76

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

Безопасность в системе Windows Vista. Основные службы и механизмы безопасности

2008

Оглавление

• Введение. 4
• Cреда EC. 5
• Схема безопасности и внедрение 6
• Схема подразделений для политик безопасности 6
• Подразделение отдела 8
• Подразделение пользователей Windows Vista 8
• Подразделение компьютеров с Windows Vista 9
• Схема объектов групповой политики для политик безопасности 9
• Рекомендуемые объекты групповой политики 11
• Внедрение политик безопасности 13
• Проверка схемы в лабораторной среде 15
• Развертывание схемы в рабочей среде 19
• Средство GPOAccelerator 26
• Предыдущие параметры безопасности 29
• Работа с шаблонами безопасности 30
• Технологии защиты системы Windows Vista 37
• Контроль учетных записей 37
• Оценка риска 39
• Снижение рисков 40
• Процедура снижения рисков 42
• Защитник Windows. 43
• Сообщество Microsoft SpyNet 44
• Оценка риска 45
• Снижение рисков 45
• Условия для снижения рисков 46
• Процедура снижения рисков 47
• Использование процедуры снижения рисков 47
• Брандмауэр Windows 48
• Оценка риска 49
• Снижение рисков 50
• Условия для снижения рисков 50
• Снижение рисков с помощью брандмауэра Windows в режиме повышенной безопасности 51
• Центр обеспечения безопасности Windows 53
• Процедура снижения рисков 55
• Политики ограниченного использования программ 55
• Технологии защиты обозревателя Internet Explorer 7 57
• Защищенный режим обозревателя Internet Explorer. 57
• Функция ActiveX Opt-in. 59
• Защита от атак с применением междоменных сценариев 59
• Строка состояния системы безопасности. 60
• Антифишинг. 60
• Аппаратная защита Windows Vista 62
• Технология NX (No Execute) 62
• Случайное расположение адресного пространства 63
• Защита ядра для x64 64
• Программная защита 65
• Подписывание драйверов для x64 65
• Контроль пользовательских учетных записей (User Account Control) 67
• Защита доступа к сети (Network Access Protection, NAP) 72
• Защита от вредоносного кода и компьютерных атак 72
• Центр безопасности Windows (Windows Security Center, WSC) 72
• Windows Defender 72
• Улучшения межсетевого экрана Windows 74
• Защита данных 75
• Заключение 77
• Литература 79
• Введение
• Windows Vista™ - на сегодняшний день самая безопасная операционная система, выпущенная корпорацией Майкрософт. Тем не менее для соответствия требованиям к сети конкретной среды могут потребоваться изменения конфигурации. В этой главе продемонстрирована относительная простота настройки параметров безопасности для усиления защиты клиентских компьютеров под управлением стандартной операционной системы, которые присоединены к домену со службой каталогов Active Directory®.
• Windows Vista™ - это первая клиентская операционная система от Microsoft, в которой контроль за безопасностью осуществляется на всех этапах разработки (технология Microsoft's Security Development Lifecycle). Это означает, что во главу угла ставится именно безопасность новой ОС. Согласно технологии SDL, к разработчикам ПО с самого начала приставляется консультант по безопасности, который контролирует все этапы разработки на предмет отсутствия уязвимостей. Кроме того, Microsoft собирается сертифицировать Windows Vista по стандарту ISO «Общие Критерии» с целью получения сертификатов EAL4 и Single Level OS Protection Profile.
• В главе приводится простой набор процедур для внедрения рекомендуемых параметров для усиления стандартной системы безопасности операционной системы. Упрощенные процедуры позволяет быстро и эффективно защитить клиентские компьютеры под управлением Windows Vista в существующей среде.
• Теперь защиту операционной системы можно усилить, используя только объекты групповой политики. Предыдущие рекомендации корпорации Майкрософт требовали импорта INF-файлов шаблона безопасности и существенного изменения вручную раздела «Административные шаблоны» нескольких объектов групповой политики. Эти файлы или шаблоны больше не требуется использовать. Тем не менее INF-файлы шаблона безопасности распространяются с руководством. Их можно использовать для усиления безопасности автономных клиентских компьютеров. Все рекомендуемые параметры групповой политики описаны в приложении A «Параметры групповой политики, связанные с безопасностью».
• Чтобы применить рекомендуемые параметры, необходимо:
  * создать структуру подразделений для существующей среды;
  * выполнить сценарий GPOAccelerator.wsf, который распространяется с руководством;
  * использовать консоль управления групповыми политиками для связи объектов групповой политики и управления ими.
• Предупреждение.
• Важно тщательно протестировать схемы подразделений и объектов групповой политики перед их развертыванием в рабочей среде. В разделе «Внедрение политик безопасности» этой главы описаны процедуры создания и развертывания структуры подразделений и объектов групповой политики, связанных с безопасностью, во время внедрения в тестовой и рабочей среде.
• Объекты групповой политики набора базовых показателей, которые распространяются с руководством, включают сочетание протестированных параметров, которые улучшают безопасность клиентских компьютеров под управлением Windows Vista в двух различных средах:
• * Enterprise Client (EC)
• * Specialized Security - Limited Functionality (SSLF)

