Настройка локальных параметров безопасности

Основная защита начинается с локальной машины. Например, вирусная программа «троян» способна инфицировать машину, предоставив взломщику несанкционированный доступ к ней. Машина как будто защищена, но хакер может входить в нее в любое время из зоны Internet или другого соединения.

Windows XP делает больше, чем предыдущие версии данной ОС, чтобы обеспечить безопасность работы. И это несмотря на то, что пользователи Windows 9x, казалось, получили все преимущества новой системы, а пользователи Windows 2000 еще более выиграли от улучшенной локальной защиты. Одной из наиболее важных функций являются параметры настройки локальной политики безопасности. Настройка локальной защиты определяет, как Windows XP будет вести себя в данной ситуации. Если вы сообщаете системе, что каждый пользователь должен иметь пароль длиной не менее пяти символов, Windows XP делает эту установку обязательной.

Другой важной победой системы защиты Windows XP является улучшенная защита данных на томах NTFS. (Том - это часть жесткого диска, которая работает как отдельный диск.). Windows XP имеет более новую версию NTFS, чем Windows 2000. Эта новая версия включает расширенные возможности шифрованной файловой системы (Encrypted File Support -EFS). Например, когда вы шифровали файл под Windows 2000, только один пользователь мог открыть его. Версия NTFS для Windows XP позволяет многим пользователям совместно применять зашифрованный файл. Основные действия при работе с файловой системой NTFS не изменились, но некоторые функции защиты были модифицированы, чтобы реализовать требуемую политику и аудит более широко и квалифицированно.

Средство Локальные параметры безопасности (Local Security Settings snap-in) на консоли управления ММС содержит большое количество параметров, которые изменяют способы доступа к ПК и любой присоединенной сети.

Эта оснастка содержится в папке Администрирование на панели управления, если дважды щелкнете по значку Локальная политика безопасности (Local Security Policy). Программа встроенной локальной защиты делит настройки на функциональные зоны. Комбинация параметров определяет локальную политику безопасности. Windows XP также поддерживает групповую политику безопасности. Администратор осуществляет эту политику на контроллере домена (основном сервере). Параметры настройки групповой политики отменяют локальные, так что локальное изменение настройки не гарантирует изменения в сети.

Политики учетных записей

Папка Политики учетных записей (Account Policies) задает доступ в систему для каждого пользователя. Она состоит из вложенных папок Политика паролей (Password Policy) и Политика блокировки учетной записи (Account Lockout Policy). Можно рассматривать первую папку как средство предоставления доступа, а вторую - как средство отказа в доступе. Из всех папок - эти наиболее важные. Папка Политика паролей содержит пункты, которые задают способ входа в систему для различных пользователей. Чтобы сделать условия доступа на компьютер более жесткими, включите опцию. Требовать неповторяемости паролей (Password History), которая будет напоминать пользователям о периодической смене пароля.

Одна настройка в папке Политика паролей особенно важна. Обратите внимание на опцию Пароль должен отвечать требованиям сложности (Password Must Meet Complexity Requirements). Включите ее, и пользователям придется выбрать уникальные пароли, содержащие три категории символов из четырех доступных: числа, прописные буквы, символы нижнего регистра и специальные символы. Когда вы добавляете это требование к минимальной длине пароля (по крайней мере, шесть символов), разгадать его станет еще труднее.

Windows XP обеспечивает три параметра блокировки учетной записи. Параметры блокировки запрещают доступ к системе после наступления некоторых событий. Значение порога блокировки - ключ к настройкам. Установка по умолчанию (0) предполагает, что пользователи могут вводить неправильный пароль целый день, и вы никогда не узнаете об этом. Установка значений 3 или 4 в графе Количество неправильных входов в систему (Incorrect Logins) обычно гарантирует, что система отследит проникновение, но даст взломщику небольшой шанс для вторжения. Остальные параметры устанавливают продолжительность блокировки и интервал времени, которые должны пройти между неправильными входами в систему до сброса счетчика блокировки. Значения по умолчанию (30 мин) на самом деле недостаточно, чтобы помешать злоумышленникам. Кроме того, это вынудит служащих ждать окончания блокировки. Рекомендуют устанавливать оба счетчика минимум на 1440 мин, что составляет 24 ч.

Блокировка учетной записи происходит, когда пользователь несколько раз введет неверный пароль при входе в систему. В таком случае Windows XP выдает сообщение, что система заблокирована и следует обратиться к сетевому администратору.

