Обеспечение безопасности в Windows NT. Настройка системных служб

Обеспечение безопасности в Windows NT. Настройка системных служб

1. "Хранителем" пула уникальных идентификаторов безопасности выступает

2. 1000 Гб образуют

3. 1000 Тб образуют

5. Active Directory можно запрашивать с помощью протокола

6. Active Directory поддерживается

7. C ростом длины цепочек производительность диска

8. CIFS является протоколом

9. FAT содержит записи

10. GPO Default Domain Policy содержит

11. Intellimirror реализуется в зонах, в которые входят

12. Intellimirror реализуется с помощью

13. Intellimirror реализуется с помощью

14. IP - это протокол

15. IPSec обеспечивает для VPN-соединения

16. IP-адреса в домене in-addr. arpa записываются

17. ISDN использует для передачи данных

18. LDAP указывает путь именования, определяющий

19. MFT является

20. NetBIOS - это уровень представления

21. NLB Manager позволяет изменять конфигурацию

22. NLB выполняет фильтрацию пакетов

23. NLB перехватывает пакеты

24. NT4 выполняет разрешение имен, если имя NetBIOS

25. OU организует определенные объекты домена в виде

26. RSS запускается только на томах, отформатированных с помощью

27. RSS поддерживает

28. Security Filtering может применяться

29. UDP-версия FTP носит название

30. Windows Components применяется для конфигурации

32. Windows Server 2003 может быть

33. Windows Server 2003 обеспечивает операции дистанционного управления через

34. WINS используется для имен

35. WINS отображает IP-адреса

36. Автономный корень имеет

37. Администраторы управляют кластером, используя

38. Активизировать и конфигурировать блокировки можно

39. Апплет RIS Wizard предназначен для включения

40. База данных на уровне леса, содержащая классы объектов и атрибуты для всех объектов, содержащихся в Active Directory, носит название

41. Без поддержки больших окон при передаче данных по протоколу TCP/IP максимальный размер окна обычно равен

42. Более детальные настройки безопасности NTFS можно задавать

43. Большинство настроек, относящихся к Intellimirror, обычно задаются в оснастке GPOE, в секции

44. Быстрое выполнение обратного поиска с помощью зоны обратного поиска осуществляется с помощью

45. В DOS 4.0 записи FAT имели размер

46. В RIS используется технология хранения элементов

47. В Windows Server 2003 включена служба времени

48. В Windows Server 2003 для IPSec используется метод шифрования

49. В Windows Server 2003 используется файловая система

50. В Windows Server 2003 оснастка IP Security Monitor обеспечивает

51. В Windows Server 2003 хранение и управление доменными учетными записями происходит

52. В автономной системе DFS корень хранится

53. В глобальные группы можно включатьы

54. В домене учетные записи представляют

55. В доменных именах старшинство

56. В информацию малого дампа включается

57. В какие версии Windows Server 2003 входит NLB?

58. В каких вариантах доступны устанавливаемые приложения?

59. В каком Help-файле описаны настройки политики беспроводной сети?

60. В каком Help-файле описаны настройки политики ограничения ПО?

61. В каком режиме универсальные группы не создаются?

62. В кластере серверов каждый компьютер называется

63. В минимальные требования сетевой инфраструктуры RIS входит использование

64. В нормальном режиме системный ключ сохраняется в реестре с помощью

65. В организационные единицы можно включать

66. В сертификат обычно включается информация

67. В среде DCE используется модель

68. В целях оптимизации производительности можно осуществлять мониторинг

69. В чем основное отличие файлов CSV от файлов TSV?

70. Вверху транспортного уровня модели OSI сетевая архитектура Windows Server 2003 имеет интерфейс

71. Вместо таблицы FAT NTFS использует специальный файл, который называется

72. Внутренний сетевой номер - это

73. Время на передачу и подтверждение приема называется

74. Все компьютеры в кластере можно указывать с помощью

75. Все стеки протоколов, действующие на компьютере Windows Server 2003, передают свои запросы сетевых услуг

76. Все счетчики, относящиеся к файлу подкачки, содержатся в объекте

77. Все текущие сетевые пользователи, включая гостей и пользователей из других доменов, входят в группу

78. Выберите возможные ключи для chkdsk:

79. Выберите из предложенных ниже записей команды Recovery Console:

80. Выберите из предложенных ниже записей типы запросов DNS:

81. Выберите из приведенных ниже записей Help-файлы, связанные с Group Policy Windows Server 2003:

82. Выберите из приведенных ниже записей команды Recovery Console:

83. Выберите из приведенных ниже записей типы настроек Security Settings в узле Computer Configuration, доступных с помощью Group Policy:

84. Выберите типы зон, поддерживаемых и реализуемых с помощью объекта GPO?

85. Выберите форматы файлов журналов их приведенных ниже записей:

86. Выделите вкладки диалогового окна RSOP:

87. Выделите возможные источники поступления эталонной информации:

88. Выделите из приведенных записей преимущества FAT32 перед FAT:

89. Выделите из приведенных ниже записей группы контейнера Builtin:

90. Выделите из приведенных ниже записей группы, имеющиеся на рядовом сервере, работающем под управлением Windows Server 2003:

91. Выделите из приведенных ниже записей действия, которые может выполнять обладатель соответствующих полномочий:

92. Выделите из приведенных ниже записей домены верхнего уровня:

93. Выделите из приведенных ниже записей команды Nlb. exe:

94. Выделите из приведенных ниже записей компоненты DFS:

95. Выделите из приведенных ниже записей компоненты SFNW5:

96. Выделите из приведенных ниже записей организации RIR:

97. Выделите из приведенных ниже записей средства Group Policy, используемые для управления:

98. Выделите из приведенных ниже записей средства сетевого доступа, не включенные в 64-битные версии Windows Server 2003:

99. Выделите из приведенных ниже записей типы доверительных отношений в Windows Server 2003:

100. Выделите из приведенных ниже записей узлы, содержащие информацию о службах, которые работают в сети:

101. Выделите из приведенных ниже записей улучшения DHCP, внесенные в Windows Server 2003:

102. Выделите из приведенных ниже записей утилиты TCP/IP:

103. Выделите события от системного провайдера:

104. Выделите составляющие части заголовка TCP:

105. Выделите существующие в Windows Server 2003 объекты GPO:

106. Выделите те объекты, которые содержатся в каждой системе:

107. Где могут находиться доменные группы?

108. Где осуществляется запись данных, когда возникает событие, вырабатываемое операционной системой или приложением?