Cреда EC

Среда Enterprise Client (EC), описываемая в этой главе, включает домен со службой каталогов Active Directory®, в котором компьютеры с Microsoft® Windows Server® 2003 R2 или Windows Server 2003 с пакетом обновления 1 (SP1) и Active Directory управляют клиентскими компьютерами с Windows Vista или Windows XP®. В такой среде управление клиентскими компьютерами осуществляется с помощью групповой политики, которая применяется к сайтам, доменам и подразделениям. Групповая политика обеспечивает централизованную инфраструктуру на базе Active Directory, которая позволяет выполнять изменения на уровне доменов и управлять конфигурацией пользователей и параметрами компьютеров, включая параметры безопасности и данные пользователей.

Схема безопасности и внедрение

Схема безопасности, рекомендуемая в этой главе, является основой для сценариев, описанных в данном руководстве, а также для рекомендаций по устранению проблем. В следующих разделах главы описывается основная схема безопасности и приводятся процедуры для ее тестирования и внедрения на компьютерах под управлением Windows Vista:
* Схема подразделений для политик безопасности
* Схема объектов групповой политики для политик безопасности
* Внедрение политик безопасности

Схема подразделений для политик безопасности

Подразделение - это контейнер в домене с Active Directory. Подразделение может включать пользователей, группы, компьютеры и другие подразделения. Если подразделение содержит другие подразделения, оно является родительским.

Подразделение, которое находится внутри родительского подразделения, называется дочерним.

К подразделению можно привязать объект групповой политики, после чего параметры объекта групповой политики будут применены к пользователям и компьютерам, которые находятся в этом подразделении и его дочерних подразделениях. Для упрощения администрирования можно делегировать административные полномочия каждому подразделению.

Подразделения позволяют легко группировать пользователей и компьютеры, обеспечивая эффективный способ сегментации административных границ. Корпорация Майкрософт рекомендует назначать пользователей и компьютеры различным подразделениям, так как некоторые параметры относятся только к пользователям, а другие - только к компьютерам.

Можно делегировать управление группой или отдельным подразделением с помощью мастера делегирования в оснастке «Active Directory - пользователи и компьютеры» консоли управления (MMC). Ссылки на документацию по делегированию полномочий см. в разделе «Дополнительные сведения» в конце данной главы.

Одна из основных задач схемы подразделений любой среды - создание основы для полного внедрения групповой политики, которая применяется ко всем клиентским компьютерам в Active Directory. Это обеспечивает соответствие клиентских компьютеров стандартам безопасности организации. Схема подразделений также должна учитывать параметры безопасности для отдельных типов пользователей в организации. Например, разработчикам может быть необходим такой способ доступа к компьютерам, который не требуется обычным пользователям. Кроме того, требования к безопасности для пользователей переносных и настольных компьютеров могут различаться. На следующем рисунке показана простая структура подразделений, достаточная для рассмотрения групповой политики в этой главе. Структура подразделений может не соответствовать требованиям среды вашей организации.

Рисунок 1.1. Пример структуры подразделений для компьютеров под управлением Windows Vista

Подразделение отдела

Так как требования к безопасности внутри организации могут различаться, иногда имеет смысл создать в среде подразделения отделов. Такие подразделения можно использовать для применения параметров безопасности к компьютерам и пользователям в соответствующих отделах с помощью объекта групповой политики.

Подразделение пользователей Windows Vista

Это подразделение содержит учетные записи пользователей для среды EC. Параметры, применяемые к такому подразделению, подробно описаны в приложении A «Параметры групповой политики, связанные с безопасностью».

Подразделение компьютеров с Windows Vista

Это подразделение содержит дочерние подразделения для каждого типа клиентских компьютеров под управлением Windows Vista в среде EC. Данное руководство содержит прежде всего рекомендации по безопасности для настольных и переносных компьютеров. По этой причине его разработчики создали следующие подразделения компьютеров:

* Подразделение настольных компьютеров. К этому подразделению относятся настольные компьютеры с постоянным подключением к сети. Параметры, которые применяются к этому подразделению, подробно описаны в приложении A «Параметры групповой политики, связанные с безопасностью».

* Подразделение переносных компьютеров. Это подразделение включает переносные компьютеры для мобильных пользователей, которые не всегда подключены к сети. Параметры, которые применяются к этому подразделению, также описаны в приложении A.

Схема объектов групповой политики для политик безопасности

Объект групповой политики - это коллекция параметров групповой политики, которые по сути являются файлам, созданными оснасткой групповой политики. Параметры хранятся на уровне домена и влияют на пользователей и компьютеры в сайтах, доменах и подразделениях.

Объекты групповой политики позволяют обеспечить применение конкретных параметров политики, прав пользователей и поведения компьютеров ко всем клиентским компьютерам или пользователям в подразделении. Использование групповой политики вместо настройки вручную упрощает управление изменениями (включая обновление) для большого количества компьютеров и пользователей. Настройка вручную не только неэффективна, так как требует посещения каждого клиентского компьютера, но и потенциально бесполезна: если параметры политики в объектах групповой политики домена отличаются от параметров, применяемых локально, параметры политики объекта групповой политики домена переопределяет примененные локально параметры.

