Политика групп

Одним из наиболее мощных новых средств в Win 2000 является политика групп, которая уже несколько раз упоминалась в этой главе. Объекты политики групп могут храниться как в активном каталоге, так и на локальной машине, и определять параметры конфигурации в масштабах домена или одного компьютера соответственно. Политику групп можно применять к узлам, доменам или организационным единицам. Параметры политики наследуются пользователями или компьютерами, входящим в состав этих единиц ("участниками" группы).
Объекты политики групп можно просматривать и редактировать в любом окне управляющей консоли при наличии привилегий администратора. В комплект поставки Win 2000 входят следующие объекты политики групп: Local Computer, Default Domain и Default Domain Controller. При запуске программы gpedit.msc из меню Start вызывается объект политики групп локального компьютера. Объекты политики групп можно также просмотреть во вкладке Group Policy окна свойств каждого объекта активного каталога (домена, организационной единицы или узла). Там отражена конкретная политика, применяемая к выбранному объекту (типы политики перечислены в соответствии с приоритетом), а также указано, где блокируется наследование объектов политики. Здесь же можно редактировать объекты политики групп.
Благодаря возможности редактирования политики можно обеспечить множество безопасных конфигураций для объектов каталога. Значительный интерес представляет подраздел Security Options раздела Computer Configurations-Windows Settings>Security Settings>Local Policies. В нем содержится более 30 различных параметров конфигурации, обеспечивающих безопасность любого компьютерного объекта, к которому применяется данная политика. В число этих опций входят режим ограничения анонимных соединений Additional Restrictions For Anonymous Connections (параметр системного реестра RestrictAnonymous), параметр уровня аутентификации LanManager, и опция переименования учетной записи администратора.
В разделе Security Settings можно также выбрать политику для учетных записей, политику аудита, параметры журнала регистрации событий, открытый ключ и настроить политику IPSec. Благодаря возможности настройки этих политик на уровне узла, домена и организационной единицы задача обеспечения безопасности в больших сетях значительно упрощается. Предлагаемая по умолчанию политика групп на уровне домена показана на рис. 6.2.


Объекты политики групп обеспечивают один из способов защиты больших доменов Win 2000. Однако зачастую политика уровня домена может входить в противоречие с локальной политикой. Кроме того, губительный результат может иметь задержка, возникающая до вступления в силу политики групп. Такую задержку можно устранить, например, с помощью утилиты secedit (эта утилита более подробно обсуждается в следующем разделе), выполняющей немедленное обновление политики. Для обновления политики с помощью утилиты secedit откройте диалоговое окно Run и введите команду secedit /refreshpolicy MACHINE_POLICY
Для обновления политики, заданной в разделе User Configuration, введите secedit /refreshpolicy USER_POLICY



Рис. 6.2. Объект политики групп Default Domain Policy

Средства настройки безопасности


Для настройки политики групп можно воспользоваться набором утилит для настройки безопасности, в состав которого входят две программы: Security Configuration and Analysis и Security Templates.
Программа Security Configuration and Analysis позволяет администраторам выполнять проверку соответствия конфигурации локальных систем определенному шаблону и изменять любые несовместимые параметры. Эта программа встроена в управляющую консоль, а также существует в виде утилиты командной строки secedic. Это довольно мощный механизм для быстрой проверки безопасности системы. К сожалению, эта утилита позволяет анализировать только локальную систему и не работает в масштабе домена. Ее можно использовать в командном файле сценария регистрации и распространить таким образом ее действие на удаленные системы, однако она не так удобна для распределенной среды, как средство Group Policy.
К счастью, шаблоны защиты можно импортировать в программу Group Policy, обеспечив передачу шаблона каждому домену, узлу или организационной единице, к которым применяется политика групп. Чтобы импортировать шаблон защиты в утилиту Group Policy, щелкните правой кнопкой на элементе Computer ConfigurationWVindows Settings\Security Settings и выберите из контекстного меню команду Import. По умолчанию импортирование выполняется из каталога %windir%\ securityXtemplates, где хранится 11 стандартных шаблонов.
Фактически эти 11 шаблонов и составляют средство Security Templates. Файлы шаблонов соответствуют различным уровням безопасности, которые могут использоваться совместно со средством Security Configuration and Analysis. Хотя многие параметры этих шаблонов не определены, они являются хорошей отправной точкой при разработке шаблона для конфигурирования и анализа системы. Эти файлы можно просмотреть с помощью управляющей консоли Security Templates или вручную сконфигурировать в любом текстовом редакторе (напомним, что файлы шаблонов имеют расширение . inf и расположены в каталоге %windir%\security\templates\).