109. Главным компонентом Kerberos является

110. Главным обозревателем является по умолчанию

111. Глобальные группы могут содержать

112. Глобальные группы, которые нельзя поместить в локальные группы доверяемых доменов, носят название

113. Группа компьютеров, которые совместно работают как единое целое, носит название

114. Группа может содержать

115. Группа настроек, которые определяют рабочее окружение пользователя, носит название

116. Группа отдельных серверов, совместно работающих как одна система, носит название

117. Групповые политики применяются

118. Группы, которые создаются для задания полномочий и прав пользователей, это всегда

119. Данные с наиболее высоким порядковым номером обновления реплицируются

120. Данные, сохраняемые приложениями, хранятся в папке

121. Двоичный файл журнала имеет расширение задать

122. Дисковые квоты - это

123. Для Windows Server 2003 наиболее распространена топология

124. Для добавления или удаления доменов в лесу используется роль

125. Для доступа к файловым ресурсам и ресурсам печати на серверах NetWare используется служба

126. Для каких из приведенных ниже объектов подходит NLB?

127. Для каких из приведенных ниже протоколов может использоваться NLB?

128. Для каких рабочих нагрузок можно определить характеристики?

129. Для контроллеров домена искомое время - это время

130. Для корректировки ПО применяют

131. Для малого дампа требуется файл подкачки не менее

132. Для определения компонента DNS-имени объекта Active Directory используется

133. Для отслеживания и управления съемными запоминающими устройствами используется служба

134. Для поддержки соответствующего продукта на уровне текущих изменений, а также исправления проблем, появившихся после выпуска этого продукта, используют

135. Для поиска серверов DHCP используется сообщение

136. Для сегментирования различных типов фреймов, которые могут существовать в данной сети, используют

137. Для создания и поддержки двухточечных соединений PPP использует

138. Для транзитивности доверительных отношений в домене и лесу соответствующее доверительное отношение должно

139. Для упрощения административного управления доменом создаются

140. Для чего Windows Server 2003 использует сертификаты?

141. Для чего используется KDC?

142. Для чего используется кластеризация?

143. Для чего используются утилиты планирования вычислительной мощности от сторонних поставщиков для Windows Server 2003?

144. Для чего предназначены открытые IP-адреса?

145. До согласования аренды потенциальный клиент DHCP работает

146. Доверительные отношения между корнями двух различных доменов одного леса имеют тип

148. Домен внутри другого домена называется

149. Доступ к доменным ресурсам санкционируется в зависимости

150. Единицей размещения файлов в NTFS являются

151. Если активизирована поддержка IGMP Multicast, то соответствующий групповой IP-адрес должен быть допустимым IP-адресом

152. Если время не удается синхронизировать три раза подряд, то период до удачной синхронизации будет равен

153. Если группа создается на компьютере, который не является контроллером домена, можно ли выбрать тип группы "local"?

154. Если пользователь или приложение извлекает второй файл в течение десяти секунд после первого файла, это называется

155. Если пользователю нужно использовать файл, который не имеет кэшированных данных на томе, то применяется процесс, который называется

156. Если прошло 50% времени от текущего периода аренды, то клиент переходит в состояние

157. Если синхронизация времени успешно проходит три раза подряд с использованием периода 45 минут, то задается новый период, равный

158. Если создается группа, то это по умолчанию

159. Если состояние сервера внутри кластера изменяется, то активные серверы запускают процесс, который называется

160. Журналы трассировки отличаются от журналов счетчиков

161. Журналы трассировки следят за событиями

162. Задачи, которые разрешается выполнять пользователям при работе с объектами на диске NTFS, носят название

163. Задачи, которые разрешается выполнять пользователям при работе с настройками компьютера или домена, называются

164. Записи FAT, указывающие на каждый блок размещения для фрагментированного файла, носят название

165. Запись статистики работы или использования системы для локальных и удаленных систем производится

167. Значение приоритета может изменяться

168. Значения, которые используются для измерения производительности таких продуктов, как процессоры, видеокарты, накопители на жестких дисках, приложения и системы в целом, носят название

169. Идентичный разделяемый ресурс на другом сервере в DFS носит название

170. Из какого количества полей состоит заголовок IP?

171. Из перечисленных ниже записей выделите интерфейсы пользовательского режима:

172. Из приведенных ниже записей выделите возможности IPSec:

173. Из приведенных ниже записей выделите контейнеры, которые создаются в Windows Server 2003:

174. Из приведенных ниже записей выделите названия протоколов для маршрутизаторов:

175. Из приведенных ниже записей выделите объекты, информация о которых содержится в Active Directory:

176. Из приведенных ниже записей выделите объекты, которые находятся в каждой системе:

177. Из приведенных ниже записей выделите политики аудита, которые можно применять для повышения безопасности Windows Server 2003:

178. Из приведенных ниже записей выделите роли на уровне леса:

179. Из приведенных ниже записей выделите скрипты, которые могут запускаться с помощью WSH:

180. Из приведенных ниже записей выделите сообщение, используемое клиентами для запроса конкретного IP-адреса:

181. Из приведенных ниже записей выделите сообщение, используемое серверами для отклонения согласия клиента с IP-адресом:

182. Из приведенных ниже записей выделите специальные группы:

183. Из приведенных ниже записей выделите те объекты, которые могут входить в группы:

184. Из приведенных ниже записей выделите утилиты для работы с Active Directory:

185. Из приведенных ниже определений выделите типы записей DNS:

186. Из приведенных ниже элементов выделите записи реестра клиентской стороны:

187. Имеется двоичное представление IP-адреса: .... Какому IP-адресу оно соответствует?

188. Имя входа в UPN определяется

189. Имя, которое видят пользователи, в DFS носит название

190. Информация доменных учетных записей хранится

191. Информация по безопасности, которая присоединяется к восстанавливаемому файлу, содержит

192. Использование RSS

193. Используемый тип шифрования IPSec определяется

194. Используя GPOE можно

195. К атрибутам файла следует отнести

196. К важным ресурсам, мониторинг которых обязателен для каждого сервера, следует отнести

197. К вариантам журнала для операции резервного копирования следует отнести

198. К вариантам местоположения файлов при резервном копировании следует отнести

199. К встроенным пользовательским учетным записям следует отнести

200. К главным достоинствам NLB для приложений следует отнести

201. К группам контейнера Users следует отнести

202. К действиям, которые может выполнять обладатель соответствующих полномочий, следует относить

203. К доменам верхнего уровня следует отнести

204. К записям реестра клиентской стороны следует отнести

205. К информации, которую может защищать SYSKEY, следует отнести

206. К информации, которую содержит сертификат, следует отнести

207. К кластерным технологиям Microsoft Windows Server 2003 следует отнести

Developer Project предлагает поддержку при сдаче экзаменов учебных курсов Интернет-университета информационных технологий INTUIT (ИНТУИТ). Мы ответили на экзаменационные вопросы 380 курсов INTUIT (ИНТУИТ) , всего вопросов, ответов (некоторые вопросы курсов INTUIT имеют несколько правильных ответов). Текущий каталог ответов на экзаменационные вопросы курсов ИНТУИТ опубликован на сайте объединения Developer Project по адресу: http://www. dp5.su/

Подтверждения правильности ответов можно найти в разделе «ГАЛЕРЕЯ», верхнее меню, там опубликованы результаты сдачи экзаменов по 100 курсам (удостоверения, сертификаты и приложения с оценками).