Рисунок 1.2. Очередность применения объектов групповой политики

На предыдущем рисунке показана очередность, в которой объекты групповой политики применяются к компьютеру, являющемуся членом дочернего подразделения, от наиболее низкого уровня (1) к самому высокому (5). Сначала применяется групповая политика из локальной политики безопасности каждого клиентского компьютера под управлением Windows Vista. После применения локальной политики безопасности применяются объекты групповой политики на уровне сайта, а затем на уровне домена.

Для клиентских компьютеров под управлением Windows Vista, которые находятся в подразделении с несколькими уровнями, объекты групповой политики применяются в порядке от родительского подразделения до дочернего подразделения самого низкого уровня. В последнюю очереди применяется объект групповой политики из подразделения, содержащего клиентский компьютер. Это порядок обработки объектов групповой политики - локальная политика безопасности, сайт, домен, родительское подразделение и дочернее подразделение - очень важен, так как объекты групповой политики, которые применяются позже, переопределяют примененные ранее объекты. Объекты групповой политики пользователей применяются таким же образом.

При разработке групповой политики необходимо учитывать следующее.

* Администратор должен задать порядок связи нескольких объектов групповой политики с подразделением, или групповая политика по умолчанию будет применяться в порядке своей связи с подразделением. Если в нескольких политиках настроен один и тот же параметр, приоритет будет иметь политика с более высоким положением в списке политик контейнера.

* Для объекта групповой политики можно включить параметр Принудительный. Если выбран этот параметр, другие объекты групповой политики не смогут переопределять параметры, настроенные в этом объекте групповой политики.

Примечание. В Windows 2000 параметру Принудительный соответствует параметр Не перекрывать.

* Для Active Directory, сайта, домена или подразделения можно установить параметр Блокировать наследование политики. Этот параметр блокирует параметры объектов групповой политики, которые расположены выше в иерархии Active Directory, если для них не задан параметр Принудительный. Другими словами, параметр Принудительный имеет приоритет над параметром Блокировать наследование политики.

* Параметры групповой политики применяются к пользователям и компьютерам и зависят от места пользователя или компьютера в Active Directory. В некоторых случаях необходимо применять политику к объектам пользователей на основе расположения объектов компьютеров, а не пользователей. Функция замыкания на себя групповой политики позволяет администраторам применять параметры групповой политики для пользователя в зависимости от того, в систему какого компьютера он вошел. Дополнительные сведения об этом параметре см. в статье Замыкание на себя групповых политик.

Рекомендуемые объекты групповой политики

Для внедрения описанной выше схемы подразделений требуется по крайней мере четыре объекта групповой политики:

* политика для домена;

* политика для подразделения пользователей Windows Vista;

* политика для подразделения настольных компьютеров;

* политика для подразделения переносных компьютеров.

Рисунок 1.3. Пример структуры подразделений и связей объектов групповой политики для компьютеров под управлением Windows Vista

В примере на рисунке 1.3 переносные компьютеры принадлежат к подразделению «Переносные компьютеры». Сначала применяется локальная политика безопасности на переносных компьютерах. Так как в этом примере существует только один сайт, на уровне сайта не применяются объекты групповой политики, поэтому следующим применяется объект групповой политики домена. После этого применяется объект групповой политики «Переносные компьютеры».

Примечание. Политика «Настольные компьютеры» не применяется к переносным компьютерам, так как она не связана ни с одним подразделением в иерархии, которое содержит подразделение «Переносные компьютеры».

В качестве примера очередности рассмотрим сценарий, в котором параметр политики Разрешать вход в систему через службу терминалов должен применяться к следующим подразделениям и группам пользователей:
* подразделение «Компьютеры с Windows Vista» - группа Администраторы;
* подразделение «Переносные компьютеры» - группы Пользователи удаленного рабочего стола и Администраторы.

В этом примере пользователь, учетная запись которого принадлежит к группе Пользователи удаленного рабочего стола, может входить в систему переносного компьютера через службу терминалов, так как подразделение «Переносные компьютеры» является дочерним подразделением подразделения «Компьютеры с Windows Vista», а политика дочернего подразделения имеет приоритет.

Если включить параметр политики Не перекрывать в объекте групповой политики подразделения «Компьютеры с Windows Vista», только пользователи, учетные записи которых принадлежат к группе Администраторы, смогут входить в систему переносного компьютера через службу терминалов. Это происходит потому, что параметр Не перекрывать предотвращает переопределение примененной ранее политики политикой дочернего подразделения.

Внедрение политик безопасности

Для внедрения схемы безопасности двух сред, описанных в данном руководстве, необходимо использовать консоль управления групповыми политиками и ее сценарии. Консоль управления групповыми политиками интегрирована в операционную систему, поэтому не требуется загружать и устанавливать ее каждый раз, когда требуется управлять объектами групповой политики на другом компьютере. В отличие от рекомендаций по безопасности для предыдущих версий операционной системы Windows рекомендации в данном руководстве для Windows Vista значительно автоматизируют тестирование и внедрение схемы безопасности в среде EC. Эти рекомендации были разработаны и протестированы, чтобы обеспечивать наиболее эффективный процесс и снизить накладные расходы, связанные с внедрением.

