Если системы с Windows 2000 Professional входят в домен Windows 2000, настройка их политик не представляет большой сложности. Кроме того, политики можно устанавливать на уровне доменов и подразделений организации.
Установка же параметров с помощью консоли «Локальные параметры безопасности» (Local Security Policy) на каждом компьютере по отдельности – довольно утомительное занятие. Для того чтобы облегчить задачу администратора, Windows 2000 предоставляет несколько шаблонов безопасности и набор инструментов конфигурации и анализа безопасности. Этот набор состоит их двух оснасток, «Анализ и настройка безопасности» (Security Configurations and Analysis) и «Шаблоны безопасности» (Security Templates), а также утилиты командой строки (secedit).
Можно воспользоваться имеющимися шаблонами или создать собственные. Разработаны четыре шаблона (hisecws, basicwk, securews, compatws) для обеспечения того или иного уровня безопасности Windows 2000 Professional. Можно выделить следующие политики, присутствующие практически во всех шаблонах:
· политику паролей (Password Policy);
· политику блокировки учетной записи (Account Lockout Policy);
· политику аудита (Audit Policy);
· назначение прав пользователя (User Rights Assignment);
· параметры безопасности (Security Options);
· настройку протоколирования (Settings for Event Logs).
Политика паролей
Из всех шаблонов, входящих в поставку Windows 2000 Professional, только два шаблона политики безопасности (а именно, securews и hisecws) предписывают хранение 24 последних паролей. Такое требование означает, что при прочих параметрах, установленных по умолчанию, пользователь сможет вновь воспользоваться каким-либо из ранее применявшихся паролей только по истечении двух лет с момента последнего использования такого пароля. Это очень полезное требование, так как при его практическом применении в распоряжении злоумышленника, раздобывшего каким-либо способом пароль, будет всего несколько дней. Вероятность же того, что злоумышленник предпримет попытку взлома с этим же паролем по истечении двух лет, настолько мала, что ею можно пренебречь.
К тому же оба шаблона повышают уровень безопасности, требуя, чтобы пароль можно было изменить как минимум через два дня, а его длина составляла не менее восьми символов. Не позволяя пользователям менять пароль сразу же после первого входа в систему с новым паролем, можно воспрепятствовать некоторым попыткам нарушения безопасности. Что касается длины, то 8 символов – приемлемый компромисс между обеспечением простоты запоминания пароля пользователем и низкой вероятностью подбора пароля путем простого перебора всех возможных комбинаций.
Помимо этого, выбираемые пользователем пароли должны обеспечивать достаточный уровень сложности. Это означает, что пароль обязательно должен представлять собой некую комбинацию из букв (как строчных, так и прописных), цифр и (или) специальных символов. Также в качестве пароля не должны использоваться какие-либо фрагменты идентификатора пользователя.
Достаточно ознакомиться с принципами работы самых распространенных утилит взлома паролей, чтобы увидеть, насколько повышается время взлома сложных паролей.
Однако реализовать на практике выполнение этого требования очень сложно. Данная политика выполнит вместо вас необходимую работу, предписывая системе не принимать паролей, которые не соответствуют заданным критериям. В этом она напоминает модуль «passfilt», входивший в состав последних сервисных пакетов для Windows NT 4.0.
Шаблон «compatws» устанавливает значения всех параметров, касающихся паролей, равными «Не задан» (Not defined). Это объясняется тем, что данный шаблон используется для параметров реестра и работы с файлами в режиме совместимости с Windows NT. Однако он не изменяет параметров политики, которые были настроены до его применения. Это означает, что данный шаблон позволяет получить среду для выполнения устаревших приложений.
Политика блокировки учетной записи
Политика блокировки учетной записи также устанавливается в шаблонах «securews» и «hisecws». Первый устанавливает длительность блокировки равной 30 мин, количество неверных попыток входа, после которых наступает блокировка учетной записи, равным 5, а интервал между двумя любыми последовательными неудачными попытками, не вызывающими блокировки, равным 30 мин. Шаблон «hisecws» также предусматривает 5 неудачных попыток и 30-минутный интервал между попытками, но, в отличие от «securews», устанавливает длительность блокировки равной нулю. Это означает, что после блокировки пользователь сможет разблокировать свою учетную запись, только обратившись к администратору.
Параметры безопасности
Параметры безопасности представляют собой изменения реестра, призванные обеспечить работу различных режимов защиты. Среди них можно выделить следующие.
· Дополнительные ограничения для анонимных подключений (Additional Restrictions on Anonymous Connections). Шаблон «securews» препятствует проведению инвентаризации учетных записей и общедоступных ресурсов, хранящихся в SAM, а шаблон «hisecws» препятствует любым попыткам получения доступа к этой информации без наличия явного разрешения;
· Очистка страничного файла виртуальной памяти при завершении работы (Clear Virtual Memory Pagefile when System Shuts Down). Этот параметр включен лишь в шаблоне «hisecws»;
· Отключить«Ctrl + Alt + Delete-запрос» на вход в систему (Disable Ctrl+Alt+Delete Requirement for Logon). Этот параметр отключен как в «securews», так и в «hisecws».
· Нe отображать последнего имени пользователя в диалоге входа (Do Not Display Last Username in Logon Screen). Этот параметр включен в hisecws;
· Запретить пользователям установку драйверов принтера (Prevent Users from Installing Printer Drivers). Этот параметр включен как в «securews», так и в «hisecws»;
· Поведение при установке неподписанного драйвера (Unsigned Driver Installation Behavior). В шаблоне «securews» этот параметр имеет значение «Предупредить, но разрешить установку» (Warn but Allow Installation), а в «hisecws» – «He разрешать установку» (Do Not Allow Installation);
· Поведение при установке неподписанной программы (Unsigned Nondriver Installation Behavior). И в «securews», и в «hisecws» этот параметр имеет значение «Успешно без сообщений» (Silently Succeed).
Настройка протоколирования
Шаблон «securews» не налагает ограничений на размер журнала регистрации событий приложений, но устанавливает предельный размер для журнала регистрации событий безопасности равным 5120 Кбайт. Доступ ко всем журналам для пользователей, вошедших в систему с помощью гостевой учетной записи, ограничен. Записи журналов не устаревают, но, если достигнут предельный размер журнала, очищаются по мере необходимости.
Единственное различие между «securews» и «hisecws» состоит в ограничении на размер журнала безопасности – шаблон «hisecws» определяет максимальный размер журнала безопасности равным 10240 Кбайт. Ни один из шаблонов не требует выключения системы при достижении предельного значения размера журнала.