17307

Захист Windows Server. Механізми зміцнення безпеки Windows Server

Лекция

Информатика, кибернетика и программирование

Лекція 18. Захист Windows Server Механізми зміцнення безпеки Windows Server Операційна система Windows Server містить майстер настройки безпеки засіб заснований на використанні ролей що дозволяє забезпечити додаткову безпеку серверів. При використанні спільно з об'єктами групової п...

Украинкский

2013-06-30

123 KB

2 чел.

Лекція 18. Захист Windows Server 

Механізми зміцнення безпеки Windows Server

Операційна система Windows Server містить майстер настройки безпеки —засіб, заснований на використанні ролей, що дозволяє забезпечити додаткову безпеку серверів. При використанні спільно з об'єктами групової політики майстер настройки безпеки забезпечує додаткову гнучкість, керованість і узгодженість процесу зміцнення безпеки.

Зміцнення безпеки за допомогою майстра настройки безпеки

За допомогою майстра настройки безпеки адміністратор може створювати, тестувати, відладжувати і розгортати політики безпеки, що відключають всі функції, в яких відсутня необхідність. Крім того, він забезпечує можливість відкату політик безпеки. Майстер настройки безпеки забезпечує вбудовану підтримку управління політиками безпеки як на окремих серверах, так і в групах серверів з взаємозв'язаними функціями.

Майстер настройки безпеки — це комплексний засіб, що дозволяє виконувати наступні завдання:

  •  Визначати які сервери повинні бути активними, які — запускатися з потреби, а які можуть бути відключені;
  •  Управляти фільтрацією по портах мережі разом з брандмауером Windows;
  •  Контролювати доступність веб-розширень IIS для веб-серверів;
  •  Знижувати уразливість протоколів SMB (Server Message Block), NETBIOS, CIFS (Common Internet File System) і LDAP (Lightweight Directory Access Protocol);
  •  Створювати політики аудиту, що фіксують події, що представляють інтерес.

Зміцнення безпеки серверів за допомогою групових політик Active Directory

Служба Active Directory дозволяє застосуванням знаходити і використовувати ресурси каталогів, а також управляти ними в середовищі розподілених обчислень. У службі Active Directory є декілька різних типів меж. Вони служать для розмежування лісу, домену, топології сайту і делегування дозволів. Межі встановлюються автоматично при установці Active Directory. Проте, слід переконатися, що межі дозволів враховують вимоги і політики організації. Значна гнучкість при делегуванні прав адміністратора дозволяє відповідати різним вимогам, що висуваються організацією. Наприклад, щоб забезпечити належну рівновагу між безпекою і функціональністю у сфері адміністрування, можна розділити межі делегування прав на межі зон безпеки і межі адміністрування.

Адміністратори даних служби Active Directory управляють даними, такими, що зберігаються в каталогах Active Directory або на комп'ютерах, підключених до Active Directory. Ці адміністратори не контролюють настройку або забезпечення роботи служб каталогів. Адміністратори даних входять до складу групи забезпечення безпеки, створюваною організацією. Іноді стандартні групи безпеки операційної системи Windows не відповідають потребам конкретної організації. У такому разі, організація може розробити власні стандарти іменування груп безпеки, відповідні конкретному середовищу. Нижче перераховані основні завдання, що виконуються адміністраторами даних:

Першим етапом створення підрозділу ролі сервера є розробка базової політики. Для створення даної політики на стандартному рядовому сервері можна використовувати майстер настройки безпеки, щоб створити файл базової політики рядового сервера у форматі XML (наприклад Member Servers Baseline.xml

Кожна окрема роль сервера вимагає додаткової політики майстра настройки безпеки, шаблону безпеки і підрозділу (на додаток до базового підрозділу). Це дозволяє створювати окремі політики для додаткових змін, необхідних для кожної ролі.

Процес, що використовується для створення, перевірки і розгортання політик, включає перераховані нижче етапи.