Внимание! Все процедуры, указанные в этом руководстве, необходимо выполнять на клиентском компьютере под управлением Windows Vista, который подключен к домену с Active Directory. Кроме того, пользователь, выполняющий эти процедуры, должен иметь привилегии администратора домена. При использовании операционных систем Microsoft Windows® XP или Windows Server® 2003 параметры безопасности, относящиеся к Windows Vista, не будут отображаться в консоли управления групповыми политиками.

Чтобы внедрить схему безопасности, необходимо выполнить три основные задачи:

1. создать среду EC;

2. использовать консоль управления групповыми политиками для связи политики VSG EC Domain Policy с доменом;

3. использовать консоль управления групповыми политиками для проверки результата.

В этом разделе главы описаны данные задачи и процедуры, а также функции сценария GPOAccelerator.wsf, который автоматически создает рекомендуемые объекты групповой политики.

Сценарий GPOAccelerator.wsf

Наиболее важное средство, которое устанавливается руководством по безопасности Windows Vista, - это сценарий GPOAccelerator.wsf. Основная возможность этого сценария - автоматическое создание всех объектов групповой политики, которые требуются для применения рекомендаций. При этом не требуется тратить время на редактирование параметров политики вручную или на применение шаблонов. Для клиентских компьютеров в среде EC сценарий создает следующие четыре объекта групповой политики:

* VSG EC Domain Policy для домена;

* VSG EC Users Policy для пользователей;

* VSG EC Desktop Policy для настольных компьютеров;

* VSG EC Laptop Policy для переносных компьютеров.

Внимание! Чтобы успешно внедрить схему безопасности для среды EC, тщательно протестируйте ее перед развертыванием в рабочей среде.

* Проверка схемы в лабораторной среде. Используйте сценарий GPOAccelerator.wsf в тестовой среде для создания структуры подразделений, создания объектов групповой политики и их автоматической связи с подразделениями. После завершения тестирования можно использовать сценарий в рабочей среде.

* Развертывание схемы в рабочей среде. При внедрении решения в рабочей среде необходимо сначала создать подходящую структуру подразделений или изменить существующий набор подразделений. После этого можно использовать сценарий GPOAccelerator.wsf для создания объектов групповой политики и затем связать их с соответствующими подразделениями в среде.

Проверка схемы в лабораторной среде

Объекты групповой политики для данного руководства были тщательно протестированы. Тем не менее важно выполнить собственное тестирование в существующей среде. Чтобы сэкономить время, можно использовать сценарий GPOAccelerator.wsf для создания рекомендуемых объектов групповой политики и структуры подразделений, а затем автоматически связать объекты групповой политики с подразделениями.
Задача 1: создание среды EC

Сценарий GPOAccelerator.wsf находится в папке Windows Vista Security Guide\GPOAccelerator Tool, которую создает установщик Microsoft Windows (MSI-файл).

Примечание. Чтобы выполнить сценарий, как описано в следующей процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.

Чтобы создать объекты групповой политики и связать их с соответствующими подразделениями в среде:

1. Войдите с учетной записью администратора домена в систему компьютера под управлением Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться объекты групповой политики.

2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.

3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора домена.

Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.

5. В командной строке введите cscript GPOAccelerator.wsf /Enterprise /LAB и нажмите клавишу ВВОД.

6. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).

Примечание. Это действие может занять несколько минут.

7. В окне с сообщением The Enterprise Lab Environment is created (Создана лабораторная среда Enterprise) нажмите кнопку OK.

8. В окне с сообщением Make sure to link the Enterprise Domain GPO to your domain (Свяжите объект групповой политики домена Enterprise с доменом) нажмите кнопку OK и выполните следующую задачу для связи политики VSG EC Domain Policy.

Примечание. Групповая политика уровня домена включает параметры, которые применяются ко всем компьютерам и пользователям в этом домене. Важно уметь определять необходимость связи объекта групповой политики домена, так как он применяется ко всем пользователям и компьютерам. По этой причине сценарий GPOAccelerator.wsf не выполняет автоматическую связь объекта групповой политики домена с доменом.

Задача 2: использование консоли управления групповыми политиками для связи политики VSG EC Domain Policy с доменом

Теперь можно выполнить связь объекта групповой политики домена с доменом. Ниже приведены инструкции по использованию консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для связи политики VSG EC Domain Policy с доменом.

Чтобы связать политику VSG EC Domain Policy:

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить. (Или нажмите клавишу с эмблемой Windows + R.)

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

4. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку OK.

5. В области сведений выберите пункт VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку Move link to top (Переместить ссылку наверх).