Команда runas


К радости поклонников операционной системы UNIX в состав Win 2000 включена собственная команда переключения привилегий пользователей runas (аналог su).
В соответствии с требованиями безопасности для выполнения задач пользователю желательно предоставлять минимально необходимые для этого привилегии. Исполняемые файлы, почтовые сообщения и удаленные Web-узлы, посещаемые через броузер, могут запускать команды с привилегиями текущего пользователя. Значит, чем выше привилегии этого пользователя, тем вероятнее опасность таких операций.
Многие из опасных атак могут происходить в процессе выполнения повседневных операций. Об этом особенно нужно помнить тем пользователям, которым для выполнения части задач приходится использовать привилегии администратора (к числу таких задач относятся добавление рабочей станции к домену, управление пользователями, аппаратными средствами и т.д.). Положа руку на сердце, можно сказать, что администраторы никогда не регистрируются как обычные пользователи, как того требуют правила безопасности. Это особенно опасно в современном мире тотального подключения к Internet. Если пользователь с правами администратора посетит хакер-ский Web-узел или прочтет сообщение в формате HTML с внедренным активным содержимым (см. главу 16), то он нанесет своей системе гораздо больше вреда, чем допустивший эту же ошибку обычный пользователь Вася Иванов.
Команда runas позволяет любому пользователю зарегистрироваться в системе с более низкими привилегиями и получать права администратора для выполнения конкретных задач. Например, предположим Вася Иванов зарегистрировался на контроллере домена через терминальный сервер как обычный пользователь, а затем ему срочно потребовалось изменить пароль одного из администраторов домена (скажем, потому, что этого администратора только что уволили и он в ярости грозится напомнить о себе). К сожалению, зарегистрировавшись как обычный пользователь, Вася не сможет даже запустить службу Active Directory Users and Computers, а не только изменить пароль администратора. Для этого Васе придется выполнить следующие действия.
1. Выбрать команду Start>Run и ввести 
runas /user:mydomain\Administrator "mmc %windir%\system32\dsa.msc"
2. Ввести пароль администратора.
3. После запуска службы Active Directory Users and Computers (файл dsa.mmc) с привилегиями администратора домена изменить пароль администратора.
4. Затем он завершит сеанс службы Active Directory Users and Computers и продолжит работу как обычный пользователь.
Таким образом, Вася избавит себя от необходимости завершения сеанса терминального сервера, регистрации с правами администратора и повторной перерегистрации с привилегиями обычного пользователя. Основным правилом должно стать использование минимального уровня привилегий.
Более наглядный пример осторожного использования утилиты runas — понижение привилегий для запуска Web-броузера или чтения почты. В конце марта 2000 года состоялась интересная дискуссия (http://www.ntbugtraq.com) о том, какие привилегии должны использоваться при вызове некоторого адреса URL в окне броузера, если в системе открыто несколько окон, в том числе некоторые с привилегиями администратора runas /u:Administrator. Один из подходов сводился к тому, чтобы ярлык броузера поместить в группу автозагрузки Startup и всегда запускать его с минимальными привилегиями. Последняя точка в этом споре относительно целесообразности использования runas так и не была поставлена. Дело в том, что приложения, запускаемые в рамках динамического обмена данными DDE, типа IE, информацию о ключах защиты получают из порождающего их процесса. Следовательно, runas никогда не создает процессы IE, необходимые для обработки гиперссылок, внедренных документов и т.д. Создание порождающего процесса зависит от программы, поэтому очень сложно определить реального владельца этого процесса. Возможно, компания Microsoft когда-нибудь разъяснит, действительно ли runas обеспечивает большую безопасность, чем полное завершение работы всех программ, требующих привилегий администратора, перед использованием броузера.
Утилита runas — не панацея. По словам Джеффа Шмидта (Jeff Schmidt), устраняя некоторые угрозы, она открывает возможности для других. Поэтому ее следует использовать с осторожностью.

Команда Run as теперь доступна через контекстное меню.
Для ее запуска нужно щелкнуть правой кнопкой
мыши на имени файла в окне проводника
Win 2000 при нажатой клавише <Shift>.