Pagina 13 van 15

Windows XP-beveiliging instellen

Het Windows XP-besturingssysteem heeft een ontwikkeld beveiligingssysteem, dat echter moet worden geconfigureerd (standaard biedt Windows XP Professional de gebruiker een zeer vereenvoudigde beveiligingsinterface waarmee u de waarden van een zeer beperkt aantal kunt instellen toegangsparameters gebaseerd op lidmaatschap van ingebouwde groepen). We hopen dat u begrijpt dat Windows XP op NTFS-partities moet worden geïnstalleerd en dat het gebruik van het FAT32-bestandssysteem om veiligheidsredenen niet wordt aanbevolen (de ingebouwde beveiligingsfuncties kunnen eenvoudigweg niet worden geïmplementeerd met FAT32). Als u het FAT32-bestandssysteem gebruikt, zijn bijna alle uitspraken in deze sectie betekenisloos voor u. De enige manier om alle machtigingen voor het bestandssysteem in te schakelen, is door de schijf naar NTFS-indeling te converteren.
Na een schone installatie van Windows XP fungeren de sals aan-uitschakelaars. Deze interface heet standaard Simple File Sharing.
Deze configuratie heeft een laag beveiligingsniveau, vrijwel identiek aan de standaard Windows 95/98/Me-configuratie.
Als u niet tevreden bent met deze configuratie, kunt u profiteren van de volledige kracht van bestandsrechten in Windows 2000-stijl. Open hiervoor een willekeurige map in Verkenner en selecteer Extra - Mapopties. Ga naar het tabblad Weergave, zoek het selectievakje Bestandsdeling gebruiken (aanbevolen) in de lijst en schakel dit uit (om deze optie te wijzigen moet u lid zijn van de groep Administrators).

Wanneer u eenvoudig delen uitschakelt, verschijnt er een tabblad Beveiliging in het eigenschappendialoogvenster van elke map.
Hetzelfde geldt voor het verlenen van bestandsrechten. Alle machtigingen worden opgeslagen in Access Control Lists (ACL's).
Volg deze basisprincipes bij het instellen en verwijderen van machtigingen:

• Werk van boven naar beneden.
• Houd gedeelde gegevensbestanden bij elkaar.
• Werk zoveel mogelijk met groepen.
• Gebruik geen speciale machtigingen.
• Geef gebruikers niet meer rechten dan absoluut noodzakelijk is (principe van de minste rechten).

Toestemming instellen vanaf de opdrachtregel

Met het opdrachtregelprogramma cacls.exe kunt u de machtigingen voor bestanden en mappen bekijken en wijzigen. Cacls is een afkorting voor Control ACLs - beheer van toegangscontrolelijsten.
Cacls-opdrachtregelschakelaars voor hulpprogramma's
/T- Wijzig de toegangsrechten tot gespecificeerde bestanden in de huidige map en alle submappen
/E- De toegangscontrolelijst wijzigen (niet volledig vervangen)
/C- Ga door als de fout 'Toegang geweigerd' optreedt
/G gebruiker:toestemming- Het toekennen van de opgegeven toestemming aan de gebruiker. Zonder de schakeloptie /E worden de huidige machtigingen volledig vervangen
/R-gebruiker- Trekt de toegangsrechten in voor de huidige gebruiker (alleen gebruikt met de /E-schakelaar)
/P gebruiker:toestemming- Het vervangen van gespecificeerde gebruikersrechten
/D-gebruiker- Weigert de gebruiker toegang tot het object
Bij de toetsen /G en /P moet u een van de onderstaande letters gebruiken (in plaats van het woord toestemming):

• F (Volledig beheer) - Gelijk aan het aanvinken van het selectievakje Volledig beheer op het tabblad Beveiliging.
• C (wijzigen) - identiek aan het aanvinken van het selectievakje Wijzigen toestaan
• R (lezen) - gelijk aan het aanvinken van het selectievakje Lezen en uitvoeren toestaan
• W (schrijven) - gelijk aan het aanvinken van het selectievakje Schrijven toestaan ​​(schrijven).

Microsoft Windows XP helpt voorkomen dat gevoelige gegevens in verkeerde handen vallen. Het Encrypting File System (EFS) codeert bestanden op schijf. Houd er echter rekening mee dat als u de decoderingssleutel verliest, de gegevens als verloren kunnen worden beschouwd. Als u besluit gebruik te maken van EFS, moet u daarom een ​​herstelagentaccount maken en een reservekopie van uw eigen certificaat en het herstelagentcertificaat.
Als u liever via de opdrachtregel werkt, kunt u het programma cipher.exe gebruiken. Het coderingscommando zonder parameters geeft informatie weer over de huidige map en de bestanden die zich daarin bevinden (ongeacht of ze gecodeerd zijn of niet). Hieronder vindt u een lijst met de meest gebruikte coderingsopdrachtschakelaars
/E- Versleuteling van gespecificeerde mappen
/D- Decodering van gespecificeerde mappen
/S:map- De bewerking is van toepassing op de map en alle submappen (maar niet op bestanden)
/A- De bewerking wordt toegepast op de opgegeven bestanden en bestanden in de opgegeven mappen
/K- Een nieuwe coderingssleutel maken voor de gebruiker die het programma heeft gestart. Als deze sleutel wordt opgegeven, worden alle andere genegeerd
/R- Een sleutel en certificaat voor een bestandsherstelagent maken. De sleutel en het certificaat worden in het .CFX-bestand geplaatst en een kopie van het certificaat wordt in het .CER-bestand geplaatst
/U- Update de gebruikerscoderingssleutel of herstelagent voor alle bestanden op alle lokale schijven
/U/N- Maak een lijst van alle gecodeerde bestanden op lokale schijven zonder enige andere actie

Gegevensherstelagent

Meestal wordt een beheerder aangesteld als Data Recovery Agent. Als u een herstelagent wilt maken, moet u eerst een gegevensherstelcertificaat maken en vervolgens een van uw gebruikers als dergelijke agent aanwijzen.
Om een ​​certificaat aan te maken, moet u het volgende doen:
1. U moet inloggen als beheerder
2. Voer cipher /R in op de opdrachtregel: bestandsnaam
3. Voer het wachtwoord in voor nieuw gemaakte bestanden. Certificaatbestanden hebben de extensie .PFX en .CER en de naam die u opgeeft.
OPMERKING: Met deze bestanden kan elke gebruiker op het systeem een ​​herstelagent worden. Zorg ervoor dat u ze naar een diskette kopieert en op een veilige plaats bewaart. Verwijder na het kopiëren de certificaatbestanden van uw harde schijf.
Een herstelagent toewijzen:
1. Log in met het account dat de data recovery agent moet worden
2. Ga in de Certificatenconsole naar de sectie Certificaten - Huidige gebruiker - Persoonlijk (Huidige gebruiker - Persoonlijk)
3. Actie - Alle taken - Importeren (Acties - Alle taken - Importeren) om de wizard Certificaat importeren te starten
4. Importeer het herstelcertificaat Als u versleutelingstools verkeerd gebruikt, kunt u meer kwaad dan goed doen.
Korte encryptietips:
1. Versleutel alle mappen waarin u documenten opslaat
2. Versleutel de mappen %Temp% en %Tmp%. Dit zorgt ervoor dat alle tijdelijke bestanden worden gecodeerd
3. Schakel altijd encryptie in voor mappen, niet voor bestanden. Vervolgens worden alle bestanden die er vervolgens in worden gemaakt gecodeerd, wat belangrijk blijkt te zijn bij het werken met programma's die tijdens het bewerken hun eigen kopieën van bestanden maken en vervolgens de kopieën over het origineel overschrijven
4. Exporteer en bescherm de privésleutels van het herstelagentaccount en verwijder ze vervolgens van de computer
5. Exporteer persoonlijke encryptiecertificaten van alle accounts
6. Verwijder geen herstelcertificaten wanneer u het herstelagentbeleid wijzigt. Bewaar ze totdat u er zeker van bent dat alle bestanden die door deze certificaten worden beschermd, niet worden bijgewerkt.
7. Maak tijdens het afdrukken geen tijdelijke bestanden en versleutel de map waarin ze worden gemaakt niet
8. Bescherm uw paginabestand. Het zou automatisch moeten worden verwijderd wanneer u Windows afsluit

Bouwer van beveiligingssjablonen

Beveiligingssjablonen zijn gewone ASCII-bestanden, dus in theorie kunnen ze worden gemaakt met een gewone teksteditor. Het is echter beter om de module Beveiligingssjablonen in de Microsoft Management Console (MMC) te gebruiken. Om dit te doen, moet u op de opdrachtregel mmc /a invoeren in deze console en het menu Bestand - Toevoegen/verwijderen selecteren. In het dialoogvenster Zelfstandige module toevoegen selecteert u Beveiligingssjablonen - Toevoegen.
Beheer van apparatuur
Beveiligingssjablonen bevinden zich in de map \%systemroot%\security\templates. Het aantal ingebouwde sjablonen varieert afhankelijk van de versie van het besturingssysteem en de geïnstalleerde servicepacks.
Als u een map in Beveiligingssjablonen uitvouwt, worden in het rechterdeelvenster mappen weergegeven die overeenkomen met gecontroleerde elementen:

• Accountbeleid - beheer wachtwoorden, vergrendelingen en Kerberos-beleid
• Lokaal beleid - beheer auditinstellingen, gebruikersrechten en beveiligingsinstellingen
• Gebeurtenislogboek - beheer van systeemlogboekparameters
• Beperkte groepen - definiërende elementen van verschillende lokale groepen
• Systeemservices - services in- en uitschakelen en het recht toewijzen om systeemservices te wijzigen
• Register - machtigingen toewijzen om registersleutels te wijzigen en te bekijken
• Bestandssysteem - beheer NTFS-machtigingen voor mappen en bestanden

Beveiliging van de internetverbinding

Om de veiligheid te garanderen wanneer u verbinding maakt met internet, moet u:

• Schakel Firewall voor internetverbindingen in of installeer een firewall van derden
• Schakel bestands- en printerdeling uit voor Microsoft-netwerken

Een firewall voor een internetverbinding is een softwarecomponent die ongewenst verkeer blokkeert. Firewall voor internetverbinding activeren:

• Open Configuratiescherm - Netwerkverbindingen
• Klik met de rechtermuisknop op de verbinding die u wilt beveiligen en selecteer Eigenschappen in het menu
• Ga naar het tabblad Geavanceerd en vink het selectievakje Mijn internetverbinding beveiligen aan

Met de module Beveiligingssjablonen kunt u tekstbestanden maken die alle beveiligingsinstellingen bevatten voor beveiligde gebieden die worden ondersteund door het lokale beveiligingsbeleid. Dit is handig als u alle beveiligingsfuncties van Windows XP Professional wilt gebruiken. In dit gedeelte laten we u zien hoe u een sjabloon maakt, een bestaande sjabloon wijzigt en deze gebruikt in Windows XP Professional.

