Общие сведения о маршрутизации
Служба маршрутизации и удаленного доступа, входящая в состав Microsoft Windows 2000 Server — это полнофункциональный программный маршрутизатор и открытая платформа для маршрутизации и объединения сетей. Она предлагает службы маршрутизации в локальных и глобальных сетевых средах, а также через Интернет с помощью безопасных виртуальных частных подключений. Служба маршрутизации и удаленного доступа объединяет функции раздельных служб маршрутизации и удаленного доступа Windows NT 4.0 и является расширением службы Routing and Remote Access Service (RRAS) Windows NT 4.0.
Одним из достоинств службы маршрутизации и удаленного доступа является ее интегрированность с операционной системой Windows 2000 Server. Служба маршрутизации и удаленного доступа предоставляет множество экономящих средства решений и работает со многими аппаратными платформами и с сотнями различных сетевых адаптеров. Служба маршрутизации и удаленного доступа расширяема с помощью интерфейсов программирования приложений (API), которые позволяют разработчикам создавать собственные сетевые решения для удовлетворения растущих потребностей открытых объединенных сетей.
Прокси-сервер
Такие приложения интрасетей, как веб-обозреватели, предоставляют больше возможностей, если локальная сеть подключена к Интернету, но установка такого ненастроенного подключения может угрожать безопасности локальной сети. Программа Microsoft Proxy Server помогает снизить возможность угрозы безопасности, управляя передачей данных между локальной сетью и Интернетом, повышая безопасность и эффективность приложений интрасети. Microsoft Proxy Server выполняет роль шлюза с безопасностью уровня брандмауэра между локальной сетью и Интернетом.
Прокси-сервер управляет трафиком между программами в одной сети и серверами в другой. Когда клиентская программа делает запрос, прокси-сервер преобразует его и передает в Интернет. После ответа компьютера в Интернете, прокси-сервера передает ответ в клиентскую программу на компьютер, с которого был сделан запрос. Прокси-сервер имеет два сетевых интерфейса: один подключен к локальной сети, а другой — к Интернету.
Основными возможностями безопасности прокси-сервера являются следующие.
Блокировка входящих подключений.
Клиенты в локальной сети могут создавать подключения к серверам в Интернете, но клиентам в Интернете не разрешается создавать подключения к серверам в локальной сети.
Ограничение исходящих подключений.
Клиенты локальной сети проходят проверку подлинности со своими стандартными учетными данными безопасности Windows NT. Прокси-сервер может ограничить исходящие подключения несколькими способами: по пользователю, протоколу, номеру порта TCP/IP, времени дня, имени конечного домена или по IP-адресу.
Поведение приложений будет различаться в зависимости от того, используется прокси-сервер или прямой доступ к сетевым ресурсам. Как правило, веб-обозреватели должны быть настроены заново, но дополнительного программного обеспечения не требуется.
3. Аудит
Установление контрольного следа является важным аспектом безопасности. Отображение создания и изменения объектов позволяет отслеживать возможные угрозы безопасности, помогает убедиться в подлинности пользователя, а также получать подтверждение в случае сбоя системы безопасности.
Внедрение аудита безопасности в систему включает три главных шага.
Во-первых, необходимо включить категории событий для аудита. Примерами категорий событий являются вход пользователя в систему, выход из нее и управление учетными записями. Выбранные категории событий составляют политику аудита. Поскольку при первой установке Windows 2000 никакие категории не выбраны, политика аудита отсутствует. Категории событий, для которых можно выполнить аудит, перечислены в окне «Управление компьютером».
Во-вторых, необходимо настроить размер и параметры журнала безопасности.
И, наконец, если выбрана либо категория доступа аудита службы каталогов, либо аудита объекта, необходимо определить объекты, для которых требуется отображать доступ и соответственно изменить их дескрипторы безопасности. Например, чтобы выполнить аудит всех попыток пользователей открыть конкретный файл, можно установить атрибут «Успех» или «Отказ» для этого файла и конкретного события.