В большинстве случаев удобно, чтобы пользователь создал новый пароль для своей учетной записи (Account Lockout Threshold) - раскрывает другую грань консоли Локальные параметры безопасности. Всякий раз, когда вы изменяете параметр, влияющий на другой параметр, появляется диалоговое окно Предлагаемые изменения значений (Suggested Value Changes). Это окно сообщает, какую настройку Microsoft считает соответствующей минимальным требованиям, однако вы можете установить другое значение параметра.

Локальные политики

Папка Локальные политики (Local Policies) содержит три основные вложенные папки Политика аудита (Audit Policy), Назначение прав пользователя (User Rights Assignment) и Параметры безопасности (Security Options) Это основа локальной политики безопасности вашей системы здесь имеются настройки, от которых зависит работа с Windows ХР.

Папка Политика аудита включает основные контрольные параметры для вашей системы Windows ХР не разрешает изменять данные списка из других зон. Например, если этот параметр политики определен, выполняется аудит (проверка и регистрация) событий входа в систему. Если дважды щелкнуть по одной из опций, появится диалоговое окно, в котором можно задать способ аудита при входе в систему при отказах или успехах.

Папка Назначение прав пользователя предоставляет возможность настройки параметров, которые управляют доступом ко всем объектам в системе. Если дважды щелкнуть по любому из этих параметров, появится диалоговое окно со списком пользователей, чьи права можно изменить. Для управления настройками служат кнопки Добавить (Add) и Удалить (Remove).

Необходимо тщательно наблюдать за добавлением пользователей в этой папке, потому что изменения могут свидетельствовать об активности взломщика. Например, если группа Все (Everyone) внезапно получит власть изменять локальные входы в систему, значит, кто-то вмешался в настройки. Вам может потребоваться изменить несколько стандартных параметров. Удаление Гостя из списка повысит уровень защиты системы. Папка Параметры безопасности содержит параметры, которые затрагивают системные процессы. Например, допустимо ограничить доступ к дисководу для компакт-дисков на ПК пользователям с правами локального входа. Неважно, что вы делаете в программе Проводник, - этот параметр остается без изменений.

Некоторые более важные настройки защиты постоянно находятся в папке Параметры безопасности. Например, здесь можно найти настройки Интерактивный вход в систему: [контекст входа] (Interactive Logon). Применение необязательного сочетания клавиш Ctrl+Alt+Del определяет, заходят ли пользователи в систему непосредственно с входного экрана при запуске машины. Другие параметры изменяют сообщение и заголовок при входе в систему. С помощью настройки интерактивного входа в систему допустимо также удалить имя последнего зарегистрированного при входе пользователя.

Обратите внимание, что эта папка включает даже большее количество опций для настройки параметров аудита. Важно только понять, что следует контролировать. Windows XP обеспечивает средства, чтобы выполнять аудит почти всех видов действий операционной системы.

Политики открытого ключа

Папка Политики открытого ключа (Public Key Policies) обычно содержит только одну вложенную папку Файловая система EFS (Encrypting File System), где находятся все сертификаты системы. Она предоставляет следующую информацию:

• кто владеет сертификатом;

• кто выпустил сертификат;

• когда истекает срок действия сертификата;

• как система использует сертификат;

• дружественное имя сертификата;

• статус сертификата;

• шаблон, используемый для создания сертификата.

Обычно нет необходимости что-либо делать с сертификатами на этой странице. Можно их удалять, экспортировать и открывать. Поскольку Windows XP обычно сохраняет сертификаты даже в случае, когда они устарели, вам придется лишь удалять ненужные. Открытие сертификата дает возможность ознакомиться с его содержимым. Полезную информацию о владельце сертификата можно найти на вкладке Дополнительно (Details) диалогового окна свойств сертификата (Certificate Properties).

Экспортировать сертификат требуется при отправке его кому-то еще или перемещении пользователя на другую машину. Щелкните правой кнопкой мыши по сертификату ивыберите Все задачи => Экспортировать (All Tasks => Export) из контекстного меню. Появится окно Мастера экспорта сертификата (Certificate Export Wizard). Ниже показано, как экспортировать сертификат:

1.Щелкните по кнопке Далее. Появится диалоговое окно Экспортировать закрытый ключ (Export Private Key). Всегда экспортируйте закрытый ключ, если перемещаете сертификат на другую машину или создаете резервную копию, но не делаете этого, если собираетесь использовать сертификат совместно с кем-то еще.

2.Выделите опцию закрытого ключа и нажмите Далее. Появится диалоговое окно Формат экспортируемого файла (Export File Format). Параметры, которые вы увидите здесь, отличаются от параметров вашего локального компьютера и сети. Если вы экспортируете сертификат, чтобы применять его совместно с другим пользователем, выберите формат файла, который подходит к его машинной настройке.

