Локальная политика безопасности. Часть 7: политики проводной сети

• Введение
• Настройка политики проводной сети
• Свойства режимов проверки подлинности
• Настройки метода проверки подлинности «Microsoft: Защищенные EAP (PEAP)»
• Настройки метода проверки подлинности «Смарт-карты или другой сертификат – настройки EAP-TLS»
• Дополнительные параметры безопасности политики проводных сетей
• Заключение

Введение

В предыдущих статьях данного цикла вы научились эффективно использовать функционал локальных политик безопасности, что позволяет максимально защитить инфраструктуру вашей организации от атак недоброжелателей извне, а также от большинства действий некомпетентных сотрудников. Вы уже знаете как можно эффективно настроить политики учетных записей, которые позволяют управлять сложностью паролей ваших пользователей, настраивать политики аудита для последующего анализа аутентификации ваших пользователей в журнале безопасности. Помимо этого вы научились назначать права для ваших пользователей для избегания нанесения ущерба своей системе и даже компьютерам в вашей интрасети, а также знаете как можно эффективно настроить журналы событий, группы с ограниченным доступом, системные службы, реестр и файловую систему. В этой статье мы продолжим изучение локальных политик безопасности, и вы узнаете о настройках безопасности проводных сетей для вашего предприятия.

В серверных операционных системах компании Microsoft, начиная с Windows Server 2008, появился компонент политик проводной сети (IEEE 802.3), который обеспечивает автоматическую конфигурацию для развертывания услуг проводного доступа с проверкой подлинности IEEE 802.1X для сетевых клиентов Ethernet 802.3. Для реализации параметров безопасности проводных сетей средствами групповых политик, в операционных системах используется служба проводной автонастройки (Wired AutoConfig – DOT3SVC). Текущая служба отвечает за проверку подлинности IEEE 802.1X при подключении к сетям Ethernet при помощи совместимых коммутаторов 802.1X, а также управляет профилем, используемого с целью настройки сетевого клиента для доступа с проверкой подлинности. Также стоит отметить, что если вы будете использовать данные политики, то желательно запретить пользователям вашего домена изменять режим запуска данной службы.

Настройка политики проводной сети

Задать настройки политики проводных сетей вы можете непосредственно из оснастки «Редактор управления групповыми политиками». Для того чтобы настроить данные параметры, выполните следующие действия:

1. Откройте оснастку «Редактор управления групповыми политиками» и в дереве консоли выберите узел «Политики проводной сети (IEEE 802.3)», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Создание новой политики проводных сетей для Windows Vista и более поздних версий», как показано на следующей иллюстрации:




Увеличить рисунок

Рис. 1. Создание политики проводной сети

2. В открывшемся диалоговом окне «Новая политика для проводных сетей Properties», на вкладке «Общие», вы можете задать применение службы автонастройки проводных сетей для настройки адаптеров локальных сетей для подключения к проводной сети. Помимо параметров политики, которые распространяются на операционные системы Windows Vista и более поздние, существуют некоторые опции, которые будут применяться только к операционным системам Windows 7 и Windows Server 2008 R2. На этой вкладке вы можете выполнять следующие действия:
• Имя политики. В этом текстовом поле вы можете задавать наименование для вашей политики проводной сети. Имя политики вы сможете увидеть в области сведений узла «Политики проводной сети (IEEE 802.3)» оснастки «Редактор управления групповыми политиками»;
• Описание. Данное текстовое поле предназначено для заполнения подробного описания назначения политики проводной сети;
• Использовать службу автонастройки проводных сетей Windows для клиентов. Данная опция выполняет реальную настройку и подключает клиентов к проводной сети 802.3. Если отключить эту опцию, то операционная система Windows не будет контролировать проводное сетевое подключение и параметры политики действовать не будут;
• Запретить использование общих учетных данных пользователя для проверки подлинности сети. Этот параметр определяет, следует ли пользователю запрещать хранить общие учетные данные пользователя для проверки подлинности сети. Локально вы можете изменять данный параметр при помощи команды netsh lan set allowexplicitcreds;
• Включить период блокировки. Эта настройка определяет, следует ли запрещать компьютеру автоматически подключаться к проводной сети на протяжении указанного вами количества минут. По умолчанию указано 20 минут. Настраивается период блокировки в диапазоне от 1 до 60 минут.

