Обзор защиты серверов

Серверы являются одним из критичных компонентов информационной системы предприятия и требуют спланированного подхода при обеспечении их защиты. Поскольку множество аспектов безопасности в Windows контролируется с помощью Групповой политики, первым шагом в планировании безопасности является классификация имеющихся серверов по ролям и создание в Active Directory системы подразделений (OU) для распределения по ним учетных записей серверов. Следует также предусмотреть подобную классификацию и для рабочих станций.
Типичные роли серверов включают в себя: контроллеры домена, серверы файлов и печати, серверы электронной почты, серверы баз данных, Web-серверы, инфраструктурные серверы (DNS, DHCP).
Типичные роли рабочих станций включают в себя: стационарные рабочие станции пользователей, мобильные компьютеры, киоски (kiosks) — общедоступные станции для выполнения какой-либо узкой функции, например, доступа в Internet.
Основными подходами к обеспечению безопасности компьютеров являются:

• Обеспечение физической безопасности компьютеров.
• Выключение ненужных сервисов (для этой цели в Windows Server 200-3 SP1 появился новый инструмент — Security Configuration Wizard, рассмотренный далее).
• Подстройка параметров операционной системы (для этой цели, в основном, используются шаблоны безопасности).
• Установка обновлений и пакетов обновлений.

Шаблоны безопасности

Общие сведения о шаблонах безопасности
При обеспечении безопасности компьютеров можно выделить ряд настроек, которые могут быть применены ко всем или большинству компьютеров. Совокупность этих настроек носит название базиса защиты (secure baseline). Создание базиса защиты упрощает настройку компьютеров, так как для каждого отдельно взятого компьютера обеспечение безопасности будет состоять из применения базиса и последующей подстройки небольшого количества параметров, уникальных именно для этого компьютера.

И базис защиты, и уникальные настройки для каждой роли компьютера могут быть реализованы с помощью шаблонов безопасности (security templates). Шаблон безопасности — это текстовый файл, описывающий различные аспекты безопасности компьютера. Например, в шаблоне безопасности можно настроить: параметры безопасности (security options), параметры аудита, разрешения на критичные системные файлы и папки и многое другое.

Примечание: до выхода SP1 к Windows Server 2003 шаблоны, которые можно было загрузить с сайта Microsoft в составе Windows Server 2003 Security Guide, содержали также параметры запуска служб. С появлением в SP1 Мастера настройки безопасности, контролирующего службы, настройки служб из новых версий шаблонов были исключены.

Шаблоны безопасности (как входящие в состав ОС, так и загружаемые отдельно) можно разделить на базовые и добавочные. Базовые шаблоны содержат множество настроек и контролируют все или почти все аспекты безопасности. Базовые шаблоны могут быть применены сразу, без выполнения предварительных условий. Добавочные шаблоны безопасности чаще всего применяются совместно с базовыми шаблонами и контролируют только небольшое количество настроек. Ниже приведены основные шаблоны безопасности, используемые для защиты компьютеров с ОС Windows ХР/2003 и их описание.

Встроенные шаблоны безопасности располагаются в папке %SYSTEMROOT%\security\templates.

Windows Server 2003 Security Guide — исчерпывающий документ, содержащий как руководство по обеспечению безопасности в сетях Windows Server 2003 (-300 страниц), так и набор шаблонов безопасности. Загрузить это Руководство можно с сайта компании Microsoft (http://go.microsoft.com/fwlink/?LinkId=14846).
В таблице 6.1 приведено несколько шаблонов класса Enterprise Client (ЕС), применяемых в сетях с современными клиентскими и серверными ОС — Windows 2000/ХР/2003. Тем не менее, в Руководство входят также аналогичные шаблоны классов Legacy Client (для сетей с клиентами и серверами Windows
9S7NT 4.0) и Specialized Security - Limited Functionality (клиенты и серверы — Windows 2000/XP/2003, a также повышенные требования к безопасности, возможно в ущерб функциональности).
Применение шаблонов безопасности требует тщательного предварительного тестирования, в противном случае можно легко нарушить функционирование всей сети.

Инструменты для создания и развертывания шаблонов

Основным инструментом для создания и редактирования шаблонов является оснастка Security Templates, которую требуется добавить вручную в консоль ММС. С помощью этого инструмента также можно создавать шаблоны на основе уже имеющихся.
Для применения созданного шаблона безопасности можно использовать три метода:

• Оснастка Security Configuration and Analysis. С помощью этого графического инструмента можно анализировать систему на предмет ее соответствия шаблону безопасности, а также применять шаблон. Этот метод чаще всего применяется для анализа текущих настроек, а также для применения настроек, в случае если компьютер, является членом рабочей группы.
• Утилита командной строки Secedit. По функциональности практически аналогична инструменту Security Configuration and Analysis, но позволяет выполнить анализ и настройку из командной строки.
• Групповая политика (Group Pulicy). Предпочтительный метод для распространения шаблонов безопасности в домене. Для этого необходимо выполнить импорт текстового шаблона в GPO. Допускается импорт нескольких шаблонов в один GPO, при этом настройки будут складываться (в случае конфликта «побеждают» настройки шаблона, который был импортирован позже).