Maak een sjabloon

Volg deze stappen om de module Beveiligingssjablonen te starten en uw beveiligingsbeleidsinstellingen te bekijken.

1. MMS openen.
2. Klik in het menu Bestand op Module toevoegen/verwijderen en klik vervolgens op Toevoegen.
3. Selecteer Beveiligingssjablonen in de lijst Beschikbare zelfstandige modules.
4. Klik op Toevoegen en klik vervolgens op Sluiten.
5. Klik op OK. De module Beveiligingssjablonen wordt getoond in Fig. 9.5.
6. Klik in het rechtervenster op het pictogram "+" om Beveiligingssjablonen uit te vouwen.
7. Vouw C:\Windows\security\templates uit (C: is de schijf waarop Windows is opgeslagen).
8. Als u een sjabloon wilt maken, dubbelklikt u op Beveiligingssjablonen, klikt u met de rechtermuisknop op de map met standaardsjablonen en klikt u vervolgens op Nieuwe sjabloon.

Er ontstaat dan een leeg sjabloon waarin u alles kunt invullen wat te maken heeft met het beveiligingsbeleid van uw organisatie. Om de sjabloon op te slaan, opent u het menu Bestand en klikt u op Opslaan als.

Rijst. 9.5.

Bestaande sjablonen bewerken

Windows XP Professional wordt standaard geleverd met een aantal sjablonen. Ze vormen een goede basis voor het bouwen van uw eigen veiligheidsbeleid. Mogelijk hebt u een beveiligingsbeleid dat u wilt verbeteren en later wilt toepassen. Om een ​​sjabloon te openen en te bewerken, dubbelklikt u erop in het linkervenster van de module Beveiligingssjablonen.

Opmerking. Hoewel Security Templates vooraf gemaakte sjablonen bevat, is het een goed idee om deze vooraf goed te bekijken om er zeker van te zijn dat ze geschikt zijn voor de behoeften van uw organisatie.

Er zijn vier hoofdtypen sjablonen:

• eenvoudig;
• veilig;
• hoge mate van veiligheid;
• gemengd.

Deze sjablonen vertegenwoordigen een reeks beveiligingsfuncties, van Basic tot High Secure. Diverse sjablonen bieden beveiligingsinstellingen voor sommige categorieën die moeilijk te plaatsen zijn binnen de hiërarchie Basic, Secure en High Secure. Ze bevatten instellingen voor opties zoals Terminal Services en Certificate Services. Hieronder vindt u enkele sjablonen in elke categorie.

• Basicsv Stelt het basisbeveiligingsniveau in voor de printserver en bestandsserver.
• Securews Stelt het gemiddelde beveiligingsniveau voor werkstations in.
• Hisecdc Stelt het hoogste beveiligingsniveau in voor domeincontrollers.
• Occfiles Stelt het beveiligingsbeleid voor bestandsservers in.

Elk van de tien voorbeeldsjablonen is een goede plek om te beginnen met het ontwikkelen van netwerkbeveiliging. Wanneer u een sjabloon wijzigt, is het echter zinvol om deze onder een nieuwe naam op te slaan, zodat de oude sjabloon niet wordt overschreven.

Beveiligingssjablonen toepassen

Het maken of bewerken van een bestaande sjabloon heeft geen invloed op uw beveiligingsinstellingen. Om deze wijzigingen aan te brengen, moet u de sjabloon op uw computer toepassen. Ga als volgt te werk om een ​​nieuw gemaakte of bewerkte sjabloon toe te passen.

1. Dubbelklik in Groepsbeleid op Computerconfiguratie en vouw Windows-instellingen uit.
2. Klik met de rechtermuisknop op Beveiligingsinstellingen en klik vervolgens op Importbeleid (Figuur 9.6).
3. Selecteer de sjabloon die u wilt gebruiken.
4. Klik op OK.

Vreemd genoeg blijkt uit de ervaring met het geven van cursussen over Windows 2000- en Windows Server 2003-beveiliging in ons trainingscentrum dat zelfs nu, begin 2004, dat wil zeggen vier jaar na de komst van Active Directory, gekwalificeerde specialisten nog geen duidelijk inzicht in groepsbeleid, de belangrijkste Active Directory-configuratietool. Met name de mogelijkheid om bestandsrechten en registerinstellingen te repliceren met behulp van groepsbeleid is van groot belang in onze cursussen. Dit artikel is aan dit onderwerp gewijd.

Beleid en sjablonen

Alle lezers zijn waarschijnlijk bekend met de hulpmiddelen voor het controleren van op naleving van een sjabloon en het bewerken van computerbeveiligingssjablonen: de modules Beveiligingssjablonen en Beveiligingsconfiguratie en -analyse. Training in het werken met deze tools is opgenomen in het programma van officiële Microsoft-cursussen, het gebruik ervan wordt beschreven in de literatuur (zie bijvoorbeeld "Netwerkbeveiliging gebaseerd op Windows 2000: MCSE-training." M.: Russkaya Redaktiya, 2001) , inclusief in tijdschriftartikelen (“Everything at once” door S. Gordeychik in No. 1 Windows & .NET Magazine/RE voor 2003; “Security Pattern Designer” door M. Minasi in No. 5 Windows & .Net Magazine/RE voor hetzelfde jaar). Al deze materialen vermelden dat beveiligingssjablonen kunnen worden geïmporteerd in groepsbeleid, waardoor de instellingen die daarin zijn vastgelegd, kunnen worden gerepliceerd. In alle artikelen staat dat u met behulp van beveiligingssjablonen machtigingen voor bestandssysteemobjecten en registerinstellingen kunt configureren. Maar nergens wordt hierop de nadruk gelegd. Laten we het gat opvullen.

Scherm 1: Module Beveiligingssjablonen

Laten we eens kijken naar de module Beveiligingssjablonen (zie Figuur 1). Als u een van de beschikbare sjablonen in het systeem opent, zullen we zien dat deze de takken Bestandssysteem, Register en Systeemservices bevat. Deze vertakkingen slaan informatie op over respectievelijk machtigingen voor bestandssysteemobjecten, registerinstellingen en services. Dubbelklik gewoon op een object in deze vertakkingen en klik op de knop Beveiliging bewerken in het venster dat wordt geopend. Er wordt een standaardvenster geopend voor het bewerken van de lijst met machtigingen voor een object. Weinig mensen weten dat de toegang tot systeemdiensten ook kan worden beperkt door het instellen van machtigingen: iemand mag alleen de status van de dienst bekijken, iemand mag de dienst stoppen en starten, etc.

Als het object waarin u geïnteresseerd bent niet in de lijst staat, selecteert u Bestand of map toevoegen, Sleutel toevoegen of Systeemservice toevoegen in het menu Alle taken en vervolgens naar het object op uw computer gaan, als dit bestaat, of het volledige object invoeren. pad naar het bestand/de map of het parameterregister vanaf het toetsenbord. Uit de services kunt u alleen de services selecteren die beschikbaar zijn op de computer waarop de module draait.

Er zijn drie manieren om systeeminstellingen te configureren op basis van wat is opgegeven in de sjabloon: met behulp van de module Beveiligingsconfiguratie en -analyse, via de opdrachtregel met de opdracht Secedit, en via groepsbeleid. De laatste optie verdient de voorkeur boven de andere, omdat u deze instellingen hierdoor op een groot aantal computers tegelijk kunt repliceren. Incrementele beveiligingspatronen (zie het bovengenoemde artikel van S. Gordeychik) zijn ook gemakkelijk toe te passen met behulp van groepsbeleid en hun parameteroverervingsmechanisme.

U kunt de inhoud van een beveiligingssjabloon in elk GPO importeren, zoals Figuur 2 laat zien, en vervolgens de gewenste instellingen wijzigen.

In de module Groepsbeleid-editor selecteert u voor het gewenste groepsbeleidsobject de tak Computerinstellingen - Windows-instellingen - Beveiligingsinstellingen. Nadat u het menu Alle taken voor deze vertakking hebt opgeroepen, moet u het item Importbeleid selecteren en in het geopende venster het gewenste bestand selecteren met de INF-extensie die de parameters van de gewenste beveiligingssjabloon bevat. Vervolgens kunt u deze instellingen bewerken. De overeenkomstige interface reproduceert volledig de interface voor het bewerken van een beveiligingssjabloon in de module Beveiligingssjablonen.