Болеевопросов по 70 курсам и ответы на них, опубликованы на сайте http://www. dp5.su/, и доступны зарегистрированным пользователям. По остальным экзаменационным вопросам курсов ИНТУИТ мы оказываем платные услуги (см. вкладку верхнего меню «ЗАКАЗАТЬ УСЛУГУ». Условия поддержки и помощи при сдаче экзаменов по учебным программам ИНТУИТ опубликованы по адресу: http://www. dp5.su/

Примечания:

- ошибки в текстах вопросов являются оригинальными (ошибки ИНТУИТ) и не исправляются нами по следующей причине - ответы легче подбирать на вопросы со специфическими ошибками в текстах;

- часть вопросов могла не войти в настоящий перечень, т. к. они представлены в графической форме. В перечне возможны неточности формулировок вопросов, что связано с дефектами распознавания графики, а так же коррекцией со стороны разработчиков курсов.

В КГ №40 за 2006 год была опубликована моя статья о средствах безопасности, встроенных в Windows XP. В ней я описал те компоненты и возможности, которые имеет XP для обеспечения приемлемого уровня защиты. Тогда я обошел вниманием такую немаловажную утилиту, как менеджер редактирования локальных политик безопасности. Сегодня я хочу исправить это упущение и рассказать именно про эту утилиту (рис. 1). Естественно, она имеется в стандартном наборе утилит, которые поставляются в любом дистрибутиве Windows, который не редактировался при помощи утилит сборки дистрибутивов и т.п. Ну-с, давайте приступим.

Для начала несколько слов о том, как можно добраться до этой самой утилиты. Наиболее простой способ - воспользоваться командой Выполнить, которая доступна в меню Пуск (сочетание клавиш Win+R). В строке необходимо ввести следующее сочетание: secpol.msc /s. Зная, что таким образом можно вызывать приложения из папки system32, мы находим ответ на следующий вопрос, который относился к месту дислокации утилиты. Для тех, что относит себя к фанатам панели управления, могу сказать следующее: ссылка на консоль находится в пункте меню под названием Администрирование. Рассказывая об утилите, я не буду лезть в дебри и пытаться впихнуть обычным пользователям информацию о настройке политики открытого ключа для Encoding File System (EFS - Файловой системы шифрования), о которой я писал в вышеупомянутой статье. В этом просто нет смысла, т.к. обычному пользователю это просто без надобности, а тому, кто хочет все-таки узнать об этом, можно воспользоваться описанием параметра, который имеется в окне редактирования каждой политики на соседней вкладке, носящей название "Объяснение параметра" (рис. 2). Я же остановлюсь подробнее на политиках учетных записей. Дам некоторые рекомендации, подробнее объясню задачу той или иной политики и выскажу свое мнение по поводу использования/неиспользования оной.

Политики учетных записей делятся на две группы: политика паролей и политика блокировки учетных записей. В каждой из групп находится список политик, которые, собственно, и поддаются редактированию. Первым параметром является максимальный срок действия пароля, который определяет время в днях, в течение которого пароль можно использовать, пока система не потребует от пользователя смены пароля. Это очень удобно, т.к. время для взлома ограничивается, соответственно и злоумышленнику придется попотеть, чтобы уложиться и успеть что-либо сделать с документами пользователя. По умолчанию значение равно 42, я бы советовал оставить значение по умолчанию, т.к. для локальной машины конечного пользователя политика не является критичной. Следующая на очереди политика носит название "минимальная длина пароля". Для локальной машины она будет актуальна в редких случаях. Задача политики сводится к ограничению минимального размера пароля. Если вы работаете на компьютере одни, то политика, как говорилось выше, не имеет смысла. Другой вопрос - если локальный компьютер используется разными пользователями. В таком случае стоит настроить политику, чтобы не использовались пароли, скажем, в два символа. Минимальный срок действия пароля - политика, которая определяет, через сколько пользователь сможет сменить пароль на другой. Как и в случае первой политики, время считается днями. Стандартное значение равно 0 и означает, что пользователь может поменять пароль в любое удобное ему время. Политика "пароль должен отвечать требованиям сложности" во включенном режиме требует от пользователя пароль, который будет отвечать следующим требованиям:

Пароль не должен содержать имя учетной записи пользователя или фрагменты имени пользователя длиной больше двух символов.
. Пароль должен состоять не менее чем из шести символов.
. Пароль должен содержать символы, относящиеся к трем из следующих четырех категорий:
. латинские заглавные буквы (A-Z);
. латинские строчные буквы (a-z);
. цифры (0-9);
. отличные от букв и цифр символы (например, !, $, #, %).
. Проверка соблюдения этих требований выполняется при изменении или создании паролей.

На локальных машинах по дефолту политика отключена, однако на контроллерах домена работает.

Следующая политика позволяет контролировать неповторяемость паролей, при этом она может запоминать прежние пароли от 1 до 24 включительно. На локальной машине она отключена (значение хранимых паролей равно 0) по умолчанию, но на контроллерах домена, опять же, включена, и значение равно 24-м. Она также позволяет хранить пароли, используя обратимое шифрование. Этот параметр безопасности определяет, используется ли в операционной системе обратимое шифрование для хранения паролей. Эта политика обеспечивает поддержку приложений, использующих протоколы, которым для проверки подлинности необходимо знать пароль пользователя. Хранение паролей, зашифрованных обратимыми методами, аналогично хранению их в текстовом виде. Поэтому данную политику следует использовать лишь в исключительных случаях, если потребности приложения оказываются важнее, чем защита пароля. Эта политика является обязательной при использовании протокола проверки подлинности CHAP (Challenge-Handshake Authentication Protocol) в средствах удаленного доступа или службах IAS (Internet Authentication Services). Она также необходима при использовании краткой проверки подлинности в службах IIS (Internet Information Services).

