- •Гальчевский ю.Л., Щелконогов о.А. Методические указания
- •Часть 2
- •Введение
- •Аудит доступа к ресурсам.
- •Объём работы:
- •Теоретические сведения. Аудит: обзор
- •Аудит событий.
- •Параметры аудита для объектов.
- •Выбор объектов для применения элементов аудита
- •Влияние наследования на аудит файлов и папок
- •Просмотр журнала событий.
- •Порядок выполнения работы.
- •1. Аудит событий.
- •2. Настройка, просмотр, изменение и отмена аудита файла или папки
- •Задание на лабораторную работу.
- •Контрольные вопросы:
- •Локальная политика безопасности
- •2. Преимущества групповой политики.
- •3. Объекты групповой политики. Оснастка Групповая политика
- •Узел Конфигурация компьютера
- •Узел Конфигурация пользователя
- •Расширения оснастки Групповая политика
- •Административные шаблоны
- •Параметры безопасности
- •Установка программ
- •Сценарии
- •Перенаправление папки
- •4. Настройка групповых политик на автономном компьютере
- •5. Инструменты настройки безопасности
- •Оснастка Шаблоны безопасности
- •Оснастка Анализ и настройка безопасности
- •Порядок выполнения работы. Оснастка Групповая политика.
- •2. Настройка групповых политик на автономном компьютере.
- •Оснастка Шаблоны безопасности
- •Оснастка Анализ и настройка безопасности
- •Задание на лабораторную работу
- •Контрольные вопросы
- •Ip-безопасность (ipSec)
- •Принцип работы ipsec
- •Протоколы безопасности ipsec
- •Обработка пакетов ipsec
- •Управление политикой безопасности ip
- •Свойства политики ipsec
- •Групповая политика
- •Предопределенные политики ipsec
- •Предопределенные правила
- •Предопределенные действия фильтра
- •Методы безопасности ipsec
- •Предопределенные методы безопасности
- •Настраиваемые методы безопасности
- •Взаимодействие параметров шифрования
- •Порядок выполнения работы.
- •Выбор политики ipSec для рабочей станции
- •Задание на лабораторную работу.
- •Контрольные вопросы.
- •Межсетевой экран (firewall)
- •Как устроена сеть Интернет
- •Что можно делать в Интернет
- •Зачем нужен firewall
- •Что такое firewall
- •Как Работает Firewall
- •Основные типы межсетевых экранов
- •От чего защищает firewall
- •Обзор основных firewall
- •Настройка AtGuard (AtGuard settings) Web
- •Настройка AtGuard (AtGuard settings) Firewall
- •Как использовать правило Ignore.
- •Настройка AtGuard (AtGuard settings) Options
- •Несколько простых практических приемов
- •Как перенести настройки с одной машины на другую
- •Задание на лабораторную работу.
- •Контрольные вопросы.
- •Как устроена сеть Интернет?
- •Содержание
Выбор политики ipSec для рабочей станции
Откройте папку Сеть и удаленный доступ к сети.
Выделите значок Подключение по локальной сети, а затем выберите в меню Файл команду Свойства.
В диалоговом окне Свойства подключения по локальной сети, в списке Отмеченные компоненты используются этим подключением выберите Протокол Интернета (TCP/IP) и нажмите кнопку Свойства.
Нажмите кнопку Дополнительно и перейдите на вкладку Параметры.
В списке Необязательные параметры выберите IP-безопасность и нажмите кнопку Свойства.
Установите значение переключателя Использовать следующую политику IP-безопасности и выберите из раскрывающегося списка ту политику IPSec, которую требуется использовать.
Для установки политик IPSec (Internet Protocol security) необходимо быть членом группы администраторов. Если компьютер входит в домен Windows 2000, ему может быть назначена политика IPSec, относящаяся к Active Directory, которая заменит локальную политику IPSec. В таком случае все параметры будут заблокированы, и их нельзя будет менять с локального компьютера.
