Konfigurace zabezpečení pomocí skupin zásad

Napsal uživatel Ondřej Soukup

Pátek, 02 Říjen 2009

Pomocí skupin zásad (Group Policy) lze aplikovat velké množství bezpečnostních prvků jako komplexnost hesel, oprávnění na složkách a registrech, ověřovací protokoly, šifrování komunikace atd.

Oblasti zabezpečení

alt

Oblasti zabezpečení, které jsou podporovány od Windows Server 2003 R2 a Windows Server 2008 jsou:

Oblasti zabezpečení	Popis
Zásady účtu (Account Policies)	zásady hesla, uzamčení účtů, modul Kerberos
Místní zásady (Local Policies)	zásady auditu, přiřazení uživatelských práv, možnosti zabezpečení
Protokol událostí (Event Log)	nastavení aplikačního, systémového s bezpečnostního protokolu událostí
Skupiny s omezeným členstvím (Restricted Groups)	členství v bezpečnostních skupinách
Systémové služby (System Services)	spouštění a zabezpečení systémových služeb
Registr (Registry)	oprávnění na registrech
Systém souborů (File System)	oprávnění na složkách a souborech
Zásady bezdrátové sítě (IEEE802.3) (Wireless Network (IEEE802.3) Policies)	zabezpečení bezdrátové komunikace (IEEE802.3)
Zásady veřejných klíčů (Public Key Policies)	správa a distribuce veřejných klíčů
Zásady omezení softwaru (Software Restriction Policies)	správa spouštění softwaru
Zásady zabezpečení protokolu IP (Internet Protocol security (IPsec) Policies	přiřazení IP Sec zabezpeční u počítačů

s Windows Server 2008 R2 přibyly ještě tyto oblasti:

Oblasti zabezpečení	Popis
Brána Windows Firewall s pokročilým zabezpečením (Windows Firewall with Advanced Security)	konfigurace brány Windows Firewall
Zásady skupin sítí (Network List Manager Policies)	zásady skupin sítí
Zásady kabelové sítě (IEEE802.3) (Wired Network (IEEE802.3) Policies)	zásady pro lokální sítě (LAN) pomocí IEEE802.3
Zabezpečení síťového přístupu NAP (Network Access Protection)	kontrola síťového přístupu pro počítače pomocí technologie NAP (kontrola požadovaného sw, aktualizací apod. před samotným přístupem do sítě

Co je výchozí doménová skupina zabezpečení (Default Domain Security Policy)?

alt

Jedna z výchozích skupin zabezpečení je default domain policy, která je vytvořena automaticky během instalace domény a obsahuje několik již přednastavených zásad zabezpečení, konkrétně Zásady účtů (Account policies). I když tato politika má všechny nastavení a možnosti, doporučuje se pomocí ní nastavovat výhradně Zásady účtů (Account policies) a pro jiné nastavení vytvořit novou GPO.

Pokud konfigurujete Zásady účtů (Account policies) pomocí default domain policy ve více-doménovém prostředí vždy vyhraje politika s nejvyšší prioritou.

V přípaně chybného nastavení můžete default domain policy vyresetovat (Resetting the Default Domain Policy)

Přihlásit se jako doménový administrátor.
Spustit command line (cmd).
Napsat příkaz dcgprofix /target:Domain

Co jsou Zásady účtů (Account policies)?

alt

Pomocí Zásady účtů (Account policies) můžete spravovat hesla (délku, komplexnost, životnost, historii, atd.), uzamykání účtů (doba uzamčení, počet pokusů) a modul Kerberos. Je důležité vědět, že Zásady účtů (Account policies) se neaplikují přímo na počítače, ale na doménové řadiče, které pak během přihlášení klienta toto nastavení na ně aplikují.

Zásady účtů (Account policies) nastavujte vždy pomocí default domain policy, která musí být na root úrovni domény.

Zásady účtů (Account policies) na lokálních počítačích jsou aplikovány pouze na lokální uživatele !

Co jsou Místní zásady (Local Policies)?

alt

Každý počítač od Windows 2000 a novější obsahuje právě jeden lokální objekt skupinových zásad (Local Group Policy Object - LGPO). LGPO jsou součástí každého počítače, bez ohledu zda je počítač člen domény či není. LGPO je uložen ve skryté složce %windir%\system32\Group Policy. Samotný adresář Group Policy a LGPO je pak vytvořen při první kunfiguraci LGPO. Při aplikování skupin zásad je LGPO vždy na nejnižší úrovni a proto se aplikuje jako první.

