Цыплаков А.С., Флоров С.В.

Национальный горный университет, г. Днепропетровск

Основные настройки групповой политики домена под управлением Windows Server 2008R2

Windows Server 2008R2 с предлагает ряд новых и улучшенных технологий безопасности и новые компоненты. По сравнению с предыдущими версиями, эта ОС  имеет несколько тысяч улучшенных и обновленных параметров групповой политики. Целью данной статьи является определение наиболее существенных изменений этих политик.

Теперь для управления групповыми политиками в Windows Server 2008R2  используется консоль Group Policy Management (GPMC). Используя GPMC, администратор может в удобном виде добавлять, удалять, редактировать, создавать резервные копии и восстанавливать объекты групповой политики (GPO), составлять отчеты, экспортировать и импортировать политики, просматривать текущие установки и моделировать применение политик.

Политика паролей

В предыдущих версиях каждом домене может быть только одна политика паролей. На самом же деле, ограничена не только политика паролей, но и более широкий набор параметров, относящихся к политикам учетных записей. В Windows Server 2008R2 появилась возможность использовать несколько политик паролей.

Возможность управления паролем с помощью групповой политики – один из главных параметров безопасности. Параметры изначально задаются политикой домена по умолчанию (Default Domain Policy), но их можно также задать в любом объекте групповой политики (GPO), который связан с доменом. Главное, что следует учесть, GPO, содержащий параметры политики учетных записей, должен иметь наиболее высокий приоритет среди всех GPO, связанных с доменом.

Параметры, которые можно задавать, включают параметры, показанные на рисунке 1 и приведенные в таблице 1.

Рисунок 1: Параметры политики паролей в стандартной политике домена

Рекомендация безопасной настройки политик приведена в столбце Безопасное значение.

Особенно, стоит обратить внимание на параметр Сложность пароля. Когда этот параметр включен – пароль должен содержать буквы, цифры и специальные символы.

Контроль учетных записей

User Account Control (контроль учетных записей)  создан для того, чтобы в системе можно было полноценно работать без прав администратора. Эту задачу необходимо было решать потому, что в Windows 2000/XP работа с административной учетной записью была обыденной практикой. В этом случае проникновение вредоносного кода в систему ведет к критическим последствиям. Ситуация осложнялась тем, что многие разработчики программ совершенно не заботились об ограниченных учетных записях, всецело полагаясь на то, что установка их продуктов и работа с ними будут вестись с правами администратора. Создатели UAC изменили модель контроля доступа, в результате чего была не только изменена работа учетных записей, но и реализована виртуализация файловой системы и реестра.

UAC в Windows Vista вызывало множество нареканий, как со стороны администраторов, так и пользователей. Поэтому в Windows Server 2008 R2 произошли улучшения, не только изменившие поведение контроля учетных записей, но и позволяющие более гибко настроить UAC. В Windows Server 2008 R2 контроль учетных записей улучшен за счет того, что:

• уменьшено количество запросов в различных ситуациях
• увеличено число операций, которые обычный пользователь может выполнять без повышения прав
• добавлены новые параметры UAC
• введены новые политики безопасности, позволяющие настроить UAC для локальных администраторов и обычных пользователей

Управление пользовательскими учетными записями (User Account Control – UAC) помогает защитить компьютер, на котором зарегистрирован пользователь и администратор. UAC в принудительном порядке делает пользователей стандартными пользователями для всех задач. Таким образом, контроль учетных записей призван не предотвратить проникновение вредоносного кода (для этого есть брандмауэр и антивирусное/антишпионское ПО), а снизить наносимый им ущерб - ограничить его влияние правами обычного пользователя. Это осуществляется путем вывода диалогового окна предупреждения всякий раз, когда к защищенной области компьютера пытается получить доступ какой-либо процесс. Это может быть доступ к приложению, установка приложения, изменение системного реестра, запись в системный файл и т.д.

В настройках UAC вместо двух возможностей контроля (включен/выключен) появилось четыре уровня:

• "Уведомлять при установке программ или попытке внесения ими изменений, а также при изменении параметров Windows пользователем". Это максимальный уровень контроля учетных записей.
• "Уведомлять при установке программ или попытке внесения ими изменений". Этот уровень используется по умолчанию.
• "Уведомлять при попытке установке программ или попытке внесения ими изменений, но не затемняет рабочий стол". Затемнение рабочего стола (так называемый безопасный рабочий стол, Secure Desktop) - это своего рода подтверждение подлинности окна UAC, позволяющее визуально отличить поддельные запросы UAC от настоящих.
• "Не уведомлять ни при установке программ или попытке внесения ими изменений, ни при изменении параметров Windows пользователем". Контроль учетных записей отключен.