Чтобы открыть папку Сеть и удаленный доступ к сети, нажмите кнопку Пуск, выберите команды Настройка и Панель управления и дважды щелкните значок Сеть и удаленный доступ к сети.
Имеется три стандартных политики безопасности. «Клиент (только ответ)», «Сервер (запрос безопасности)» и «Безопасность сервера (требовать безопасность)».
Установка политики «Клиент (только ответ)» обеспечит безопасность передачи данных, только если компьютер-получатель запросит ее. Политика сервера может потребовать дополнительной настройки для обеспечения нормальной работы с некоторыми программами и сетями.
Чтобы запустить оснастку управления политикой безопасности IP
Нажмите кнопку Пуск, выберите команду Выполнить, введите MMC и нажмите кнопку OK.
В меню Консоль окна консоли управления выберите команду Добавить/удалить оснастку, а затем нажмите кнопку Добавить.
Выберите Управление политикой безопасности IP и нажмите кнопку Добавить.
Выберите компьютер, политиками IPSEC которого требуется управлять.
Таблица 7.1. Управление политиками IPSEC.
|
Чтобы |
Выполните следующие действия |
|
Управлять только компьютером, на котором выполняется консоль. |
Выберите Локальный компьютер. |
|
Управлять политиками IPSEC для любого члена домена |
Выберите Управлять политикой домена для этого компьютера. |
|
Управлять политиками IPSEC для домена, членом которого компьютер, на котором выполняется консоль, не является |
Выберите Управлять политикой домена для другого домена. |
|
Управлять удаленным компьютером |
Выберите Другой компьютер. |
Нажмите кнопку Готово, кнопку Закрыть, кнопку OK, а затем в меню Консоль выберите команду Сохранить, чтобы сохранить настройки консоли.
Чтобы добавить или изменить методы безопасности IPSEC
В оснастке «Управление политикой безопасности IP» щелкните правой кнопкой политику, которую требуется изменить, и выберите команду Свойства.
Выберите правило, которое требуется изменить, и нажмите кнопку Изменить.
На вкладке Действие фильтра выберите действие фильтра, которое требуется изменить, и нажмите кнопку Изменить.
Выберите добавление нового метода безопасности или изменение существующего:
чтобы добавить новый метод безопасности, нажмите кнопку Добавить на вкладке Методы безопасности;
при изменении настроек существующего метода выберите изменяемый метод безопасности и нажмите кнопку Изменить.
Задайте уровень безопасности.
Таблица 7.2. Добавление и изменение методы безопасности IPSEC.
|
Чтобы |
Выполните следующие действия |
|
Использовать протокол ESP для шифрования данных (обеспечивает защиту) по алгоритму DES с проверкой целостности по алгоритму MD5 и стандартными параметрами ключа (100 000 Кбайт, 1 час). |
Выберите Высокая безопасность (ESP). |
|
Использовать протокол AH для подписания (обеспечения целостности) сведений об адресации пакета (заголовок IP) и данных с применением алгоритма проверки целостности MD5 и стандартных параметров ключа (100 000 Кбайт, 1 час). |
Выберите Средняя безопасность (AH). |
|
Использовать настраиваемые уровни безопасности. |
Выберите Настраиваемая безопасность, нажмите кнопку Настроить, а затем установите нужные параметры. |
Повторите эту процедуру для настройки дополнительных методов безопасности для действия фильтра.
Для задания политики IPSEC необходимо иметь административные права для установки групповой политики или являться членом группы администраторов локального компьютера.
Для удаления выделенного метода безопасности нажмите кнопку Удалить на вкладке Действие фильтра.
Для перемещения выделенного метода безопасности на один уровень вверх нажмите кнопку Вниз на вкладке Действие фильтра. Нажимайте кнопку до тех пор, пока метод не займет нужный уровень предпочтения.
При согласовании безопасности инициирующая сторона предлагает отвечающей свой список методов безопасности. Отвечающая сторона принимает первый метод (в направлении сверху вниз), найденный в любом месте своего списка методов. Если ни один из предложенных методов не совпадает с записью в списке методов отвечающей стороны, происходит сбой согласования.
