Обеспечение безопасности служебных и важных учетных записей

Обеспечение безопасности служебных и важных учетных записей
Посетителей: 11878 \| Просмотров: 23927 (сегодня 0)	Шрифт:

Управление учетными записями служб и приложений

Существует также несколько рекомендуемых способов повышения безопасности служб и учетных записей служб. В этом разделе описываются способы повышения безопасности служб, доказавшие свою эффективность в реальных сетях. Хотя использование сочетания всех этих методов значительно повышает безопасность корпоративных сетей среднего размера, лучше всего оценить каждый из них и определить наилучшее сочетание подходов для среды каждого конкретного предприятия.

Аудит необходимых свойств служб

Как было сказано выше, первым шагом в разработке плана по обеспечению безопасности служб в конкретной системе является сбор всех данных о службах — где они находятся и для чего используются. Хотя эта задача выглядит сравнительно простой, может оказаться неожиданно сложно определить, какие службы запущены на каждом компьютере, и как ими нужно управлять.

Каждый сервер в среде должен быть задокументирован и проверен, чтобы определить все запущенные на нем службы и все учетные записи, используемые службами для проверки подлинности. Существует ряд средств, которые могут помочь администратору в выполнении этой задачи.

•

Программа «Сведения о системе» в Microsoft Windows Server 2003. В сведениях о системе приводится исчерпывающий список свойств всех служб, запущенных на локальном компьютере. Однако это средство предоставляет не очень удобный способ аудита большого количества серверов.

•

Консоль управления службами. Можно использовать страницу службы Свойства на вкладке Вход в систему консоли управления службами для определения учетных записей, используемых службами для проверки подлинности. Вкладку Зависимости можно использовать для определения того, от каких служб зависит данная служба, и какие службы зависят от нее. К сожалению, этот способ также малоэффективен при аудите большого количества серверов.

•

Инструментарий управления Windows (WMI). Инструментарий WMI можно использовать для получения данных о службах, запущенных на всех серверах сети. Используя инструментарий WMI вместе со сценариями или другими средствами программирования, можно получить данные о настройках большинства компьютеров в сети, а также внести изменения в настройки этих компьютеров.

•

Командная строка инструментария управления Windows (WMIC). Служба WMIC предоставляет те же функции, что и инструментарий WMI, но в виде программы командной строки, которая может взаимодействовать с имеющимися оболочками и другими служебными программами, а также может быть легко расширена при помощи сценариев или других приложений.

С помощью службы WMIC можно получить различные данные о службах, запущенных в сети:

•	Описание
•	Выводимое имя (DisplayName)
•	Действие при ошибке (ErrorControl)
•	Дата установки (InstallDate)
•	Путь (PathName)
•	Идентификатор процесса (ProcessId)
•	Режим запуска (StartMode)
•	Имя используемой службой учетной записи (StartName)
•	Состояние
•	Сценарии Как упоминалось выше, службу WMIC можно использовать для автоматизации управления удаленными и локальными компьютерами с помощью сценариев.

•

Другие корпоративные средства управления. Существует несколько других средств управления, которые можно использовать при проведении аудита служб сервера. Они перечислены ниже.

•	Сервер Microsoft Systems Management Server (SMS)
•	IBM Tivoli
•	HP OpenView
•	Диспетчер учетных записей служб корпорации Lieberman Software

Определение необходимых служб

При установке Windows Server 2003 создает несколько стандартных служб, которые запускаются при загрузке компьютера. Эти стандартные службы обеспечивают совместимость приложений, совместимость клиентов и упрощают управление системой. Однако все эти службы необходимы отнюдь не в каждой среде. Следует проверить все службы и определить, какие из них можно отключить, чтобы уменьшить число уязвимостей сервера, на котором они запущены.

Определение необходимых и ненужных служб может превратиться в достаточно сложный процесс. Необходимость использования одних служб очевидна, а других — нет. При определении служб, которые нужно отключить, используются два основных критерия:

•	если нет причин использовать службу, ее можно отключить;
•	если в будущем потребуется использовать службу, но в данный момент она не нужна, службу можно отключить пока она не понадобится.

Службы, необходимые для работы конкретного сервера, в основном зависят от роли сервера. Например, службы IIS нужно использовать только на веб-сервере или на сервере приложений, который использует механизм распространения через Интернет. Если сервер не использует службы Telnet или службы удаленного доступа, они должны быть отключены.

