Vvmebel.com

Новости с мира ПК
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Настройка систем безопасности

Пусконаладка систем безопасности

Настройка систем безопасности с последующей сдачей в эксплуатацию завершает весь комплекс работ по организации защиты и повышению уровня безопасности объекта. Этот этап позволяет подвести итоги выполненных работ — увидеть все установленные системы в действии и вовремя устранить возможные недочеты в программной или аппаратной части. Таким образом, качество выполненная наладка систем безопасности станет залогом их корректной работы, а следовательно обеспечит сохранность Вашего имущества.

Как правило, комплексная настройка систем безопасности включает:

Конечно же на объекте могут быть установлены не все перечисленные выше системы, однако стоит помнить, что все они должны быть тщательно настроены и опробованы в действии. Поэтому доверять пусконаладку систем безопасности стоит исключительно профильным специалистам с опытом проведения подобных работ и всеми необходимыми разрешениями. Ведь именно от них в конечном итоге зависит качество и корректность последующей работы охранных систем объекта.

Состав работ при настройке систем безопасности

Состав работ, выполняемый в ходе настройки систем безопасности, напрямую зависит от типа и сложности реализованных систем, примененного в них оборудования, взаимодействия охранных систем между собой и с другими системами объекта, а также множества других факторов. Поэтому для ознакомления предоставим Вам типовой перечень работ по настройке систем безопасности:

1. Проверка соответствия установленных систем проектной и нормативной документации.

2. Проверка правильности подключения и надежности креплений периферийного оборудования (охранные датчики, видеокамеры).

3. Контроль работоспособности и настройка параметров периферийных устройств.

4. Контроль целостности кабельных линий.

5. Программирование центрального оборудования (ПКП, контроллеров и т.д.).

6. Установка специализированного ПО на ПК диспетчера, настройка уровней доступа и идентификаторов.

7. Пробный запуск систем безопасности с целью проверки корректности их работы.

8. Настройка и тестирование механизмов взаимодействия охранных систем между собой и с остальными системами здания.

9. Устранение всех выявленных недочетов и окончательный запуск систем безопасности.

10. Заключение договора на техническое обслуживание систем безопасности.

Это лишь примерный перечень, подлежащий обсуждению и корректировке в соответствии с потребностями каждого конкретного объекта. Ведь от правильного подхода и качества выполнения наладки систем безопасности напрямую зависит общий уровень защиты объекта и в конечном итоге сохранность Вашего имущества.

Преимущества настройки систем безопасности нашей компанией

1. Выполнение настройки систем безопасности в комплексе или по отдельности.

2. Наличие разрешительных документов и большой опыт в проведении настройки систем безопасности.

3. Четкое следование регламентам и соблюдение всех законодательных норм.

4. Квалифицированные профильные специалисты с опытом программирования и наладки отечественного и зарубежного оборудования.

5. Консультации по эксплуатации систем и правильной работе с оборудованием.

6. Гарантия высокого качества выполненной наладки систем безопасности.

7. Индивидуальный подход и гибкая система ценообразования.

Заказать настройку систем безопасности

Мы предоставляем полный комплекс услуг по повышению уровня безопасности Вашего объекта – проектирование, монтаж и настройку систем безопасности с возможностью их дальнейшего технического обслуживания. Все работы выполняются исключительно квалифицированными профильными специалистами в строгом соответствии с регламентными и нормативными требованиями. Узнать стоимость работ и заказать настройку систем безопасности в Москве, Санкт-Петербурге и других регионах можно по телефонам или через форму обратной связи «Оставить заявку». Индивидуальный подход и высокое качество работ гарантируем!

Настраиваем локальную политику безопасности в Windows 7

Политика безопасности представляет собой набор параметров для регулирования безопасности ПК, путем их применения к конкретному объекту или к группе объектов одного класса. Большинство пользователей редко производят изменения данных настроек, но бывают ситуации, когда это нужно сделать. Давайте разберемся, как выполнить данные действия на компьютерах с Виндовс 7.

Варианты настройки политики безопасности

Прежде всего, нужно отметить, что по умолчанию политика безопасности настроена оптимально для выполнения повседневных задач рядового юзера. Производить манипуляции в ней нужно только в случае возникновения необходимости решить конкретный вопрос, требующий корректировки данных параметров.