Политики IPSEC позволяют выбрать надежный алгоритм шифрования, 3DES, использующий для повышения безопасности большую длину ключа, чем алгоритм DES. Такая политика принимается всеми компьютерами, которым она назначена. Однако на компьютерах, работающих под управлением Windows 2000, для использования алгоритма 3DES необходимо установить пакет High Encryption Pack. Если компьютер, работающий под управлением Windows 2000, принимает использование 3DES, но на нем не установлен пакет High Encryption Pack, то в методе безопасности вместо 3DES используется менее надежный алгоритм DES. Если на этот компьютер поступит предложение использовать метод безопасности 3DES, система не сможет найти совпадающий метод безопасности и продолжит проверку следующего предложения в списке методов безопасности инициирующей стороны. Если в списке инициирующей стороны содержится только 3DES, то данная система, как отвечающая сторона, не сможет согласовать безопасность.
Чтобы настроить дополнительные методы безопасности IPSEC
В оснастке «Управление политикой безопасности IP» щелкните правой кнопкой политику, которую требуется изменить, и выберите команду Свойства.
Выберите правило, которое требуется изменить, и нажмите кнопку Изменить.
На вкладке Действие фильтра выберите действие фильтра, которое требуется изменить, и нажмите кнопку Изменить.
Выберите добавление нового метода безопасности или изменение существующего.
Чтобы добавить новый метод безопасности, нажмите кнопку Добавить на вкладке Методы безопасности.
Чтобы изменить существующий метод, выберите изменяемый метод безопасности и нажмите кнопку Изменить.
Выберите вариант Настраиваемая безопасность и нажмите кнопку Параметры.
Чтобы обеспечить целостность сведений об адресации пакета (заголовок IP) и данных, установите флажок Целостность данных и адресов без шифрования (AH).
При выборе протокола AH выберите алгоритм проверки целостности:
для использования 128-разрядного значения ключа выберите MD5;
для использования 160-разрядного значения выберите SHA1.
Чтобы обеспечить целостность и шифрование (защиту) данных, установите флажок Целостность данных с шифрованием (ESP)
При выборе протокола ESP выберите алгоритм проверки целостности данных. Если включено использование протокола AH, то для улучшения быстродействия можно выбрать значение Нет. Если протокол AH не используется, необходимо выбрать алгоритм проверки целостности для ESP. Варианты перечислены на шаге 9.
При выборе протокола ESP выберите алгоритм шифрования.
Таблица 7.3. Настройка дополнительных методов безопасности IPSEC.
|
Чтобы |
Выполните следующие действия |
|
Использовать алгоритм, обеспечивающий максимальную безопасность |
Выберите 3DES. |
|
Шифровать данные для обеспечения конфиденциальности, но не использовать максимальную безопасность 3DES |
Выберите DES. |
|
Не использовать шифрование |
Выберите Нет. |
Для задания политики IPSEC необходимо иметь административные права для установки групповой политики или являться членом группы администраторов локального компьютера.
При указании параметров ключа будьте внимательны. Стандартные параметры ключа работают в большинстве сред и взаимодействуют с другими продуктами. Если безопасность требует время жизни ключа, можно задать соответствующие значения в каждом методе безопасности. В общем случае используются наименьшие значения, заданные в явном виде для инициирующей и отвечающей сторон.
Сокращение времени жизни ключа не повышает безопасность данных. Короткое время жизни ключа только снижает объем данных, которыми сможет воспользоваться злоумышленник в случае взлома одного из ключей шифрования. Вместо уменьшения времени жизни ключа для защиты данных лучше воспользоваться более надежным алгоритмом шифрования, таким как 3DES.
Чтобы добавить или изменить политику IPSEC
В оснастке «Управление политикой безопасности IP» выберите создание новой политики или изменение текущей.