Внимание! Установите для параметра Link Order (Порядок ссылок) объекта VSG EC Domain Policy значение 1. В противном случае с доменом будут связаны другие объекты групповой политики, такие как Default Domain Policy GPO (Объект групповой политики домена по умолчанию), что приведет к переопределению параметров руководства по безопасности Windows Vista.

Задача 3: использование консоли управления групповыми политиками для проверки результата

Консоль управления групповыми политиками можно использовать для проверки результатов выполнения сценария. Ниже описана процедура использования консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для проверки объектов групповой политики и структуры подразделений, которые создает сценарий GPOAccelerator.wsf.

Чтобы проверить результаты выполнения сценария GPOAccelerator.wsf:

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить.

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. Щелкните нужный лес, выберите пункт Domains (Домены) и домен.

4. Щелкните и разверните узел Vista Security Guide EC Client OU (Подразделение клиентов Vista Security Guide EC) и откройте каждое из пяти подразделений, указанных ниже.

5. Убедитесь в том, что структура подразделений и связи объекта групповой политики соответствуют изображенным на следующем рисунке.

Рисунок 1.4. Структура подразделений и связи объектов групповой политики

Все объекты групповой политики, созданные сценарием GPOAccelerator.wsf, полностью заполняются параметрами, рекомендуемыми в этом руководстве. После этого можно использовать средство «Active Directory - пользователи и компьютеры», чтобы проверить схему путем перемещения пользователей и компьютеров в соответствующие подразделения. Сведения о параметрах, содержащихся в каждом объекте групповой политики, см. в приложении A «Параметры групповой политики, связанные с безопасностью».

Развертывание схемы в рабочей среде

Чтобы сэкономить время, можно использовать сценарий GPOAccelerator.wsf для создания объектов групповой политики для среды EC. После этого можно связать объекты групповой политики с соответствующими подразделениями в существующей структуре. В крупных доменах с большим количеством подразделений необходимо продумать использование существующей структуры подразделений для развертывания объектов групповой политики.

По возможности необходимо разделять подразделения компьютеров и пользователей. Кроме того, требуются отдельные подразделения для настольных и переносных компьютеров. Если такая структура невозможна в существующей среде, вероятно, потребуется изменить объекты групповой политики. Чтобы определить необходимые изменения, используйте сведения о параметрах в приложении A «Параметры групповой политики, связанные с безопасностью».

Примечание. Как указано в предыдущем разделе, можно использовать сценарий GPOAccelerator.wsf с параметром /LAB в тестовой среде для создания образца структуры подразделений. Тем не менее при гибкой структуре подразделений можно также использовать этот параметр в рабочей среде, чтобы создать базовую структуру подразделений и автоматически связать объекты групповой политики. После этого можно изменить структуру подразделений вручную в соответствии с требованиями среды.

Задача 1: создание объектов групповой политики

Объекты групповой политики EC, описанные в этом руководстве, создаются с помощью сценария GPOAccelerator.wsf. Сценарий GPOAccelerator.wsf находится в папке Windows Vista Security Guide\GPOAccelerator Tool, которую создает MSI-файл установщика Microsoft Windows.

Примечание. Каталог GPOAccelerator Tool можно скопировать с компьютера, на котором установлено это средство, на другой компьютер, где требуется выполнить сценарий. Чтобы выполнить сценарий, как описано в следующей процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.

Чтобы создать объекты групповой политики в производственной среде:

1. Войдите с учетной записью администратора домена в систему компьютера под управлением Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться объекты групповой политики.

2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.

3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора домена.

Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.

5. В командной строке введите cscript GPOAccelerator.wsf /Enterprise и нажмите клавишу ВВОД.

6. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).

Примечание. Это действие может занять несколько минут.

7. В окне с сообщением The SSLF GPOs are created (Объекты групповой политики Enterprise созданы) нажмите кнопку OK.

8. В окне с сообщением Make sure to link the Enterprise GPOs to the appropriate OUs (Свяжите объекты групповой политики Enterprise с соответствующими подразделениями) нажмите кнопку OK.

Задача 2: использование консоли управления групповыми политиками для проверки результата.

Можно использовать консоль управления групповыми политиками, чтобы убедиться в том, что сценарий успешно создал все объекты групповой политики. Ниже описана процедура использования консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для проверки объектов групповой политики, которые создает сценарий GPOAccelerator.wsf.

Чтобы проверить результаты выполнения сценария GPOAccelerator.wsf:

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить.

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. Щелкните нужный лес, выберите пункт Domains (Домены) и домен.

4. Разверните узел Group Policy Objects (Объекты групповой политики) и убедитесь в том, что четыре созданных объекта групповой политики VSG EC соответствуют объектам на следующем рисунке.

Рисунок 1.5. Объекты групповой политики EC, созданные сценарием GPOAccelerator.wsf, в консоли управления групповыми политиками

После этого можно использовать консоль управления групповыми политиками для связи каждого объекта групповой политики с соответствующим подразделением. Последняя задача в процессе описывает, как это сделать.

Задача 3: использование консоли управления групповыми политиками для связи объектов групповой политики с подразделениями

Следующая процедура описывает, как использовать консоль управления групповыми политиками на клиентском компьютере под управлением Windows Vista для выполнения этой задачи.