  1.  Створення середовища Active Directory, що включає групи і підрозділи. Необхідно створити відповідні групи адміністраторів і делегувати дозволи підрозділу відповідним групам.
  2.  Настройка синхронізації часу на контроллері домену, FSMO емулятора PDC, що містить.
  3.  Настройка політик домену.
  4.  Створення базових політик за допомогою майстра настройки безпеки.
  5.  Перевірка базових політик за допомогою майстра настройки безпеки.
  6.  Перетворення базових політик в об'єкти групової політики і співвідношення їх з відповідними підрозділами.
  7.  Створення політик ролей (за допомогою майстра настройки безпеки) і вхідних в них шаблонів безпеки.
  8.  Перевірка політик ролей за допомогою майстра настройки безпеки.
  9.  Перетворення політик ролей в об'єкти групової політики і співвідношення їх з відповідними підрозділами.

Політика домену

Огляд політики домену

Групова політика є дуже ефективним засобом, оскільки дозволяє адміністраторові створювати стандартну конфігурацію комп'ютера мережі. Об'єкти групової політики (GPO) є значною частиною рішення для управління параметрами, відповідного для будь-якої організації, оскільки дозволяють адміністраторам вносити зміни в параметри безпеки одночасно на всіх комп'ютерах в домені або підрозділах домену.

За допомогою групових політик можна одночасно застосовувати наступні типи змін параметрів безпеці:

  •  зміна дозволів для файлової системи;
  •  зміна дозволів для об'єктів реєстру;
  •  зміна параметрів в реєстрі;
  •  зміна призначень прав користувача;
  •  настройка системних служб;
  •  настройка журналів аудиту і подій;
  •  установка політик паролів і облікових записів.

Рекомендується створити нову групову політику в корені домену для застосування політик доменного рівня. Це дозволить спростити перевірку і усунення неполадок нової групової політики, оскільки для відкату змін можна просто відключити її.

Політики облікових записів

Політики облікових записів, що включають політику паролів, політику блокування облікового запису і параметри безпеки політики Kerberos, підходять тільки для політики домену. Політики паролів забезпечують установку складності і розклад змін для систем з високим рівнем безпеки. Політика блокування облікового запису дозволяє відстежувати невдалі спроби введення пароля для входу в систему, щоб у разі потреби здійснити блокування облікового запису. Політики Kerberos використовуються для облікових записів користувача домену. Вони визначають параметри, пов'язані з протоколом перевірки достовірності Kerberos, такі як час життя квитка і примусове застосування.

Базова політика рядових серверів

У цьому розділі описані вимоги до конфігурації системи, які необхідно виконати, щоб можна було управляти базовим шаблоном безпеки для всіх серверів з Microsoft® Windows Server™.

Параметри безпеки описуються в цьому розділі в контексті трьох наступних середовищ:

  •  Середовище застарілих клієнтів (LC). Це середовище включає комп'ютери під управлінням систем Windows NT® 4.0 і Microsoft Windows® 98, які іноді називають успадкованими операційними системами. Це середовище забезпечує прийнятний рівень безпеки, але з трьох середовищ, воне захищена найменш надійно. Для забезпечення надійнішого захисту організації можуть замінити це середовище захищенішим середовищем корпоративних клієнтів.
  •  Середовище корпоративних клієнтів (ЄС). Це середовище забезпечує високий рівень безпеки і розроблене для новіших версій операційних систем Windows. Основна частина роботи по міграції з середовища застарілих клієнтів в середу корпоративних клієнтів зводиться до оновлення успадкованих клієнтів.
  •  Спеціальне безпечне середовище з обмеженою функціональністю (SSLF). Це середовище забезпечує набагато вищий рівень безпеки, чим середовище корпоративних клієнтів. Для міграції з середовища корпоративних клієнтів в спеціальне безпечне середовище з обмеженою функціональністю необхідно забезпечити дотримання строгих політик безпеки на клієнтських комп'ютерах і серверах. У середовищі SSLF настільки строгі вимоги до безпеки, що значне обмеження функціональності і керованості клієнтів вважається прийнятною платою за досягнення високого рівня безпеки

Організації, що прагнуть поетапно підвищити безпеку своїх середовищ, можуть почати з рівня середовища застарілих клієнтів, а потім поступово розгортати захищеніші середовища у міру оновлення програм і клієнтських комп'ютерів і їх тестування із строгішими параметрами безпеки.