Политики аудита
Перед внедрением аудита необходимо выбрать политику аудита. Политика аудита указывает категории событий, связанных с безопасностью, для аудита. При первой установке Windows 2000 все категории аудита выключены. Включая аудит различных категорий событий, можно создавать политику аудита, удовлетворяющую всем требованиям организации.
Категории аудита включаются и выключаются с помощью оснастки «Управление компьютером».
Для проведения аудита можно выбрать следующие категории событий:
аудит событий входа в систему;
аудит управления учетными записями;
аудит доступа к службе каталогов;
аудит входа в систему;
аудит доступа к объектам;
аудит изменения политики;
аудит использования привилегий;
аудит отслеживания процессов;
аудит системных событий.
Если выбран аудит доступа к объектам как часть политики аудита, необходимо включить либо категорию аудита доступа к службе каталогов (для аудита объектов на контроллере домена), либо категорию аудита доступа к объектам (для аудита объектов на рядовой сервер). После включения правильной категории доступа к объекту можно использовать Свойства каждого отдельного объекта для указания аудита успехов или отказов для разрешений каждой группы или пользователя.
Параметры аудита объектов
Каждый объект имеет набор свойств безопасности, или дескриптор безопасности, присоединенный к нему. В одной части дескриптора безопасности перечислены пользователи и группы, имеющие доступ к объекту, а также типы доступа (разрешения), назначенные этим пользователям или группам. Эта часть дескриптора безопасности называется избирательной таблицей управления доступом (DACL).
Кроме сведений о разрешениях дескриптор безопасности объекта также содержит сведения аудита. Эти данные аудита называются системной таблицей управления доступом (SACL). В таблице SACL указываются следующие сведения:
учетные записи группы или пользователя для аудита при осуществлении доступа к объекту;
события доступа для аудита каждой группы или пользователя. Примером события доступа является изменение файла;
атрибуты «Успех» или «Отказ» для каждого события доступа на основе разрешений каждой группы или пользователя в таблице DACL объекта.
Типы доступа, аудит которых можно выполнить, в основном зависят от того, проводится аудит доступа к файлам и папкам или к объектам Active Directory. В следующих разделах перечислены типы доступа.
Файлы и папки
Имеется возможность аудита доступа к файлам или папкам, находящимся на дисках с файловой системой NTFS. При этом появляется возможность наблюдать за тем, кто из пользователей осуществлял различные операции с файлами и папками.
После разрешения аудита файлов или папок в журнал безопасности окна просмотра событий заносятся записи при каждой попытке выполнить над этими ресурсами действия определенного типа. Можно указать, за какими файлами и папками следует наблюдать, чьи действия отслеживать, а также конкретные типы этих действий.
Аудит файлов и папок разрешается с помощью групповой политики. Затем с помощью проводника выбираются конкретные файлы, а также типы событий доступа для аудита.
В журнал безопасности могут заноситься сведения как об успешных, так и о неудачных попытках выполнения следующих действий над файлами и папками.
| Действия с папками | Действия с файлами |
| Просмотр имен файлов в папке | Просмотр содержимого файла |
| Просмотр атрибутов папки | Просмотр атрибутов файла |
| Изменение атрибутов папки | Просмотр разрешений и имени владельца |
| Создание подкаталогов и файлов | Изменение файла |
| Переход в подкаталоги | Изменение атрибутов файла |
| Отображение владельца и разрешений папки | Выполнение (если файл является программным модулем) |
| Удаление папки | Удаление файла |
| Смена разрешений для папки. | Смена разрешений для файла |
| Смена владельца папки | Смена владельца файла |
Аудит можно применять как прямо к объектам, так и к любым дочерним объектам с помощью наследования. Например, если выполняется аудит отказов попыток записи в папку, это событие аудита будет наследоваться всеми файлами в этой папке.
Объекты Active Directory
Во время аудита объектов Active Directory можно также выполнить аудит следующих действий:
чтения/записи всех свойств;
чтения/записи отдельных свойств.