LGPO obsahují méně položek k nastavení než doménové, nepodporují třeba přesměrování složek, instalace softwaru a další.

Co jsou Uživatelská práva (User rights)?

Uživatelská práva (User rights) se vztahují ke schopnostem vykonávat určité činnosti v systému. Každý počítač má svou vlastní sadu uživatelských práv, jako je třeba právo na změnu systémového času. Uživatelská práva lze nastavovat přes LGPO, nebo pomocí doménových politik.

Co jsou Zásady síťového zabezpečení (Network Security Policies)

alt

Nově od Windows Server 2008 a Windows Vista máte možnost vytvářet politiky zabezpečení zvlášt pro WiFi (Wireless) připojení a drátové (Wired) připojení (LAN). Můžete např. definovat jaké ověřovací metody budou použity při připojení do LAN a jaké pro WiFi. U WiFi (Wireless) připojení pak můžete dále vytvořit politiku zvlášť pro klienty s Windows XP a zvlášť pro klienty s Windows Vista a novější.

Politiky na drátové (Wired) připojení je možné aplikovat pouze na počítače Windows Vista a novější.

Brána Windows Firewall s pokročilým zabezpečením (Windows Firewall with Advanced Security)

alt

Od Windows Vista a Windows Server 2008 je obsažena nová a rozšířená verze Windows Firewall.

Co je nového?

filtrování příchozího i odchozího provozu
nová MMC snap-in konzole pro konfiguraci pokročilého nastavení
integrace firewall filtrování s Internet Protocol security (IPsec)
nastavování pravidel síťového provozu na Program, Port, Předdefinovaný pravidlo, nebo Vlastní pravidlo
používání profilů

Co je Fine-Grained Password Policies

V předchozích verzích AD DS jste mohli pro doménu definovat pouze jednu politiku Zásady účtů (Account policies), konkrétně to byla default domain policies, která aplikovala nastavení hesel vždy pro celou doménu. Nebylo tedy možné pro jednotlivé uživatele, skupiny, či OU definovat různé složitosti hesel.

Nově od Windows Server 2008 tuto možnost máme a to právě pomocí Fine-Grained Password Policies.

Nasazení Fine-Grained Password Policies.

Fine-Grained Password Policies nelze jednoduše v systému zapnout a je zapotřebí nástroju ADSI Edit, či LDIFDE pro přímou úpravu databáze AD.
Přesný postup naleznete zde:
Podrobný průvodce konfigurací podrobných zásad pro hesla a zásad uzamykání účtů

Před nasazením je zapotřebí mít funkční level domény na úrovni 2008 !

Co jsou Skupiny s omezeným členstvím (Restricted Group Membership)

V některých případech je potřeba kontrolovat členství ve skupinách, např. jací uživatelé budou členy skupiny local administrator na počítačích. K tomu slouží Skupiny s omezeným členstvím (Restricted Groups), kde pomocí GPO můžete hlídat lokální skupiny na počítačích a jejich členy.

Co jsou Zásady omezení softwaru (Software Restriction Policy)

Zásady omezení softwaru (Software Restriction Policy) slouží k omezení přístupu k softwarům a zabránění spouštění konrétních typů aplikací, jakou jsou třeba VBscripty. Zásady omezení softwaru (Software Restriction Policy) umožňují administrátorům řízený mechanismus pro identifikaci konkrétního software a řízení jeho schopnosti běžet na klientském počítači. Pokud Zásady omezení softwaru (Software Restriction Policy) použijete na počítače, ovlivníte tak všechny uživatele, kteří se přihlásí k tomuto počítači. Pokud Zásady omezení softwaru (Software Restriction Policy) použijete na uživatele, ovlivníte tak konkrétního uživatele bez ohledu na to, k jakému počítači se přihlásí.

Zásady omezení softwaru (Software Restriction Policy) je vhodný pro:

boj proti virům
regulaci, které ovládací prvky ActiveX lze stáhnout
spuštění pouze digitálně podepsaných skriptů
ujištění, že pouze schválený software je na počítači nainstalován

Zásady omezení softwaru (Software Restriction Policy) se skládají ze tří úrovní zabezpečení, které musíte definovat při nově vytvářené politice.