Таблица 7.4. Добавление или изменение политики IPSEC
|
Чтобы |
Выполните следующие действия |
|
Создать новую политику |
Выберите в дереве консоли Политики безопасности IP на описание, а затем выберите в меню Действие команду Создать политику безопасности IP. Выполняйте инструкции мастера политики безопасности IP до вывода на экран диалогового окна новой политики. |
|
Изменить существующую политику |
Щелкните нужную политику правой кнопкой мыши и выберите команду Свойства. |
На вкладке Общие введите уникальное имя в поле Имя.
В поле Описание введите описание политики безопасности, например укажите группы или домены, которые она затрагивает.
Если компьютер является частью домена, введите значение в поле Проверять политику на наличие изменений каждые число минут, чтобы задать частоту выполнения агентом политики проверки групповой политики на наличие обновлений
При наличии особых потребностей в безопасности при обмене ключами нажмите кнопку Дополнительно.
Перейдите на вкладку Правила и создайте все необходимые правила для политики.
Для задания политики IPSEC необходимо иметь административные права для установки групповой политики или являться членом группы администраторов локального компьютера.
Если созданная новая политика не отображается в дереве консоли, щелкните папку Политики безопасности IP на описание правой кнопкой и выберите команду Обновить.
Чтобы активизировать правила
В оснастке «Управление политикой безопасности IP» щелкните правой кнопкой политику, которую требуется изменить, и выберите команду Свойства.
Установите флажки для правил, которые требуется активизировать, или снимите флажки для отключения правил.
Чтобы добавить и изменить действия фильтра
В оснастке «Управление политикой безопасности IP» щелкните правой кнопкой политику, которую требуется изменить, и выберите команду Свойства.
Выберите правило, которое требуется изменить, нажмите кнопку Изменить, а затем перейдите на вкладку Действие фильтра.
Выберите, следует ли использовать мастер добавления:
чтобы использовать мастер, помогающий последовательно выполнить операции по добавлению действия фильтра, убедитесь в том, что флажок Использовать мастер установлен, а затем следуйте выводимым на экран инструкциям;
для того чтобы выполнить добавление или изменение действий фильтра вручную, снимите флажок Использовать мастер, а затем нажмите кнопку Добавить для добавления действия фильтра или кнопку Изменить для изменения настроек действия фильтра.
Выберите действие фильтра.
Выберите Разрешить, чтобы разрешить получение или отправку незашифрованных пакетов. Безопасность для этих пакетов запрашиваться не будет.
Выберите Блокировать, чтобы пакеты, совпадающие с данным фильтром, немедленно отбрасывались. Безопасность для этих пакетов запрашиваться не будет.
Выберите Согласовать безопасность, чтобы использовать для обеспечения безопасности пакетов, совпадающих с фильтром, методы безопасности из списка Методы безопасности в порядке предпочтения. Запросы безопасности для этих пакетов будут приниматься.
Если входящие незащищенные пакеты блокировать не требуется, но необходимо обеспечить безопасность исходящих запросов и последующего двустороннего обмена данными, установите флажок Принимать небезопасную связь, но отвечать с помощью IPSEC.
Если требуется сделать возможной связь с другими компьютерами, не поддерживающими IPSEC, и обеспечить продолжение связи при отсутствии ответа на запрос согласования безопасности IPSEC, установите флажок Разрешать связь с компьютерами, не поддерживающими IPSEC. Если этот параметр включен, то после сбоя согласования IPSEC с конкретным узлом безопасность IPSEC для связи с этим узлом отключается на некоторое время.
Установка флажка Сеансовые циклы безопасной пересылки (PFS) гарантирует, что основные ключи или исходные данные ключа не используются для создания ключа сеанса более одного раза.
На вкладке Общие введите уникальное имя.
Введите описание. Например, можно указать уровни безопасности, представляемые данным действием ключа.
Если выбрано действие Согласовать безопасность, добавьте новые или измените существующие методы безопасности для действия фильтра.