Название следующей политики, которая уже находится в группе политик блокировки учетных записей, говорит сама за себя: Блокировка учетной записи на. Естественно, политикой определяется время блокировки учетной записи при определенном количестве неверно введенных паролей. Значение можно выставлять от 0 (учетная запись не блокируется) и до 99 999 минут. Она имеет смысл только при работающей следующей политике, которая называется Пороговое значение блокировки. Это количество неудачных попыток входа в систему перед блокировкой учетной записи. Значение принимается в диапазоне от 0 (как обычно, значение, при котором политика пассивна) и до 999. После блокировки, если не активирована политика блокировки учетной записи, восстановить аккаунт может только администратор. Неудачные попытки ввода паролей на рабочих станциях или рядовых серверах, заблокированных с помощью сочетания клавиш Ctrl+Alt+Del или с помощью защищенных паролем заставок, считаются неудачными попытками входа в систему. Сброс счетчика блокировки через - параметр, который позволяет сбрасывать счетчик неудачных входов в систему через определенное время (1 - 99 999 минут), удобная вещь, чтобы не получилось, что за месяц вы таки наберете "черное" число, равное пороговому значению блокировки. Параметр напрямую зависит от Блокировки учетной записи на.

Вот, собственно, и все. Коротенький обзор политик учетных записей, изменение которых доступно из утилиты Локальные параметры безопасности, подошло к концу. В статье было рассмотрено всего одно из направлений политик безопасности. Тем, кто заинтересовался, скажу, что имеется возможность настройки локальных политик, среди которых - политика аудита, назначение прав пользователя, параметры безопасности. Я бы советовал просмотреть параметры безопасности, т.к. настройки там наиинтереснейшие и весьма полезные. Можно настроить политики ограниченного пользования программ и политики безопасности IP. Таким образом, покопавшись в локальных параметрах безопасности, можно довольно неплохо поднять уровень защиты на вашем компьютере, но будьте осторожны: читайте внимательно описания политик и не трогайте параметры, назначение которых вам непонятно.

Евгений Кучук, [email protected], SASecurity gr.

Оснастка в консоли MMC помогает получать сведения о настройках безопасности локального компьютера. Если пользователь не в состоянии выполнять определенные локальные или удаленные задачи, то причиной этому могут служить слишком жесткие настройки безопасности, которые применил пользователь.

Хотя вероятность этого мала, никогда не стоит недооценивать пользователя. Не стоит даже упоминать, что существуют ситуации, когда новоиспеченный администратор, узнавший, что существует такое понятие, как "безопасность", ограничивает доступ к серверу настолько, что никто не может получить к серверу доступ. Именно в таких ситуациях оказывается полезна оснастка Анализ и настройка безопасности (Security Configuration and Analysis) .

Анализ и настройка безопасности (Security Configuration and Analysis) является оснасткой MMC, поэтому для ее открытия необходимо загрузить оснастку в консоль управления. Для этого выполните следующую последовательность действий:

1. Выберите Пуск > Выполнить (Start > Run) , введите mmc в диалоговом окне Выполнить (Run) и кликните на кнопке OK .

2. В консоли MMC нажмите комбинацию клавиш для добавления новой оснастки.

3. Кликните на кнопке Добавить (Add) .

5. Кликните на кнопке Закрыть (Close) в диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-in) . После этого кликните на кнопке OK в диалоговом окне Добавить/Удалить оснастку (Add/Remove Snap-in) .

После этого все готово для выполнения анализа системы. Анализ требует проверки системы относительно известного шаблона безопасности. В целях диагностики проще всего при анализе использовать шаблон, принятый по умолчанию. В Windows Server 2003 и Windows XP шаблон, принятый по умолчанию, хранится в файле setup security.inf (или DC Security.inf для контроллеров домена) и представляет параметры безопасности, которые будут использоваться сразу же после установки операционной системы.

Шаблон Setup Security является аналогом шаблонов Basic, которые использовались в операционной системе Windows 2000 и в более ранних операционных системах.

Для анализа параметров безопасности системы выполните следующую последовательность действий:

1. Кликните правой кнопкой мыши на оснастке Анализ и настройка безопасности (Security Configuration and Analysis) и выберите команду .


2. В целях тестирования можно создать новую базу данных, поэтому в поле Имя файла (File Name) диалогового окна Открыть базу данных (Open Database) введите test и кликните на кнопке Открыть (Open) .

3. Теперь, в диалоговом окне Импорт шаблона (Import Template) выберите файл setup security.inf и кликните на кнопке Открыть (Open) .


4. После импорта шаблона можно начинать анализ параметров безопасности системы. Для этого кликните правой кнопкой на оснастке Анализ и настройка безопасности (Security Configuration and Analysis) и выберите команду Анализ компьютера (Analyse Computer Now) .


5. В диалоговом окне Выполнить анализ (Perform Analysis) введите новый путь к файлу журнала ошибок или оставьте старый путь файла и кликните на кнопке OK.

Выполнение анализа системы потребует нескольких минут. После завершения анализа в оснастке будет показан список параметров безопасности. Отличия от шаблона безопасности заметить очень легко, так как отличия выделены красным символом X.

Никогда не известно, с чем придется столкнуться, особенно при работе в чужой сети. Пример из практики: как-то раз автору статьи не удалось связаться с определенным сервером, хотя необходимые папки были предоставлены для всеобщего доступа. Как оказалось в последствии, сервер требовал использования шифрованного канала для передачи данных, а клиенты не могли предоставить шифрованный канал, даже если об этом просил пользователь.

Другими словами, клиент пытался начать сеанс работы с сервером и сервер отвечал: "Будем общаться только по шифрованному каналу". Клиент возражал: "Нет, не будет никакого шифрованного канала". На что сервер отвечал: "Пообщайся со своим пользователем". Хотя такая аналогия может показаться глупой, не забывайте, что эту проблему удалось легко обнаружить, рассматривая отчет оснастки Анализ и настройка безопасности (Security Configuration and Analysis) на предмет отличия в настройках шифрованного канала на сервере и на клиентских компьютерах.

Иногда достаточно знать, что необходимый инструмент существует. Многие редко, если вообще хоть раз, используют оснастку Анализ и настройка безопасности (Security Configuration and Analysis) , но само знание о существовании такой оснастки может сделать пользователя героем дня.