Waar sjablonen te verkrijgen zijn

Sjablonen kunnen op verschillende plaatsen worden overgenomen. Allereerst is er een standaardset beveiligingssjablonen die bij het besturingssysteem wordt geleverd. Een volledig overzicht van dergelijke sjablonen is te vinden in de hierboven genoemde publicaties. Ik merk alleen op dat machtigingen voor bestanden en registersleutels alleen in de volgende sjablonen worden geconfigureerd:

• Basicws.inf, Basicsv.inf en Basicdc.inf zijn beveiligingssjablonen met standaardstandaardinstellingen voor Windows 2000 Professional, Windows 2000 Server en Windows 2000-domeincontrollers. Ze zijn niet van toepassing op computers met Windows Server 2003;
• Setup Security.inf is een beveiligingssjabloon met instellingen die onmiddellijk na de installatie wordt gebruikt voor elke specifieke computer met Windows 2000, Windows XP of Windows Server 2003; het mag niet worden geïmporteerd via groepsbeleid, met uitzondering van zeer vergelijkbare instellingen voor alle computers in de OU. In plaats daarvan kunt u in groepsbeleid een script opnemen dat Secedit-aanroepen voor deze sjabloon bevat;
• Compatws.inf is een sjabloon die de beveiliging verzwakt voor compatibiliteit met oudere programma's; bevat onder meer minder strenge beperkingen op de toegang tot systeembestanden;
• Ocfilesw.inf en Ocfiles.inf zijn sjablonen die de standaardtoegangsrechten voor bestanden beschrijven voor extra componenten die bij Windows 2000 worden geleverd: Internet Explorer 5.0, NetMeeting, IIS 5.0, enz.

Daarnaast brengt Microsoft beveiligingssjablonen uit die instellingen voor zijn toepassingen bevatten, evenals systeemcomponenten die niet in standaardsjablonen worden beschreven. Onder hen:

• Notssid.inf - een sjabloon die de vermelding van de Terminal Services-groep uitsluit van de Windows 2000-servertoegangslijsten; het kan incrementeel worden gebruikt op computers waarop u van plan bent oude software in terminalservermodus te gebruiken;
• Certificate Services.inf - beveiligingssjabloon met parameters voor de Windows 2000-certificaatservice;
• Bestand en afdrukken incremental.inf - een sjabloon met instellingen voor een Windows 2000- of Windows Server 2003-server (u moet de versie downloaden die overeenkomt met de versie van het besturingssysteem van de Microsoft-website), die de rol speelt van een bestands- en afdrukserver;
• Infrastructure Incremental.inf - een sjabloon met instellingen voor een Windows 2000- of Windows Server 2003-server die de netwerkinfrastructuur bedient - met DNS, WINS, DHCP-services, enz.;
• IIS Incremental.inf - sjabloon met instellingen voor de Windows-server waarop IIS-services worden uitgevoerd;
• Exchange DC Incremental.inf, Exchange Back End Incremental.inf en OWA Front End Incremental.inf - sjablonen met instellingen voor Microsoft Exchange-elementen.

De bovenstaande lijst is verre van compleet; er verschijnen regelmatig nieuwe sjablonen.

Sommige organisaties en afdelingen bieden ook hun eigen versies van beveiligingssjablonen aan. Deze patronen beïnvloeden toegangslijsten voor bestanden en systeemcomponenten via het register. In het bijzonder biedt de Amerikaanse National Security Agency zijn sjablonen voor Windows 2000 aan ( www.nsa.gov) en het Amerikaanse National Institute of Standards and Technology ( www.nist.gov). Voor Windows Server 2003 raden beide organisaties aan de sjablonen te gebruiken die zijn meegeleverd met de Microsoft Windows Server 2003 Hardening Guide.

De door NIST aangeboden sjablonen kunnen interessant zijn voor “antiekliefhebbers” omdat ze, samen met de bestanden die zijn opgenomen in de standaardinstallatie van het Windows 2000 Professional-besturingssysteem, toegangslijsten beschrijven voor bestanden en registersleutels die overeenkomen met Netscape Navigator 4.6 geïnstalleerd op de computer. computer.

Doe-het-zelf

Stel je een situatie voor: je wilt instellingen distribueren voor toegang tot objecten van een programma dat op een computer is geïnstalleerd via beveiligingssjablonen of groepsbeleid, maar je kunt geen kant-en-klare sjabloon vinden die dit programma beschrijft. In dit geval moet u de sjabloon zelf maken.

Als het programma is ontworpen met een standaardplaatsing van componenten, dan is alles eenvoudig: u moet de programmamap aan de sjabloon toevoegen, standaard C:Program Files en de registerwaarde HKEY_LOCAL_MACHINESoftware. Voor deze objecten is het zinvol om machtigingen in te stellen: Beheerders - Volledig beheer, Gebruikers - Lezen met overname van machtigingen door onderliggende objecten. De programmabestanden die het installatieprogramma van de toepassing naar de systeemmap %Windir%System32 en de map C:Program FilesCommon Files schrijft, zullen dezelfde machtigingen van die mappen overnemen. In het geval van een programma met een standaardplaatsing van componenten worden alle aanpasbare individuele parameters voor de gebruiker opgeslagen in zijn profiel, het pad waarnaar het programma het systeem opvraagt, evenals in de registertak HKEY_CURRENT_USER.

Helaas zijn niet alle programma's geschreven met standaard componentplaatsing. In dit geval is onderzoek van het programma vereist, zowel tijdens het installatieproces als tijdens verdere werkzaamheden. Hier kunt u zowel standaard Windows-gebeurtenisregistratie- en audittools gebruiken, als aanvullende hulpprogramma's. Er zijn twee gratis hulpprogramma's ontwikkeld door Sysinternals (www.sysinternals.com), Filemon en Regmon. Ze zijn ontworpen om bestands- en registerbewerkingen bij te houden. In dit geval is het moeilijk om objecttoegangscontrole te gebruiken om Windows-beveiligingsgebeurtenissen vast te leggen, omdat het gebruik ervan configuratie vereist op het niveau van individuele objecten - mappen, bestanden en registersleutels, en deze nog steeds moeten worden geïdentificeerd voor een nieuw geïnstalleerd programma. U moet nog steeds Windows-gebeurtenisregistratie en -audit inschakelen: u moet Process Tracking-gebeurtenisregistratie inschakelen. Waarvoor - het zal hieronder worden gezegd.

Scherm 3: Filemon

We raden u aan Filemon (Afbeelding 3) en Regmon uit te voeren onmiddellijk voordat u het programma-installatieprogramma uitvoert en informatie te verzamelen over bestands- en registerbewerkingen die plaatsvinden tijdens het implementatieproces. Hierna is het belangrijkste om de ontvangen protocollen op te slaan voordat u de computer opnieuw opstart na installatie van het programma.

De door Filemon en Regmon geproduceerde logs zijn CSV-tekstbestanden die voor analyse in Excel of Access kunnen worden geïmporteerd. Deze logboeken registreren alle handelingen, in chronologische volgorde, die op de computer zijn uitgevoerd, zowel tijdens het installatieprogramma als tijdens de werking van systeemservices of andere programma's die op dat moment actief zijn. Daarom komt de verwerking van logboeken neer op twee basisbewerkingen: ten eerste moet u alle bewerkingen eruit filteren, behalve het schrijven van bestanden en registervermeldingen, en vervolgens alle bewerkingen weggooien, behalve de bewerkingen die zijn geïnitieerd door het installatieprogramma (of de Microsoft Installer-service, het MSIExec-proces) en processen voortgebracht door de procesinstallaties. Om deze processen te identificeren, moet u het auditlogboek van gebeurtenissen in de categorie Process Tracking analyseren.

Voor de overige records moet u een rapport maken met de betrokken objecten: bestanden, mappen en registersleutels. Dit rapport moet worden geëxporteerd naar een tekstbestand, waarna met minimale aanvullende vormgeving een kant-en-klaar beveiligingssjabloon wordt gemaakt:

• het moet in twee delen worden verdeeld, afzonderlijk voor bestanden, afzonderlijk voor registersleutels;
• Vóór deze onderdelen moet u standaard headers invoegen: vóór de lijst met registersecties en vóór de lijst met bestanden.

Vervolgens moet u een algemene standaardheader aan het begin van het bestand invoegen, elke regel tussen aanhalingstekens plaatsen en deze aan het einde van de regel na de aanhalingstekens invoegen: “,0,”D:AR(A;CI;KA;;; BA)(A;CI;KR;; ;BU)"" (precies deze tekst, alleen de buitenste aanhalingstekens moeten worden verwijderd). U kunt deze regel op uw computer reproduceren door een testpatroon te maken met de machtigingen ingesteld op één bestand en één registersleutel, en vervolgens het overeenkomstige INF-bestand te openen in Kladblok (zie hieronder). vermelding 1). De machtigingen die in de lijst worden weergegeven, komen overeen met de standaardstandaardmachtigingen in een Windows Server 2003-omgeving.

Het is onnodig om te zeggen dat de resulterende instellingensjabloon eerst moet worden getest voordat deze via groepsbeleid wordt verspreid. In de meeste gevallen zal het waarschijnlijk niet mogelijk zijn om onmiddellijk werkbare instellingen te creëren.