Изучаемые нами настройки безопасности регулируются с помощью GPO. В Виндовс 7 сделать это можно, используя инструменты «Локальная политика безопасности» либо «Редактор локальных групповых политик». Обязательным условием является вход в профиль системы с полномочиями администратора. Далее мы рассмотрим оба этих варианта действий.

Способ 1: Применение инструмента «Локальная политика безопасности»

Прежде всего, изучим, как решить поставленную задачу с помощью инструмента «Локальная политика безопасности».

    Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления».

Далее откройте раздел «Система и безопасности».

Из предложенного набора системных инструментов выберите вариант «Локальная политика безопасности».

Также оснастку можно запустить и через окно «Выполнить». Для этого наберите Win+R и введите следующую команду:

Затем щелкните «OK».

Указанные выше действия приведут к запуску графического интерфейса искомого инструмента. В подавляющем большинстве случаев возникает необходимость откорректировать параметры в папке «Локальные политики». Тогда нужно щелкнуть по элементу с этим наименованием.

В данном каталоге располагается три папки.

В директории «Назначение прав пользователя» определяются полномочия отдельных пользователей или групп юзеров. Например, можно указать, запрет или разрешение для отдельных лиц или категорий пользователей на выполнение конкретных задач; определить, кому разрешен локальный доступ к ПК, а кому только по сети и т.д.

В каталоге «Политика аудита» указываются события, предназначенные для записи в журнале безопасности.

В папке «Параметры безопасности» указываются разнообразные административные настройки, которые определяют поведение ОС при входе в неё как локально, так и через сеть, а также взаимодействие с различными устройствами. Без особой необходимости данные параметры изменять не стоит, так как большинство соответствующих задач можно решить через стандартную настройку учетных записей, родительский контроль и разрешения NTFS.

Читайте также: Родительский контроль в Windows 7
Для дальнейших действий по решаемой нами задаче щелкните по наименованию одного из указанных выше каталогов.

Откроется перечень политик выбранного каталога. Кликните по той из них, которую желаете изменить.

После этого откроется окошко редактирования политики. Его вид и действия, которые необходимо произвести, существенно отличаются от того, к какой именно категории она принадлежит. Например, для объектов из папки «Назначение прав пользователя» в открывшемся окне необходимо добавить или удалить имя конкретного пользователя либо группы юзеров. Добавление производится путем нажатия кнопки «Добавить пользователя или группу…».

Если же необходимо произвести удаление элемента из выбранной политики, то выделите его и нажмите «Удалить».

  • После завершения манипуляций в окне редактирования политики для сохранения внесенных корректировок не забудьте нажать кнопки «Применить» и «OK», а иначе изменения не вступят в силу.
  • Мы описали изменение настроек безопасности на примере действий в папке «Локальные политики», но по такой же аналогии можно производить действия и в других каталогах оснастки, например в директории «Политики учетных записей».

    Способ 2: Использование инструмента «Редактор локальной групповой политики»

    Настроить локальную политику можно также при помощи оснастки «Редактор локальной групповой политики». Правда, данный вариант доступен не во всех редакциях Windows 7, а только в Ultimate, Professional и Enterprise.

      В отличие от предыдущей оснастки, данный инструмент нельзя запустить через «Панель управления». Его можно активировать только путем введения команды в окно «Выполнить» или в «Командную строку». Наберите Win+R и введите в поле такое выражение:

    Читать еще:  Верхний уровень политики безопасности

    Затем щелкните «OK».

    Читайте также: Как исправить ошибку «gpedit.msc не найден» в Windows 7
    Откроется интерфейс оснастки. Перейдите в раздел «Конфигурация компьютера».

    Далее щелкните по папке «Конфигурация Windows».

    Теперь щелкните по элементу «Параметры безопасности».

    Откроется директория с уже знакомыми нам по предыдущему методу папками: «Политики учетных записей», «Локальные политики» и т.д. Все дальнейшие действия проводятся по точно такому же алгоритму, который указан при описании Способа 1, начиная с пункта 5. Единственное отличие состоит в том, что манипуляции будут выполняться в оболочке другого инструмента.

    Настроить локальную политику в Виндовс 7 можно путем использования одной из двух системных оснасток. Порядок действий в них довольно схожий, отличие заключается в алгоритме доступа к открытию данных инструментов. Но изменять указанные настройки рекомендуем только тогда, когда вы полностью уверены, что это нужно сделать для выполнения определенной задачи. Если же таковой нет, эти параметры лучше не корректировать, так как они отрегулированы на оптимальный вариант повседневного использования.