Шаблоны безопасности (Security Templates)

При рассмотрении оснастки Анализ и настройка безопасности (Security Configuration and Analysis) выяснилось, что для выполнения анализа настроек безопасности необходимо наличие известного шаблона безопасности, с которым выполняется сравнение.

Если необходимо просмотреть и настроить параметры шаблона до выполнения анализа системы, можно воспользоваться оснасткой Шаблоны безопасности (Security Templates) . Для загрузки оснастки можно воспользоваться процедурой, описанной в предыдущем разделе, если это не было сделано ранее.

Как только оснастка будет загружена в консоль, можно начать просмотр и анализ параметров каждого из шаблонов безопасности.

Одной из наиболее распространенных в настоящее время клиентских операционных систем является Microsoft Windows XP. Именно о защите клиентского компьютера (компьютера домашнего или офисного пользователя) и будет идти речь. Не секрет, что любую атаку проще начинать с клиентского рабочего места, поскольку основное внимание в вопросах защиты администраторы традиционно уделяют серверам локальных сетей. Несомненно, на рабочих местах необходима и антивирусная защита, и усиленные меры идентификации и аутентификации пользователей. Однако в первую очередь необходимо все же обеспечить защиту с помощью встроенных средств операционной системы.

Настройка системы безопасности Windows XP

Операционная система Windows XP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке. Надеемся, вы понимаете, что система Windows XP должна устанавливаться на разделах NTFS, что применение файловой системы FAT32 не рекомендуется, исходя из принципов безопасности (встроенные средства безопасности просто не могут быть реализованы при условии применения FAT32). В случае применения файловой системы FAT 32 почти все утверждения данного раздела теряют для вас всякое значение. Единственный способ включить все разрешения файловой системы - это преобразовать диск в формат NTFS. После чистой установки Windows XP предлагаемые по умолчанию параметры безопасности работают как переключатели типа "включить-выключить". Такой интерфейс носит по умолчанию название "Простой общий доступ" (Simple File Sharing). Такая конфигурация обладает низким уровнем безопасности, практически совпадающей со стандартной конфигурацией Windows 95/98/Me. Если вас не устраивает такая конфигурация, вы можете воспользоваться всей мощью разрешений для файлов в стиле Windows 2000. Для этого откройте произвольную папку в Проводнике и выберите Сервис > Свойства папки (Tools > Folder options). Перейдите на вкладку Вид , найдите в списке флажок Использовать простой общий доступ к файлам (рекомендуется) (Use File Sharing (recommended)) - и снимите его.

Свойства папки

Когда вы выключаете простой общий доступ, в диалоговом окне свойств любой папки появляется вкладка Безопасность . Аналогично осуществляется выдача разрешений на файлы. Все разрешения хранятся в списках управления доступом (Access Control List - ACL). При установке и удалении разрешений руководствуйтесь следующими основными принципами:

  • Работайте по схеме "сверху вниз"
  • Храните общие файлы данных вместе
  • Работайте с группами везде, где это только возможно
  • Не пользуйтесь особыми разрешениями
  • Не давайте пользователям большего уровня полномочий, чем это абсолютно необходимо (принцип минимизации полномочий).

Настройка операционной системы

Как уже было сказано, нельзя настраивать встроенные средства безопасности на файловой системе FAT32. В связи с этим необходимо либо на этапе установки операционной системы (разметки диска) выбрать файловую систему NTFS, либо приступить к преобразованию файловой системы сразу же после установки ОС.

Преобразование файловой системы

Чтобы преобразовать диск из FAT (FAT32) в NTFS, воспользуйтесь утилитой Convert. Синтаксис команды: CONVERT том: /FS:NTFS где:

  • том - определяет букву диска (с последующим двоеточием) точку подключения или имя тома;
  • /FS:NTFS - конечная файловая система: NTFS;
  • /V - включение режима вывода сообщений;
  • /CVTAREA:имя_файла - указывает непрерывный файл в корневой папке для резервирования места для системных файлов NTFS;
  • /NoSecurity - параметры безопасности для преобразуемых файлов и папок будут доступны для изменения всем;
  • /X - принудительное снятие этого тома (если он был подключен). Все открытые дескрипторы этого тома станут недопустимыми.
Если в вашей организации используется большое количество компьютеров, необходимо продумать процесс автоматизации установки ОС. Существует два варианта автоматизации процесса установки:
  • Автоматизированная установка . В этом случае используется пакетный файл и сценарий (называемый файлом ответов) - благодаря этому отключаются запросы операционной системы, а необходимые данные выбираются из файлов ответов автоматически. Существует пять режимов автоматической установки.
  • Копирование диска (клонирование). В этом случае запускается утилита подготовки системы к копированию (sysprep.exe ), которая удаляет идентификатор безопасности (Security Identifier - SID). Затем диск копируется с помощью программы клонирования дисков, например Ghost (www.symantec.com/ghost) или Drive Image (www.powerquest.com/driveimage). После копирования будет выполнена "сжатая" процедура установки (5-10 минут).
Вы установили операционную систему, однако самая тяжелая и продолжительная часть работы еще впереди.

Установка необходимых обновлений

Согласно документации установка ОС занимает около часа - но на самом деле установка, настройка, установка всех критических патчей (обновлений) займет, по меньшей, мере 4-5 часов (это при условии, что все патчи уже есть на жестком диске или CD-ROM и вам не нужно вытягивать их из интернета). Итак, операционную систему вы установили. Для дальнейшей установки патчей есть два пути:

  • воспользоваться службой автоматического обновления Windows Update. Этот путь достаточно хорошо описан в литературе и каких-либо усилий со стороны программиста не требует. Однако предположим, что в вашей организации хотя бы 20 компьютеров. В таком случае вам придется воспользоваться этой службой 20 раз. Это не самый лучший способ, но если у вас быстрый канал и руководство не против такого способа выбрасывания денег, то этот путь вам может и подойти. Однако учтите, что при переустановке ОС все придется вытягивать заново;
  • воспользоваться каким-либо сканером безопасности для поиска необходимых патчей (обновлений). Для примера рассмотрим бесплатный сканер Microsoft Base Security Analyzer (в данной статье не будет подробно рассматриваться вопрос о методах работы с данным сканером). Данный сканер можно бесплатно загрузить с сайта Microsoft из раздела TechNet.
    До начала тестирования необходимо будет извлечь файл mssecure.xml файл из http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab Файл mssecure.xml должен быть помещен в ту же папку, где развернут Microsoft Base Security Analyzer. Результатом сканирования будет перечень необходимых патчей, которые вы должны будете установить на конкретном ПК.
На мой взгляд, удобнее применять коммерческие сканеры безопасности типа LAN Guard Network Scanner или XSpider.