Feit is dat veel programma's hun tussentijdse werkgegevens rechtstreeks in de programmamap opslaan, en niet in de map die is opgegeven in de omgevingsvariabele %TEMP%. Het is vaak nodig om dergelijke programma's te gebruiken die voor Windows 95/98/ME zijn geschreven, omdat het om de een of andere reden niet nodig is om te wachten op nieuwe versies die zijn geschreven, rekening houdend met de vereisten van een besturingssysteem voor meerdere gebruikers dat toegangscontrole biedt tot bronnen. Als u de hierboven gespecificeerde machtigingen instelt voor bestanden en mappen (Beheerders - Volledig beheer, Gebruikers - Lezen en uitvoeren, machtigingen van de map overnemen voor onderliggende objecten), dan kan een dergelijk programma alleen worden gestart en volledig worden gebruikt als u over beheerdersrechten beschikt deze computer. In dit geval zult u opnieuw gebeurtenismonitoring moeten gebruiken, maar niet tijdens het installatieproces, maar tijdens de dagelijkse werking van het programma.

Nogmaals, u moet de Filemon- en Regmon-hulpprogramma's gebruiken en de registratie van gebeurtenissen in de categorie Process Tracking inschakelen om onderliggende processen te identificeren die door dit programma zijn gelanceerd en ook hun activiteit te volgen. Bovendien is het noodzakelijk om de registratie van gebeurtenissen in de categorie Gebruik van gebruikersrechten in te schakelen: het is mogelijk dat u, om de functionaliteit van het programma te garanderen, gebruikers enkele systeemrechten moet verlenen die de beheerder in eerste instantie heeft.

Bij het verwerken van protocollen die zijn verkregen met behulp van de Filemon- en Regmon-programma's, moet u:

• records achterlaten met betrekking tot de activiteit van het hoofdprogrammaproces en de onderliggende processen, waarvan een lijst wordt verkregen door de Windows-logboeken te analyseren in termen van gebeurtenissen in de categorie Process Tracking;
• met behulp van standaardtools van het programma waarin monitoringprotocollen in CSV-formaat worden geïmporteerd voor verwerking, een rapport maken voor elke bron waartoe de processen in kwestie toegang hebben, en de lijst met toegangstypen aangeven die door de processen worden aangevraagd;
• Dit rapport moet worden geanalyseerd en de bestanden en registersleutels in dit rapport moeten worden toegevoegd aan de beveiligingssjabloon die is gemaakt als resultaat van het monitoren van de installatie, waarbij de juiste machtigingen worden verleend aan de groep Gebruikers.

Bovendien moet u het Windows-beveiligingsgebeurtenislogboek analyseren op gebeurtenissen in de categorie Gebruik van gebruikersrechten die verband houden met de onderzochte processen. Als er systeemrechten worden vermeld die niet standaard aan de groep Gebruikers zijn verleend, moet u instellingen toevoegen aan de sectie Lokaal beleid - Toewijzing van gebruikersrechten in de beveiligingssjabloon voor het programma die de overeenkomstige rechten en bevoegdheden aan de groep Gebruikers biedt. Het zou beter zijn om dit niet te doen, omdat het uitbreiden van de rechten van de groep Gebruikers de bescherming van de computer verzwakt, maar als het benodigde programma anders niet werkt, kun je nergens heen.

Een andere manier

Als Windows XP of Windows Server 2003 op de machine is geïnstalleerd, kunt u, in plaats van Filemon en Regmon te manipuleren, de programmasnelkoppeling wijzigen zodat deze in de emulatiemodus van de besturingsomgeving van een eerdere versie van Windows wordt uitgevoerd. Maar als de emulatie niet Windows NT/2000 is, leidt het uitvoeren van deze modus tot uitbreiding van de rechten van dit proces tot op het niveau van de lokale beheerder of zelfs tot het systeem, waardoor alle bescherming die door het besturingssysteem wordt geboden teniet wordt gedaan. Daarom is het in een bedrijfsomgeving nauwelijks de moeite waard om van deze mogelijkheid gebruik te maken - het risico is te groot. Het is echter aan jou om het risiconiveau in te schatten, het te vergelijken met het verworven gemak, en hoewel je baas uiteindelijk misschien een beslissing moet nemen, ben jij opnieuw verantwoordelijk voor de gevolgen. Bovendien kunnen dergelijkegen, in tegenstelling tot bestands- en registermachtigingen, niet worden gerepliceerd via beveiligingssjablonen en groepsbeleid.

Alexey Sotsky is een leraar in het trainingscentrum en heeft MCSE- en MCT-certificaten. Hij is te bereiken op:

Victor Kulagin, Sergey Matveev, Alexander Osadchuk

Het probleem van computerbeveiliging is niet nieuw. Iedereen die computernetwerken gebruikt, heeft beveiligingshulpmiddelen nodig. Statistieken tonen aan dat in de meeste gevallen ongeautoriseerde toegang tot een systeem kan worden vermeden als de systeembeheerder voldoende aandacht besteedt aan beveiligingsmaatregelen. De effectiviteit van het waarborgen van de veiligheid van computersystemen hangt altijd af van de kwaliteit van de software- en hardware-instellingen. Het Windows NT-besturingssysteem beschikt over een uitgebreide reeks beveiligingsfuncties. De standaardwaarden van de beveiligingsparameters voldoen echter niet altijd aan de vereisten. Laten we eens kijken naar de basisbeveiligingshulpmiddelen en -methoden in Windows NT 4.0 en 5.0.

Fysieke bescherming

Fysieke beschermingsmiddelen zijn onder meer:

• het waarborgen van de veiligheid van gebouwen waar netwerkservers zich bevinden;
• het beperken van fysieke toegang tot servers, hubs, switches, netwerkkabels en andere apparatuur voor onbevoegde personen;
• gebruik van beschermingsmiddelen tegen stroomstoringen.

Accountadministratie

De functies van Account Manager omvatten ondersteuning voor het identificeren en authenticeren van gebruikers bij het inloggen. Alle benodigde instellingen worden opgeslagen in de Account Manager database. Deze omvatten:

• gebruikersaccounts;
• groepsaccounts;
• domeincomputeraccounts;
• domeinaccounts.

De Account Manager-database is een systeemregistercomponent die zich in de HKEY_LOCAL_MACHINE-vertakking bevindt en SAM wordt genoemd (Fig. 1). Net als alle andere hives wordt het opgeslagen in een apart bestand in de map %Systemroot%\System32\Con fig, ook wel SAM genoemd. Deze map bevat doorgaans ten minste twee SAM-bestanden: één zonder extensie: de accountdatabase zelf; de tweede heeft de extensie .log - het databasetransactielogboek.

Het meest interessante is het gedeelte met gebruikersaccounts: deze slaan informatie op over namen en wachtwoorden. Opgemerkt moet worden dat wachtwoorden niet in tekstvorm worden opgeslagen. Ze worden beschermd door een hashingprocedure. Dit betekent niet dat een aanvaller het systeem niet zal binnendringen zonder het wachtwoord in platte tekst te kennen. Bij verbinding met een netwerk is het niet nodig om de tekst van het wachtwoord te kennen; een gehasht wachtwoord is voldoende. Daarom volstaat het om een ​​kopie van de SAM-database te verkrijgen en het gehashte wachtwoord daaruit te extraheren.

Bij het installeren van Windows NT wordt de toegang tot het bestand %Systemroot%\System32\Config\sam geblokkeerd voor reguliere programma's. Met het hulpprogramma Ntbackup kan echter elke gebruiker met het recht Back-up van bestanden en mappen maken het kopiëren. Bovendien kan een aanvaller proberen zijn kopie (Sam.sav) uit de map %Systemroot%\System32\Config of de gearchiveerde kopie (Sam._) uit de map %Systemroot%\Repair te overschrijven.

Om de informatie die is opgeslagen in de SAM-database te beschermen, is daarom het volgende noodzakelijk:

• sluit opstartservers uit in de DOS-modus (installeer alle partities onder NTFS, schakel het opstarten vanaf diskette- en cd-stations uit, het is raadzaam om een ​​wachtwoord in te stellen op het BIOS (hoewel deze maatregel al lang achterhaald is, aangezien sommige BIOS-versies "gaten" hebben voor het starten de computer zonder wachtwoord, de aanvaller verliest immers tijd om in te loggen op het systeem);
• het aantal gebruikers met rechten voor back-upoperators en serveroperators beperken;
• verwijder na installatie of update het bestand Sam.sav;
• het cachen van beveiligingsinformatie op domeincomputers annuleren (de namen en wachtwoorden van de laatste tien gebruikers die zich eerder op deze computer hebben geregistreerd, worden opgeslagen in het lokale register). Voeg met behulp van het Regedt32-hulpprogramma toe aan de registersectie
• HKEY_LOCAL_MACHINE\Microsoft|Windows NT\CurrentVersion\WinLogon:
• CachedLogonsCount-parameter
• Typ REG_SZ
• Waarde 0

Een van de populaire methoden om een ​​systeem binnen te dringen is het raden van wachtwoorden. Om dit tegen te gaan, stellen ze meestal in dat een gebruikersaccount wordt vergrendeld (Account Lockout) na een bepaald aantal mislukte inlogpogingen, met behulp van het hulpprogramma Gebruikersbeheer in het dialoogvenster Accountbeleid, toegankelijk via het menu Beleid/Accounts (Fig. 2). .