Для задания политики IPSEC необходимо иметь административные права для установки групповой политики или являться членом группы администраторов локального компьютера.
Для правила «Отклик по умолчанию» параметры Разрешать связь с компьютерами, не поддерживающими IPSEC и Принимать небезопасную связь, но отвечать с помощью IPSEC недоступны.
При выборе параметра «Сеансовые циклы безопасной пересылки (PFS)» новый основной ключ создается для каждого сеанса. Это обеспечивает максимальную безопасность, однако значительно повышает загруженность серверов и приводит к увеличению времени, необходимого на выполнение операции смены ключа. Для успешной установки подключения инициирующая и отвечающая стороны должны иметь одинаковые настройки. Кроме того, использование этого параметра может сказаться на взаимодействии с другими продуктами.
Чтобы добавить и изменить правила
В оснастке «Управление политикой безопасности IP» щелкните правой кнопкой политику, которую требуется изменить, и выберите команду Свойства.
Выберите, следует ли использовать мастер добавления:
чтобы использовать мастер, помогающий последовательно выполнить операции по добавлению правила безопасности, убедитесь в том, что флажок Использовать мастер установлен, нажмите кнопку Далее и следуйте выводимым на экран инструкциям;
для того чтобы добавить или изменить правило вручную, снимите флажок Использовать мастер, нажмите кнопку Добавить или Изменить и выполните следующие шаги данной процедуры.
На соответствующих вкладках задайте список фильтров IP, действие фильтра, тип подключения, методы проверки подлинности и параметры туннеля.
Для задания политики IPSEC необходимо иметь административные права для установки групповой политики или являться членом группы администраторов локального компьютера.
Новые правила автоматически применяются к изменяемой или создаваемой политике.
Правило «Отклик по умолчанию» автоматически добавляется (и активизируется, если выбран соответствующий режим) в каждую новую политику IPSEC. Если в какой-либо политике данное правило не требуется, его следует отключить. (Удаление предопределенных правил невозможно.)
Чтобы задать туннель IPSEC
В области сведений оснастки «Управление политикой безопасности IP» щелкните правой кнопкой политику, которую требуется изменить, и выберите команду Свойства.
Выберите правило, которое требуется изменить, и нажмите кнопку Изменить.
На вкладке Параметры туннеля укажите компьютер, который будет конечной точкой туннеля:
Таблица 7.5. Задание туннеля IPSEC.
|
Чтобы |
Выполните следующие действия |
|
Отключить туннелирование для данного правила |
Выберите Это правило не указывает туннель IPSEC. |
|
Использовать туннелированную связь с конкретным компьютером |
Выберите Конечная точка туннеля указана данным IP-адресом. |
Конечная точка туннеля — это статический IP-адрес конечного компьютера, к которому требуется отправлять пакеты через туннель, например шлюза сети организации.
Для функционирования туннеля IPSEC необходимо два правила: входящее и исходящее. Туннельные фильтры не должны быть отраженными. Для задания туннеля необходимы два фильтра, каждый из которых содержит фильтр в одном направлении. Список каждого фильтра задает направление фильтра, соответствующее конечной точке каждого туннеля. Пример: из подсети А в подсеть Б туннель создается ко внешнему адресу шлюза для подсети Б. Из подсети Б в подсеть А туннель создается ко внешнему адресу шлюза для подсети А.
Туннели IPSEC следует использовать только для взаимодействия с другими маршрутизаторами, шлюзами или конечными системами, не поддерживающими технологию туннелирования L2TP/IPSEC или PPTP для виртуальных частных сетей (VPN). Режиме туннеля IPSEC поддерживается как дополнительное средство, только при туннелировании от шлюза к шлюзу и для конфигураций сервер-сервер или сервер-шлюз. Туннели IPSEC не поддерживаются для сценариев удаленного клиентского доступа к виртуальной частной сети. Для удаленного клиентского доступа к виртуальной частной сети следует использовать туннели L2TP/IPSEC или PPTP.