    Отблагодарите автора, поделитесь статьей в социальных сетях.

    Настройка системы безопасности Windows XP своими руками

    В прошлой части нашей статьи мы подробно рассматривали установку и оптимизацию Windows XP на рабочей станции своими руками. Теперь, когда WinXP настроена и работает без тормозов, пришло время позаботиться об информационной безопасности.

    Настройка системы безопасности Windows XP

    Операционная система Windows XP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке. Мы надеемся, что вы понимаете, что система Windows XP должна устанавливаться на разделах NTFS, что применение файловой системы FAT32 не рекомендуется, исходя из принципов безопасности (встроенные средства безопасности просто не могут быть реализованы при условии применения FAT32). В случае применения файловой системы FAT 32 почти все утверждения данного раздела теряют для вас всякое значение. Единственный способ включить все разрешения файловой системы – преобразовать диск в формат NTFS.

    После чистой установки Windows XP предлагаемые по умолчанию параметры безопасности работают как переключатели типа «включить-выключить». Такой интерфейс носит по умолчанию название Простой общий доступ (Simple File Sharing). Такая конфигурация обладает низким уровнем безопасности, практически совпадающей со стандартной конфигурацией Windows 95/98/Me.

    Если вас не устраивает такая конфигурация, вы можете воспользоваться всей мощью разрешений для файлов в стиле Windows 2000. Для этого откройте произвольную папку в Проводнике и выберите Сервис -> Свойства папки (Tools -> Folder options). Перейдите на вкладку Вид найдите в списке флажок Использовать простой общий доступ к файлам (рекомендуется) (Use File Sharing (recommended) и снимите его.

    Рис. 11. Свойства папки

    Когда вы выключаете простой общий доступ, в диалоговом окне свойств любой папки появляется вкладка Безопасность. Аналогично осуществляется выдача разрешений на файлы. Все разрешения хранятся в списках управления доступом (Access Control List – ACL).

    При установке и удалении разрешений руководствуйтесь следующими основными принципами:

    Работайте по схеме «сверху-вниз».

    Храните общие файлы данных вместе.

    Работайте с группами везде, где это только возможно.

    Не пользуйтесь особыми разрешениями.

    Не давайте пользователям большего уровня полномочий, чем это абсолютно необходимо (принцип минимизации полномочий).

    Установка разрешения из командной строки

    Утилита командной строки cacls.exe доступна в Windows XP Professional позволяет просматривать и изменять разрешения файлов и папок. Cacls – сокращение от Control ACLs – управление списками управления доступом.

    Ключи командной строки утилиты cacls

    /T — Смена разрешений доступа к указанным файлам в текущей папке и всех подпапках

    /E — Изменение списка управления доступом (а не полная его замена)

    /C — Продолжить при возникновении ошибки «отказано в доступе»

    /G — пользователь:разрешение Выделение пользователю указанного разрешения. Без ключа

    /E — полностью заменяет текущие разрешения

    /R — пользователь Отменяет права доступа для текущего пользователя (используется только с ключом /E)

    /P — пользователь:разрешение Замена указанных разрешений пользователя

    /D — пользователь Запрещает пользователю доступ к объекту

    С ключами /G и /P нужно использовать одну их перечисленных ниже букв (вместо слова разрешение):

    F (полный доступ) – эквивалентно установке флажка Разрешить полный доступ (Full Control) на вкладке Безопасность.

    C (изменить) – тождественно установке флажка Разрешить Изменить (Modify)

    R (чтение) – эквивалентно установке флажка Разрешить Чтение и выполнение (Read & Execute)

    W (запись) – равнозначно установке флажка Разрешить запись (Write)

    Microsoft Windows XP позволяет предотвратить попадание конфиденциальных данных в чужие руки. Шифрующая файловая система (Encrypting File System — EFS) шифрует файлы на диске. Однако, следует иметь ввиду, что если вы утратите ключ для расшифровки, данные можно считать утерянными. Поэтому если вы решите воспользоваться преимуществанми EFS, необходимо создать учетную запись агента восстановления, резервную копию собственного сертификата и сертификата агента восстановления. Если вы предпочитаете работать с командной строкой, то можете воспользоваться программой cipher.exe.