Een mooie uitzondering is het beheerdersaccount. En als hij het recht heeft om via het netwerk in te loggen, opent dit een maas in de wet om stilletjes het wachtwoord te raden. Ter bescherming wordt aanbevolen om de naam van de beheerder te wijzigen, accountvergrendeling in te stellen, de beheerder te verbieden in te loggen op het systeem via het netwerk, de overdracht van SMB-pakketten (hieronder besproken) via TCP/IP (poorten 137,138,139) te verbieden, logboekregistratie in te stellen van mislukte logins;

• het is noodzakelijk om filtering van door de gebruiker ingevoerde wachtwoorden te introduceren, Service Pack 2 of 3 te installeren (de dynamische bibliotheek Passfilt.dll wordt gebruikt).
• Bij het aanmaken van een nieuw wachtwoord controleert deze bibliotheek of:
• De wachtwoordlengte is minimaal zes tekens;

• bevat drie sets van de vier bestaande:
• hoofdgroepen van het Latijnse alfabet A, B, C,…, Z;
• kleine letters van het Latijnse alfabet a,b,c,…,z;
• Arabische cijfers 0,1,2,…,9;
• niet-rekenkundige (speciale) tekens zoals leestekens.

Het wachtwoord bestaat niet uit de gebruikersnaam of een deel daarvan.

Om deze filtering in te schakelen, moet u naar de registersectie gaan

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

toevoegen

Het besturingssysteem Windows NT 4.0 ondersteunt de bestandssystemen FAT (File Allocation Table) en NTFS (New Technology File System). Laten we niet vergeten dat de eerste wordt ondersteund door bekende besturingssystemen als MS-DOS, Windows 3.X, Windows 95/98 en OS/2, de tweede alleen door Windows NT. FAT en NTFS hebben verschillende prestatiekenmerken, verschillende aangeboden functies, enz. Het belangrijkste verschil tussen het NTFS-bestandssysteem en andere (FAT, VFAT (Virtual File Allocation Table), HPFS) is dat dit het enige is dat voldoet aan de C2-beveiligingsstandaard; NTFS biedt bescherming voor bestanden en mappen wanneer deze lokaal worden benaderd .

Het beschermen van bronnen met behulp van FAT kan worden georganiseerd met behulp van toegangsrechten: Lezen, schrijven, vol.

We kunnen dus aanbevelen om NTFS-schijfpartities te maken in plaats van FAT. Als u nog steeds een FAT-partitie moet gebruiken, moet u er een aparte partitie voor MS-DOS-toepassingen van maken en er geen Windows NT-systeembestanden op plaatsen.

Omdat bestanden en mappen in Windows NT objecten zijn, vindt beveiligingscontrole plaats op objectniveau. De security descriptor van elk object op een NTFS-partitie bevat twee toegangscontrolelijsten (ACL's): discretionaire ACL (DACL) en systeem-ACL (SACL).

In het Windows NT-besturingssysteem berust de toegangscontrole tot NTFS-bestanden en -directory's niet bij de beheerder, maar bij de eigenaar van de bron, en wordt deze beheerd door het beveiligingssysteem met behulp van het toegangsmasker in ACL-vermeldingen.

Het toegangsmasker omvat standaard (Synchronize, Write_Owner, Write_Dac, Read_Control, Delete), specifieke (Read (Write)_Data, Append_Data, Read(Write)_Attributes, Read(Write)_ExtendedAttributes, Execute) en generieke (Generic_Read(Write), Generic_Execute ) toegangsrechten. Al deze rechten zijn opgenomen in de Discretionary Access Control List (DACL). Bovendien bevat het toegangsmasker een bit dat overeenkomt met het recht Access_System_Security. Dit recht regelt de toegang tot de systeemtoegangscontrolelijst (SACL).

De DACL definieert welke gebruikers en groepen wel of geen toegang krijgen tot een bepaalde bron. Het is deze lijst die de eigenaar van het object kan beheren.

De SACL specificeert een door de eigenaar gedefinieerd toegangstype, waardoor het systeem auditvermeldingen genereert in het systeemgebeurtenislogboek. Alleen de systeembeheerder beheert deze lijst.

Voor het beheer worden feitelijk geen individuele toegangsrechten gebruikt, maar NTFS-machtigingen. Machtigingen zijn onderverdeeld in:

individueel - een reeks rechten waarmee u de gebruiker toegang van een of ander type kunt verlenen (tabel 1.1);

standaard - sets van individuele machtigingen voor het uitvoeren van acties op een bepaald niveau op bestanden of mappen (tabel 1.2);

speciaal - een combinatie van individuele machtigingen die niet samenvallen met een standaardset (tabel 1.3).

Bij het installeren van Windows NT en het NTFS-bestandssysteem worden standaard tamelijk “losse” machtigingen ingesteld, waardoor gewone gebruikers toegang krijgen tot een aantal systeembestanden en mappen. Bijvoorbeeld:

De mappen %systemroot% en %systemroot%\system32 hebben standaard de machtiging Wijzigen voor de groep Iedereen. Indien FAT na installatie van Windows NT vervolgens is geconverteerd naar NTFS, dan wordt deze machtiging voor deze groep ingesteld op alle bestanden en submappen van de %systemroot%. Het beveiligen van directorygegevens impliceert het correct instellen van machtigingen. In tabel 2 toont de toestemmingswaarden voor mappen. In plaats van de groep Iedereen moet u een groep Gebruikers maken en deze gebruiken.

Er bevinden zich verschillende besturingssysteembestanden in de hoofdmap van de systeempartitie, die ook moeten worden beschermd door de volgende machtigingen toe te wijzen (Tabel 3).

Houd er rekening mee dat dergelijke machtigingen het voor gebruikers moeilijk maken om de software te installeren. Het zal ook onmogelijk zijn om naar .ini-bestanden in de systeemmap te schrijven.

Het wordt aanbevolen om het aantal gebruikers met beheerdersrechten tot een minimum te beperken. Het is beter om het Gast-account helemaal te verwijderen, ook al is dit al uitgeschakeld tijdens de installatie (standaard), en in plaats van dit account voor elke gebruiker uw eigen tijdelijke account aan te maken met de juiste machtigingen en rechten.

Registerbescherming

Het Windows NT-systeemregister is een database met informatie over de configuratie en parameterwaarden van alle systeemcomponenten (apparaten, besturingssysteem en applicaties). De belangrijkste registercomponenten bevinden zich in de HKEY_LOCAL_MACHINE-tak en heten SAM, SECURITY, SOFTWARE en SYSTEM. De SAM-hive is, zoals we al weten, de Account Manager-database, SECURITY slaat informatie op die wordt gebruikt door de lokale Security Manager (LSA). De SOFTWARE-component bevat softwareparameters en -instellingen, en de SYSTEM-component bevat de configuratiegegevens die nodig zijn om het besturingssysteem op te starten (stuurprogramma's, apparaten en services).

Gebruikerstoegang tot registervelden moet beperkt zijn. Dit kan gedaan worden met behulp van het Regedt32-hulpprogramma.

De standaardmachtigingen voor toegang tot registersleutels die in het systeem zijn ingesteld, kunnen niet door gewone gebruikers worden gewijzigd. Omdat sommige registersleutels toegankelijk zijn voor leden van de groep Iedereen, moet u na de installatie van Windows NT de machtigingen voor de sleutel wijzigen (tabel 4).

Om toegang te krijgen tot de sectie

HK EY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ CurrentVersion\PerfLib kunt u de groep Iedereen volledig verwijderen en in plaats daarvan de groep INTERACTIEF toevoegen met het leesrecht.

Om externe toegang tot het Windows NT-systeemregister te beperken, gebruikt u een vermelding in de H-sleutel KEY_LOCAL_MACHINE\System\CurrentcontrolSet\Control\SecurePipeServers\winreg. Standaard hebben leden van de groep Administrators het recht om op afstand toegang te krijgen tot het register. Werkstation beschikt niet over deze partitie en moet worden aangemaakt. Alleen gebruikers en groepen die zijn opgegeven in de lijst met toegangsrechten tot de opgegeven sectie krijgen externe toegang tot het register. Sommige registersleutels moeten via het netwerk beschikbaar worden gesteld aan andere gebruikers of groepen; Om dit te doen, kunnen deze secties worden opgegeven in de Machine- en Gebruikersparameters van de subsectie HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro\SecurePipeServers\winreg\AllowedPaths.

SMB-serverbeveiliging

Toegang tot bestanden en printers via een netwerk in het Windows NT-besturingssysteem wordt verzorgd door een SMB-server (Server Message Block), eenvoudigweg een server of LAN Manager-server genoemd. SMB verifieert een client die probeert toegang te krijgen tot informatie via het netwerk. Er zijn twee werkingsmodi van het besturingssysteem: controle op resourceniveau (Share Level) en controle op gebruikersniveau (User Level). Windows NT ondersteunt geen toegang op bronniveau.

Bij verificatie op gebruikersniveau voert de server gebruikersidentificatie uit op basis van een database met accounts. Het SMB-protocol biedt beveiliging op het eerste moment van de sessie, waarna alle gebruikersgegevens in gewone tekst over het netwerk worden verzonden. Als u de vertrouwelijkheid van informatie wilt garanderen, moet u software- of hardware-encryptie gebruiken voor het transportkanaal (bijvoorbeeld PPTP, meegeleverd in Windows NT).

SMB-protocolsessies kunnen worden vervalst of gekaapt. De gateway kan de SMB-sessie kapen en dezelfde toegang tot het bestandssysteem krijgen als de legitieme gebruiker die de sessie initieert. Maar gateways worden zelden gebruikt in lokale netwerken. En als een dergelijke poging wordt gedaan door een computer op een Ethernet- of Token Ring-netwerk waarin de SMB-client of -server zich bevindt, is het onwaarschijnlijk dat dit zal lukken, omdat het vrij moeilijk is om pakketten te onderscheppen.