Базова політика Windows Server

Параметри рівня підрозділу рядових серверів визначають загальні параметри для всіх ролей рядових серверів. Для застосування цих параметрів можна створити об'єкт групової політики, пов'язаний з підрозділом рядових серверів, який називається базовою політикою. Цей об'єкт групової політики автоматизує настройку конкретних параметрів безпеки на кожному сервері. Для цього потрібно буде перемістити серверні облікові записи у відповідні підрозділи, дочірні по відношенню до підрозділу рядових серверів, з урахуванням кожної ролі сервера.

Політика аудиту

Адміністраторам слід створити політику аудиту, що визначає вміст звітів про події безпеки і реєструє дії користувачів або комп'ютерів, що відносяться до вказаних категорій подій. Адміністратори можуть стежити за діями, що мають відношення до безпеки, такими як доступ до об'єктів, вхід в систему і вихід з неї і зміну параметрів політики аудиту.

Перед реалізацією політики аудиту потрібно вирішити, для яких категорій подій слід виконувати аудит. Від параметрів аудиту, заданих адміністратором для категорій подій, залежить політика аудиту організації. Якщо параметри аудиту для конкретних категорій подій визначені, адміністратори можуть створити політику аудиту, відповідну вимогам організації.

Якщо політика аудиту не задана, визначити, що відбулося при інциденті у сфері безпеки, буде складно або неможливо. У таблиці нижче приведені рекомендації по настройці параметрів політики аудиту для всіх трьох середовищ, визначених в даному керівництві. Можна відмітити, що в більшості випадків параметри однакові для всіх середовищ.

Таблиця 1. Параметри політики аудиту

Параметр

Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

Аудит подій входу облікових записів в систему

Успіх

Успіх

Успіх, відмова

Аудит управління обліковими записами

Успіх

Успіх

Успіх, відмова

Аудит подій входу в систему

Успіх

Успіх

Успіх, відмова

Аудит доступу до об'єктів

Немає аудиту

Немає аудиту

Відмова

Аудит зміни політики

Успіх

Успіх

Успіх

Аудит використання привілеїв

Немає аудиту

Немає аудиту

Відмова

Аудит відстежування процесів

Немає аудиту

Немає аудиту

Немає аудиту

Аудит системних подій

Успіх

Успіх

Успіх

Призначення прав користувача

Функція призначення прав користувача дозволяє надавати користувачам права входу в систему або привілеї на комп'ютерах в організації. Як приклад права входу в систему можна привести право на інтерактивний вхід в систему. Прикладом привілею може служити право на виключення комп'ютера. І права входу в систему, і привілеї призначаються адміністраторами окремим користувачам або групам при настройці параметрів безпеки комп'ютера.

Параметри безпеки

Параметри безпеки групової політики використовуються для включення і відключення таких функцій, як доступ до дисководів гнучких дисків і компакт-дисків і відображення повідомлень при вході в систему. Ці параметри політики також використовуються для настройки безлічі інших параметрів, таких як параметри цифрового підпису даних, імена облікових записів адміністратора і гостя і процес установки драйверів.

Групи з обмеженим доступом

Групи з обмеженим доступом дозволяють управляти членством в групах з допомогою політик і запобігати умисному або випадковому використанню груп з правами користувача, що надають широкі можливості. При визначенні груп, для яких слід обмежити доступ, перш за все потрібно проаналізувати вимоги організації.

Адміністратори можуть настроювати групи з обмеженим доступом, додаючи потрібні групи безпосередньо в базову політику рядових серверів. Якщо для групи обмежений доступ, можна визначити її члени і будь-які інші групи, до яких вона відноситься. Якщо члени групи не вказані, доступ для групи залишається повністю обмеженим.

Захист файлової системи

Файлова система NTFS удосконалювалася з кожним випуском нової системи Microsoft Windows, і дозволи на роботу з нею, що діють за умовчанням, відповідають вимогам більшості організацій.