Дополнительные шаблоны Windows Server 2003 Security Guide

Шаблон EC - Member Server Baseline задает основные настройки безопасности. Тем не менее, для того чтобы компьютер мог выполнять ту или иную серверную роль, необходима соответствующая модификация базового шаблона. Это достигается применением добавочного ролевого шаблона, который применяется (или импортируется в GPO) позже базового. Ролевые шаблоны содержат только минимум настроек, специфичных для данной роли. В таблице 6.3 перечислены добавочные шаблоны, которые входят в Windows Server 2003 Security Guide.
Добавочные ролевые шаблоны Windows Server 2003 Security Guide v2.1

Мастер настройки безопасности (Security Configuration Wizard)

Мастер настройки безопасности (Security Configuration Wizard - SCW) — инструмент, позволяющий уменьшить область возможных атак (attack surface) для операционной системы Windows Server 2003 SP1. SCW дает возможность администратору указать выполняемые сервером роли и отключить остальные неиспользуемые функции. В частности, SCW может выполнить следующие действия:

SCW позволяет администратору создать политику безопасности (представляющую собой XML-файл), при применении которой выполняются все необходимые настройки. Важно заметить, что SCW работает только на Windows Server 2003 SP1 и не работает на клиентских ОС и Small Business Server 2003.
Мастер настройки безопасности входит в состав SP1 для Windows Server 2003, но не устанавливается по умолчанию. Для установки SCW необходимо использовать значок Add or Remove Programs и затем щелкнуть Add/Remove Windows Components. В окне компонентов Windows нужно установить флажок Security Configuration Wizard. После установки можно запустить Мастер из группы программ Administrative Tools.

Компоненты SCW
Мастер настройки безопасности состоит из трех компонентов: сам Мастер (интерфейс пользователя), инструмент командной строки (scwcmd.exe) и база настроек безопасности (security configuration database).

• Мастер позволяет администратору проанализировать установленные сервисы, выполнить выбор ролей, создать политику безопасности, применить ее и, при необходимости, отменить ее.
• Утилита scwcmd.exe позволяет:

  применить ранее созданную политику;
  проанализировать конфигурацию компьютера на соответствие политике и просмотреть результат анализа в HTML-файле;
  отменить ранее примененную политику;
  конвертировать XML-файл политики в объект Групповой политики (GPO); о   зарегистрировать расширение базы настроек безопасности.

• База настроек безопасности — это набор XML-документов, которые описывают сервисы и порты, необходимые для выполнения компьютером той или иной роли. Эти файлы расположены в папке %Systemroot%\Security\Msscw\KBs. При прохождении Мастера компьютер сканируется, и на основании полученных результатов определяется, какие роли в данный момент выполняются сервером, а также какие сервисы запущены, но не относятся к известным Мастеру ролям.

Процесс создания политики

Хотя Мастер настройки безопасности очень упрощает настройку безопасности сервера, и избавляет от необходимости чтения многостраничных руководств, он тем не менее требует очень внимательного отношения. Пройдя более 25-ти диалоговых окон Мастера, администратору нужно будет принять множество решений, от которых зависит функциональность сервера. Всего в Мастере 5 секций, описание которых приведено в таблице

Процесс создания политики выглядит следующим образом:

• Выбирается сервер-прототип. Если политику планируется применить на одном компьютере, скорее всего, он и будет прототипом. Если же планируется применить политику на группу компьютеров, то нужно выбрать сервер, текущие настройки которого максимально соответствуют тому, что планируется получить в результате.
• Запускается Мастер настройки безопасности и указывается сервер-прототип. Далее Мастер проводит анализ сервера (рисунок 6.1, слева). Кнопка View Database позволяет просмотреть базу настроек безопасности, что полезно для изучения того, какие сервисы и порты требуются для той или иной роли (тем не менее, на прохождение Мастера нажатие этой кнопки никакого влияния не оказывает).
• Далее в секции Role-based Service Configuration Мастер показывает результаты анализа сервера-прототипа (рисунок 6.1, справа), где указаны роли, выполняемые данным сервером (ненужные роли можно выключить). Также запрашивается решение администратора относительно клиентских сервисов, таких как Automatic Update Client, дополнительных опций и неизвестных Мастеру сервисов.

• Особенно нужно отметить вопрос о поведении политики касательно сервисов при ее применении на другом компьютере (диалоговое окно Handling Unspecified Services). Дело в том, что на сервере, к которому применяется политика, могут работать сервисы, не определенные в политике, поскольку они вообще отсутствовали на сервере-прототипе. Возможно принудительное выключение всех неизвестных сервисов, также можно оставить эти сервисы без изменения (обычно стоит выбрать именно этот вариант).


• В конце секции выводится диалоговое окно с перечнем изменений, которые будут внесены применением политики согласно выбору, сделанному администратором в предыдущих диалоговых окнах
• В секции Network Security можно выключить порт, открытый на сервере-прототипе, сняв флажок (рисунок 6.2, справа). Кнопка Advanced позволяет задать ограничение на диапазоны IP-адресов, с которых разрешено подключение к данному порту, а также политику IPSec, связанную с этим портом (например, обязательное требование шифрования).
• По завершении прохождения Мастера будет предложено сохранить политику в XML-файл, а также добавить в политику настройки из шаблонов безопасности. Добавление шаблонов в политику рекомендуется для получения завершенного набора настроек, поскольку политика, созданная Мастером, не определяет значения для всех настроек безопасности Windows Server 2003. Важно заметить, что настройки шаблонов имеют меньший приоритет, чем настройки Мастера.

Применить созданную политики можно как с помощью Мастера, так и конвертировав XML-файл политики в объект Групповой политики и затем привязав этот объект к нужному подразделению, содержащему учетные записи компьютеров.