3.Укажите формат экспортируемого файла и нажмите Далее. Появится диалоговое окно для экспорта файла (File to Export).

4.Введите или выберите имя файла и нажмите Далее. Появится завершающее диалоговое окно, где представлены все настройки для экспорта файла.

5.Проверьте параметры вывода сертификата и нажмите Далее. Мастер экспорта сертификата создаст файл за вас.

Политики безопасности IP

Windows XP обеспечивает средства для создания безопасной компьютерной среды. Папка Политики безопасности IP на Локальный компьютер (IP Security Policies on Local Computer) на локальном компьютере содержит следующие три пункта:

1. Клиент (Client). Описывает реакцию клиента на запросы сервера и тип информации, которую клиент передает на сервер. Стандартные настройки позволяют клиенту связываться в открытом режиме (незашифрованный текст). Если сервер запрашивает безопасное подключение, клиент реализует тип используемой защиты;

2. Сервер безопасности (Secure Server). Определяет параметры для безопасного серверного окружения. Настройка по умолчанию требует безопасной связи с клиентом, предпочтительно на основе протокола безопасности Kerberos. Сервер не разрешает любую форму незащищенной связи;

3. Сервер (Server). Задает настройки для нормального серверного окружения. Стандартная настройка предлагает клиенту применять протокол Kerberos для обеспечения безопасности среды. Если клиент не отвечает, Windows XP будет передавать открытый (незашифрованный) текст.

Если дважды щелкнуть по любому из этих пунктов, появится диалоговое окно Свойства: [имя политики] (Policy Properties). Вкладка Общие (General) содержит имя политики и ее описание, а также параметр, который определяет, как часто Windows XP проверяет данную политику на предмет изменения. Нажмите Дополнительно (Advanced), если хотите модифицировать основные настройки.

Вкладка Правила (Rules) включает руководства, используемые для управления параметром. Если вы хотите добавить новое правило, нажмите Добавить (Add). Допустимо редактировать и удалять ненужное правило посредством соответствующих кнопок. Всякий раз, когда вы добавляете новое правило, у вас есть выбор: обратиться к диалоговому окну Свойства: Новое правило (New Rule Properties) или Мастеру правил безопасности (Security Rule Wizard). Оба метода дают одинаковые результаты, но большинство пользовате­лей предпочитают Мастер, поскольку с его помощью легче работать. Следующие шаги показывают, как создать новое правило обеспечения защиты, применяя Мастер правил безопасности:

1. Щелкните по кнопке Далее. Появится диалоговое окно Конечная точка туннеля (Tunnel Endpoint). Здесь имеется адрес конечной точки (удаленной машины) для связи. Если это общая настройка, оставьте данное окно незаполненным. Если необходимо, введите значение конечной точки и нажмите Далее. Появится диалоговое окно Тип сети (Network Type). Windows XP делит правила на три группы: распространяющиеся на все сети, на локальную сеть и на удаленные соединения любого типа.

2.Выберите тип сети и нажмите Далее. Откроется диалоговое окно Метод проверки подлинности (Authentication Method). Windows XP не поддерживает протокол безопасности Kerberos без контроллера домена (сервера Windows), который устанавливает служба каталогов Active Directory¹. Если у вас малая сеть без требуемой поддержки, воспользуйтесь другим методом проверки подлинности в политике.

3.Укажите метод проверки подлинности для правила безопасности. Впишите необходимую информацию и нажмите Далее. Отобразится диалоговое окно Список фильтров IP (IP Filter List). Если вы не хотите устанавливать новый фильтр, Windows XP предложит выбрать стандартный IP или любой из списка фильтров для трафика ICMP (Internet Control Message Protocol). Даже если вы уже задали один из стандартных фильтров, несложно выделить необходимую опцию и нажать кнопку Изменить (Edit), чтобы изменить параметры. Никогда не удаляйте опцию фильтрации по умолчанию.

4.Выберите или создайте опцию IP-фильтрации и нажмите Далее. Появится диалоговое окно Действие фильтра (Filter Action). Фильтр обычно предусматривает три сценария действия. Первый разрешает незащищенные протоколы. Второй требует защищенного протокола, но позволяет использовать незащищенные транзактные сообщения, если клиент или сервер не обеспечивают поддержки. Третий нуждается в защищенных транзактных сообщениях. Сценарии создают при необходимости, используя кнопку Добавить.

5.Выберите или создайте сценарий действия IP-фильтра и нажмите Далее. Откроется завершающее диалоговое окно Мастера нового правила.

6.Щелкните по кнопке Готово. Мастер правил безопасности создаст новое правило.