Додаткові параметри безпеки

Хоча більшість мір по посиленню захисту базових серверів засновані на використанні групової політики, деякі параметри складно або неможливо задати за допомогою групової політики. Докладний опис всіх мір протидії, згаданих в цьому розділі, див. у додатковому керівництві Угрозы и меры противодействия: параметры безопасности в Windows Server 2003 и Windows XP, яке доступне за адресою http://go.microsoft.com/fwlink/?LinkId=15159.

Перевірка політики за допомогою майстра настройки безпеки

Після створення і збереження політики, настійно рекомендується розвернути її в тестовому середовищі. У ідеалі тестові сервери повинні включати те ж устаткування і конфігурацію програмного забезпечення, що і робочі сервери. Це дозволить виявити і усунути можливі проблеми, наприклад присутність непередбачених служб, що зажадалися певними пристроями.

Для тестування політики використовуються два способи. Можна скористатися вбудованими функціями розгортання майстра настройки безпеки або розвернути політики за допомогою об'єкту групової політики.

Мета тестування політик — упевнитися, що застосування тієї або іншої політики до серверів не вплине негативно на їх основні функції. Після застосування настройок, слід перевірити базову функціональність комп'ютера. Наприклад, якщо сервер настроєний як центр сертифікації, слід упевнитися, що клієнти зможуть запрошувати і завантажувати сертифікати, списки відгуку сертифікатів і так далі

Базова політика контроллерів домену

Забезпечення безпеки серверної ролі контролера домену — одне з найважливіших завдань в будь-якому середовищі з комп'ютерами з Microsoft Windows Server і службою каталогів Active Directory. Будь-які збої в роботі контролера домену і порушення його захисту в такому середовищі можуть серйозно вплинути на функціонування клієнтських комп'ютерів, серверів і програм, які використовують контроллери домену для перевірки достовірності, реалізації групової політики і як центральний каталог LDAP.

Зважаючи на важливість контролерів домену їх завжди слід розміщувати у фізично захищених місцях, доступних тільки кваліфікованим співробітникам адміністративної служби. Якщо контроллери домену знаходяться в незахищених місцях, таких як філії компаній, налаштувавши деякі параметри безпеки, можна зменшити потенційний збиток від фізичних погроз.

На відміну від політик інших серверних ролей, які будуть наведені далі, групова політика для серверної ролі контролера домену є базовою, як і базова політика рядових серверів. Базова політика контроллерів домену пов'язана з підрозділом контролерів домену і має вищий пріоритет, ніж політика контролерів домену за умовчанням. Параметри, що входять в базову політику контроллерів домену, дозволяють підвищити загальну безпеку всіх контролерів домену в будь-якому середовищі.

Базова політика контролерів домену мало чим відрізняється від базової політики рядових серверів.

Додаткові параметри безпеки

У цьому розділі описані зміни, які необхідно вручну внести до базової політики контролерів домену, а також додаткових параметрів і захисних заходів, які не можна реалізувати через групову політику. Більшість прав користувача, контролерів домену, що призначаються за допомогою базової політики, настроєні в шаблонах безпеки. Проте деякі облікові записи і групи безпеки не можна включити в ці шаблони, оскільки їх ідентифікатори безпеки (SID) розрізняються для кожного домену Windows Server. Права користувачів, яких слід налаштувати уручну, вказані в таблиці нижче.

Таблиця 2. Права користувача, що призначаються вручну

Параметр

Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

Відмова в доступі до комп'ютера з мережі

Вбудований обліковий запис адміністратора, Support_388945a0

Обліковий запис гостя, всі облікові записи служб, що не відносяться до операційної системи

Вбудований обліковий запис адміністратора, Support_388945a0

Обліковий запис гостя, всі облікові записи служб, що не відносяться до операційної системи

Вбудований обліковий запис адміністратора, Support_388945a0

Обліковий запис гостя, всі облікові записи служб, що не відносяться до операційної системи

Відмова у вході в систему як пакетне завдання

Support_388945a0 і обліковий запис гостя

Support_388945a0 і обліковий запис гостя

Support_388945a0 і обліковий запис гостя

Заборонити вхід в систему через службу терміналів

Вбудований обліковий запис адміністратора; всі облікові записи служб, що не відносяться до операційної системи

Вбудований обліковий запис адміністратора; всі облікові записи служб, що не відносяться до операційної системи