Для аудита файлов и папок необходимо войти в систему с учетной записью члена группы «Администраторы».
Выбор объектов для применения элементов аудита
При аудите файлов и папок открывается диалоговое окно Элемент аудита. В поле Применять этого диалогового окна показано, к каким объектам будут применяться элементы аудита. Применение этих элементов аудита зависит от того, установлен ли флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера. По умолчанию этот флажок снят.
Если флажок «Применять этот аудит к объектам...» снят
| Применять | Аудит текущей папки | Аудит подпапок в текущей папке | Аудит файлов в текущей папке | Аудит всех вложенных подпапок | Аудит файлов во всех вложенных подпапках |
| Только для этой папки | x | ||||
| Для этой папки, ее подпапок и файлов | x | x | x | x | x |
| Для этой папки и ее подпапок | x | x | x | ||
| Для этой папки и ее файлов | x | x | x | ||
| Только для подпапок и файлов | x | x | x | x | |
| Только для подпапок | x | x | |||
| Только для файлов | x | x |
Если флажок «Применять этот аудит к объектам...» установлен
| Применять | Аудит текущей папки | Аудит подпапок в текущей папке | Аудит файлов в текущей папке | Аудит всех вложенных подпапок | Аудит файлов во всех вложенных подпапках |
| Только для этой папки | x | ||||
| Для этой папки, ее подпапок и файлов | x | x | x | ||
| Для этой папки и ее подпапок | x | x | |||
| Для этой папки и ее файлов | x | x | |||
| Только для подпапок и файлов | x | x | |||
| Только для подпапок | x | ||||
| Только для файлов | x |
Просмотр журналов безопасности
В процессе аудита локального объекта создаются записи в журнале безопасности. Записи безопасности, отображающиеся в журнале безопасности, зависят от категорий аудита, выбранных для политики аудита. Записи в журнал безопасности событий доступа к объектам также зависят от параметров аудита, определенных для каждого объекта.
Например, если в политике аудита указан аудит файлов и папок, а в свойствах файла указан аудит отказов удаления, каждая неудачная попытка пользователя удалить файл будет отображаться в журнале безопасности.
Просмотреть журнал безопасности можно в окне просмотра событий.
Размер журнала безопасности
Важно правильно установить размер журнала безопасности. Так как размер журнала безопасности ограничен, категории событий для проведения аудита следует выбирать аккуратно. Также следует решить, какой объем дискового пространства следует отвести под хранение журнала безопасности. Максимальный размер задается в окне просмотра событий.
События для аудита
При просмотре журнала безопасности события будут отображаться в соответствии с категорией, к которой принадлежит событие. Типы событий, аудит которых возможен и которые отображаются в журнале безопасности перечислены ниже. Аудит может проводиться для следующих событий из списка:
Перезапуск системы
Завершение работы системы
Загрузка пакета проверки подлинности
Процесс зарегистрированного входа в систему
Очистка журнала аудита
Число отброшенных проверок
Успешный вход в систему
Неизвестное имя пользователя или пароль
Не выполнено входов из-за ограничений по времени
Отключение учетной записи
Окончание срока действия учетной записи
Неправильная рабочая станция
Ограниченный режим входа
Завершение срока действия пароля
Ошибка входа
Выход из системы
Открытие объекта
Закрытие дескриптора
Назначение специальных привилегий
Привилегированная служба
Привилегированный доступ к объекту
Создание процессов
Выход из процесса
Повторяющийся дескриптор
Непрямая ссылка
Назначение привилегии
Аудит изменения политики
Изменение домена
Изменение пользователя
Создание пользователя
Удаление пользователя
Удаление члена глобальной группы
Добавление члена глобальной группы
Изменение локальной группы домена
Создание локальной группы домена
Удаление члена локальной группы домена
Добавление члена локальной группы домена
Удаление члена локальной группы домена
Дата добавления: 2015-03-26; просмотров: 658;