Zajęcia 5 zakres prac I materiały pomocnicze zakres prac



Pobieranie 126,56 Kb.
Strona1/5
Data23.10.2017
Rozmiar126,56 Kb.
  1   2   3   4   5

Wersja 3.5, 2006.03.16


ZAJĘCIA 5 - ZAKRES PRAC I MATERIAŁY POMOCNICZE

ZAKRES PRAC



  1. Wdrażanie zasad zabezpieczeń dla serwera autonomicznego (samodzielnego) z systemem Windows Server 2003. Część II

    1. Szablony zabezpieczeń

      1. Eksportowanie (Export List) wybranej listy wpisów dotyczących ustaleń w Local Computer Policy

      2. Tworzenie kopii – eksportowanie (Export Policy) – aktualnych lokalnych ustawień zabezpieczeń komputera przy użyciu konsoli MMC

      3. Tworzenie kopii – eksportowanie – aktualnych lokalnych ustawień zabezpieczeń komputera przy użyciu narzędzia secedit.exe – wykorzystanie jednej z opcji narzędzia będącej odpowiednikiem Export Policy w GUI

      4. Tworzenie własnego, nowego szablonu zabezpieczeń

      5. Analiza i konfiguracja zasad bezpieczeństwa komputera przy użyciu szablonu zabezpieczeń

      6. Przywracanie lokalnych ustawień zabezpieczeń przy zastosowaniu wcześniej zapisanego wzorca

    2. Uprawnienia do plików i folderów wynikające ze stosowania systemu plików NTFS

      1. Dokonywanie przeglądu, modyfikacji i usuwania uprawnień do folderów przy użyciu GUI i polecenia cacls

      2. Usuwanie domyślnych i definiowanie własnych uprawnień NTFS do folderów

      3. Modyfikacja uprawnienia własności do foldera, przejmowanie na własność przy użyciu narzędzia GUI i takeown

      4. Wpływ operacji kopiowania i przenoszenia foldera na kwestie dziedziczenia uprawnień

      5. Uzyskiwanie informacji o uprawnieniach do obiektu z zastosowaniem narzędzia Effective Permissions Tool (Narzędzie Czynne Uprawnienia)

    3. Konfigurowanie ustawień Zasad inspekcji (Auditing policy) i ich implementowanie

    4. Dziennik zdarzeń (Event Viewer)

Liczba ćwiczeń: 19

MATERIAŁY POMOCNICZE


  1. Wybrane informacje dotyczące zagadnień realizowanych podczas ćwiczeń

    1. Szablony zabezpieczeń


Za pomocą przystawki Szablony zabezpieczeń (Security Templates) dla konsoli Microsoft Management Console można tworzyć zasady zabezpieczeń dla komputera lub sieci. Jest to pojedynczy punkt wprowadzania, gdzie można brać pod uwagę pełny zakres zabezpieczeń. Przystawka Security Templates nie wprowadza nowych parametrów zabezpieczeń, a tylko organizuje wszystkie istniejące atrybuty zabezpieczeń w jednym miejscu, co ułatwia administrowanie zabezpieczeniami.
Importowanie szablonu zabezpieczeń do obiektu zasad grupy upraszcza administrowanie domeną, ponieważ wystarczy tylko raz skonfigurować zabezpieczenia dla domeny lub jednostki organizacyjnej.

Aby zastosować szablon zabezpieczeń do komputera lokalnego, można użyć przystawki Security configuration and analysis (Konfiguracja i analiza zabezpieczeń) lub narzędzia wiersza polecenia Secedit.


Szablony zabezpieczeń mogą być używane do określania następujących obszarów zabezpieczeń:

  • Account Policies (Zasady kont):

    • Password Policy (Zasady haseł)

    • Account Lockout Policy (Zasady blokady konta)

    • Kerberos Policy (Zasady protokołu Kerberos)

  • Local Policies (Zasady lokalne):

    • Audit Policy (Zasady inspekcji)

    • User Rights Assignment (Przypisywanie praw użytkownika)

    • Security Options (Opcje zabezpieczeń)

  • Event Log (Dziennik zdarzeń): Application, system, and security Event Log settings (Ustawienia aplikacji, systemu i dziennika zdarzeń zabezpieczeń)

  • Restricted Groups (Grupy z ograniczeniami): Membership of security-sensitive groups (Członkostwo w grupach zabezpieczeń)

  • System Services (Usługi systemowe): Startup and permissions for system services (Tryby uruchomienia i uprawnienia usług systemowych)

  • Registry (Rejestr): Permissions for registry keys (Uprawnienia do kluczy Rejestru)

  • File System (System plików): Permissions for folders and files (Uprawnienia do folderów i plików)

Każdy szablon jest zapisany jako tekstowy plik *.inf. Pozwala to na kopiowanie, wklejanie, importowanie lub eksportowanie niektórych lub wszystkich atrybutów szablonu. W szablonie zabezpieczeń mogą być zawarte wszystkie atrybuty zabezpieczeń z wyjątkiem zasad zabezpieczeń protokołu internetowego i zasad kluczy publicznych.




      1. Nowe i wstępnie zdefiniowane szablony


Wszystkie systemy z rodziny MS Windows Server 2003 oraz system MS Windows XP (również MS Windows 2000) zawierają zbiór wstępnie zdefiniowanych szablonów utworzonych dla różnych poziomów zabezpieczeń stosowanych w firmach.

Istnieje kilka wstępnie zdefiniowanych szablonów zabezpieczeń, które mogą pomóc w zabezpieczeniu systemu, w zależności od konkretnych potrzeb. Te szablony pozwalają na:



  • Ponowne zastosowanie ustawień domyślnych.

  • Zaimplementowanie środowiska o wysokim poziomie zabezpieczeń.

  • Zaimplementowanie środowiska mniej bezpiecznego, ale bardziej zgodnego.

  • Zabezpieczanie głównego katalogu systemowego.

W rodzinie MS Windows Server 2003 SP 1występują następujące szablony zabezpieczeń:



  • Default security (Setup security.inf) – (Zabezpieczenia domyślne)

  • Domain controller default security (DC security.inf) – (Domyślne zabezpieczenia kontrolera domeny)

  • Compatible (Compatws.inf) – (Szablon zgodny)

  • Secure (Secure*.inf) – (Szablony bezpieczne)

  • Highly Secure (hisec*.inf) – (Szablony bardzo bezpieczne)

  • System root security (Rootsec.inf) – (Zabezpieczenia katalogu głównego systemu)

  • No Terminal Server user SID (Notssid.inf) – (Brak identyfikatora SID serwera terminali)

  • Iesacls.inf – (Dodatkowe wzmocnienie restrykcyjnych ustawień Internet Explorer)


UWAGA:

  • Te szablony zabezpieczeń opracowano przy założeniu, że będą one stosowane do komputerów, na których używane są domyślne ustawienia zabezpieczeń. Innymi słowy, szablony te modyfikują domyślne ustawienia zabezpieczeń, jeśli są one określone na komputerze. Nie instalują one domyślnych ustawień przed wprowadzeniem modyfikacji.

  • Wstępnie zdefiniowane szablony zabezpieczeń nie powinny być stosowane do systemów produkcyjnych bez przetestowania, które zapewni, że dla architektury sieci i systemu określono odpowiedni poziom funkcjonalności aplikacji.

Więcej szczegółów dotyczących poszczególnych, wstępnie zdefiniowanych szablonów zabezpieczeń, znajduje się w plikach \zaj5\Docs\Wstepnie_zdefiniowane_szablony_zabezpieczen.docwersja polskojęzyczna i \zaj5\Docs\Predefined_security_templates.doc– wersja angielskojęzyczna.


Poniżej, dla przykładu, podano krótki opis szablonów Setup security.inf i Rootsec.inf.

Default security template (Szablon zabezpieczeń domyślnych) (
Setup security.inf)
Podczas instalacji na każdym komputerze jest tworzony szablon Setup security.inf. Może być on różny na różnych komputerach w zależności od tego, czy instalacja miała charakter instalacji „czystej” czy uaktualnienia. Szablon Setup security.inf zawiera domyślne ustawienia zabezpieczeń stosowane podczas instalowania systemu operacyjnego, w tym uprawnienia do plików dla katalogu głównego dysku systemowego. Może on być wykorzystywany na serwerach i komputerach klienckich, ale nie może być używany na kontrolerach domen. Fragmenty szablonu można wydzielać dla celów odzyskiwania po awarii.

Szablonu Setup security.inf nigdy nie należy stosować przy użyciu przystawki Group Policy (Zasady grupy). Zawiera on bardzo duże ilości danych i jego stosowanie przy użyciu tej przystawki może spowodować znaczne obciążenie komputera, ponieważ zasady są okresowo odświeżane, w związku z czym w domenie byłyby przesyłane znaczne ilości danych.

Zaleca się, aby szablon Setup security.inf był stosowany fragmentami. Ponieważ taką możliwość zapewnia narzędzie wiersza polecenia (secedit.exe), zalecane jest korzystanie właśnie z niego.


System root security template (Zabezpieczenia katalogu głównego systemu) (Rootsec.inf)

Szablon Rootsec.inf określa uprawnienia na poziomie katalogu głównego. Domyślnie szablon Rootsec.inf określa te uprawnienia dla katalogu głównego dysku systemowego. Ten szablon może być używany w celu ponownego zastosowania uprawnień dostępu do katalogu głównego, jeśli zostaną one przypadkowo zmienione. Można go również zmodyfikować, aby te same uprawnienia dostępu do katalogu głównego zastosować do innych woluminów. Szablon ten nie zastępuje uprawnień wyraźnie określonych dla obiektów podrzędnych; propaguje on jedynie te uprawnienia, które są dziedziczone przez obiekty podrzędne.




  1   2   3   4   5


©operacji.org 2017
wyślij wiadomość

    Strona główna