De mogelijkheid om het wachtwoord van een gebruiker in leesbare tekst over het netwerk te verzenden, maakt het systeem kwetsbaar. Na installatie van Service Pack 3 schakelt het besturingssysteem automatisch de mogelijkheid uit om een ​​wachtwoord in leesbare tekst te verzenden, maar er zijn SMB-servers die geen gecodeerd wachtwoord accepteren (bijvoorbeeld Lan Manager voor UNIX). Om de overdracht van een “duidelijk” wachtwoord mogelijk te maken, moet u dit in het register in de sectie instellen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parametrs

Parameter	SchakelPlainTextPassword in
Type	REG_DWORD
Betekenis	1

Opgemerkt moet worden dat Microsoft het SMB-protocol heeft aangepast, dat SMB Signing wordt genoemd. In dit geval verifiëren de client en de server de authenticiteit van elk bericht dat binnenkomt via het SMB-protocol. Om dit te doen, wordt in elk SMB-bericht een elektronische handtekening geplaatst, waarmee wordt bevestigd dat de client of server die het bericht heeft verzonden, het wachtwoord van de gebruiker kent. De elektronische handtekening bevestigt dus dat het SMB-commando in de eerste plaats is gemaakt door de partij die eigenaar is van het wachtwoord van de gebruiker; ten tweede werd het gecreëerd binnen het kader van deze specifieke sessie; en ten derde is het bericht dat tussen de server en de cliënt wordt verzonden origineel.

Om verificatie van elektronische handtekeningen in SMB-berichten mogelijk te maken, moet u Service Pack 3 installeren en parameters instellen in het server- en clientregister voor de server - in de sectie HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parametrs

Parameter	Schakel Beveiligingshandtekening in
Type	REG_DWORD
Betekenis	1

Als de waarde 0 (standaard) is, is de ondersteuning voor SMB-ondertekening uitgeschakeld op de server. In tegenstelling tot de server is de EnableSecuritySignature-waarde van de client standaard al 1.

Wanneer de server wordt geïnitialiseerd, worden er administratieve gedeelde mappen gemaakt, die toegang bieden tot de hoofdmap van het volume. Standaard is de toegang tot deze bronnen beperkt tot leden van de groepen Administrators, Backup Operators, Server Operators en Power Users. Als u de toegang daartoe wilt intrekken, gaat u naar de registersectie HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parametrs

IIS-serverbeveiliging

Microsoft Internet Information Server (IIS) is gemaakt om de werking van alle internetservices te verenigen. Het is een sterk geïntegreerd pakket van server-side services die HTTP, FTP en Gopher ondersteunen.

IIS-beveiliging is gebaseerd op de beveiligingsfuncties van Windows NT. Deze omvatten:

• gebruikersaccounts. Om ongeautoriseerde toegang tot de IIS-host te voorkomen, moet u gebruikersaccounts beheren. De belangrijkste beveiligingsmethoden zijn ook: het gebruik van het “Internet Guest”-formulier, registratie met een gebruikersnaam en wachtwoord (volgens het Windows NT-authenticatieschema) en het kiezen van moeilijk te raden wachtwoorden;
• NTFS installeren;
• toegangsrechten. Het primaire toegangsmechanisme via de IIS-server is anonieme toegang. Van de authenticatiemechanismen kan alleen Windows NT Challenge-Response, gebruikt door de HTTP-server, als relatief veilig worden beschouwd. Gebruik daarom niet het basisauthenticatieschema, aangezien de gebruikersnaam en het wachtwoord ongehinderd via het netwerk worden verzonden;
• het verminderen van het aantal protocollen en het uitschakelen van de Server-service. Door het aantal protocollen dat door netwerkadapters wordt gebruikt te verminderen, verhoogt u de veiligheid aanzienlijk. Om te voorkomen dat gebruikers IIS-shares kunnen bekijken, schakelt u de Server-service uit. Als u deze service uitschakelt, wordt het voor aanvallers moeilijker om zwakke punten in uw systeem te vinden;
• bescherming van informatie in FTP. FTP maakt altijd gebruik van beveiliging op gebruikersniveau. Dit betekent dat de gebruiker, om toegang te krijgen tot de FTP-server, een registratieprocedure moet doorlopen. De IIS FTP-service kan de gebruikersbudgetdatabase van Windows NT Server gebruiken om gebruikers te identificeren die toegang willen krijgen. Bij deze procedure verzendt FTP echter alle informatie alleen in duidelijke tekst, waardoor het risico bestaat dat gebruikersnamen en wachtwoorden worden onderschept.

Het probleem van het vrijgeven van wachtwoorden wordt geëlimineerd wanneer de FTP-server wordt geconfigureerd om anonieme toegang toe te staan. Bij anoniem inloggen moet de gebruiker een gebruikersnaam invoeren anoniem en uw postadres (e-mailadres) als wachtwoord. Anonieme gebruikers hebben toegang tot dezelfde bestanden waartoe het budget toegang heeft lVSR_computermeme.

Bovendien kunt u alleen anonieme toegang toestaan ​​tot de FTP-service van de Windows NT IIS-server. Deze optie is goed omdat wachtwoorden op het openbare netwerk niet kunnen worden vrijgegeven. Anonieme FTP-toegang is standaard ingeschakeld;

• toegangscontrole via IP-adres. Er is een extra optie om de toegang tot de IIS-server te controleren: toegang vanaf specifieke IP-adressen toestaan ​​of weigeren (Fig. 5). U kunt bijvoorbeeld vanaf een specifiek IP-adres de toegang tot uw server weigeren; op dezelfde manier kun je een server ontoegankelijk maken voor hele netwerken. Aan de andere kant kunt u alleen bepaalde knooppunten toegang tot de server geven;
• encryptieschema's. Om de veiligheid van pakketten te garanderen terwijl ze over het netwerk reizen, moeten verschillende versleutelingsschema's worden gebruikt. De behoefte aan een dergelijke bescherming is te wijten aan het feit dat bij het verzenden van pakketten over het netwerk frame-onderschepping mogelijk is. De meeste versleutelingsschema's werken binnen de applicatie- en transportlagen van het OSI-model. Sommige schema's kunnen op lagere niveaus werken. De volgende protocollen worden gebruikt: SSL, PCT, SET, PPTP, PGP.

Controle

Auditing is een van de netwerkbeveiligingshulpmiddelen van Windows NT. Het kan worden gebruikt om gebruikersacties en een aantal systeemgebeurtenissen op het netwerk bij te houden. De volgende parameters met betrekking tot acties die door gebruikers worden uitgevoerd, worden vastgelegd:

• voltooide actie;
• de naam van de gebruiker die de actie heeft uitgevoerd;
• datum en tijd van uitvoering.

Een audit uitgevoerd op één domeincontroller geldt voor alle domeincontrollers. Door auditing in te stellen, kunt u de soorten gebeurtenissen selecteren die moeten worden geregistreerd en bepalen welke parameters worden geregistreerd.

Op netwerken met minimale beveiligingsvereisten controleert u:

• succesvol gebruik van middelen alleen als u deze informatie nodig heeft voor de planning;
• Voor netwerken met gematigde beveiligingsvereisten controleert u:
• succesvol gebruik van belangrijke hulpbronnen;
• succesvolle en mislukte pogingen om de beveiligingsstrategie en het administratieve beleid te veranderen;
• succesvol gebruik van gevoelige en vertrouwelijke informatie.
• In netwerken met hoge beveiligingseisen controleert u:
• succesvolle en mislukte pogingen om gebruikers te registreren;
• succesvol en onsuccesvol gebruik van welke middelen dan ook;
• succesvolle en mislukte pogingen om de beveiligingsstrategie en het administratieve beleid te veranderen.

Auditing belast het systeem extra, dus registreer alleen gebeurtenissen die echt van belang zijn.

Windows NT registreert gebeurtenissen in drie logboeken:

• Systeemlogboek(systeemlogboek) bevat foutmeldingen, waarschuwingen en andere informatie van het besturingssysteem en componenten van derden. De lijst met gebeurtenissen die in dit logboek worden geregistreerd, is vooraf gedefinieerd door het besturingssysteem en componenten van derden en kan niet door de gebruiker worden gewijzigd. Het logboek bevindt zich in het bestand Sysevent.evt.
• Beveiligingslogboek(Beveiligingslogboek) bevat informatie over succesvolle en mislukte pogingen om acties uit te voeren die zijn vastgelegd door audittools. De gebeurtenissen die in dit logboek worden vastgelegd, worden bepaald door de auditstrategie die u opgeeft. Het logboek bevindt zich in het bestand Secevent.evt.
• Applicatielogboek(Applicatielog) bevat foutmeldingen, waarschuwingen en andere informatie die door verschillende applicaties wordt geproduceerd. De lijst met gebeurtenissen die in dit logboek worden vastgelegd, wordt bepaald door applicatieontwikkelaars. Het logboek bevindt zich in het bestand Appevent.evt.

Alle logboeken bevinden zich in de map %Systemroot%\System32\Config.

Houd bij het selecteren van gebeurtenissen die u wilt controleren rekening met de mogelijkheid van logboekoverloop. Om het logboek te configureren, gebruikt u het dialoogvenster Gebeurtenislogboekinstellingen (Afbeelding 6).

Met dit venster kunt u het volgende beheren:

• de grootte van de gearchiveerde logs (de standaardgrootte is 512 KB, u kunt de grootte wijzigen van 64 tot 4.194.240 KB);
• methodologie voor het vervangen van verouderde journaalposten;
• Overschrijf gebeurtenissen indien nodig - als het logboek vol is bij het opnemen van nieuwe gebeurtenissen, verwijdert het besturingssysteem de oudste gebeurtenissen;
• Gebeurtenissen ouder dan X dagen overschrijven - als het logboek vol is, worden bij het opnemen van nieuwe gebeurtenissen de gebeurtenissen zelf verwijderd, maar alleen als ze ouder zijn dan X dagen, anders worden nieuwe gebeurtenissen genegeerd;
• Gebeurtenissen niet overschrijven - als het logboek vol is, worden nieuwe gebeurtenissen niet geregistreerd. Het wissen van het logboek gebeurt handmatig.