При установке на сервер программного обеспечения могут быть установлены дополнительные службы. Например, службы Microsoft Systems Management Services устанавливают службу «Агент удаленного управления Wuser32» для обеспечения функциональности удаленного клиента для обновления программного обеспечения или удаленного управления. При определении того, какие службы нужно отключить, важно иметь представление о том, какие службы могут быть установлены пакетами программного обеспечения или могут понадобиться для их работы.

Использование мастера настройки безопасности

Мастер настройки безопасности, входящий в пакет обновления 1 для Windows Server 2003, можно использовать для быстрой настройки серверов с учетом предъявляемых к ним функциональных требований (например, веб-сервер или контроллер домена). Кроме того, он позволяет создавать политики безопасности для минимизации уязвимостей. Мастер настройки безопасности используется для определения служб, запущенных на серверах сети, и их зависимостей.

Установка мастера настройки безопасности на сервер Windows Server 2003

1.	Откройте панель управления.
2.	Дважды щелкните Установка и удаление программ.
3.	Щелкните раздел Установка компонентов Windows.
4.	Установите флажок Мастер настройки безопасности в разделе Компоненты на экране Компоненты Windows.
5.	Нажмите кнопку Далее.
6.	После завершения процесса установки нажмите кнопку Готово.

Мастер настройки безопасности можно использовать для сокращения числа уязвимых мест компьютера, работающего под управлением Windows Server 2003 с пакетом обновления SP1. Мастер дает администраторам указания по созданию политик безопасности с учетом выполняемой данным сервером роли. Термин роль сервера определяет основную функцию, выполняемую компьютером в сети. Необходимые службы, входящие порты и параметры зависят от роли сервера. Созданные политики применяются на серверах, в зависимости от их настроек.

Прекращение использования учетных записей администраторов домена для служб

После завершения аудита сервера собранных данных о системе должно быть достаточно для определения и ликвидации всех возможных экземпляров учетных записей администраторов домена, которые используются для проверки подлинности служб. По возможности службы должны использовать учетные записи локальной службы, сетевой службы или локальной системы.

Следует уделить особое внимание корректировке использования службами учетных записей администраторов в следующих ситуациях.

•	Учетные записи пользователей с привилегиями администраторов, входящие в систему как службы.
•	Встроенные учетные записи администраторов, которые входят в систему как службы.
•	Учетные записи администраторов домена, которые входят в систему как службы на компьютерах с низким уровнем безопасности.

Использование иерархий с наименьшими привилегиями для развертывания службы

Как говорилось выше, службы всегда должны использовать учетные записи с наименьшими привилегиями, необходимыми для работы службы. Все службы, имеющие более высокие привилегии, чем необходимо, должны быть повторно развернуты с использованием учетных записей с меньшими привилегиями.

Ниже приведена иерархия наименьших привилегий, в которой приведены используемые службами учетные записи, начиная с наиболее предпочтительных.

•	Локальная служба.
•	Сетевая служба.
•	Уникальная учетная запись локального пользователя.
•	Уникальная учетная запись пользователя домена.
•	Локальная система
•	Учетная запись локального администратора.
•	Учетная запись администратора домена.

Создание группы серверов высокой степени безопасности для исключительных ситуаций

Серверы высокой степени безопасности — это серверы, содержащие ресурсы или поддерживающие службы, от которых зависит работа предприятия или которые создают повышенную угрозу безопасности. В эту категорию входят указанные ниже серверы.

•	Контроллеры домена.
•	Серверы, использующие службы, для работы которых необходима проверка подлинности с помощью учетной записи администратора домена.
•	Серверы с разрешением для делегирования в лесу.
•	Серверы, используемые важными группами предприятия или содержащие важные данные предприятия, например, сервер отдела кадров с данными о заработной плате.
•	Серверы, на которых запущены службы с разрешением делегирования в пределах леса с помощью принудительного делегирования в Windows Server 2003.

Создание группы серверов высокой степени безопасности предполагает выполнение следующих действий.