LAN Guard Network Scanner

Этот сканер предназначен для поиска уязвимостей в компьютерных сетях не только на базе Windows. Однако в нашем случае можно легко воспользоваться им для поиска уязвимостей на отдельном компьютере. Вам будет рекомендовано посетить конкретные страницы бюллетеня безопасности от Microsoft.


Результат работы LAN Guard Network Scanner

В таком случае гораздо проще устанавливать обновления, появляется также возможность узнать, для устранения какой именно уязвимости создано данное обновление. Анализ процесса установки патчей приведен на рис.


Процесс управления установкой обновлений

Стоит исследовать эти шаги подробнее:

  • Анализ . Посмотрите на текущую среду и потенциальные угрозы. Определите патчи, которые следует инсталлировать, чтобы сократить количество угроз вашей среде.
  • План . Установите, какие патчи нужно инсталлировать, чтобы сдерживать потенциальные угрозы и "прикрыть" обнаруженные уязвимые места. Определитесь, кто будет осуществлять тестирование и инсталляцию и какие шаги следует произвести.
  • Тестирование . Просмотрите доступные патчи и разделите их на категории для вашей среды.
  • Инсталляция . Инсталлируйте нужные патчи, чтобы защитить эту среду.
  • Мониторинг . Проверьте все системы после инсталляции патчей, чтобы удостовериться в отсутствии нежелательных побочных эффектов.
  • Просмотр . Важной частью всего процесса является тщательный просмотр новых патчей и вашей среды, а также выяснение того, какие именно патчи нужны вашей компании. Если во время просмотра вы обнаружите необходимость в новых патчах, начните снова с первого шага.
Примечание : настоятельно рекомендуется сделать резервную копию всей рабочей системы до инсталляции патчей.

Проверка среды на предмет недостающих патчей

Поскольку процесс этот непрерывен, вам следует убедиться в том, что ваши патчи соответствуют последним установкам. Рекомендуется постоянно следить за тем, чтобы иметь новейшую информацию о патчах. Иногда выпускается новый патч - и вам необходимо установить его на всех станциях. В других случаях в сети появляется новая станция, и на ней нужно установить все необходимые обновления. Вам следует продолжать проверку всех ваших станций, чтобы убедиться в том, что на них установлены все необходимые и актуальные патчи. Вообще, вопрос установки патчей не так прост, как это кажется на первый взгляд. Однако полное рассмотрение этого вопроса выходит за пределы нашей статьи. Следует учесть, что иногда после установки последующего патча возникает необходимость в переустановке предыдущего. По крайней мере, в моей практике такое встречалось неоднократно. Итак, предположим, что все патчи установлены и дырок в вашей системе нет. Учтите, что это состояние только на текущий момент времени - вполне возможно, что завтра вам придется устанавливать новые патчи. Процесс этот, увы, беспрерывен.

Восстановление системных файлов

Полезная функция - если только ваш компьютер не используется исключительно для ресурсоемких задач типа игр. Так что лучше оставить ее включенной. При этом компьютер периодически создает слепки критичных системных файлов (файлы реестра, COM+ база данных, профили пользователей и т.д.) и сохраняет их как точку отката. Если какое-либо приложение снесет систему или если что-то важное будет испорчено, вы сможете вернуть компьютер в предыдущее состояние - к точке отката. Эти точки автоматически создаются службой Восстановления системы (System Restore) при возникновении некоторых ситуаций типа установки нового приложения, обновления Windows, установки неподписанного драйвера и т.п. Точки отката можно создавать и вручную - через интерфейс Восстановления системы (System Restore): Пуск > Программы > Стандартные > Служебные > Восстановление системы (Start > Programs > Accessories > System Tools > System Restore). Аналогичный результат можно получить и с помощью утилиты msconfig , которая запускается из режима командной строки или через Пуск > Выполнить .


Восстановление системы

Восстановление системных файлов опирается на фоновую службу, которая минимально сказывается на быстродействии и записывает снимки, отнимающие часть дискового пространства. Вы можете вручную отвести максимальный объем дискового пространства для данной службы. Можно также полностью отключить службу для всех дисков (поставив галочку Отключить службу восстановления). Поскольку служба восстановления системных файлов может влиять на результаты тестовых программ, то перед тестированием ее обычно отключают.

Автоматическая очистка диска

Для проведения очистки жесткого диска от ненужных файлов используется программа cleanmgr.exe . Ключи программы:

  • /d driveletter : - указывает букву диска, которая будет очищаться;
  • /sageset: n - эта команда запускает мастер очистки диска и создает в реестре ключ для сохранения параметров. Параметр n может принимать значения от 0 до 65535;
  • /sagerun: n - используется для запуска мастера очистки диска с определенными параметрами, которые были заданы заранее с помощью предыдущего ключа.
Для автоматизации этого процесса можно воспользоваться планировщиком заданий.

Удаление "скрытых" компонентов

В процессе установки Windows XP (в отличие от случая с Windows 9*/NT) не предусмотрена возможность выбора необходимых компонентов. На мой взгляд, это правильное решение: сначала следует установить операционную систему со всеми ее причудами - а уж затем, поработав с ней, решать, что оставить, а от чего избавиться. Однако при этом в окне Add/Remove Windows Components , которое присутствует в аплете Add or Remove Programs контрольной панели, удалять-то практически нечего - многие из составляющих Windows скрыты от шаловливых ручек не слишком опытных пользователей. Для решения этой проблемы открываем системную папку Inf (по умолчанию - C:\Windows\Inf), находим там файл sysoc.inf , открываем его и удаляем во всех его строках слово HIDE . Главное при этом - оставить неизменным формат файла (то есть удалению подлежит только HIDE, запятые же до и после этого слова трогать не следует). Для примера - исходная строка и то, что должно получиться: msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7 msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,7 Сохраняем файл sysoc.inf , открываем Add/Remove Windows Components - и видим уже куда более длинный список, чем тот, что был изначально (рис.). Правда, и в этом случае много удалить не получится. Кстати, точно таким же образом можно поступить и в случае с Windows 2000…


Окно компонентов Windows XP

Вы можете задать резонный вопрос: а какое отношение имеет все это к безопасности? Во-первых, если в вашей организации существует корпоративная политика в области использования программного обеспечения и в ней в качестве почтового клиента выбран, например, The Bat! или почтовый клиент Mozilla (Opera), то не стоит оставлять на компьютере насквозь дырявый Outlook Express и вводить пользователя в искушение пользоваться этим клиентом. Во-вторых, если у вас не принято использовать службу мгновенных сообщений, то Windows Messenger лучше удалить. И, наконец, избавьтесь от просто ненужных вам компонент. Меньше неиспользуемого ПО - меньше возможностей использовать его не по назначению (а, следовательно, вольно или невольно нанести вред вашей организации).