На следующей иллюстрации отображена вкладка «Общие» политики проводной сети:






Рис. 2. Вкладка «Общие» диалогового окна параметров политики проводной сети

3. На вкладке «Безопасность» предоставлены параметры конфигурации метода проверки подлинности и режима проводного подключения. Вы можете настраивать следующие параметры безопасности:
• Включать проверку подлинности IEEE 802.1X для доступа к сети. Эта опция используется непосредственно для включения или отключения проверки подлинности 802.1X сетевого доступа. По умолчанию данная опция включена;
• Выберите метод проверки подлинности сети. При помощи данного раскрывающегося списка вы можете указать один из методов проверки подлинности сетевых клиентов, который будет применен для вашей политики проводной сети. Доступны для выбора следующие два параметра:
• Microsoft: Защищенные EAP (PEAP). Для этого метода проверки подлинности, окно «Свойства» содержит параметры конфигурации используемого метода проверки подлинности;
• Microsoft: смарт-карты или другой сертификат. Для этого метода проверки подлинности, в окне «Свойства» предоставлены параметры конфигурации, с помощью которых можно указать смарт-карту или сертификат для подключения, а также список доверенных корневых центров сертификации.

По умолчанию выбран метод Microsoft: защищенные EAP (PEAP);

• Режим проверки подлинности. Данный раскрывающийся список применяется для выполнения сетевой проверки подлинности. Для выбора доступны следующие четыре параметра:
• Проверка подлинности пользователя или компьютера. В том случае, если будет выбран этот параметр, учетные данные безопасности будут использоваться на основе текущего состояния компьютера. Даже если в систему не входил ни один пользователь, проверка подлинности будет выполняться по учетным данным компьютера. При входе пользователя будут использоваться учетные данные вошедшего в систему пользователя. Компания Microsoft рекомендует в большинстве случаев использовать именно этот параметр режима проверки подлинности.
• Только для компьютера. В этом случае проверка подлинности выполняется только для учетных данных компьютера;
• Проверка подлинности пользователя. При выборе данного параметра включается принудительная проверка подлинности пользователя только при подключении к новому устройству 802.1X. Во всех остальных случаях проверка подлинности выполняется только для компьютера;
• Проверка подлинности гостя. Данный параметр разрешает подключаться к сети на основе гостевой учетной записи.
• Максимальное число ошибок проверки подлинности. Этот параметр позволяет указать максимальное число ошибок при проверке подлинности. Значение по умолчанию – 1;
• Кэшировать данные пользователя для последующих подключений к этой сети. При включении данного параметра, пользовательские учетные данные будут сохраняться в системном реестре, при выходе пользователя из системы и при последующем входе учетные данные запрашиваться не будут.

На следующей иллюстрации отображена вкладка «Безопасность» данного диалогового окна:

Рис. 3. Вкладка «Безопасность» диалогового окна параметров политики проводной сети

Свойства режимов проверки подлинности

Как говорилось в предыдущем разделе, для обоих методов проверки подлинности есть дополнительные настройки, которые вызываются по нажатию на кнопку «Свойства». В этом разделе рассмотрим все возможные настройки для методов проверки подлинности.

Настройки метода проверки подлинности «Microsoft: Защищенные EAP (PEAP)»

EAP (Extensible Authentication Protocol, Расширяемый Протокол Аутентификации) – это расширяемая инфраструктура аутентификации, которая определяет формат посылки. Для настройки данного метода проверки подлинности доступны следующие параметры:

• Проверять сертификат сервера. Данная опция позволяет задавать проверку сертификата сервера, который предоставляется на клиентские компьютеры на наличие валидной не просроченной подписи, а также наличие доверенного корневого центра сертификации, который выдал сертификат данному серверу. Этот флажок лучше оставлять включенным, так как при отсутствии проверки на подлинность серверов, уровень безопасности пользователей значительно понижается;
• Подключаться к серверам. Данная настройка позволяет вам указать имена серверов службы RADIUS, которые обеспечивают авторизацию и сетевую проверку подлинности. При указании имени сервера вы можете использовать как полный синтаксис регулярного выражения, так и использовать символ *;
• Доверенные корневые центры сертификации. В данном списке отображены все доверенные корневые центры сертификации, которые установлены в хранилищах сертификата пользователя и компьютера. Здесь вы можете указать те ЦС, которые будут использовать соискатели при проверке. Если у вас не выбран ни один доверенный корневой центр сертификации, то клиент будет проверять, был ли сертификат компьютера для сервера RADIUS выдан установленным доверенным корневым центром сертификации.
• Не запрашивать пользователя авторизовать новые серверы или доверенные центры сертификации. Установив флажок для этой опции, при наличии неправильно настроенного сертификата сервера или присутствующего в списке для пользователя не будет отображаться диалоговое окно с предложением авторизации такого сертификата. По умолчанию эта опция отключена;
• Выбор способа проверки подлинности. В этом раскрывающемся меню вы можете открыть диалоговое окно настроек для одного из следующих методом проверки:
• Защищенный пароль (EAP-MSCHAP v2). Это настройки типа EAP, которые используются в PEAP-MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol - протокол, разработанный корпорацией Microsoft для выполнения процедур проверки подлинности удалённых рабочих станций Windows, который поддерживает функциональные возможности, привычные пользователям, локальных сетей, и интегрирует алгоритмы шифрования и хеширования, действующие в сетях Windows) для проверки подлинности по паролю. По сути, из всех настроек присутствует только одна опция, которая позволяет использовать текущие имя и пароль входа в Windows в качестве учетных данных сетевой проверки подлинности. Данная опция отключена только в VPN соединениях.