Вбудований обліковий запис адміністратора; всі облікові записи служб, що не відносяться до операційної системи

 

Роль файлового сервера

Зміцнення безпеки файлових серверів з Microsoft Windows Server може стати важким завданням, оскільки найважливіші служби, що надаються цими серверами, вимагають використання протоколів SMB (Server Message Block) і CIFS (Common Internet File System). Ці протоколи можуть забезпечувати розкриття інформації користувачам, що не пройшли перевірку достовірності, тому їх зазвичай відключають в системах Windows з високим рівнем безпеки. Проте відключення цих протоколів може викликати труднощі з доступом користувачів і адміністраторів до файлових серверів.

Більшість параметрів політик безпеки файлових серверів настроюється і застосовується за допомогою групової політики. Об'єкт групової політики, що доповнює базову політику рядових серверів, може бути співвіднесений з відповідними підрозділами, що містять файлові сервери, для забезпечення необхідних параметрів безпеки для даної ролі сервера. Далі розглядаються параметри політик, що відрізняються від параметрів базової політики рядових серверів.

У наступній таблиці містяться назви шаблонів безпеки файлових серверів для трьох середовищ. Дані шаблони містять параметри для додаткового шаблону файлового сервера, який, у свою чергу, використовується для створення нового об'єкту групової політики, що співвідноситься з підрозділом файлових серверів у відповідному середовищі.

Таблиця 3. Шаблони безпеки файлового сервера

Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

LC-File Server.inf

EC-File Server.inf

SSLF-File Server.inf

Для настройки необхідних параметрів безпеки при створенні політики сервера слід використовувати як майстер настройки безпеки (SCW), так і шаблони безпеки.

Всі настройки слід виконувати на комп'ютері із знов встановленою операційною системою, щоб уникнути перенесення застарілих параметрів або програм з колишніх конфігурацій. Комп'ютер з наново встановленою операційною системою називається контрольним комп'ютером.

Роль сервера друку

Основна увага в даному розділі приділяється процесу підвищення рівня безпеки серверів друку під управлінням Microsoft Windows Server. Реалізація цього завдання може виявитися непростою справою. Основним службам, що надаються цими серверами, потрібні протоколи SMB і CIFS. Ці протоколи можуть надавати різноманітні дані користувачам, що не пройшли перевірку достовірності. Ці протоколи часто бувають відключені на серверах друку в середовищах Windows з високим рівнем безпеки. Проте якщо відключити дані протоколи, користувачам і адміністраторам буде складно дістати доступ до серверів друку.

Більшість параметрів настроюються і застосовуються за допомогою групової політики. У даному розділі розглядаються параметри політик, що відрізняються від параметрів базової політики рядових серверів.

Ці параметри по можливості збираються в додатковий шаблон групової політики, який буде застосований до підрозділу сервера друку. У наступній таблиці містяться імена шаблонів безпеки серверів друку для трьох середовищ. Ці шаблони надають параметри політики для додаткового шаблону сервера друку, який, у свою чергу, використовується для створення нового об'єкту групової політики, пов'язаного з підрозділом серверів друку у відповідному середовищі.

Таблиця 4. Шаблони безпеки сервера друку

Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

LC-Print Server.inf

EC-Print Server.inf

SSLF-Print Server.inf

Для настройки необхідних параметрів безпеки при створенні політики сервера слід використовувати як майстер настройки безпеки (SCW), так і шаблони безпеки.

  1.  Всі настройки слід виконувати на комп'ютері із знов встановленою операційною системою, щоб уникнути перенесення застарілих параметрів або програм з колишніх конфігурацій.

Роль сервера IAS

Цей розділ надає рекомендації для зміцнення безпеки серверів IAS в середовищі з Microsoft Windows Server. IAS є розробленою корпорацією Майкрософт реалізацію служби RADIUS і проксі-сервера, такою, що забезпечує централізоване управління перевіркою достовірності користувачів, авторизацією і обліковими даними. IAS використовується для перевірки достовірності користувачів в базах даних контроллерів доменів з Windows  Server. IAS також підтримує різні сервери мережевого доступу (NAS), включаючи службу маршрутизації і видаленого доступу (RRAS).