Чтобы определить методы проверки подлинности IPSEC
В оснастке «Управление политикой безопасности IP» щелкните правой кнопкой политику, которую требуется изменить, и выберите команду Свойства.
Выберите правило, которое требуется изменить, и нажмите кнопку Изменить.
На вкладке Методы проверки подлинности нажмите кнопку Добавить. При изменении настроек существующего метода выберите изменяемый метод проверки подлинности и нажмите кнопку Изменить.
Определите методы проверки подлинности:
выберите Стандарт Windows 2000 (Kerberos V5), чтобы использовать для служб проверки подлинности протокол безопасности Kerberos V5, если данное правило применяется к компьютерам, которые заверены доверенным доменом Windows 2000;
чтобы использовать для служб проверки подлинности сертификат открытого ключа, выберите Использовать сертификат данного Центра сертификации.
Если выбрано использование сертификата, нажмите кнопку Обзор для выбора корневого центра сертификации.
Чтобы указать для использования при проверке подлинности собственный ключ, выберите Использовать данную строку для защиты обмена ключами.
Значение ключа проверки подлинности хранится в политике IPSEC в пригодном для чтения формате. По умолчанию политика IPSEC, хранящаяся в Active Directory, может быть прочитана любым пользователем, прошедшим проверку, но изменять ее могут только администраторы каталога. Таким образом, указание значения ключа проверки подлинности в политике, расположенной в каталоге, не обеспечивает достаточную защиту. Используйте ключи проверки подлинности только в том случае, когда политика IPSEC хранится и управляется локально на компьютере, к которому она применяется. Для безопасного управления политикой IPSEC, хранящейся в Active Directory, на контроллере домена должна быть запущена оснастка «Управление политикой безопасности IP».
Если для проверки подлинности выбрано использование сертификата, необходимо выбрать центр сертификации. Оставлять это поле пустым нельзя.
С каждой стороны подключения для проверки подлинности должен использоваться один и тот же ключ, в противном случае подключение не будет установлено.
Чтобы удалить выделенный метод проверки подлинности, нажмите кнопку Удалить.
Чтобы переместить выделенный метод проверки подлинности на один уровень вверх, нажмите кнопку Вверх. Нажимайте кнопку до тех пор, пока метод не займет нужный уровень предпочтения.
Чтобы переместить выделенный метод проверки подлинности на один уровень вниз, нажмите кнопку Вниз. Нажимайте кнопку до тех пор, пока метод не займет нужный уровень предпочтения.
Если фильтры более чем в одном правиле применяются к трафику между одной и той же парой IP-адресов, то список методов проверки подлинности в обоих правилах должен совпадать. Если нет, то запросы безопасности, инициируемые одним правилом могут совпасть с фильтром другого правила, имея при этом отличный метод проверки подлинности. В этом случае происходит сбой согласования правил безопасности. Если одним правилом инициировано успешное сопоставление безопасности обмена ключами в Интернете (IKE) между двумя IP-адресами, другие правила, фильтрующие другой трафик, не выполняют согласование проверки подлинности и основного ключа (сопоставления безопасности IKE). Вместо этого другие правила используют то же сопоставление безопасности IKE (алгоритмы и ключи сеансов) при согласования безопасности для трафиков, совпадающих с их фильтрами.
Чтобы указать типы подключения IPSEC
В оснастке «Управление политикой безопасности IP» щелкните правой кнопкой политику, которую требуется изменить, и выберите команду Свойства.
Выберите правило, которое требуется изменить, и нажмите кнопку Изменить.
На вкладке Тип подключения выберите тип сетевых подключений, для которых будет применяться данное правило:
чтобы применить правило ко всем сетевым подключениям, созданным на данном компьютере, выберите Все сетевые подключения;
чтобы применить правило ко всем локальным подключениям, созданным на данном компьютере, выберите Локальное сетевое подключение;
чтобы применить правило к удаленным сетевым подключениям, созданным на данном компьютере, выберите Удаленный доступ.