    Команда cipher без параметров выводит информацию о текущей папке и размещенных в ней файлах (зашифрованы они или нет). Ниже приведен список наиболее часто используемых ключей команды cipher

    /E — Шифрование указанных папок

    /D — Расшифровка указанных папок

    /S:папка — Операция применяется к папке и всем вложенным подпапкам (но не файлам)

    /A — Операция применяется к указанным файлам и файлам в указанных папках

    /K — Создание нового ключа шифрования для пользователя, запустившего программу. Если этот ключ задан, все остальные игнорируются

    /R — Создание ключа и сертификата агента восстановления файлов. Ключ и сертификат помещаются в файл .CFX, а копия сертификата в файле .CER

    /U — Обновление ключа шифрования пользователя или агента восстановления для всех файлов на всех локальных дисках

    /U /N — Вывод списка всех зашифрованных файлов на локальных дисках без каких-либо других действий

    Устранение проблем с разрешениями

    Агент восстановления данных

    Агентом восстановления данных (Data Recovery Agent) назназначается обычно администратор. Для создания агента восстановления нужно сначала сохдать сертификат восстановления данных, а затем назначить одного из пользователей таким агентом.
    Чтобы создать сертификат нужно сделать следующее:

    Нужно войти в систему под именем Администратор

    Ввести в командной строке cipher /R: имя файла

    Введите пароль для вновь создаваемых файлов

    Файлы сертификата имеют расширение .PFX и .CER и указанное вами имя.

    ВНИМАНИЕ! Эти файлы позволяют любому пользователю системы стать агентом восстановления. Обязательно скопируйте их на дискету и храните в защищенном месте. После копирования удалите файлы сертификата с жесткого диска.

    Для назначения агента восстановления:

    Войти в систему под учетной записью, которая должна стать агентом восстановления данных

    В консоли Сертификаты перейдите в раздел Сертификаты – Текущий пользователь -> Личные (Current User -> Personal)

    Действие -> Все задачи -> Импорт (Actions -> All Tasks -> Import) для запуска мастера импорта сертификатов

    Проведите импорт сертификата восстановления

    При неправильном использования средств шифрования вы можете получить больше вреда, чем пользы.

    Краткие рекомендации по шифрованию:

    Зашифруйте все папки, в которых вы храните документы

    Зашифруйте папки %Temp% и %Tmp%. Это обеспечит шифрование всех временных файлов

    Всегда включайте шифрование для папок, а не для файлов. Тогда шифруются и все создаваемые в ней впоследствии файлы, что оказывается важным при работе с программами, создающими свои копии файлов при редактировании, а затем перезаписывающими копии поверх оригинала

    Читать еще:  Уровень безопасности 2

    Экспортируйте и защитите личные ключи учетной записи агента восстановления, после чего удалите их с компьютера

    Экспортируйте личные сертификаты шифрования всех учетных записей

    Не удаляйте сертификаты восстановления при смене политик агентов восстановления. Храните их до тех пор, пока не будете уверены, что все файлы, защищенные с учетом этих сертификатов, не будут обновлены.

    При печати не создавайте временных файлов или зашифруйте папку, в которой они будут создаваться

    Защитите файл подкачки. Он должен автоматически удаляться при выходе из Windows

    Конструктор шаблонов безопасности

    Шаблоны безопасности являются обыкновенными ASCII – файлами, поэтому теоретически их можно создавать с помощью обыкновенного текстового редактора. Однако лучше воспользоваться оснасткой Security Templates консоли Microsoft Management Console (MMC). Для этого в командной строке нужно ввести mmc /a в этой консоли выбрать меню File – Add/Remove. В диалоговом окне Add Standalone Snap-in выбрать Security Templates – Add.
    Управление оснасткой

    Шаблоны безопасности расположены в папке %systemroot%securitytemplates. Количество встроенных шаблонов изменяется в зависимости от версии операционной системы и установленных пакетов обновлений.

    Если раскрыть любую папку в Security Templates, то в правой панели будут показаны папки, которые соответствуют контролируемым элементам:

    Account Policies – управление паролями, блокировками и политиками Kerberos

    Local Policies – управление параметрами аудита, пользовательскими правами и настройками безопасности

    Event Log – управление параметрами системного журнала

    Restricted Groups – определение элементов различных локальных групп

    System Services – включение и отключение служб и присвоение права модификации системных служб

    Registry – назначение разрешений на изменение и просмотр разделов реестра

    File System – управление разрешениями NTFS для папок и файлов

    Защита подключения к Интернет

    Для обеспечения безопасности при подключении к Интернет необходимо:

    Активизировать брандмауэр подключения к Интернет (Internet Connection Firewall) или установить брандмауэр третьих фирм

    Отключить Службу доступа к файлам и принтерам сетей Microsoft

    Брандмауэром подключения к Интернет называется программный компонент, блокирующий нежелательный трафик.