Механізм маскування RADIUS використовує загальний секрет RADIUS, засіб перевірки достовірності запитів і алгоритм хешування MD5 для шифрування атрибутів User-Password, Tunnel-Password, MS-CHAP-MPPE-Keys і інших. Згідно RFC 2865, слід оцінити середовище погроз і визначити, чи слід удатися до додаткових заходів безпеки.

Параметри, описані в даному розділі, настроюються і застосовуються за допомогою групової політики. Об'єкт групової політики, доповнюючий базову політику рядового сервера (MSBP) може бути пов'язаний з відповідними підрозділами, які містять сервери IAS, для надання необхідних змін параметрів безпеці для даної ролі сервера. У даному розділі розглядаються параметри політик, що відрізняються від параметрів базової політики рядових серверів.

По можливості ці параметри об'єднують в додатковий шаблон групової політики, який буде застосований до підрозділу серверів IAS.

Ім'я шаблону безпеки інфраструктури сервера для середовища корпоративних клієнтів — EC-Infrastructure Server.inf. Цей шаблон надає параметри для додаткового шаблону сервера IAS, який, у свою чергу, використовується для створення нового об'єкту групової політики, пов'язаного з підрозділом серверів IAS. Для настройки необхідних параметрів безпеки при створенні політики сервера слід використовувати як майстер настройки безпеки (SCW), так і шаблони безпеки.

Роль сервера служб сертифікації

У даному розділі приведені рекомендації по зміцненню безпеки серверів під управлінням Microsoft Windows Server, на яких працюють служби сертифікації Майкрософт.

Параметри, описані в даному розділі, настроюються і застосовуються за допомогою групової політики. Об'єкт групової політики (GPO), доповнюючий базову політику рядових серверів (MSBP), можна пов'язати з підрозділами, що використовують сервери центрів сертифікації, для виконання необхідних змін параметрів безпеці для даної ролі сервера.

Ім'я файлу шаблону безпеки для сервера центру сертифікації в середовищі ЄС — EC-CA Server.inf. Це додатковий шаблон сервера центру сертифікації. Він застосовується при створенні об'єкту групової політики, пов'язаного з підрозділами, що використовують сервери центрів сертифікації в даному середовищі.

Можна встановити служби Microsoft IIS на деяких з серверів служб сертифікації з метою розповсюдження цими серверами сертифікатів і списків відгуку сертифікатів. Служби IIS використовуються також для розміщення веб-сторінок заявок на сертифікат, що дозволяє клієнтам, відмінним від Microsoft Windows, подавати заявки на сертифікати.

Для настройки необхідних параметрів безпеки при створенні політики сервера слід використовувати як майстер настройки безпеки (SCW), так і шаблони безпеки.

Під час створення політики сервера із списку виявлених ролей можна видалити роль файлового сервера. Ця роль часто буває настроєна на серверах, де вона не потрібна, і може представляти загрозу безпеці. Якщо на сервері потрібна роль файлового сервера, її можна включити при настройці іншої політики.

Роль вузла-бастіону

Цей розділ присвячений зміцненню безпеки вузлів-бастіонів з Microsoft Windows Server. Вузли-бастіони — це захищені загальнодоступні комп'ютери, розташовані на зовнішній стороні демілітаризованої зони організації. Ця зона також відома як проміжна підмережа. Вузли-бастіони повністю відкриті для атак, оскільки вони не захищені ні брандмауерами, ні маршрутизаторами, що фільтрують. Щоб звести до мінімуму вірогідність зламу, вузли-бастіони необхідно ретельно проектувати і настроювати.

Такі вузли часто використовуються як веб-сервери, DNS-сервери, FTP-сервери, SMTP-сервери і NNTP-сервери. Рекомендується призначати вузлам-бастіонам тільки одну з вказаних функцій. Чим більше функцій виконує сервер, тим більше вірогідність залишити непоміченим слабке місце в системі безпеки. Забезпечити захист однієї служби на одному вузлі-бастіоні простіше, ніж якщо таких служб декілька. Мережева архітектура з декількома вузлами-бастіонами надає організаціям додаткові переваги.