Чтобы связать объекты групповой политики в производственной среде:

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить.

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

4. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку OK.

5. В области сведений выберите пункт VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку Move link to top (Переместить ссылку наверх).

Внимание! Установите для параметра Link Order (Порядок ссылок) объекта VSG EC Domain Policy значение 1. В противном случае с доменом будут связаны другие объекты групповой политики, такие как Default Domain Policy GPO (Объект групповой политики домена по умолчанию), что приведет к переопределению параметров руководства по безопасности Windows Vista Security Guide.

6. Щелкните правой кнопкой мыши узел Windows Vista Users OU (Подразделение пользователей Windows Vista) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

7. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Users Policy (Политика пользователей VSG EC) и нажмите кнопку OK.

8. Щелкните правой кнопкой мыши узел Desktop OU (Подразделение настольных компьютеров) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

9. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Desktop Policy (Политика настольных компьютеров VSG EC) и нажмите кнопку OK.

10. Щелкните правой кнопкой мыши узел Laptop OU (Подразделение переносных компьютеров) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

11. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Laptop Policy (Политика переносных компьютеров VSG EC) и нажмите кнопку OK.

12. Повторите эти действия для всех других созданных подразделений пользователей или компьютеров, чтобы связать их с соответствующими объектами групповой политики.

Примечание. Можно также перетащить объект групповой политики из узла Group Policy Objects (Объекты групповой политики) в подразделение. Тем не менее операция перетаскивания поддерживается только для объектов в том же домене.

Чтобы подтвердить связи объектов групповой политики с помощью консоли управления групповыми политиками:

* Разверните узел Group Policy Objects (Объекты групповой политики) и выберите объект групповой политики. В области сведений откройте вкладку Scope (Область) и просмотрите сведения в столбцах Link Enabled (Связь включена) и Path (Путь).

- Или -

* Выберите подразделение и затем в области сведений откройте вкладку Linked Group Policy Objects (Связанные объекты групповой политики) и просмотрите сведения в столбцах Link Enabled (Связь включена) и GPO (Объект групповой политики).

Примечание. Консоль управления групповыми политиками можно использовать для отмены связи объектов групповой политики или их удаления. После этого можно удалить ненужные подразделения с помощью консоли управления групповыми политиками или консоли «Active Directory - пользователи и компьютеры». Чтобы полностью отменить все изменения, внесенные сценарием GPOAccelerator.wsf, необходимо вручную удалить файлы EC-VSGAuditPolicy.cmd, EC-ApplyAuditPolicy.cmd и EC-AuditPolicy.txt из общей папки NETLOGON одного из контроллеров домена. Дополнительные сведения о том, как полностью отменить внедрение политики аудита, см. в разделе «Политика аудита» приложения A «Параметры групповой политики, связанные с безопасностью».

Все объекты групповой политики, созданные сценарием GPOAccelerator.wsf, полностью заполняются параметрами, рекомендуемыми в этом руководстве. После этого можно использовать средство «Active Directory - пользователи и компьютеры», чтобы проверить схему путем перемещения пользователей и компьютеров в соответствующие подразделения. Сведения о параметрах, содержащихся в каждом объекте групповой политики, см. в приложении A «Параметры групповой политики, связанные с безопасностью».

Миграция объектов групповой политики в другой домен (необязательно)

При изменении объектов групповой политики в этом решении или создании собственных объектов групповой политики и необходимости использовать их в нескольких доменах необходимо выполнить миграцию объектов групповой политики. Для миграции объекта групповой политики из одного домена в другой требуется планирование, но основная процедура достаточно проста. Во время планирования необходимо обратить внимание на две важных особенности данных объектов групповой политики.

* Сложность данных. Данные, составляющие объект групповой политики, имеют сложную структуры и хранятся в нескольких местах. При использовании консоли управления групповыми политиками для миграции объекта групповой политики обеспечивается надлежащая миграция всех

* Данные, относящиеся к домену. Некоторые данные в объекте групповой политики могут относиться к конкретному домену и стать недопустимыми при прямом копировании в другой домен. Чтобы решить эту проблему, таблицы миграции консоли управления групповыми политиками позволяют изменять относящиеся к домену данные в объекте групповой политики на новые значения во время миграции. Это требуется делать только в том случае, если объект групповой политики содержит идентификатор (ИД) безопасности или пути UNC, которые относятся только к конкретному домену.

Дополнительные сведения о миграции объектов групповой политики см. в справке консоли управления групповыми политиками. В техническом документе Миграция объектов групповой политики между доменами с помощью консоли управления групповыми политиками (на английском языке) также содержатся дополнительные сведения о миграции объектов групповой политики между доменами.

Средство GPOAccelerator

С данным руководством распространяются сценарий и шаблоны безопасности. В этом разделе приводятся общие сведения о данных ресурсах. Важнейшим средством, которое выполняет основной сценарий для этого руководства по безопасности, является GPOAccelerator.wsf, расположенное в папке Windows Vista Security Guide\GPOAccelerator Tool\Security Group Policy Objects. Кроме того, в этом разделе рассказывается, как изменить консоль управления групповыми политиками для просмотра параметров объекта групповой политики, а также описываются структура подкаталогов и типы файлов, которые распространяются с руководством. Другим ресурсом для сравнения значений параметров является файл Windows Vista Security Guide Settings.xls, который также прилагается к этому руководству.