1.	Определение серверов, которые должны обладать высокой степенью безопасности.
2.	Создание в каждом лесу универсальной группы безопасности «Серверы высокой степени безопасности».
3.	Размещение соответствующих учетных записей компьютеров в новой универсальной группе.
4.	Создание в каждом домене локальной группы «Учетные записи администраторов домена».
5.	Размещение всех учетных записей администраторов домена в новой локальной группе.
6.	Создание в каждом домене объекта групповой политики, ограничивающего использование учетных записей администраторов домена для служб на всех компьютерах путем назначения прав пользователя Отказ во входе в качестве службы и Отказ во входе в качестве пакетного задания и применения разрешений на чтение (Allow-Read) и применение (Allow-Apply) для объекта групповой политики для созданной локальной группы домена «Учетные записи администраторов домена».
7.	Использование фильтрации групповой политики для группы «Серверы высокой степени безопасности» для каждого объекта групповой политики, чтобы участники группы по-прежнему могли использовать учетные записи администраторов доменов для служб. Этого можно добиться, применив разрешения на чтение (Allow-Read) и отказ в применении (Deny-Apply) для объектов групповой политики для группы «Серверы высокой степени безопасности».

В управлении участниками группы «Серверы высокой степени безопасности» необходимо использовать внутренний рабочий процесс оценивания запросов на добавление в группу новых участников. Этот процесс должен включать проверку запроса и оценку возникающих рисков безопасности при добавлении сервера в группу. Этот процесс может быть как простым (например, отправка запроса по электронной почте на определенную учетную запись), так и сложным автоматизированным процессом, использующим несколько средств подготовки к работе, например Zero Touch Provisioning (ZTP).

Обсуждение ZTP выходит за рамки данного документа, поскольку это средство ориентировано на системы больших предприятий. Дополнительные сведения о ZTP и других аналогичных средствах см. на Центральном веб-узле развертывания ПО корпорации Майкрософт (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Управление сменой паролей учетных записей служб

Перед назначением учетной записи службе диспетчер управления службами требует ввести правильный пароль учетной записи. Если введен неправильный пароль, назначение будет отклонено диспетчером управления службами. Использование служб учетных записей локальной системы, локальной службы и сетевой службы ликвидирует необходимость управления паролями учетных записей, поскольку эту функцию берет на себя операционная система.

Диспетчер управления службами хранит пароли других учетных записей служб в базе данных служб. После назначения паролей диспетчер управления службами не проверяет пароли, хранящиеся в этой базе данных, и пароль, назначенный учетной записи пользователя в службе каталогов Active Directory, будет по-прежнему действовать. Это может привести к проблемам при возникновении перечисленных ниже ситуаций.

1.	Служба использует учетную запись определенного пользователя.
2.	Служба запускается с помощь этой учетной записи с текущим паролем.
3.	Пароль этой учетной записи пользователя изменен во время работы службы.
4.	Служба работает, пока не будет остановлена. После остановки служба не запустится снова, поскольку диспетчер управления службами пытается использовать старый пароль. Изменения паролей в Active Directory не синхронизируются с паролями, хранящимися в базе данных служб.

Нужно обновлять данные проверки подлинности любой службы, использующей стандартную учетную запись локального пользователя или пользователя домена, после каждой смены пароля учетной записи пользователя. На это может потребоваться много времени и ресурсов, если службы и используемые ими учетные записи не задокументированы надлежащим образом.

Разумеется, наличие документа, в котором хранятся все данные об учетных записях работающих на всех серверах служб, опасно само по себе. Поэтому следует обеспечить безопасность этого документа. Крупные организации могут хранить эти данные в зашифрованном файле, который находится в безопасном месте вне сети. Небольшие организации могут просто записывать эти данные на бумагу и хранить в сейфе или другом безопасном месте.

Некоторые приложения также могут использовать пароли учетных записей служб (например, сервер Exchange Server или SQL Server™), поэтому в таких ситуациях следует соблюдать осторожность при смене соответствующих паролей в интерфейсе приложения.

Дополнительные сведения о написании средств автоматизации процесса изменения паролей учетных записей служб см. в статье «Изменение пароля учетной записи пользователя службы» (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Страницы: < 1 2 3 4 5 >

Иcточник: Microsoft TechNet • Опубликована: 26.03.2007

Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER

Похожие материалы раздела

Создание учетных записей и настройка автоматического входа в систему

Теги:

Оценить статью: