Server2000 (663388), страница 8
Текст из файла (страница 8)
Групповые политики конфигурируются на следующих уровнях в следующем порядке.
Локальный компьютер. Групповая политика применяется первой, поэтому она может быть перекрыта политикой домена. У каждого компьютера существует одна применяемая к нему локальная групповая политика. Нелокальные групповые политики загружаются из Active Directory в зависимости от месторасположения пользователя и компьютера в Active Directory.
Офис. Эти групповые политики уникальны тем, что они управляются из оснастки Active Directory Sites and Services (Сайты и службы). Политики офисов применяются к офисам, поэтому их следует применять для вопросов, связанных с физическим расположением пользователей и компьютеров, а не с участием в безопасности домена.
Домен. Групповые политики применяются ко всем пользователям и компьютерам в домене, и именно здесь следует реализовывать глобальные политики организации.
Контейнер OU (Organizational Unit). Групповые политики применяются к входящим в них пользователям и компьютерам. Групповые политики применяются сверху вниз (родитель, затем потомок) иерархии OU.
Группа безопасности. Группы безопасности функционируют по-другому, чем настоящие контейнеры доменов. В этом случае не определяются групповые политики, применяемые к группе безопасности, а фильтруются (разрешаются или запрещаются) применяемые к пользователю групповые политики на основе вхождения пользователя в группы безопасности.
Групповые политики применяются только целиком, нельзя указать, чтобы применялась только часть политики.
Одна групповая политика может быть применена более чем к одному контейнеру в Active Directory, потому что групповые политики не хранятся в Active Directory месте их применения. Хранится только ссылка на объект групповой политики, сами объекты на самом деле хранятся в реплицируемой общей папке SysVol на контроллерах домена в домене.
Групповая политика домена управляется через оснастку Active Directory Sites and Services для групповых политик офисов или оснастку Active Directory Users and Computers (Пользователи и компьютеры) для всех остальных нелокальных групповых политик.
Одна политика может быть применена к нескольким контейнерам Active Directory, хотя нет необходимости явно применять политику к детям контейнера, к которому уже применена политика, потому что политика будет уже применена к принципалу безопасности.
6.4. Безопасность общих папок
Общие папки (shares) — это каталоги или тома на рабочей станции или сервере, к которым имеют доступ другие компьютеры в сети. Доступ к общим папкам может быть либо открытым, либо контролироваться разрешениями. Общие папки используют безопасность уровня общих папок (share-level security), которая управляет разрешениями общих папок, но не конкретных объектов внутри папки. Безопасность уровня файлов преобладает над безопасностью уровня общих папок, но может применяться только на томах NTFS.
Хотя при помощи общих папок можно установить приемлемую безопасность в маленькой сети, техника безопасности общих папок в действительности плохо масштабируется для обеспечения безопасности больших сетей и окружений.
Основная причина для установки сети — это совместное использование файлов. Любой каталог на любой рабочей станции или сервере в сети может быть определен как общий каталог. Хотя общие папки не обладают тем же уровнем безопасности, как каталоги NTFS на выделенном сервере, Windows 2000 предоставляет простой набор возможностей безопасности для общих каталогов.
Доступ к общим папкам. На сервере может быть сконфигурировано несколько общих папок — тома целиком, каталоги на более глубоких уровнях, — все они видятся пользователям как единый список под именем сервера. Пользователи могут получить доступ к папке с именем сервера через значок My Network Places (Мое сетевое окружение) и затем открыть ее, чтобы отобразить список общих папок.
Общие папки по умолчанию. В Shared Folder Manager (диспетчер общих папок), несколько общих папок с именами, заканчивающимися знаком доллара: С$, ADMIN$ и т. п. Это административные общие папки (administrative shares) — общие папки, автоматически конфигурируемые Windows 2000 и доступные только для администраторов и самой операционной системы. Эти общие папки используются для удаленного администрирования и взаимодействия между системами.
Административные общие папки представляют определенный риск с точки зрения безопасности. Хакер, получивший доступ к учетной записи Administrator на одной рабочей станции в рабочей группе, сможет получить доступ к системным дискам других рабочих станций, легко получая доступ уровня администратора ко всей рабочей группе.
Можно повысить безопасность, отключив автоматические административные общие папки, созданные для корневых каталогов дисков жесткого диска (С$, 0$ и т. д.).
Безопасность уровня общих папок аналогична безопасности файловой системы, но далеко не так разнообразна (или безопасна), потому что записи управления доступом общих папок могут применяться только к общей папке как к единому целому. Безопасность нельзя настроить внутри общей папки.
У безопасности уровня общих папок есть одно существенное преимущество: она работает с любым общим каталогом, находится ли он на томе NTFS или FAT. Безопасность уровня общих папок — единственный способ обеспечить безопасность каталогов FAT. Однако установленные разрешения для общей папки влияют только на удаленных пользователей. Пользователи, локально вошедшие в систему компьютера, имеют доступ ко всем папкам на томе FAT, независимо от того, общие они или нет. Безопасность уровня общих папок также не применима к пользователям, вошедшим в систему локально, или клиентам Terminal Services (службы терминала).
Разрешения общих папок. Для общих папок возможны следующие разрешения, каждое из которых может быть разрешено или запрещено:
• Read (Чтение) — позволяет пользователям просматривать содержимое каталога, открывать и читать файлы и запускать программы;
• Change (Изменение) — разрешает все, что и разрешение Read (Чтение). Плюс к этому пользователи могут создавать, удалять и изменять файлы;
• Full Control (Полный доступ) — разрешает все, что и разрешения Read (Чтение) и Change (Изменение). Плюс к этому пользователи могут изменять разрешения и менять владельца файлов.
