Szablonowa ochrona systemu

Skuteczne zabezpieczenie systemu to jedno z najważniejszych zadań administratora. W sieciach komputerowych, gdzie trzeba chronić wiele komputerów, jego realizacja jest utrudniona. Windows Server 2003 umożliwia centralne zarządzanie ustawieniami zabezpieczeń, a następnie jednoczesne dostarczenie konfiguracji do stacji klientów.

Skuteczne zabezpieczenie systemu to jedno z najważniejszych zadań administratora. W sieciach komputerowych, gdzie trzeba chronić wiele komputerów, jego realizacja jest utrudniona. Windows Server 2003 umożliwia centralne zarządzanie ustawieniami zabezpieczeń, a następnie jednoczesne dostarczenie konfiguracji do stacji klientów.

Zarządzanie zabezpieczeniami systemów sieciowych powinno być bezproblemowe i sprawne. Windows Server 2003 zawiera grupę narzędzi, za pomocą których administrator może zmienić ustawienia na wszystkich serwerach i stacjach roboczych bez odchodzenia od swojego komputera. System zawiera przystawki pozwalające na szybką weryfikację, czy wprowadzane zmiany nie kolidują z bieżącymi parametrami serwera. Centralne przekazywanie ustawień zabezpieczeń jest realizowane przez Zasady grupy. Są jednak prostsze mechanizmy konfigurujące komputery pracujące w sieci. Dodatkowo administrator może szybko przygotować szablony ustawień, a następnie w prosty sposób zaimportować je do wybranych komputerów lub obiektów zasad grupy.

Zobacz również:

Uproszczone mechanizmy konfiguracji zabezpieczeń

Przystawka Zasady zabezpieczeń domeny.Kliknij, aby powiększyćPrzystawka Zasady zabezpieczeń domeny.Zasady grupy są dobrym i elastycznym rozwiązaniem, pozwalającym na szybkie skonfigurowanie środowiska pracy klientów sieci. Dużym organizacjom implementacja złożonych obiektów zasad umożliwia nadzorowanie sieci rozległych, składających się z setek komputerów. Niewielkim firmom zakładanie skomplikowanej struktury domen, jednostek organizacyjnych i lokalizacji nie jest potrzebne. Administratorów bardziej interesuje szybkie i skuteczne zabezpieczenie sieci oraz serwera. Do realizacji tego celu otrzymują dwie proste przystawki.

Po wyświetleniu zawartości folderu Narzędzia administracyjne wśród wielu skrótów odnajdujemy Zasady zabezpieczeń kontrolera domeny, Zasady zabezpieczeń domeny oraz Zasady zabezpieczeń lokalnych. Przystawki te służą do błyskawicznego określenia parametrów bezpieczeństwa wszystkich kontrolerów domeny, wszystkich komputerów w sieci i lokalnego serwera. Każde z narzędzi jest fragmentem ustawień, które możemy przypisać w obiektach Zasad grupy. Jeśli Windows Server 2003 pełni funkcję kontrolera domeny, podczas instalacji usługi Active Directory zakładane są dwa obiekty zasad, Default Domain Policy oraz Default Domain Controllers Policy. Pierwszy jest związany z instalowaną domeną, drugi obejmuje ustawienia kont komputerów umieszczonych w jednostce organizacyjnej Domain Controllers. Domyślnie są w niej tworzone konta kontrolerów domeny. Zmiany parametrów przystawek Zasady zabezpieczeń kontrolera domeny i Zasady zabezpieczeń domeny są w rzeczywistości modyfikacjami jednego z domyślnych obiektów zasad. Przystawka Zasady zabezpieczeń lokalnych służy do konfiguracji lokalnego środowiska serwera.

Jeżeli administrator chce zmienić parametry zabezpieczeń sieci, nie musi uruchamiać narzędzia Użytkownicy i komputery usługi Active Directory albo Group Policy Managment Console, wywoływać Edytora obiektów zasad i błądzić po ustawieniach komputerów. Wystarczy uruchomienie przystawki Zasady zabezpieczeń domeny. W wyświetlonej konsoli będzie można nanosić wszelkie parametry zabezpieczeń oraz definiować skrypty uruchamiania i zamykania komputerów.

Uwaga! Podczas konfiguracji zabezpieczeń kontrolerów domeny należy uważać na konflikty z ustawieniami zawartymi w Zasadach zabezpieczeń lokalnych. Jeśli parametry lokalne będą zastąpione przez zasady domenowe, system poinformuje nas o tym, przez wyświetlenie odpowiedniej ikony.

Przykładowa konfiguracja zasad ograniczeń oprogramowania

Ikona oznaczająca przekazanie ustawień z zasad domeny.Kliknij, aby powiększyćIkona oznaczająca przekazanie ustawień z zasad domeny.Zabezpieczenia ustawiane przez Zasady grupy zawierają bardzo atrakcyjną funkcję nadzorującą uruchamianie oprogramowania na stacji lokalnej. Usługa ta jest niezmiernie przydatna, jeśli chcemy się zabezpieczyć przed automatycznym uruchamianiem wirusów lub zabronić pracownikom korzystania z niedozwolonych programów typu komunikator internetowy.