Настройка захищених вузлів-бастіонів істотно відрізняється від настройки звичайних вузлів. Всі непотрібні служби, протоколи, програми і мережеві інтерфейси повинні бути відключені або видалені. Після цього кожен вузол-бастіон настроюється для виконання певної ролі. Такий підхід допомагає укріпити безпеку вузлів-бастіонів і обмежити кількість можливих варіантів атак.

Ролі серверів, наведені раніше, використовують групову політику для настройки серверів. Проте групову політику не можна застосувати до серверів вузлів-бастіонів, оскільки вони настроєні як ізольовані вузли, що не входять в домен служби каталогів Active Directory. Такі сервери відкриті і не захищені за допомогою яких-небудь пристроїв. Тому існує тільки один варіант забезпечення безпеки серверів вузлів-бастіонів для трьох середовищ. Параметри безпеки містяться в шаблоні безпеки, який необхідно застосувати до локальної політики кожного вузла-бастіону (BHLP).

Таблиця 5. Шаблони безпеки для сервера вузла-бастіону

Середовище застарілих клієнтів

Середовище корпоративних клієнтів

Спеціальне безпечне середовище з обмеженою функціональністю

SSLF-Bastion Host.inf

SSLF-Bastion Host.inf

SSLF-Bastion Host.inf


 

А также другие работы, которые могут Вас заинтересовать

71888. Стратегическое планирование 15.37 KB
  Стратегическое планирование преследует две основные цели: 1 эффективное распределение и использование ресурсов внутренняя стратегия 2 адаптация к внешней среде внешняя стратегия. Этапы планирования инновационной стратегии: Формулировка общей цели организации.
71889. Стратегии развития предприятия 14.78 KB
  В зависимости от поведения менеджеров различают следующие виды инновационной стратегии: традиционная стратегия пассивная возможно применение в краткосрочном периоде в целях экономии средств но в долгосрочном периоде –- неэффективна оппортунистическая предприятия занимается...
71890. Задачи и основные принципы экспертизы 16.67 KB
  Существуют три основных метода экспертизы инновационных проектов финансируемых из бюджета: Описательный -– суть состоит в том что рассматривается потенциальное воздействие результатов осуществляемых проектов на ситуацию на определенном рынке товаров и услуг.
71891. Методы отбора инновационных проектов 16.63 KB
  Инновационные проекты представленные инвесторам должны быть сопоставимы по: 1 качественным параметрам инноваций; 2 фактору времени; 3 уровню цен тарифов маркетинговой проработке условиям оплаты труда.
71892. Виды эффекта от использования инноваций 15.17 KB
  Экономическая ценность инноваций определяется ростом прибыльности расширением масштабов бизнеса и возможностей накопления для последующего реинвестирования капитала. Оценивая результаты инноваций можно использовать систему взаимосвязанных эффектов: научно-технический эффект...
71893. Французский классический пейзаж XVII века Н. Пуссен, К. Лоррен 16.1 KB
  В ученические годы 1612-1623 уже проявился определенный интерес Пуссена к античному искусству и искусству Возрождения. Римская античность Рафаэль живопись болонцев вот наиболее сильные впечатления Пуссена.
71894. Общая экономическая эффективность инноваций - система показателей 15.53 KB
  Интегральный эффект чистый дисконтированный доход чистая приведенная или чистая современная стоимость чистый приведенный эффект Эинт представляет собой величину разностей результатов и инновационных затрат за расчетный период приведенных к одному моменту времени то есть с учетом дисконтирования...
71895. Виды конкурентных преимуществ 16.14 KB
  Конкурентные преимущества на основе инновационных ресурсов уникальные свойства хозяйствующего субъекта определяющие его превосходства над конкурентами и основанный на эффективном использовании ресурсов инновационного процесса.
71896. Формирование конкурентных преимуществ 15.74 KB
  Разработка стратегии формирования конкурентных преимуществ должна быть экономически технологически и социально обоснованной. Максимальное наращивание конкурентных преимуществ возможно в некой идеальной модели при соблюдении следующих условий. Жизненный цикл конкурентного преимущества.