаблона можно просмотреть описание, говорящее о его функциональных возможностях. Редактировать стандартные шаблоны не рекомендуется, лучше создать новый, выбрав в контекстном меню пути поиска пункт Создать шаблон... Кстати, возможно копирование отдельных групп параметров (через контекстное меню), что упрощает создание нового шаблона, т.е. мы будем делать его не с нуля. Если какое-либо правило не определено в шаблоне, то после его применения будет действовать значение по умолчанию.
Оснастка Анализ и настройка безопасности предоставляет нам следующие возможности:
• Анализирование политики безопасности на локальном компьютере.
• Сравнение установленных значений правил с шаблонными.
• Использование в качестве шаблонных правил добавляемые шаблоны.
• Формирование новых правил.
• Сохранение новых правил в виде шаблона.
• Применение вновь созданных правил к системе.
При первом запуске оснастка предложит нам создать или открыть базу конфигурации безопасности. База представляет собой файл, в котором хранятся эталонные параметры безопасности. В базу можно добавлять шаблоны безопасности. По умолчанию она располагается в каталоге %SystemRoot%\security\database. Для создания новой базы (а имеющаяся secedit.sdb недоступна) нужно в контекстном меню элемента Анализ и настройка безопасности выбрать пункт Открыть базу данных... и ввести новое имя, после чего в нее можно импортировать шаблон пунктом меню Импорт шаблона...
После этих действий можно проанализировать безопасность системы. Для этого загрузите нужную базу, после чего в контекстном меню уже упомянутого не раз элемента выберите пункт Анализ компьютера... Затем можно заняться собственно анализом, так как анализировать будем именно мы. Просматривая параметры после запуска анализа, мы заметим, что значки параметров изменились согласно следующим правилам:
• Если в базе параметр задан и соответствует установленному в системе, то он помечается галочкой.
• Если параметр в базе задан, но не соответствует установленному в компьютере, то он помечается крестиком.
• Если параметр не задан в базе, то анализ не выполняется, соответственно и значок не изменяется.
Дополнительно можно просмотреть файл журнала (пункт Показать файл журнала контекстного меню).
После анализа вам наверняка что-то захочется подправить. Любые действия над параметрами сохраняются только в базе. Затем можно выполнить экспорт шаблона для дальнейшего использования. Это делается командой контекстного меню Экспорт шаблона... Ну, а финалом всех наших манипуляций будет конфигурирование машины согласно загруженной базе безопасности. Для этого жмем во все том же меню пункт Настроить компьютер. Вуаля! У нас получилась настроенная, безопасная система, готовый шаблон (если взбредет в голову его потом использовать, скажем, на другом компьютере) и база, позволяющая анализировать текущую конфигурацию с шаблонами. К слову, оснастка Анализ и настройка безопасности в большинстве случаев вполне успешно заменяет оснастки Локальная политика безопасности и Шаблоны безопасности. И еще. Существует ее консольный аналог — утилита secedit.exe, но с ней разбирайтесь сами, устал я:-).
В общем, это основное, что я хотел вам поведать. Встретимся на следующем занятии, где продолжим изучение подсистемы безопасности NT, как и было обещано ранее.
Хорошего дня!
Creator, creator_vom@tut.by
Компьютерная газета. Статья была опубликована в номере 26 за 2003 год в рубрике soft :: win