Gebruik het Event Viewer-programma om informatie over fouten en waarschuwingen, evenals succesvolle en mislukte taakstarts, te bekijken. De organisatie van de toegang tot logboeken wordt beschreven in de tabel. 5.

Standaard is auditing uitgeschakeld en wordt er geen beveiligingslogboek bijgehouden.

De eerste stap bij het plannen van een auditstrategie is het selecteren van de gebeurtenissen die moeten worden gecontroleerd in het dialoogvenster Auditbeleid van het hulpprogramma Gebruikersbeheer voor domeinen (Gebruikersmanager) (Afbeelding 7).

Dit zijn de soorten evenementen die kunnen worden geregistreerd:

• Aan- en afmelden - het registreren van een gebruiker in of uit het systeem, evenals het tot stand brengen en verbreken van een netwerkverbinding;
• Bestands- en objecttoegang - toegang tot mappen, bestanden en printers die onderworpen zijn aan audits;
• Gebruik van gebruikersrechten - gebruik van gebruikersrechten (behalve rechten die verband houden met het in- en uitloggen op het systeem);
• Gebruikers- en groepsbeheer - aanmaken, wijzigen en verwijderen van gebruikers- en groepsaccounts, evenals wijzigingen in accountbeperkingen;
• Wijzigingen in het beveiligingsbeleid - wijzigingen in gebruikersrechten, auditstrategie en vertrouwensbeleid;
• Opnieuw opstarten, afsluiten en systeem - de computer opnieuw opstarten of afsluiten door de gebruiker; het optreden van een situatie die de veiligheid van het systeem aantast;
• Processtracering - gebeurtenissen die ervoor zorgen dat programma's starten en eindigen.

Het instellen van auditfuncties wordt beschreven in de Windows NT-documentatie. Daarnaast overwegen we de volgende soorten audits:

Audit van basisobjecten. Naast bestanden en mappen, printers en systeemregistersleutels bevat Windows NT basisobjecten die voor de gemiddelde gebruiker niet zichtbaar zijn. Ze zijn alleen beschikbaar voor ontwikkelaars van applicaties of stuurprogramma's. Om controle van deze objecten mogelijk te maken, moet u controle van gebeurtenissen van het type Bestands- en Objecttoegang inschakelen in Gebruikersbeheer en de Register-editor gebruiken om de waarde van de parameter in te stellen:

Tak	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Naam	AuditBaseObjects
Type	REG_DWORDWaarde 1

Privilege-audit. Onder de mogelijke gebruikersrechten bevinden zich enkele privileges die niet in het systeem worden gecontroleerd, zelfs als privilege-audit is ingeschakeld. Deze rechten worden weergegeven in de tabel. 6.

Om controle van deze bevoegdheden mogelijk te maken, moet u de Register-editor gebruiken om de volgende parameter toe te voegen:

Tak	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa:
Naam	Volledige PrivilegeAuditing
Type	REG_BINARY
Betekenis	1

Windows NT 5.0-beveiligingsservices

Windows NT 5.0-beveiliging maakt alle nieuwe benaderingen van gebruikersauthenticatie en gegevensbescherming mogelijk. Het omvat:

• Volledige integratie met Windows NT 5.0 Active Directory voor schaalbaar accountbeheer over grote domeinen met flexibele toegangscontrole en distributie van beheerdersrechten;
• Kerberos-authenticatieprotocol versie 5 is een beveiligingsstandaard voor internet, geïmplementeerd als het primairerotocol;
• authenticatie met behulp van certificaten op basis van publieke sleutels;
• beveiligde netwerkkanalen op basis van de SSL-standaard;
• bestandssysteem met encryptie.

Windows NT 5.0 Distributed Security Services slaat accountgegevens op in Active Directory. Voordelen van een actieve directory:

• Gebruikers- en groepsaccounts kunnen over containers worden verdeeld - divisies(Organisatie-eenheid, OU). Een domein binnen een hiërarchische naamruimte kan een willekeurig aantal divisies bevatten. Hierdoor kunnen organisaties consistentie bereiken tussen de namen die op het netwerk worden gebruikt en de structuur van de onderneming.
• Active Directory ondersteunt een veel groter aantal objecten en met betere prestaties dan het register. De federatieve domeinstructuur van Windows NT kan aanzienlijk complexere organisatiestructuren ondersteunen.
• Het accountbeheer is verbeterd met nieuwe grafische Active Directory-beheertools, evenals scripts die toegang hebben tot Active Directory COM-objecten.
• Directory Replication Services ondersteunen meerdere kopieën van accounts. Nu kan de informatie voor elke kopie van het account worden bijgewerkt (het is niet nodig om domeincontrollers te scheiden in primair en back-up). Lichtgewicht Directory Access Protocol (LDAP) en replicatieservices bieden mechanismen voor het koppelen van de Windows NT 5.0-directory aan andere op X.500 en LDAP gebaseerde directory's in de onderneming.

Om compatibiliteit met bestaande clients te bieden, effectievere beveiligingsmechanismen te bieden en interoperabiliteit tussen heterogene netwerken mogelijk te maken, ondersteunt Windows NT verschillende beveiligingsprotocollen. De Windows NT-architectuur legt geen beperkingen op aan het gebruik van bepaalde beveiligingsprotocollen.

Windows NT 5.0 ondersteunt:

• Windows NT LAN Manager (NTLM) authenticatieprotocol, gebruikt in Windows NT 4.0 en eerdere versies van Windows NT;
• Kerberos-authenticatieprotocol versie 5, ter vervanging van NTLM als het primaire protocol voor netwerktoegang tot Windows NT 5.0-domeinbronnen;
• Gedistribueerd wachtwoordauthenticatieprotocol (DPA); dankzij DPA kan een gebruiker die bij registratie één wachtwoord heeft ontvangen, verbinding maken met elke internetsite van deze organisatie;
• protocollen gebaseerd op publieke sleutels en voornamelijk gebruikt voor communicatie tussen browsers en webservers. De de facto standaard hier is het Secure Sockets Layer (SSL)-protocol geworden.

Voor uniforme toegang tot verschillende protocollen is een nieuwe Win32-applicatieprogrammeerinterface ontwikkeld - interface voorer(Interface voorers, SSPI). Met SSPI kunt u gebruikersauthenticatie, die kan worden uitgevoerd met behulp van verschillende protocollen, isoleren van de services en applicaties die er gebruik van maken. De SSPI-interface bestaat uit verschillende sets procedures die beschikbaar zijn voor toepassingsprogramma's die het volgende uitvoeren:

• mandaatbeheer(Credential Management) werken met klantinformatie (wachtwoord, ticket, etc.);
• contextbeheer(Contextbeheer) - creëren van een clientbeveiligingscontext;
• ondersteuning voor berichten(Berichtondersteuning) - controle van de integriteit van de verzonden informatie (werkt binnen de beveiligingscontext van de klant);
• pakketbeheer(Pakketbeheer) - selecteer een beveiligingsprotocol.

Het Kerberos-authenticatieprotocol definieert de interactie tussen clients en de authenticatieservice Sleutel distributiecentrum(Sleuteldistributiecentrum, KDC). Windows NT 5.0-domeinequivalent koninkrijk Kerberos(Kerberos-rijk), maar wordt in dit besturingssysteem nog steeds een domein genoemd. De Kerberos-implementatie in Windows NT 5.0 is gebaseerd op RFC1510. Vergeleken met NTLM heeft het Kerberos-authenticatieprotocol de volgende voordelen:

• snellere verbinding tussen client en server; aangezien de server niet hoeft te communiceren met de domeincontroller om de gebruiker te authenticeren, waardoor de schaalbaarheid van het computernetwerk wordt verbeterd;
• Transitieve vertrouwensrelaties tussen domeinen vereenvoudigen het beheer van een complex netwerk.

Windows NT 5.0 krijgt een nieuw hulpmiddel voor informatiebescherming gecodeerd bestandssysteem(Encrypted File System, EFS), waarmee u bestanden en mappen in gecodeerde vorm kunt opslaan. Dankzij dit kunnen zakelijke en individuele gebruikers het probleem van het mogelijke lekken van geheime informatie oplossen wanneer een laptop of harde schijf van een server wordt gestolen. Gecodeerde informatie blijft ontoegankelijk, zelfs als er fysieke toegang tot de harde schijf is.

ComputerPress 2"1999

Uit eerdere artikelen over Groepsbeleid hebt u geleerd over het doel en het gebruik van de module "Groepsbeleidobjecteditor", over administratieve sjablonen, en raakte bekend met een aantal lokale beveiligingsbeleidsregels. In dit artikel leert u over een ander mechanisme voor het beheer van beveiligingsconfiguraties: beveiligingspatronen en het gebruik ervan in een productieomgeving. Natuurlijk kunt u met behulp van lokaal beveiligingsbeleid vrijwel alle mogelijke instellingen voor gebruikers en computers centraal implementeren, maar inzicht in het instellen van beveiligingssjablonen is eenvoudigweg noodzakelijk, omdat u niet in alle gevallen de groep kunt inzetten. beleidsinstellingen die u nodig heeft in uw onderneming.