Stupeň zabezpečení	Popis
Bez omezení (Unrestricted)	Oprávnění softwaru jsou určena podle oprávnění uživatele. Tento stupeň zabezpečení umožní spuštění veškerého software vyjma použitých pravidel. Tato úroveň je výchozí.
Základní uživatel (Basic User)	Tento stupeň zabezpečení umožňuje programům se spustit pod uživatelem, který nemá administrátorské oprávnění a přistupuje k prostředkům jako normální uživatel.
Nepovoleno (Disallowed)	Program nebude možno spustit bez ohledu na oprávnění uživatele. Tento stupeň zabezpečení znemožní spuštění veškerého software vyjma použitých pravidel.

Jako výchozí uroveň zabezpečení je použit Bez omezení (Unrestricted)

Možnosti pravidel pro Zásady omezení softwaru (Software Restriction Policy)

alt

Pravidlo	Popis
Hash pravidlo (Hash rule)	Hash je jednoznačný intentifikátor programu "jako otisk prstu", který je založen na kryptografickém výpočtu zahrnující obsah souboru. Hash pravidlo srovnává Message Digest 5 (MD5) nebo algoritmus SHA1. Hash jednoznačně identifikuje program nebo spustitelný soubor, i když program nebo spustitelný soubor je přesunut nebo přejmenován. Při nové či re-zkompilované (update) verzi aplikace je potřeba vytvořit nové hash pravidlo.
Certifikační pravdlo (Certificate rule)	Certifikační pravidlo umožňuje spouštět pouze aplikace podepsané vydavatelem certifikátu.
Pravidlo cesty (Path rule)	Pravidlo cesty určuje buď složku nebo úplnou cestu k programu. Když se u pravidla cesty specifikuje složka, srovnání se rovněž vztahuje na všechny podsložky v zadaném adresáři. Pravidlo cesty podporuje Uniform Naming Convention (UNC). Pokud je vytvořeno více pravidel cest naráz, vždy pravidla s nejkonkrétnější cestou dostanou vyšší prioritu.
Pravidlo internetové zóny (Internet zone rule)	Pravidla internetových zón jsou založena na aplikaci Microsoft ® Internet Explorer - zóny zabezpečení ®. Můžete povolit nebo zakázat stažení aplikace na základě zón zabezpečení. Pravidlo lze vytvořit pro každou z pěti zón: Internet, lokální počítač, lokální intranet, s omezeným přístupem a důvěryhodné weby. Tato pravidla se vztahují pouze na software, který používá instalační systém Windows.

Co jsou Šablony zabepečení (Security Templates)

alt

Šablony zabezpečení (Security Templates) jsou sbírky předdefinovaných nastavení zabezpečení, pokrývající všechny bezpečnostní oblasti. Můžete tedy Šablony zabezpečení (Security Templates) použít jako základ pro vytvoření bezpečnostní politiky, kterou si poté můžete přizpůsobit, aby vyhovovala vašim potřebám.

Kde Šablony zabezpečení (Security Templates) získat?

Windows Server 2008 již nezahrnuje Šablony zabezpečení (Security Templates) jako starší verze Windows. Musíte ji tedy importovat z jiných zdrojů, jako jsou systém Windows Server 2003 Security Guide nebo použít šablony třetích stran (externí společnosti). Můžete také použít Průvodce konfigurací zabezpečení, který vás provede procesem vytváření Šablony zabezpečení (Security Templates).

Konfiguraci zabezpečení jednotlivých počítačů lze také provádět pomocí snap-in konzole Konfigurace a analýza zabezpečení nebo pomocí commnad line nástroje secedit.

Co je Průvodce konfigurací zabezpečení (Security Configuration Wizard)

Průvodce konfigurací zabezpečení (Security Configuration Wizard) je nástroj snižující případný útok na server, který byl představen v systému Windows Server 2003 s aktualizací Service Pack 1 (SP1). Průvodce konfigurací zabezpečení (Security Configuration Wizard) pomáhá správcům při tvorbě bezpečnostní politiky a určuje minimální funkce, které jsou nutné pro jednotlivé role serveru, díky čemuž vše ostatní "nepotřebné pro správnou funkci serveru" vypne (zakázáním portů, služeb a pod.). Bezpečnostní politika, kterou vytvoříte pomocí Průvodce konfigurací zabezpečení (Security Configuration Wizard), je definována XML soubory, které jsou aplikovány při: konfiguraci služeb, zabezpečení sítě, specifické hodnotě registru, zásady auditu a Internet Information Services (IIS).

Průvodce konfigurací zabezpečení (Security Configuration Wizard) je možné nainstalovat pouze na Windows Server 2003 s aktualizací Service Pack 1 (SP1) a novější.

Nedoporučuje se používat Průvodce konfigurací zabezpečení (Security Configuration Wizard) u Windows Small Business Server 2003 !!