Рис. 4. Свойства EAP-MSCHAPv2

• Свойства смарт-карты или другого сертификата – настройки EAP-TLS. Данные настройки будут рассмотрены в следующем подразделе.
• Включить быстрое переподключение. Данная опция позволяет пользователям с беспроводными компьютерами быстро перемещаться между точками доступа без повторной проверки подлинности в новой сети. Такое переключение может работать только для точек доступа, которые настроены как клиенты службы RADIUS. По умолчанию эта опция включена;
• Включить защиту доступа к сети. При выборе этой опции, перед разрешением подключения к сети соискателей EAP, для определения проверки требований работоспособности, будут выполняться соответствующие проверки;
• Отключаться, если сервер не поддерживает привязку с шифрованием через механизм TLV. Эта опция отвечает за прерывание подключающимися клиентами процесса проверки подлинности в том случае, если RADIUS-сервер не предоставляет криптографическое значение привязки TLV, которая повышает безопасность TLS-туннеля в PEAP, объединяя способы внутренней и внешней проверки подлинности, чтобы злоумышленники не могли выполнять атаки типа вмешательства третьей стороны;
• Включить удостоверение конфиденциальности. Данный параметр отвечает за то, чтобы клиенты не могли отправлять свое удостоверение перед тем, как клиент проверил подлинность сервера RADIUS, и при необходимости обеспечивать место для ввода значения анонимного удостоверения.

Диалоговое окно свойств защищённого EAP отображено на следующей иллюстрации:

Рис. 5. Диалоговое окно свойств защищённого EAP

Настройки метода проверки подлинности «Смарт-карты или другой сертификат – настройки EAP-TLS»

Для настройки данного метода проверки подлинности существуют следующие параметры:

• При подключении использовать мою смарт-карту. Если вы установите переключатель на данную позицию, то клиенты, выполняющие запросы проверки подлинности, будут представлять сертификат смарт-карты для сетевой проверки подлинности;
• При подключении использовать сертификат на этом компьютере. При выборе этой опции, при проверке подключения клиентов будет использоваться сертификат, расположенный в хранилище текущего пользователя или локального компьютера;
• Использовать выбор простого сертификата. Эта опция позволяет операционной системе Windows отфильтровывать сертификаты, которые не соответствуют требованиям проверки подлинности;
• Проверять сертификат сервера. Данная опция позволяет задавать проверку сертификата сервера, который предоставляется на клиентские компьютеры на наличие валидной не просроченной подписи, а также наличие доверенного корневого центра сертификации, который выдал сертификат данному серверу
• Подключаться к серверам. Эта опция идентична одноименной опции, о которой рассказывалось в предыдущем разделе;
• Доверенные корневые центры сертификации. Также как и в диалоговом окне свойств защищенного EAP, в этом списке вы можете найти все доверенные корневые центры сертификации, которые установлены в хранилищах сертификата пользователя и компьютера;
• Не запрашивать пользователя авторизовать новые серверы или доверенные Центры Сертификации. Установив флажок для этой опции, при наличии неправильно настроенного сертификата сервера или присутствующего в списке для пользователя, не будет отображаться диалоговое окно с предложением авторизации такого сертификата. По умолчанию эта опция отключена;
• Использовать для подключения другое имя пользователя. Этот параметр определяет, нужно ли использовать для проверки подлинности имя пользователя, отличное от имени пользователя в сертификате. При включенной опции использования другого имени пользователя вам необходимо выбрать как минимум один сертификат из списка доверенных корневых центров сертификации.

