PDA

Просмотр полной версии : Security Configuration Wizard из Windows 2003 SP1



SDA
29.08.2005, 21:09
Удобный способ защиты серверов на базе ролей

Любой администратор нуждается в простом способе защиты серверов в соответствии с их ролями, который избавил бы его от необходимости изучать руководства и документацию Microsoft в поисках оптимальной настройки системы безопасности. Новый мастер Security Configuration Wizard (SCW), который поставляется в составе Windows Server 2003 Service Pack 1 (SP1), поможет быстро и без труда сократить число уязвимых мест серверов Windows 2003 SP1. Основная цель SCW — определить меры безопасности в соответствии с исполняемой сервером ролью или ролями (например, Microsoft SQL Server, Exchange Server, Certificate Server, контроллер домена — DC). С помощью SCW можно не только настроить систему компьютеров, выполняющих единственную роль, но и определять зависимости для систем, на которые возложено несколько ролей в сети.

После запуска SCW нужно ответить на несколько вопросов, указав функциональные требования к целевому серверу (например, система, на которой администратор создает, развертывает или отменяет политику безопасности). В зависимости от ответов на вопросы и по результатам анализа текущей конфигурации целевого сервера, SCW позволяет составить политику безопасности, которая затем применяется (через графический интерфейс или командную строку, либо через Group Policy) для защиты целевого компьютера. С помощью SCW также можно отменить изменения, возвратив целевую систему в первоначальное состояние. Данная статья написана на основе Windows 2003 SP1 Release Candidate — RC, поэтому некоторые детали окончательной версии SCW могут отличаться.

Установка SCWSCW можно инсталлировать только на системах Windows 2003 SP1. После установки Windows 2003 SP1 или модернизации к SP1, SCW доступен через утилиту Add or Remove Programs в панели управления. Чтобы запустить SCW, нужно зарегистрироваться в качестве члена локальной группы Administrators на целевом компьютере. Затем требуется открыть утилиту Add or Remove Programs, щелкнуть на вкладке Add/Remove Windows Components и вызвать Windows Components Wizard. На странице Windows Components следует установить флажок Security Configuration Wizard (в списке Components) и нажать Next. После завершения установки нужно закрыть утилиту, щелкнув на кнопке Finish.
SCW разворачиваются как с графическим интерфейсом, так и с командной строкой. Версия с графическим интерфейсом (scw.exe) находится в папке Administrative Tools; версия с командной строкой (scwcmd.exe) хранится в папке %SystemRoot%system32.

SCW также пополняет XML-базу данных параметров безопасности, в которой хранится ролевая информация из рекомендаций по оптимальным методам защиты, руководств, описаний архитектуры и другой литературы и документов Microsoft по проблемам безопасности. В базе знаний хранятся готовые шаблоны настроек системы безопасности для более чем 50 ролей. Вместо стандартного локального экземпляра базы знаний можно сохранить ее централизованную копию на сетевом диске. Для этого следует указать местонахождение централизованной базы данных, запустив SCW, и сделать ссылку на общую базу знаний.
Возможности SCWПри использовании SCW для подготовки политики безопасности мастер выполняет несколько действий для укрепления защиты целевого сервера, в частности блокирует необязательные службы и Web-расширения Microsoft IIS, закрывает определенные порты и использует IP Security (IPsec) для защиты открытых портов, позволяет настроить параметры аудита, импортировать шаблоны безопасности Windows и защитить пересылки по NT LAN Manager (NTLM), Lightweight Directory Access Protocol (LDAP) и Server Message Block (SMB).

Блокирование необязательных служб и Web-расширений Microsoft IIS. SCW блокирует службы, которые не требуются для роли или ролей, исполняемых целевым компьютером. Если на целевой системе есть IIS, то SCW блокирует и все необязательные Web-расширения. Например, если роль, назначенная целевой системе, не требует Active Server Pages (ASP), то SCW блокирует ASP.

Блокирование или защита портов. После того как администратор определяет необходимые службы целевой системы, SCW блокирует все порты, не используемые этими службами, комбинируя Windows Firewall и Ipsec. Если целевой компьютер — многодомный, то мастер может ограничить службы конкретными интерфейсами. С помощью SCW можно задействовать Ipsec, чтобы задать ограничения для компьютеров, которым разрешено устанавливать соединение с открытыми портами.

Настройка параметров аудита. SCW позволяет определить цели аудита (например, обнаружение попыток несанкционированного доступа и проведение следственных процедур) для целевой системы.

Импорт существующих шаблонов безопасности Windows. SCW обеспечивает импорт существующих шаблонов безопасности Windows, которые могут содержать определения и параметры для ролей.

Защита пересылок NTLM, LDAP и SMB. SCW задает последовательность вопросов для идентификации клиентов, которые будут подключаться к целевому компьютеру, и защищает пересылки NTLM, LDAP и SMB в соответствии с ответами.

http://www.winzone.ru/