Политики безопасности. Реализация политик безопасности. Изменение параметров безопасности

Политики безопасности используются для обеспечения безопасности корпоративной сети. Эти политики безопасности определяют требования организации к использованию компьютеров, а также процедуры предотвращения нарушений безопасности и меры, принимаемые в случае таких нарушений. Таким образом, важно, чтобы администраторы сети обеспечивали безопасность настольных компьютеров и приложений на рабочих станциях. Применение политик безопасности позволяет предотвратить повреждение пользователями конфигурации компьютера, а также защитить уязвимые области сети. Наиболее эффективным способом реализации политик безопасности является использование шаблонов безопасности. Шаблон безопасности представляет собой текстовый файл, содержащий параметры безопасности, который можно использовать для согласованной настройки компьютеров. Операционная система Windows 2000 также предлагает средства настройки безопасности, которые помогают анализировать и настраивать параметры безопасности для компьютеров и пользователей.

 

Реализация политик безопасности:

Реализовывать политики безопасности можно двумя способами: используя локальные политики безопасности для одного компьютера или групповую политику домена для нескольких компьютеров. Используемый метод зависит от размера организации и требований защиты. В небольших организациях или в организациях, где не используется служба каталогов Active Directory., можно вручную настроить параметры безопасность для каждого компьютера. В крупных организациях или в организациях, предъявляющих высокие требования к уровню защиты, имеет смысл использовать групповую политику для реализации системы безопасности.

1) Реализация системы безопасности на локальном компьютере

Безопасность локального компьютера, не являющегося частью домена, обеспечивается посредством настройки локальной политики безопасности. Настроить локальную политику безопасности можно из меню Administrative Tools (Администрирование). Для настройки локальных политик безопасности на компьютерах, работающих под управлением операционной системы Windows 2000, необходимо выполнить следующие действия:

а) В меню Administrative Tools (Администрирование) выберите команду Local Security Policy (Локальная политика безопасности).

б) Разверните элемент дерева консоли, чтобы открыть подобласть параметров безопасности, например, выберите Account Policy (Политика учетных записей), а затем Password Policy (Политика паролей), чтобы отобразить доступные настройки политики для паролей.

в) Выберите элемент подобласти, чтобы отобразить доступные политики в области сведений.

г) Для настройки политики дважды щелкните ее в области сведений. Каждая политика имеет собственные параметры конфигурации. Укажите необходимые параметры конфигурации.

д) Нажмите кнопку OK для сохранения новых настроек.

2) Реализация системы безопасности на нескольких компьютерах

Администраторы сетей, в которых используется служба каталогов Active Directory, могут значительно сэкономить время, осуществляя развертывание политики безопасности с помощью групповой политики. Параметры безопасности для любого сайта, домена или подразделения можно редактировать с помощью объекта групповой политики. Чтобы найти настройки политики безопасности при редактировании объекта групповой политики, разверните элемент Computer Configuration (Конфигурация компьютера) или User Configuration (Конфигурация пользователя), а затем элемент Windows Settings (Конфигурация Windows).

 

Изменение параметров безопасности:

В следующем списке перечислены параметры безопасности компьютеров, настраиваемые либо с помощью средства Local Security Policy (Локальная политика безопасности), либо с помощью расширения Security Settings (Параметры безопасности) оснастки Group Policy (Групповая политика).

  • Account policies (Политики учетных записей). Настройка политик паролей, политик блокировки учетных записей и политик протокола Kerberos версии 5 для домена. Kerberos V5 является основным протоколом безопасности для проверки подлинности в домене.
  • Local policies (Локальные политики). Как следует из названия, параметры локальных политик являются локальными для компьютера. К локальным политикам относятся политики аудита, политики назначения прав и разрешений пользователям, а также дополнительные параметры безопасности, которые можно настраивать локально.
  • Public key policies (Политики открытого ключа). Настройка агентов восстановления шифрованных данных и выбор доверенных центров сертификации. Сертификаты представляют собой программные службы, обеспечивающие проверку подлинности, в том числе при использовании безопасной электронной почты, Веба и смарт-карт. Политики открытого ключа являются единственными параметрами для элемента User Configuration (Конфигурация пользователя).
  • IP security policies (Политики безопасности IP). Настройка IP-безопасности (Internet Protocol Security- IPSec). IPSec . это отраслевой стандарт для кодирования данных, передаваемых по протоколу TCP/IP (Transmission Control Protocol/Internet Protocol), и обеспечения безопасной связи в интрасетях и виртуальных частных сетях (VPN) на основе Интернета.

Следующие политики безопасности можно настраивать только с помощью расширения Security Settings (Параметры безопасности) оснастки Group Policy (Групповая политика):

  • Event log (Журнал событий). Настройка размера журналов приложений, журналов системы и журналов безопасности, а также времени хранения информации в этих журналах и параметров доступа к ним.
  • Restricted groups (Группы с ограниченным доступом). Управление членством во встроенных группах, имеющих определенные, заранее заданные возможности, например, в группах Administrators (Администраторы) или Power Users (Опытные пользователи), в дополнение к доменным группам, таким как Domain Admins (Администраторы домена). К группам с ограниченным доступом можно добавлять другие группы, а также информацию о членстве в них. Это позволяет управлять членами таких групп и осуществлять доступ к информации о них в рамках существующей политики безопасности.

Вы можете не только управлять членами групп с ограниченным доступом, но также определять принадлежность каждой из них к другим группам и контролировать это членство в столбце Members Of (Членство в группах). В этом столбце перечислены другие группы, к которым должна принадлежать группа с ограниченным доступом.

  • System services (Системныe службы). Настройка параметров безопасности и запуска служб, работающих на компьютере. В том числе можно задавать параметры служб, имеющих критическое значение, таких как сетевые службы, службы файлов и печати, телефонии и факсов, Интернета и интрасетей. К общим для всех служб установкам относится режим запуска . automatic (автоматический), manual (вручную) или disabled (запрещен), . а также параметры безопасности.
  • Registry (Реестр). Настройка параметров безопасности для ключей реестра. Реестр представляет собой центральную иерархическую базу данных операционной системы Windows 2000, в которой хранится информация, необходимая для настройки системы для пользователей, приложений и устройств.
  • File system (Файловая система). Настройка параметров безопасности для отдельных папок и файлов.

Отказоустойчивость. Варианты реализации технологии RAID.

Отказоустойчивость - это способность компьютера или операционной системы реагировать на аварийное событие (например, сбой питания или отказ оборудования) без потери данных и без ущерба для текущей работы. Полная отказоустойчивость предполагает использование резервных контроллеров дисков и источников питания наряду с отказоустойчивыми дисковыми подсистемами. Кроме того, в состав отказоустойчивой системы часто входит источник бесперебойного питания (Uninterruptible power supply, UPS), который предохраняет систему от локальных сбоев питания.

Варианты реализации технологии RAID:

В системе Windows 2000 возможны два варианта реализации отказоустойчивости: программная реализация технологии RAID или аппаратное решение RAID. Система Windows 2000 поддерживает три вида программной реализации технологии RAID.