    Активация Брандмауэра подключения к Интернет.

    Откройте Панель управления – Сетевые подключения

    Щелкните правой кнопкой мыши на соединении, которое вы хотите защитить и выберите из меню пункт Свойства

    Перейдите на вкладку Дополнительно, поставьте галочку Защитить мое подключение к Интернет

    Изложенные выше рекомендации не являются исчерпывающим материалом по настройке безопасности операционной системы Windows XP Professional, однако надеюсь, они смогут помочь вам в этом нелегком процессе.

    Настройка системы безопасности windows 7

    Настройка системы безопасности windows 7

    В видеокурсе «Создание и администрирование одноранговой сети», в уроке посвященному вопросам безопасности, я рассказывал о том, что учетные записи рядовых пользователей должны обязательно быть ограниченны в правах. Но, для более безопасной работы, лучше так же ограничить учетную запись, под которой вы работаете на домашнем компьютере.

    На первый взгляд может показаться, зачем это нужно? Мол имеет смысл лишать рядовых пользователей административных прав, по тому, что они мало разбираются в информационных технологиях и могут начудить все что угодно, так же собственноручно скачать вирус и заразить им систему. Но, для того, чтобы заразить систему не обязательно скачивать вирус и запускать его. Он может попасть в систему, например через браузер, с кэшированными файлами. А как показывают последние данные, любой антивирус можно обойти, вопрос только во времени и желании.

    Думаю, вы сами сталкивались с ситуацией, когда антивирус работает в режиме реального времени и сканирует все файлы, к которым обращается операционная система. Причем стоит поставить сканировать диски на наличие вирусов, что-нибудь то находится, и я не говорю про архивы, которые были скачаны с Интернета, их антивирус проверяет в момент разархивирования, а системные файлы. Возникает вопрос КАК? Ведь антивирус следит за всеми файлами, которые использует операционная система? После возникновения подобных проблем я начал создавать задание для антивируса, чтобы раз в день, или в два дня он сканировал все винты. Но если железо слабое, то данная процедура может сильно грузануть систему, но, это опять же не 100% вариант защиты, как говорится 100% вообще ничего не бывает.

    По этому, предлагаю повысить уровень защиты вашего компьютера, выполнив действия, описанные в данном видеоуроке, и так давайте приступим, а пойдем мы тем же путем что и в видеокурсе «Создание и администрирование одноранговой сети», но для Windows 7 некоторые действия будут отличаться, чем в Windows XP.

    1) Заходим в Пуск Панель управления Администрирование Управление компьютером. При установке Windows 7, учетная запись пользователя автоматически имеет права администратора, а учетка админа отключена

    — включаем учетку админа (правая кнопка свойства отключенная учетная запись);

    — переименовываем учетку администратора в нестандартное имя, чтобы затруднить подбор имени и пароля (Пуск Панель управления Администрирование Локальная политика безопасности Локальные политики Параметры безопасности Учетные записи: Переименование учетной записи администратора adminic);

    Перезагрузим компьютер и зайдем под администратором

    В Windows XP, учетная запись администратора является скрытой, т.е. зайти в неё можно дважды нажав ctrl+alt+del, ввести имя и пароль. В Windows 7 система другая, здесь все включенные учетные записи отображаются в окне приветствия, а нам этого не надо, иначе, какой смысл был менять имя администратора, если его сразу можно увидеть.

    2) Заходим под adminic

    — сделаем ввод имени пользователя и пароля в ручном режиме (Пуск Панель управления Администрирование Локальная политика безопасности Локальные политики Параметры безопасности Интерактивный вход в систему: Не требовать нажатия ctrl+alt+del отключен, т.е. требовать нажатия ctrl+alt+del);

    — запретим отображение имени последнего пользователя выполнявшего вход в систему, для того, чтобы опять же усложнить подбор имени и пароля (Пуск Панель управления Администрирование Локальная политика безопасности Локальные политики Параметры безопасности Интерактивный вход в систему: Не отображать последнее имя пользователя включен);

    — переименовываем учетку пользователя, который будет работать за компом, так как в моем случае, злоумышленник может знать как меня зовут и ввести в поле пользователь мое имя. Собственно как сейчас и называется моя рабочая учетка. По этому переименовываем её и задаем пароль.

