Работа с мастером настройки безопасности в Windows 2008

Мастер настройки безопасности можно вызвать из окна Server Manager, или выбрав одноименную ссылку в Administrative Tools. Работа мастера разделена на несколько этапов.
Сначала предстоит выбрать, будем ли создавать новую или редактировать уже имеющуюся политику, применять готовую или делать откат.

В некоторых случаях предстоит указать на XML файл, в котором сохранены настройки. Возможность применения уже готовых политик на других компьютерах очень упрощает настройку. В случае установки на нескольких системах следует определиться с прототипом, а затем, создав политику, применить ее и к остальным, изменив при необходимости.
Во втором окне мастера содержится общая информация о назначении SCW и рекомендации по настройкам (например, если в windows firewall открыт порт для входящих подключений). Далее выбираем компьютер, который будет служить прототипом. Для подключения к удаленной системе необходимо обладать соответствующими правами. Затем проверяется текущее состояние системы, в частности, определение списка служб, ролей и компонентов, и полученная информация сверяется с внутреней базой, в которой содержатся данные о том, какие роли и компонеты используют порты, сервисы и другую информацию. Нажав кнопку View Configurations Database, можно запустить SCW Viewer и просмотреть текущий список ролей, компонентов, настройки Windows Firewall, список сервисов и прочее. Весьма ценная информация, помогающая еще лучше понять внутренний мир Windows 2008.
Теперь, собственно, переходим к настройкам политик безопасности. Сначала последовательно отмечаем роли, компоненты и дополнительные options, которые выполняются на сервере. Под параметры (options) попадает все, что не вошло в первые две категории, в этом списке присутствуют службы, инструменты администрирования и так далее.
Не смотря на простоту выбора, ведь достаточно просто отметить флажком нужный пункт, это очень важный этап. Если в ответах указать не верные данные, можно отключить нужную функцию, или наоборот активировать лишний сервис. Следует обратить внимание на то, что SCW показывает не только те роли, которые доступны в мастере добавления ролей, но и некоторые другие. Например, роль сервера приложений (Application Server) и четыре роли, связаные с Active Directory, в списке SCW отсутствуют. Это связано с несколько иным алгоритмом работы SCW, но, признаюсь, такой расклад при первом знакомстве не слабо сбивает с толку, и приходится обращаться к справочной информации и подсказкам мастера, чтобы не ошибиться в выборе. Упрощает ситуацию то, что в показанном списке уже отмечены все нужные роли, которые нашел мастер при анализе конфигурации, остается только проверить правильность выбора. В крайнем случае, всегда можно прибегнуть к возможности отката, отменив все изменения. По умолчанию показаны роли, на которые может быть настроен сервер. Вариант Core изначально поддерживает меньшее количество ролей, поэтому и список, выведенный здесь, будет меньше. В раскрывающемся списке View можно выбрать All Roles, активирующий показ всех ролей, имеющихся в базе данных, в том числе и не поддерживаемых данным сервером. Аналогичная ситуация и с компонентами, список, показанный мастером SCW, не совпадает с Add Features Wizard.
Далее выбираем, что делать со службами, которые не подпадают под настройки, то есть фактически не удовлетворяют политике. По умолчанию предлагается не изменять режим запуска таких служб (Do not change start up mode of the service), более безопасным считается вариант их отключения (Disable the service). Если политики будут применены на других серверах, конфигурация которых отличается, выбор второго варианта может привести к сбоям. Далее мастер выводит резюме, где перечисляется список всех служб (All services), а также тех служб, которые попадают под применение политик (Changed services). Если какое-то действие требуется отменить, придется возвращаться к предыдущим шагам мастера.
Следующий этап Network Security не менее важен, чем предыдущий. И хотя его можно пропустить (как и следующие), установив флажок Skip this section, лучше все-таки пройтись по его пунктам. После страницы приветствия будет показан список правил настройки Windows Firewall, выполненный в соответсвии с выбранными шаблонами.

Используя раскрывающийся список, можно отобрать для просмотра правила, предлагаемые SCW для выбранных ранее ролей и компонентов. После этого шага все соединения к ролям, не попавшим в этот список, будут блокированы. Чтобы получить подробную информацию о конкретном правиле, нажимаем на значок треугольника. Выбрав правило и нажав кнопку Edit, его можно отредактировать. Окно Edit rule содержит 4 вкладки, большинство параметров заблокированы, и изменять их нельзя. При помощи имеющихся настроек можно, например, разрешить только зашифрованные соединения, указать конкректный локальный и удаленный IP-адрес, привязав к строго определенным узлам. В результате получаем список правил, настроенных под конкретный сервер.

В следующей секции Registry Setting настраивается несколько параметров реестра, определяющих политики на уровне приложений и протоколов. Например, можно предъявить требования к операционным системам, подключающимся к серверу, разрешенные методы аутентификации для входящих и исходящих подключений. Перейдя в раздел Audit Policy, выбираем нужный уровень аудита (отключен, аудит успешной или заблокированной активности). Предлагаемые параметры подходят для большинства случаев. Далее сохраняем настройки в XML файл. При необходимости можно добавить к созданным политикам имеющиеся шаблоны безопасности, установив приоритет правил. Выбор View security policy позволяет просмотреть созданные политики.

И определяемся, нужно ли применять созданные политики по окончании работы мастера. Вот и все.
Также следует знать об утилите командной строки scwcmd.exe, при помощи которой можно просмотреть, проанализировать, настроить созданные политики, или произвести откат. Созданный XML файл политик можно открыть в блокноте, но разбираться с установками в таком виде очень неудобно. Чтобы просмотреть политики в SCW Viewer, вводим «scwcmd.exe view /x:test file.xml«. Использовав ключ transform, можно преобразовать политику в объект групповой политики (GPO). Но здесь следует быть очень осторожным. Если, например, в политике есть правила, ограничивающие работу по некоторому протоколу только с определенным IP-адресом, то при применении такой политики к другим компьютерам подобное правило может дать непредсказуемый результат.

Теги:

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)