Настройка автоматически выполняемых программ

Одна из типичных проблем, связанных с безопасностью, это запуск программ типа "троянский конь" в процессе загрузки Windows XP. Программа может быть запущена автоматически одним из следующих способов:

для данного пользователя; для всех пользователей;
  • ключ Run (компьютера) ключ реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run;
  • ключ Run (пользователя) ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
  • ключ RunServices . Разница между RunServices и просто Run в том, что при запуске программы в ключе RunServices она будет запущена как обслуживающий процесс и при работе ей будет выделено меньше приоритетного процессорного времени. При запуске же в ключе Run программа запуститься как обычно с нормальным приоритетом;
  • папки Планировщика задач ;
  • win.ini . Программы, предназначенные для 16-разрядных версий Windows, могут добавить строки типа Load= и Run= этого файла;
  • ключи RunOnce и RunOnceEx . Группа ключей реестра, которая содержит список программ, выполняемых однократно в момент запуска компьютера. Эти ключи могут относиться и к конкретной учетной записи данного компьютера HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx;
  • групповая политика . Содержит две политики (с именами Запуск программ при входе пользователя в систему ). Находятся в папках Конфигурация компьютера > Конфигурация Windows > Административные шаблоны > Система > Вход в систему (Computer configuration > Administrative Templates > System > Logon) и Конфигурация пользователя > Конфигурация Windows > Административные шаблоны > Система > Вход в систему (User configuration > Administrative Templates > System > Logon);
  • сценарии входа в систему. Настраиваются Групповая политика: Конфигурация компьютера > Конфигурация Windows > Сценарии и Конфигурация пользователя > Конфигурация Windows > Сценарии (входа в систему и выхода из системы);
  • файл autoexec.bat в корневом каталоге загрузочного диска. Все программы, которые вы хотите запустить из него, должны выполняться в реальном режиме DOS, поскольку выполнение этого командного файла происходит до загрузки графической оболочки. Используется для того, чтобы снова и снова копировать в Автозапуск из скрытой папки рекламные модули, которые пользователь удалил.
  • Для настройки списка автоматически вызываемых программ в состав Windows XP входит утилита Настройка системы (System Configuration Utility) - Msconfig.exe. Эта утилита позволяет вывести список всех автоматически загружаемых программ. Рабочее окно программы приведено на рис.


    Рабочее окно программы Msconfig

    Параметры Internet Explorer

      Панель управления обозревателем \ Отключить страницу "Дополнительно"

      Панель управления обозревателем \ Отключить страницу "Безопасность"

      Автономные страницы \ Отключить добавление каналов

      Автономные страницы \ Отключить добавление расписаний для автономных страниц

      Автономные страницы \ Отключить все расписания для автономных страниц

      Автономные страницы \ Полное отключение пользовательского интерфейса каналов

      Автономные страницы \ Отключить загрузку содержимого подписки

      Автономные страницы \ Отключить редактирование и создание новых групп расписаний

      Автономные страницы \ Отключить изменение расписаний для автономных страниц

      Автономные страницы \ Отключить протоколирование обращений к автономным страницам

      Автономные страницы \ Отключить удаление каналов

      Автономные страницы \ Отключить удаление расписаний для автономных страниц

      Настройка Outlook Express

      Отключить изменение параметров страницы "Дополнительно"

      Отключить изменение параметров автонастройки

      Отключить изменение параметров сертификатов

      Отключить изменение параметров подключений

      Отключить изменение параметров прокси

      Отключить мастер подключения к интернету

      Запретить автозаполнению сохранение паролей

    Хотелось бы рекомендовать размер кэша Internet Explorer выставлять в минимум: если в кэше тысяч сто мелких файлов размером в два-три килобайта, то любой антивирус при сканировании данной папки будет работать очень медленно. Для защиты Internet Explorer от "изобретательных" пользователей можно воспользоваться следующим: IExplorer: Hide General Page from Internet Properties Чтобы спрятать вкладку Общие в параметрах Internet Explorer"a, добавьте в реестр:
    "GeneralTab"=dword:1
    IExplorer: Hide Securiry Page from Internet Properties Чтобы спрятать вкладку Безопасность в параметрах Internet Explorer"a, в реестр следует добавить:
    "SecurityTab"=dword:1
    IExplorer: Hide Programs Page from Internet Properties Чтобы спрятать вкладку Программы в параметрах Internet Explorer"a:
    "ProgramsTab"=dword:1
    IExplorer: Hide Advanced Page from Internet Properties Чтобы спрятать вкладку Дополнительно , добавьте:
    "AdvancedTab"=dword:1
    IExplorer: Hide Connections Page from Internet Properties И, наконец, чтобы скрыть вкладку Подключения в параметрах Internet Explorer"a, в реестр внесите:
    "ConnectionsTab"=dword:1
    Защита подключения к интернету Для обеспечения безопасности при подключении к сети Интернет необходимо:
    • активизировать брандмауэр подключения к интернету (Internet Connection Firewall) или установить брандмауэр третьих фирм;
    • отключить Службу доступа к файлам и принтерам сетей Microsoft .

    Активация брандмауэра

      Откройте Панель управления > Сетевые подключения ;

      щелкните правой кнопкой мыши на соединении, которое вы хотели бы защитить, и выберите из меню пункт Свойства ;

      перейдите на вкладку Дополнительно, поставьте галочку Защитить мое подключение к Интернет.

    Политика ограниченного использования программ

    Политика ограниченного использования программ позволяет администратору определить программы, которые могут быть запущены на локальном компьютере. Политика защищает компьютеры под управлением Microsoft Windows XP Professional от известных конфликтов и предотвращает запуск нежелательных программ, вирусов и "троянских коней". Политика ограниченного использования программ полностью интегрирована с Microsoft Active Directory и групповой политикой. Ее можно использовать также на автономных компьютерах.

    Администратор вначале определяет набор приложений, которые разрешается запускать на клиентских компьютерах, а затем устанавливает ограничения, которые будут применяться политикой к клиентским компьютерам.

    Политика ограниченного использования программ в исходном виде состоит из заданного по умолчанию уровня безопасности для неограниченных или запрещенных параметров и правил, определенных для объекта групповой политики.