De beveiligingssjabloon zelf is een vooraf opgeslagen tekstbestand met de extensie inf dat een reeks bebevat. Een van de belangrijkste voordelen van beveiligingssjablonen is de flexibiliteit bij de implementatie. U kunt beveiligingssjablonen zowel in een domein implementeren met behulp van Active Directory Groepsbeleidsobjecten, als in kleine kantoren of thuisomgevingen (Small Office Home Office - SOHO) met behulp van de module "Analyse en configuratie van beveiliging" of met behulp van het opdrachtregelprogramma Secedit.exe, dat in volgende artikelen wordt besproken. Een andere aantrekkingskracht van deze sjablonen is dat beveiligingssjablonen gewone tekstbestanden zijn, die u zelfs met een standaardprogramma kunt bewerken "Notitieboekje". Het is ook onmogelijk om niet op te merken dat u met behulp van beveiligingssjablonen de conformiteit van de huidige computerconfiguratie en de instellingen in de gemaakte beveiligingssjablonen kunt analyseren.

Met behulp van beveiligingssjablonen kunt u beleidsinstellingen configureren die de volgende beveiligingscomponenten beheren:

• Accountbeleid. In dit artikel kunt u wachtwoordbeleid, accountvergrendelingsbeleid en Kerberos-beleid configureren dat u al kent;
• Lokaal beleid. U kunt het auditbeleid configureren, gebruikersrechten toewijzen, evenals beveiligingsinstellingen die vergelijkbaar zijn met de modulebeleidsinstellingen;
• Gebeurtenislogboeken. U kunt de loginstellingen wijzigen "Toepassingen", "Systeem" En "Veiligheid", zoals beleid voor het maken van logbestanden, maximale grootte, enz.;
• Beperkte groepen. Instellingen voor toegangsbeperkingen voor gebruikers die lid zijn van verschillende groepen;
• Systeemservice-instellingen>. U kunt het opstarttype en de toegangsrechten beheren van alle systeemservices die u in de module kunt vinden "Diensten";
• Systeemregisterinstellingen. U kunt machtigingen toevoegen aan registersleutels;
• Beveiligingsinstellingen voor bestandssysteem. U heeft de mogelijkheid om toegangsrechten voor bestanden en mappen in te stellen.

Het wordt aanbevolen dat u geen wijzigingen aanbrengt in de vooraf geïnstalleerde sjabloon Setup security.inf, omdat u met deze sjabloon de skunt herstellen. Om veel problemen te voorkomen, is het bovendien raadzaam om het op een aparte computer te testen voordat u het gemaakte sjabloon in gebruik neemt.

De module Beveiligingssjablonen gebruiken

Open de module "Beveiligingssjablonen". Om dit te doen, volgt u deze stappen:

1. Open "MMC-beheerconsole". Om dit te doen, klikt u op de knop "Begin", voer in het zoekveld in mmc en klik vervolgens op de knop "Binnenkomen";
2. Er wordt een lege MMC-console geopend. Op het menu "Troosten" team selecteren "Snap-in toevoegen of verwijderen" of gebruik de sneltoets Ctrl+M;
3. In dialoog "Snap-ins toevoegen en verwijderen" uitrusting selecteren "Beveiligingssjablonen" en klik op de knop "Toevoegen";
4. In dialoog "Snap-ins toevoegen of verwijderen" klik op de knop "OK".

De eerste keer dat u deze module opent, wordt er een map Beveiliging met een submap Sjablonen aangemaakt in de map Documenten van uw account. In de map Sjablonen worden de beveiligingssjablonen die u maakt, opgeslagen. In de volgende afbeelding ziet u hoe de module Beveiligingssjablonen voor het eerst wordt geopend:

Rijst. 1. Open de module Beveiligingssjablonen voor de eerste keer

Maak een nieuwe beveiligingssjabloon

Als u later met beveiligingssjablonen wilt werken, maakt u een nieuwe sjabloon. Om dit te doen, moet u de stappen volgen die in de volgende procedure worden beschreven:

1. Klik in de consolestructuur met de rechtermuisknop op het knooppunt dat het sjabloonzoekpad levert. Het standaardpad is %Userprofile%\Documents\Security\Templates;
2. Selecteer de opdracht in het contextmenu dat verschijnt "Sjabloon maken";
3. Voer de naam van de nieuwe sjabloon in het tekstveld in "Sjabloonnaam" het dialoogvenster dat verschijnt. Als u verschillende beveiligingssjablonen maakt, raad ik u aan een gedetailleerde beschrijving van het doel van de sjabloon in het veld toe te voegen "Beschrijving". In de volgende afbeelding ziet u bijvoorbeeld een dialoogvenster voor het maken van een sjabloon met de naam "Systeemservicesconfiguratie". Omdat er op gebruikerscomputers verschillende besturingssystemen kunnen zijn geïnstalleerd, geeft de beschrijving de versie aan van het besturingssysteem waarvoor de huidige sjabloon wordt gemaakt.

Rijst. 2. Dialoogvenster voor het maken van een nieuw beveiligingssjabloon

Als u wilt, kunt u het standaardzoekpad voor de sjabloon wijzigen. Om dit te doen, klikt u in de consolestructuur met de rechtermuisknop op het knooppunt "Beveiligingssjablonen" en selecteer een team “Vind een pad om naar patronen te zoeken...”. In het dialoogvenster "Bladeren door mappen" selecteer de map waarin nieuwe beveiligingssjablonen worden opgeslagen en klik op de knop "OK".

Rijst. 3. Het pad wijzigen om naar sjablonen te zoeken

Instellingen voor beveiligingssjablonen wijzigen

Nadat u een nieuwe sjabloon hebt gemaakt, ziet u in de module een reeks groepsbeleidsregels die vergelijkbaar zijn met de beleidsmaatregelen die in de module worden weergegeven "Groepsbeleidobjecteditor". Houd er ook rekening mee dat de module Beveiligingssjablonen slechts een editor voor groepsbeleid is en geen invloed heeft op het wijzigen van de huidige configuratie. Dat wil zeggen, nadat u het beleid in deze module volledig hebt gewijzigd, hoeft u zich geen zorgen te maken dat de instellingen op uw werkplek worden gewijzigd. Vervolgens bekijken we het instellen van systeemservicebeleid, het toevoegen van registerinstellingen en het bewerken van beperkte groepen.

De volgende afbeelding toont de nieuwe beveiligingssjabloon:

Rijst. 4. Nieuw beveiligingssjabloon

Systeemservices instellen

Knoop "Systeemdiensten" is bedoeld voor latere wijzigingen in de configuratie van systeemservices met behulp van groepsbeleid tijdens de implementatie. De inhoud van dit knooppunt lijkt veel op een fluitje van een cent "Diensten" Er is echter één significant verschil tussen beide. Apparatuur gebruiken "Diensten" u configureert het type service dat op de lokale computer wordt uitgevoerd, en met behulp van beveiligingssjablonen kunt u de opgegeven systeemservice-instellingen tegelijkertijd naar meerdere computers distribueren. Laten we de toepassing van de inhoud van dit knooppunt in detail bekijken aan de hand van een eenvoudig voorbeeld:

Uw kleine kantoorcomputers die geen deel uitmaken van het domein, zullen nooit tablets, BlueTooth-apparaten of smartcards gebruiken. Stel dat u bang bent voor een invasie van computers door kwaadwillenden, dus u wilt de mogelijkheid uitschakelen om op afstand het systeemregister en externe bureaubladservices te beheren, en uw gebruikers mogen Windows Media Center niet gebruiken op hun werkplek. Om dezelfde reden is het noodzakelijk om al deze services op computers in uw netwerk volledig uit te schakelen. Volg deze stappen om deze service-instellingen op alle computers te implementeren:

Het systeemregister instellen

Na een gedetailleerde bestudering van de groepsbeleidsinstellingen zult u merken dat, ondanks het gebruik van groepsbeleid en beveiligingssjablonen, gebruikers erin slagen sommige systeemparameters te wijzigen met behulp van het register. U kent een registersleutel die een specifieke instelling beheert, maar u wilt alleen een bepaalde groep gebruikers toestaan ​​wijzigingen in die sleutel aan te brengen. Stel dat u volledige toegang moet geven om de instellingen te wijzigen van de registersleutel die verantwoordelijk is voor een onderdeel "Datum en tijd" alleen voor groepen "Systeem" En "Beheerders" en voor gebruikers die lid zijn van de groep "Gebruikers" Zelfs het bekijken van deze sectie zou verboden moeten worden. Om dit te doen, volgt u deze stappen:

Beperkte groepen instellen

Met beperkte groepen kunt u gebruikers opgeven die tot een specifieke groep behoren. Beleid dat wordt toegepast met beveiligingssjablonen is van toepassing op alle gebruikers die lid zijn van beperkte groepen. Volg deze stappen om beperkte groepsleden op te geven:

Zodra u klaar bent met het bewerken van de beveiligingssjabloon, moet u deze opslaan voor toekomstig gebruik. Om een ​​beveiligingssjabloon op te slaan, klikt u met de rechtermuisknop op de naam van het beveiligingssjabloonknooppunt en selecteert u de opdracht "Redden" of "Opslaan als" vanuit het contextmenu. De sjabloon wordt opgeslagen met de extensie *.inf.

Conclusie

In dit artikel werd een ander mechanisme voor het beheer van de beveiligingsconfiguratie onderzocht: beveiligingssjablonen en hun toepassing in een productieomgeving. Dit mechanisme wordt vaak gebruikt in kleine ondernemingen zonder domeinnetwerk. U hebt geleerd hoe u deze module kunt openen en ook een nieuw beveiligingssjabloon kunt instellen, een tekstbestand met de extensie *.inf.