    Лучше всего придумать свои, уникальные, имена для пользователя и администратора.

    — теперь лишаем пользователя прав администратора, для этого исключаем его из группы администраторы и добавляем в пользователи.

    Перезагружаем систему и проверяем все сделанное ранее.

    Пользоваться учетной записью лишенной административных прав не удобно, так как существуют определенные ограничения, но, в Windows 7 все сделано намного проще! Для того, чтобы выполнить действия, разрешенные только администратору, система автоматически запрашивает данные администратора. В Windows XP такого нет L, там приходится заходить под учетной записью администратора.

    Допустим, попробуем удалить системный файл, система спрашивает пароль администратора, а в XP просто появилась бы ошибка, доступ запрещен. И можно было бы это сделать, только зайдя под администратором.

    Не надо лишать прав пользователей, к которым вы выезжаете на дом! Если они мало соображают в компьютерах, то они вам просто мозг вынесут, своими, почему да как!

    Читать еще:  Определение политики безопасности

    Настройка параметров безопасности (Шаблоны безопасности, Анализ и настройка безопасности)

    Управлению безопасностью в сетях Microsoft Windows посвящено немало учебных курсов и хороших книг. В предыдущих разделах мы уже касались политик безопасности, относящихся к учетным записям пользователей (параметры длины и сложности пароля, параметры блокировки учетных записей) и параметрам прав пользователей (в частности, локальный вход в систему на сервере для выполнения лабораторных работ в компьютерном классе).

    Оставим подробное изучение безопасности сетей Microsoft за рамками данного курса, но при этом рассмотрим работу с очень полезными оснастками, которые могут помочь начинающему сетевому администратору ознакомиться с некоторыми стандартными шаблонами политик безопасности, которые имеются в самой системе Windows Server, и проводить анализ и текущих настроек сервера в сравнении со этими стандартными шаблонами.

    1. Сначала откроем чистую консоль mmc.

    Кнопка » Пуск » — » Выполнить » — mmc — кнопка » ОК «.

    1. Добавим в новую консоль оснастки » Шаблоны безопасности » и » Анализ и настройка безопасности «.

    Меню » Консоль » — » Добавить или удалить оснастку » — кнопка » Добавить » — выбрать оснастку » Анализ и настройка безопасности » — кнопка » Добавить » — выбрать оснастку » Шаблоны безопасности » — кнопка » Добавить » — кнопка «Закрыть » — кнопка » ОК » (рис. 6.57).

    В полученной консоли (ее можно будет сохранить и использовать в дальнейшем неоднократно) можно делать следующее:

    • изучить параметры стандартных шаблонов безопасности (оснастка «Шаблоны безопасности») и даже попробовать сконструировать собственные шаблоны на основе стандартных (можно сохранить какой-либо шаблон с другим именем и изменить какие-либо параметры шаблона);
    • провести анализ (сравнение) текущих параметров безопасности сервера (оснастка » Анализ и настройка безопасности «).

    Приведем краткие характеристики стандартных шаблонов безопасности:

    • DC security — используемые по умолчанию параметры безопасности контроллера домена;
    • securedc — защищенный контроллер домена (более высокие требования к безопасности по сравнению с шаблоном DC security, отключается использование метода аутентификации LanManager );
    • hisecdc — контроллер домена с высоким уровнем защиты (более высокие требования к безопасности по сравнению с шаблоном securedc, отключается метод аутентификации NTLM, включается требование цифровой подписи пакетов SMB);
    • compatws — совместимая рабочая станция или совместимый сервер (ослабляет используемые по умолчанию разрешения доступа группы «Пользователи» к реестру и к системным файлам для того, чтобы приложения, не сертифицированные для использования в данной системе, могли работать в ней);
    • securews — защищенная рабочая станция или защищенный сервер (аналогичен шаблону securedc, но предназначен для применения к рабочим станциям и простым серверам);
    • hisecws — рабочая станция или защищенный сервер с высоким уровнем защиты (аналогичен шаблону hisecdc, но предназначен для применения к рабочим станциям и простым серверам);
    • setup security — первоначальные настройки по умолчанию (параметры, устанавливаемые во время инсталляции системы);
    • rootsec — установка стандартных (назначаемых во время инсталляции системы) NTFS-разрешений для папки, в которую установлена операционная система;

    Теперь на примере рассмотрим, как проводить анализ настроек безопасности.