6.5. Шифрование сетевого уровня
Виртуальные частные сети (virtual private network, VPN) это высокозатратный способ расширить локальную сеть через Интернет до удаленных сетей и удаленных клиентских компьютеров. Сети VPN используют Интернет для передачи трафика локальной сети из одной частной сети в другую, инкапсулируя трафик локальной сети в IP-пакеты. Зашифрованные пакеты не могут быть прочитаны промежуточными компьютерами Интернета и могут содержать любой вид взаимодействий локальной сети, включая доступ к файлам и принтерам, электронную почту локальной сети, вызовы удаленных процедур и клиент-серверный доступ к базам данных.
Виртуальные частные сети между локальными сетями можно устанавливать при помощи компьютеров-серверов, брандмауэров или маршрутизаторов. Доступ клиентов к VPN может осуществляться при помощи программного обеспечения VPN на клиентских компьютерах или путем удаленного телефонного подключения к поставщикам услуг Интернета (ISP), поддерживающим протокол VPN. При втором методе, однако, ISP становится вашим партнером в безопасности сети.
Одни только системы VPN не обеспечивают достаточной защиты сети также потребуется брандмауэр и другие службы безопасности Интернета для обеспечения безопасности сети. Проблемы с безопасностью в особенности свойственны протоколу РРТР
Использование Интернета для связи локальных сетей и предоставления удаленным компьютерам доступа к локальной сети влечет за собой проблемы безопасности, производительности, надежности и управляемости. Клиенты и серверы локальной сети должны быть защищены от Интернета при помощи трансляции сетевых адресов, осуществляемой брандмауэром, и/или прокси-серверами так, чтобы (в идеале) злоумышленники в сети не могли даже узнать об их существовании, что сильно снижает их подверженность индивидуальным атакам. Для того чтобы затруднить хакерам возможность захвата закрытой информации фирмы, большинство брандмауэров конфигурируются так, чтобы не пропускать типичные служебные протоколы локальной сети, такие как SMB, NetBIOS, NetWare Core Protocol или NFS.
SMB работает особенно хорошо в чистом виде через Интернет. Имея высокоскоростной канал, можно просто использовать совместное использование файлов через Интернет без брандмауэров или сконфигурировать ваш брандмауэр для передачи трафика 8MB и Kerberos или NetBIOS и разрешить удаленный доступ к службам файлов и печати. Это позволит хакерам предпринять попытку получить доступ к вашим данным, просто предоставив допустимое имя учетной записи и пароль или проведя атаку на протокол и воспользовавшись его ошибкой.
6.5.1. Технологии VPN
Виртуальные частные сети (VPN) решают проблему прямого доступа к серверам через Интернет при помощи объединения следующих фундаментальных компонентов безопасности:
• IP-инкапсуляция;
• защищенная аутентификация;
• шифрование вложенных данных.
Протокол Secure Socket Layer осуществляет шифрование вложенных данных без защищенной аутентификации удаленного пользователя, a Kerberos осуществляет защищенную аутентификацию без шифрования вложенных данных.
IP-инкапсуляция. В идеале, компьютеры в каждой локальной сети не должны ничего подозревать о том, что во взаимодействии с компьютерами из других локальных сетей есть что-то особенное. Компьютеры, не входящие в вашу виртуальную сеть, не должны иметь возможность подслушивать трафик между локальными сетями или вставлять в коммуникационный поток свои собственные данные.
IP-пакет может содержать любой вид информации: файлы программ, данные электронных таблиц, звуковые данные или даже другие IP-пакеты. Когда IP-пакет содержит другой IP-пакет, это называется IP-инкапсуляцией (IP encapsulation), IP поверх IP (IP on IP) или IP/IP. Можно инкапсулировать один IP-пакет в другой несколькими способами; Microsoft делает это двумя различными, но связанными способами, определенными в протоколах Point-to-Point Tunneling Protocol (РРТР) и Layer 2 Tunneling Protocol (L2TP). Microsoft также поддерживает IPSec, которому не обязательно использовать инкапсуляцию.
IP-инкапсуляция может заставить две удаленные друг от друга сети выглядеть для компьютеров сети соседними, отделенными друг от друга только одним маршрутизатором, хотя на самом деле они будут разделены многими шлюзами и маршрутизаторами Интернета, которые могут даже не использовать одного адресного пространства, потому что обе внутренние сети применяют трансляцию адресов.
Конечная точка туннеля, будь это маршрутизатор, устройство VPN, или сервер, на котором работает протокол туннелирования, извлечет внутренний пакет, расшифрует его и затем отправит вложенный пакет по его пути назначения во внутренней сети в соответствии со своими правилами маршрутизации.
Передача данных в соединенных по протоколу РРТР локальных сетях начинается и заканчивается точно так же, как это происходит в локальных сетях, соединенных через маршрутизатор. IP-пакетам, однако, приходится проходить более дальний путь, поэтому в середине проделывается большая работа. С точки зрения двух клиентских компьютеров в сети не имеет значения, каким образом пакет был получен одной IP-подсетью от другой. Для вовлеченных в соединение сетевых клиентских компьютеров маршрутизатор означает то же самое, что и два RRAS-сервера и РРТР-соединение.
Защищенная аутентификация. Защищенная аутентификация (cryptographic authentication) используется для безопасного подтверждения личности удаленного пользователя, для того чтобы система смогла определить соответствующий этому пользователю уровень безопасности. Сети VPN применяют защищенную аутентификацию для того, чтобы определить, может ли пользователь участвовать в зашифрованном туннеле или нет, а также могут применять ее для обмена секретными или открытыми ключами, используемыми для шифрования вложенных данных.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