Windows Server 2003 oferuje serie parametrów wpływających na ograniczenia oprogramowania. Po pierwsze, możemy zezwalać na uruchamianie wszystkich aplikacji z wyjątkiem zakazanych albo odwrotnie, tylko tych programów, które wskażemy. System pozwala również na wskazanie następujących reguł identyfikacji aplikacji: mieszania, certyfikatów, ścieżki oraz strefy internetowej. W zależności od właściwości programu dobieramy odpowiednią regułę. Do ograniczania specyficznego pliku uruchamiającego aplikację najlepiej nadaje się reguła mieszania. Stosuje specjalny algorytm hashowania, który wylicza wartość bezbłędnie identyfikującą plik lub program, trzeba jednak pamiętać, że po ukazaniu się nowej wersji aplikacji wartość obliczana przez algorytm może się zmienić i reguła przestaje skutkować.

Folder konfiguracji ograniczeń oprogramowania.Kliknij, aby powiększyćFolder konfiguracji ograniczeń oprogramowania.Bardzo bezpiecznym sposobem konfigurowania stacji sieciowych jest wyraźne wskazanie, jakie aplikacje mogą być uruchamiane. Nie trzeba wówczas dodawać każdego zabronionego programu do listy ograniczeń. Po przygotowaniu zbioru dozwolonych aplikacji i nadaniu odpowiednich uprawnień w systemie plików komputer będzie dobrze zabezpieczony. Powiemy teraz, jak wprowadzić ograniczenie zakazujące wszystkim użytkownikom domeny uruchamiania gry "Pasjans".

Jeśli chcemy ograniczyć uruchamianie oprogramowania w całej domenie, uruchamiamy przystawkę Zasady zabezpieczeń domeny i przechodzimy do folderu Zasady ograniczeń oprogramowania. Po zaznaczeniu folderu z menu Akcja wybieramy polecenie: Nowe zasady ograniczeń oprogramowania, zaznaczamy folder Reguły dodatkowe i z menu Akcja wybieramy Nowa reguła mieszania. W wyświetlonym oknie wskazujemy plik, który chcemy mieszać. W naszym przykładzie będzie to sol.exe. Alternatywnie można zabronić uruchamiania gry, wskazując ścieżkę, w której domyślnie jest przechowywany plik wykonywalny. W takim wypadku należy posłużyć się opcją: Nowa reguła ścieżki. Metoda mieszania stosunkowo dobrze eliminuje niepożądane oprogramowanie i jest skuteczna nawet wtedy, gdy użytkownicy zmienią domyślną ścieżkę lub nazwę pliku wykonywalnego.

Ograniczenia dotyczące oprogramowania można konfigurować na poziomie komputerów lub użytkowników. Zasady nałożone na komputery przenoszą parametry na wszystkich klientów pracujących przy danej stacji. Ustawienia związane z użytkownikami przechodzą na konta objęte kontenerem. Dla zasad zabezpieczenia domeny nie ma to większego znaczenia, ale jeśli w domenie zostały założone jednostki organizacyjne, przypisanie ograniczeń dla kont użytkowników umieszczonych w pojemnikach zawęzi obszar przenoszenia zasad do wskazanego zakresu.

Szablony zabezpieczeń

Okno reguły mieszania dotyczącej "Pasjansa".Kliknij, aby powiększyćOkno reguły mieszania dotyczącej "Pasjansa".Konfiguracja parametrów obejmujących bezpieczeństwo serwerów i stacji roboczych wymaga zaznaczenia odpowiedniej opcji w przystawce Zasady zabezpieczeń kontrolerów domeny lub Zasady zabezpieczeń domeny. Sposób określania ustawień Zasad grupy nie jest skomplikowany, ale jeśli zdarza się dużo zmian - bez wątpienia uciążliwy. Sprawne przeszukiwanie ponad setki parametrów, szczegółowe wczytywanie się w pomoc dotyczącą każdej opcji, wymaga czasu. Chcąc ujednolicić ustawienia i wykorzystać w wielu domenach albo stacjach pracujących w grupach roboczych, należy przygotować szablon zabezpieczeń, czyli plik tekstowy zawierający ustawienia wprowadzane do Zasad zabezpieczeń.

W skład szablonu wchodzą ustawienia znane z narzędzi do implementacji zasad. Po otworzeniu dowolnego pliku określamy parametry Zasad konta, Zasad lokalnych, Dziennika zdarzeń, Grup z ograniczeniami, Usług systemowych, Rejestru oraz Systemu plików. Zawartość szablonów możemy modyfikować odpowiednio do potrzeb, a następnie zapisać je pod własną nazwą. Dla przykładu: po zainstalowaniu systemu operacyjnego tworzony jest plik domyślnych ustawień uprawnień do plików systemowych Windows Server 2003. Szablon może być zmodyfikowany i zapisany, a następnie importowany do ustawień innego serwera lub do wybranego obiektu zasad grupy domeny.

Zawartość pliku tekstowego szablonu.Kliknij, aby powiększyćZawartość pliku tekstowego szablonu.System operacyjny jest dostarczany z grupą gotowych szablonów zawierających ustawienia kontrolerów domeny, serwerów członkowskich oraz stacji roboczych. Do każdego typu komputera oferowany jest inny poziom zabezpieczeń, od domyślnego, standardowego, do wyższego, wymuszającego mocne zabezpieczenia. Folder C:\WINDOWS\security\templates zawiera grupę wbudowanych szablonów. Są tam zarówno pliki o standardowym poziomie zabezpieczeń (DC Security.inf), umożliwiające bezproblemowe uruchamianie aplikacji na stacjach roboczych (compatws.inf), jak i podnoszące poziom zabezpieczeń (securedc.inf), wprowadzające mocną ochronę (hisecdc.inf). Szablony iesacls.inf, setup security.inf oraz rootsec.inf określają ustawienia kluczy rejestru Internet Explorera, zabezpieczeń plików systemu po instalacji oraz plików zapisanych w głównym katalogu.