Диалоговое окно настроек смарт-карт или других сертификатов отображено на следующей иллюстрации:

Рис. 6. Диалоговое окно настроек смарт-карт или других сертификатов

Если вы не уверены в выбираемом вами сертификате, то нажав на кнопку «Просмотреть сертификат» сможете просмотреть все подробные сведения о выбранном сертификате, как показано ниже:

Рис. 7. Просмотр сертификата из списка доверенных корневых центров сертификации

Дополнительные параметры безопасности политики проводных сетей

Вы наверняка обратили внимание на то, что на вкладке «Безопасность» диалогового окна настроек политики проводной сети присутствуют еще дополнительные параметры безопасности, предназначенные для изменения поведения сетевых клиентов, подающих запросы на доступ с проверкой подлинности 802.1X. Дополнительные параметры политик проводных сетей можно разделить на две группы – настройки IEEE 802.1X и настройки единого входа. Рассмотрим каждую из этих групп:

В группе настроек IEEE 802.1X вы можете указать характеристики запросов проводных сетей с проверкой подлинности 802.1Х. Для изменения доступны следующие параметры:

• Применить дополнительные параметры 802.1X. Эта опция позволяет активировать следующие четыре настройки;
• Макс. EAPOL-сообщений. EAPOL – это протокол EAP, который используется до того как компьютер успевает аутентифицироваться, и только после успешного «логина» весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер. Этот параметр отвечает за максимальное количество отправляемых сообщений EAPOL-Start;
• Период задержки (сек). Этот параметр отвечает за задержку в секундах перед выполнением следующего запроса проверки подлинности 802.1X после получения уведомления об отказе при проверке подлинности;
• Start Period (период начала). Этот параметр отвечает за время ожидания перед повторной отправкой последовательных сообщений EAPOL-Start;
• Период проверки (сек). Этот параметр определяет число секунд между повторной передачей последовательных начальных сообщений EAPOL после инициации сквозной проверки доступа 802.1X;
• Сообщение EAPOL-Start. При помощи данного параметра вы можете указать следующие характеристики передачи начальных сообщений EAPOL:
• Не передавать. При выборе данного параметра, EAPOL сообщения не будут передаваться;
• Передано. При выборе этого параметра, клиенту нужно будет вручную отправлять начальные сообщения EAPOL;
• Передача по протоколу IEEE 802.1X. при выборе данного параметра (он определен по умолчанию) сообщения EAPOL будут отправляться в автоматическом режиме, ожидая запуска проверки подлинности 802.1Х.

При использовании единого входа, проверка подлинности должна выполняться на основании конфигурации безопасности сети в процессе входа пользователя в операционную систему. Для полной настройки профилей единого входа в систему доступны следующие параметры:

• Включить единую регистрацию для сети. При включении данной опции активируются настройки единого входа в систему;
• Включить непосредственно перед входом пользователя. Если вы установите переключатель на эту опцию, то проверка подлинности 802.1Х будет выполняться перед завершением входа пользователя в систему;
• Включить сразу после входа пользователя. Если вы установите переключатель на эту опцию, то проверка подлинности 802.1Х будет выполняться после завершения входа пользователя в систему;
• Макс. задержка подключения. Этот параметр задает максимальное время, за которое должна быть завершена проверка подлинности и, соответственно, как долго будет ждать пользователь перед появлением окна пользовательского входа в систему;
• Разрешить отображение дополнительных диалоговых окон при едином входе. Этот параметр отвечает за отображение диалогового окна входа пользователя в систему;
• Эта сеть использует разные виртуальные локальные сети для проверки подлинности по учетным данными компьютеров и пользователей. При указании этой настройки, при запуске, все компьютеры будут помещаться в одну виртуальную сеть, а после успешного входа пользователя в систему, в зависимости от разрешений, будут переводиться в различные виртуальные сети. Эту опцию имеет смысл активировать только в том случае, если у вас на предприятии используются несколько виртуальных локальных сетей VLAN.

Диалоговое окно дополнительных параметров безопасности политики проводных сетей отображено на следующей иллюстрации:

Рис. 8. Диалоговое окно дополнительных параметров безопасности политики проводных сетей

Заключение

В этой статье вы познакомились со всеми параметрами политики проводных сетей IEE 802.1X. Вы узнали о том, как можно создать такую политику, а также узнали о методах проверки подлинности EAP и проверки при помощи смарт-карт или других сертификатов. В следующей статье вы узнаете о локальных политиках безопасности диспетчера списка сетей.