    1. Откроем базу данных, в которой будут сохраняться настройки проводимого нами анализа.

    Щелкнем правой кнопкой мыши на значке оснастки » Анализ и настройка безопасности «, выберем » Открыть базу данных «, укажем путь и название БД (по умолчанию БД создается в папках профиля того администратора, который проводит анализ), нажмем кнопку » Открыть «, выберем нужный нам шаблон (например, hisecdc ) и нажмем » ОК » (рис. 6.58):

    1. Выполним анализ настроек безопасности.

    Щелкнем правой кнопкой мыши на значке оснастки » Анализ и настройка безопасности «, выберем » Анализ компьютера «, укажем путь и название файла с журналом ошибок (т.е. протоколом проведения анализа), нажмем «ОК», будет выполнено сравнение текущих настроек с параметрами шаблона (рис. 6.59):

    1. Теперь можно провести уже настоящий анализ настроек безопасности.

    Откроем любой раздел оснастки (например, » Политики паролей «, рис. 6.60):

    На рисунке сразу видны расхождения между настройками нашего сервера (столбец » Параметр компьютера «) и настройками шаблона (столбец » Параметр базы данных «) — видно, как мы понизили настройке безопасности для проведения практических занятий.

    Аналогично проводится анализ всех остальных разделов политик безопасности.

    Этой же оснасткой можно одним действием привести настройки нашего компьютера в соответствии с параметрами шаблона (щелкнуть правой кнопкой мыши на значке оснастки » Анализ и настройка безопасности «, выбрать » Настроить компьютер «). Не рекомендуем это делать, не изучив в деталях, какие последствия это может повлечь для всей сети. Высокие требования к параметрам безопасности препятствуют работе в домене Active Directory компьютеров с системами Windows 95/98/ME/NT. Например, данные системы поддерживают уровень аутентификации NTLM версии 2 (который назначается шаблонами hisecdc и hisecws ) только при проведении определенных настроек на компьютерах со старыми системами. Поэтому, прежде чем принимать решение об установке более высоких параметров безопасности в сети, необходимо тщательно изучить состав сети, какие требования к серверам и рабочим станциям предъявляют те или иные шаблоны безопасности, предварительно установить нужные обновления и настроить нужные параметры на «старых» системах и только после этого применять к серверам и рабочим станциям Windows 2000/XP/2003 шаблоны с высокими уровнями сетевой безопасности.

    Заметим дополнительно, что данные оснастки имеются не только на серверах, но и на рабочих станциях под управлением Windows 2000/XP Professional, и они позволяют производить аналогичный анализ и настройки на рабочих местах пользователей.

    Резюме

    Первая часть данного раздела описывает задачи служб каталогов корпоративной сети и основные понятия служб каталогов Active Directory:

    • домен;
    • дерево;
    • лес;
    • организационное подразделение.

    Вторая часть дает углубленные знания по логической и физической структуре службы каталогов Active Directory.

    Третья часть раздела посвящена практическим вопросам управления системой безопасности корпоративной сети — учетными записями пользователей, компьютеров, групп, организационными подразделениями. Описан также механизм групповых политик — мощное средство управлением настройками пользовательской среды и параметров компьютеров в большой корпоративной сети.

    В четвертой части описаны технологии управления сетевой безопасностью — протокол аутентификации Kerberos и применение шаблонов безопасности для настройки параметров безопасности серверов и рабочих станций.

    Задачи сетевого администратора при управлении инфраструктурой службы каталогов:

    • планирование и реализация пространства доменных имен компании или организации для службы каталогов Active Directory;
    • планирование и реализация IP-сетей и сайтов AD для управления процессами репликации контроллеров домена и аутентификации пользователей в сети;
    • планирование и размещение в сети контроллеров домена, выполняющих функции хозяев операций;
    • планирование и реализация правил создания и именования учетных записей пользователей, компьютеров и групп;
    • планирование и реализация стратегии использования групп для управления доступом к сетевым ресурсам;
    • планирование и реализация иерархии организационных подразделений для делегирования административных полномочий и применения групповых политик;
    • планирование и разработка набора групповых политик для управления рабочей средой пользователей и параметров компьютеров;
    • проведение анализа сетевой безопасности, настройка требуемого уровня сетевой безопасности на серверах и рабочих станциях.
    Ссылка на основную публикацию
    Adblock
    detector