Консоль управления групповыми политиками и расширения SCE

Решение, представленное в этом руководстве, использует параметры объекта групповой политики, которые не отображаются в стандартном пользовательском интерфейсе консоли управления групповыми политиками в Windows Vista или редакторе конфигураций безопасности (SCE). Эти параметры с префиксом MSS: были разработаны группой Microsoft Solutions for Security для предыдущего руководства о безопасности.

Внимание! Расширения SCE и сценарий GPOAccelerator.wsf предназначены только для запуска на компьютерах под управлением Windows Vista. Эти средства не будут правильно работать при запуске на компьютере под управлением системы Windows XP или Windows Server 2003.

По этой причине необходимо расширить эти средства, чтобы просматривать параметры безопасности и при необходимости редактировать их. Для этого сценарий GPOAccelerator.wsf автоматически обновляет компьютер при создании объектов групповой политики. Чтобы администрировать объекты групповой политики руководства по безопасности Windows Vista с другого компьютера под управлением Windows Vista, используйте следующую процедуру для обновления SCE на этом компьютере.

Чтобы изменить SCE для вывода параметров MSS

1. Убедитесь в том, что выполнены указанные ниже условия.

* Компьютер присоединен к домену с Active Directory, в котором созданы объекты групповой политики.

* Установлен каталог Windows Vista Security Guide\GPOAccelerator Tool.

Примечание. Каталог GPOAccelerator Tool можно скопировать с компьютера, на котором установлено это средство, на другой компьютер, где требуется выполнить сценарий. Чтобы выполнить сценарий, как описано в этой процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.

2. Войдите на компьютер с учетной записью администратора.

3. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.

4. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

5. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора.

Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.

6. В командной строке введите cscript GPOAccelerator.wsf /ConfigSCE и нажмите клавишу ВВОД.

7. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).

8. В окне с сообщением TheSecurity Configuration Editor is updated (Редактор конфигураций безопасности обновлен) нажмите кнопку OK.

Внимание! Это сценарий только изменяет SCE так, чтобы отображались параметры MSS, он не создает объекты групповой политики или подразделения.

Следующая процедура удаляет дополнительные параметры безопасности MSS, а затем устанавливает для параметров средства SCE значения по умолчанию для Windows Vista.

Чтобы присвоить параметрам средства SCE значения по умолчанию для Windows Vista:

1. Войдите на компьютер с учетной записью администратора.

2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.

3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора.

Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.

5. В командной строке введите cscript GPOAccelerator.wsf /ResetSCE и нажмите клавишу ВВОД.

6. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).

Примечание. При выполнении этой процедуры параметрам редактора конфигураций безопасности назначаются значения по умолчанию для Windows Vista. Все параметры, добавленные в редактор конфигураций безопасности, будут удалены. Это повлияет только на отображение этих параметров в редакторе конфигураций безопасности. Настроенные параметры групповых политик не удаляются.

7. В окне с сообщением TheSecurity Configuration Editor is updated (Редактор конфигураций безопасности обновлен) нажмите кнопку OK.

Предыдущие параметры безопасности

Если необходимо создать собственную политику безопасности, а не использовать или изменить политики, предоставляемые с данным руководством, можно импортировать нужные параметры безопасности с помощью шаблонов безопасности. Шаблоны безопасности - это текстовые файлы, содержащие значения параметров безопасности. Они являются подкомпонентами объектов групповой политики. Параметры политики, содержащиеся в шаблонах безопасности, можно изменять в оснастке «Редактор объектов групповой политики» консоли управления (MMC). В отличие от предыдущих версий операционной системы Windows, ОС Windows Vista не включает предварительно заданные шаблоны безопасности, хотя при необходимости можно использовать существующие шаблоны.

Шаблоны безопасности входят в MSI-файл установщика Windows, который распространяется с этим руководством. В папке GPOAccelerator Tool\Security Templates находятся следующие шаблоны для среды EC:

* VSG EC Desktop.inf

* VSG EC Domain.inf

* VSG EC Laptop.inf

Внимание! Для развертывания решения, описанного в этом руководстве, не требуются шаблоны безопасности. Шаблоны являются альтернативой решению на основе консоли управления групповыми политиками и включают только параметры безопасности компьютера из раздела Конфигурация компьютера\Конфигурация Windows\Параметры безопасности. Например, с помощью шаблона безопасности нельзя управлять параметрами Internet Explorer или брандмауэра Windows в объектах групповой политики, а также параметрами пользователя.

Работа с шаблонами безопасности

Чтобы использовать шаблоны безопасности, необходимо сначала расширить SCE таким образом, чтобы настраиваемые параметры безопасности MSS отображались в пользовательском интерфейсе. Дополнительные сведения см. в предыдущем разделе данной главы «Консоль управления групповыми политиками и расширения SCE». Если шаблоны можно просматривать, для их импорта в созданные объекты групповой политики при необходимости можно использовать следующую процедуру.