Управление UAC осуществляется с помощью утилиты UserAccountControlSettings.exe, из нескольких элементов Панели Управления и с помощью групповых политик (рисунок 2).

Рисунок 2: Опции групповой политики для управления UAC

 

Брандмауэр с расширенной безопасностью

Windows Server 2003 включал базовый брандмауэр на основе хоста, защищавший машину от внешних подключений, которые администратор не хотел разрешать для сервера. Этот брандмауэр был слишком прост и не обеспечивал многоуровневого контроля над входящим и исходящим доступом к компьютеру Windows Server 2003 и с этого компьютера. Кроме того, брандмауэр Windows Server 2003 был не очень плотно связан с установленными службами, поэтому приходилось вручную настраивать его всякий раз, после добавления новой роли или службы на сервер.

В Windows Server 2008R2 включен новый улучшенный брандмауэр - Windows Firewall с расширенной безопасностью (Advanced Security). Возможности, которыми обладает новый Windows Firewall с Advanced Security включают следующее:

• Многоуровневый контроль над входящим доступом
• Многоуровневый контроль над исходящим доступом
• Тесную связь с Windows Server 2008 Server Manager, с автоматической настройкой брандмауэра, когда службы устанавливаются с помощью Server Manager
• Значительно улучшенная настройка и управление политики IPsec, и изменения имени. Политики IPsec теперь называются Правила безопасности подключений (Connection Security Rules)
• Улучшенный мониторинг политики брандмауэра
• Улучшенный мониторинг политик IPsec (теперь называемых «Правила безопасности подключений»)
• Улучшенный централизованный мониторинг основного и быстрого режимов ассоциаций безопасности (Main and Quick Mode Security Associations)

Параметры брандмауэра относятся к области безопасности в групповой политике.

Ветвь политики, включает в себя три вкладки:

• Входящие правила (Inbound rules)
• Исходящие правила (Outbound rules)
• Правила безопасности подключений (Connection Security Rules)

Для любой из этих опций можно создать правила, которые будут контролировать входящие и исходящие подключения, а также настройки безопасности.

Контроль группы локальных администраторов

Одним из самых небезопасных параметров безопасности, который может быть предоставлен конечному пользователю, является доступ к локальному администрированию. Когда пользователи работают от имени учетных записей локальных администраторов, ИТ персонал не контролирует этих пользователей или их компьютеры.

Действия, которые пользователь может выполнять, имея доступ локального администратора, включают, но не ограничиваются, следующим:

• Удаление компьютера из домена
• Изменение любых параметров системного реестра
• Изменение разрешений для любой папки или файла
• Изменение любых системных параметров, включая параметры, которые находятся в файлах в системной папке
• Установка любых приложений
• Удаление приложений, патчей безопасности или пакетов обновления
• Доступ к любым веб сайтам, разрешенным брандмауэром
• Загрузка и установка элементов управления ActiveX, веб приложений или других вредоносных приложений, скачанных из интернета

Задача по защите группы локальных администраторов состоит в том, чтобы убедиться, что ни один пользователь больше не принадлежит к этой группе. Windows Server 2008 R2 обладает новыми органами управления, которые позволяют быстро решить эту задачу.

Чтобы удалить пользователя из локальной группы Администраторы необходимо отредактировать групповую политику (Конфигурация пользователя\Настройки\Панель управления), создать новую локальную группу Администраторы, как показано на рисунке 3.

 

Рисунок 3: Привилегия групповой политики для локальной группы

После обновления групповой политики, все учетные записи пользователей, входящих в рамки управления GPO, в котором настроен этот параметр, будут удалены из локальной группы администраторов на том компьютере, на котором они зарегистрированы. Этот параметр вступит в силу во время следующего фонового обновления групповой политики, что займет менее 90 минут.

Следующей фазой защиты группы локальных администраторов будет обеспечение того, чтобы глобальная группа доменных администраторов (Domain Admins) и учетная запись локального администратора были добавлены в группу локальных администраторов на каждом компьютере.

Выводы:

Двухлетний опыт эксплуатации информационной системы под управлением Windows Server 2008 R2 показал, что применение параметров групповой политики домена, рассмотренных в данной статье, обеспечило необходимый и достаточный уровень защищенности.

Литература:

1.     Рэнд Моримото, Майкл Ноэл, Омар Драуби. Microsoft Windows Server 2008. Полное руководство – СПб., 2009. – 538-543 с.

2.     Контроль учетных записей в Windows 7 и Windows Server 2008 R2 (Электрон. Ресурс)/Способ доступа: URL: http://www.oszone.net/10169/UAC

3.      Windows Server 2008 и Windows Server 2008 R2 (Электрон. Ресурс)/Способ доступа: URL: http://technet.microsoft.com/ru-ru/library/dd349801%28WS.10%29.aspx