    Политика может применяться в домене, для локальных компьютеров или пользователей. Политика ограниченного использования программ предусматривает несколько способов определения программы, а также инфраструктуру на основе политики, обеспечивающую применение правил выполнения определенной программы.

    Запуская программы, пользователи должны руководствоваться принципами, установленными администратором в политике ограниченного использования программ.

    Политики ограниченного использования программ применяются для выполнения следующих действий:

      определение программ, разрешенных для запуска на клиентских компьютерах;

      ограничение доступа пользователей к конкретным файлам на компьютерах, на которых работает несколько пользователей;

      определение круга лиц, имеющих право добавлять к клиентским компьютерам доверенных издателей;

      определение влияния политики на всех пользователей или только пользователей на клиентских компьютерах;

      запрещение запуска исполняемых файлов на локальном компьютере, в подразделении, узле или домене.

    Архитектура политики ограниченного использования программ обеспечивает целый спектр возможностей.

    Политика ограниченного использования программ позволяет администратору определять и контролировать программы, запускаемые на компьютерах под управлением Windows XP Professional в рамках домена. Возможно создание политик, которые блокируют выполнение несанкционированных сценариев, дополнительно изолирующих компьютеры или препятствующих запуску приложений. Оптимальным вариантом для управления политикой ограниченного использования программ на предприятии является использование объектов групповой политики и адаптация каждой созданной политики к требованиям групп пользователей и компьютеров организации.

    Не приветствуются попытки управлять группами пользователей в автономной среде. Результатом правильного применения политики ограниченного использования программ будет улучшение целостности, управляемости - и, в конечном счете, снижение совокупной стоимости владения и поддержки операционных систем на компьютерах организации.

    Политика паролей

    Использование регулярно изменяемых сложных паролей снижает вероятность их взлома. Параметры политики паролей служат для определения уровня сложности и длительности использования паролей. В этом разделе описаны все параметры политики безопасности для окружений "ПК на предприятии" и "Система с высоким уровнем безопасности".

    С помощью редактора групповой политики настраиваются соответствующие параметры групповой политики домена.

    Дополнительные сведения

      Для получения дополнительных сведений о настройке параметров безопасности в Microsoft Windows XP рекомендуется ознакомиться с руководством "Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP", которое можно загрузить по адресу: http://go.microsoft.com/fwlink/?Linkld=15159 .

    Заключение

    Используя оснастку Security Templates (Шаблоны безопасности), вы можете создавать текстовые файлы, которые содержат в себе все настройки безопасности для безопасных областей, поддерживаемых локальной политикой безопасности. Это удобно для использования всех элементов системы защиты, доступных в Windows XP Professional. В этом разделе мы расскажем о том, как создавать шаблон, модифицировать существующий шаблон и применять его в системе Windows XP Professional.

    Создание шаблона

    Для запуска оснастки Security Templates (Шаблоны безопасности) и просмотра настройки политики безопасности проделайте следующие шаги.

    1. Откройте ММС.
    2. В меню File (Файл) щелкните на Add/Remove Snap-in (Добавить или удалить оснастку) и затем щелкните на Add (Добавить).
    3. В списке Available Standalone Snap-ins (Доступные изолированные оснастки) выберите Security Templates (Шаблоны безопасности).
    4. Щелкните на Add (Добавить) и затем нажмите Close (Закрыть).
    5. Нажмите ОК. Оснастка Security Templates показана на рис. 9.5 .
    6. В правом окне щелкните на значке "+", чтобы развернуть Security Templates (Шаблоны безопасности).
    7. Разверните C:\Windows\security\templates (С: - это обозначение диска, на котором хранится система Windows).
    8. Для создания шаблона щелкните дважды на Security Templates, правой кнопкой мыши щелкните на папке шаблонов по умолчанию и затем щелкните на New Template (Новый шаблон).

    Таким образом вы создадите пустой шаблон, в который можно внести все, относящееся к политике безопасности организации. Для сохранения шаблона откройте меню File (Файл) и щелкните на Save As (Сохранить как).


    Рис. 9.5.

    Редактирование существующих шаблонов

    Система Windows XP Professional изначально включает в себя ряд шаблонов. Они создают хороший фундамент для построения собственной политики безопасности. У вас может быть готовая политика безопасности, которую вы захотите улучшить и применить позже. Для открытия и редактирования любого шаблона дважды щелкните на нем в левом окне оснастки Security Templates (Шаблоны безопасности).

    Примечание. Хотя в Security Templates имеются уже готовые шаблоны, неплохо внимательно изучить их заранее и убедиться, что они подходят для нужд вашей организации.

    Существует четыре основных типа шаблонов:

    • основной;
    • безопасный;
    • высокой степени безопасности;
    • смешанный.

    Эти шаблоны представляют диапазон средств безопасности, начиная со стандартных (Basic) и заканчивая средствами повышенной безопасности (High Secure). Шаблоны Miscelleneous (смешанные) предоставляют настройки безопасности для некоторых категорий, для которых трудно определить место в рамках иерархии Basic, Secure и High Secure. Они содержат настройки для таких опций как Terminal Services (Службы терминалов) и Certificate Services (Службы сертификации). Ниже перечислены некоторые шаблоны, содержащихся в рамках каждой категории.

    • Basicsv Устанавливает базовый уровень безопасности для сервера печати и файлового сервера.
    • Securews Устанавливает средний уровень безопасности для рабочих станций.
    • Hisecdc Устанавливает самый высокий уровень безопасности для контроллеров доменов.
    • Ocfiless Устанавливает политику безопасности файловых серверов.

    Любой из десяти образцов шаблонов хорошо подходит для начала разработки сетевой безопасности. Однако при модификации шаблона имеет смысл сохранить его под новым именем, чтобы старый шаблон не был переписан.

    Применение шаблонов безопасности

    Создание или редактирование уже существующего шаблона не вносит изменений в настройки системы безопасности. Чтобы произвести такие изменения, следует применить шаблон к своему компьютеру. Для применения вновь созданного или отредактированного шаблона проделайте следующее.

    1. В оснастке Group Policy (Групповая политика) щелкните дважды на Computer Configuration (Конфигурация компьютера) и разверните Windows Settings (Конфигурация Windows).
    2. Щелкните правой кнопкой мыши на Security Settings (Параметры безопасности) и затем щелкните на Import Policy (Импорт политики) (рис. 9.6).
    3. Выберите шаблон, которым вы хотите воспользоваться.
    4. Нажмите на ОК.
    ("
    Понравилось? Лайкни нас на Facebook