Чтобы импортировать шаблон безопасности в объект групповой политики:

1. Откройте редактор объектов групповой политики для объекта групповой политики, который требуется изменить. Для этого в консоли управления групповыми политиками щелкните правой кнопкой мыши объект групповой политики и выберите пункт Изменить.

2. В редакторе объектов групповой политики перейдете к папке Конфигурация Windows.

3. Разверните папку Конфигурация Windows и выберите пункт Параметры безопасности.

4. Щелкните правой кнопкой мыши папку Параметры безопасности и выберите пункт Импортировать политику.

5. Откройте папку Security Templates в папке Windows Vista Security Guide.

6. Выберите шаблон безопасности, который необходимо импортировать, и нажмите кнопку Открыть.

После выполнения последнего действия этой процедуры параметры из файла копируются в объект групповой политики.

Можно также использовать шаблоны безопасности, которые распространяются с руководством, чтобы изменить локальную политику безопасности на автономных клиентских компьютерах под управлением Windows Vista. Сценарий GPOAccelerator.wsf упрощает применение шаблонов.

Чтобы применить шаблоны безопасности для создания локальной групповой политики на автономных клиентских компьютерах под управлением Windows Vista:

1. Войдите в систему компьютера под управлением Windows Vista с учетной записью администратора.

2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.

3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора.

Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите кнопку ВВОД.

5. В командной строке введите cscript GPOAccelerator.wsf /Enterprise /Desktop или cscript GPOAccelerator.wsf /Enterprise /Laptop и нажмите клавишу ВВОД.

Эта процедура изменяет параметры локальной политики безопасности, используя значения в шаблонах безопасности для среды EC.

Чтобы восстановить значения параметров по умолчанию для локальной групповой политики в Windows Vista:

1. Войдите в систему клиентского компьютера под управлением Windows Vista с учетной записью администратора.

2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.

3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора.

Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите кнопку ВВОД.

5. В командной строке введите cscript GPOAccelerator.wsf /Restore и нажмите клавишу ВВОД.

Папка, содержащая INF-файлы шаблонов безопасности, которые можно использовать для внедрения некоторых параметров безопасности, рекомендуемых в этом руководстве.

Примечание. Корпорация Майкрософт рекомендует использовать сценарий, распространяемый с этим руководством, для создания рекомендуемых объектов групповой политики. Тем не менее предоставляемые шаблоны безопасности могут помочь защитить автономные компьютеры.

Security Templates\EC-VSG Desktop.inf

Шаблон безопасности Enterprise Desktop

Security Templates\EC-VSG Domain.inf

Шаблон безопасности Enterprise Domain

Security Templates\EC-VSG Laptop.inf

Шаблон безопасности Enterprise Laptop

Security Templates\SSLF-VSG Desktop.inf

Шаблон безопасности SSLF Desktop

Security Templates\SSLF-VSG Domain.inf

Шаблон безопасности SSLF Domain

Security Templates\SSLF-VSG Laptop.inf

Шаблон безопасности SSLF Laptop

Security Templates\Vista Default Security.cmd

Командный файл, используемый при восстановлении значений параметров по умолчанию Windows Vista для локальной политики безопасности.

Security Templates\Vista Default Security.inf

Шаблон безопасности, используемый при восстановлении значений параметров по умолчанию Windows Vista для локальной политики безопасности.

Security Templates\Vista Default Security.sdb

Файл базы данных безопасности, используемый при восстановлении значений параметров по умолчанию Windows Vista для локальной политики безопасности.

Security Templates\Vista Local Security.sdb

Файл базы данных безопасности, используемый при применении шаблонов безопасности VSG к компьютеру.

Технологии защиты системы Windows Vista

Система Windows Vista включает в себя несколько новых и усовершенствованных технологий, которые обеспечивают повышенный уровень защиты от вредоносных программ. Вот список этих технологий:

* Контроль учетных записей (UAC).

* Защитник Windows.

* Брандмауэр Windows

* Центр обеспечения безопасности Windows

* Средство удаления вредоносных программ

* Политики ограниченного использования программ

Помимо использования этих технологий защиты необходимо помнить, что для обеспечения безопасности настоятельно рекомендуется входить в систему с учетной записью обычного пользователя. Даже при использовании всех этих технологий, если не защитить пользователей с правами администратора, компьютеры подвергаются риску.

Контроль учетных записей

Система Windows Vista включает в себя функцию контроля учетных записей (UAC), которая предоставляет способ разделить привилегии и задачи обычного пользователя и администратора. Функция контроля учетных записей повышает уровень безопасности, улучшая работу пользователя при использовании учетной записи обычного пользователя. Теперь пользователи могут выполнять больше задач и пользоваться повышенной совместимостью приложений без необходимости входить в систему с привилегиями администратора. Это помогает снизить влияние вредоносных программ, а также предотвратить установку несанкционированного программного обеспечения и внесение в систему несанкционированных изменений.