Практически каждый сервер, который есть в вашей среде, выполняет определенные службы. Эти службы обеспечивают доступ к данным, ресурсам, репликации, приложениям и другим областям функциональности сервера и сети. Если эти службы не защищены, они становятся отличными кандидатами для атак. Когда служба подвергается атаке, на кону стоит доступ к серверу и сети. Возможность саботажа службы также присутствует, что может привести к потерям времени и денег в силу некорректной работы сервера, отвечающего за службы. В Windows Server 2008 компания Microsoft добавила некоторые отличные новые виды контроля над службами. Когда вы сочетаете все виды контроля, предоставленные компанией Microsoft для служб в объектах групповой политике, вы можете быть уверены в том, что ваши службы защищены.
Области защиты служб
Службы по своей сути опасны для ваших серверов и сети в силу того, что они представляют «дыры» в сервере для пользователей, приложений и прочих ресурсов доступа к серверу. Когда дыра слишком большая или служба не защищена, атакующему пользователю может быть обеспечен доступ с привилегиями слишком высокого уровня. Поэтому очень важно обеспечивать защиту служб с тем, чтобы доступ был обеспечен только к той области, для которой предназначена служба.
При оценке того, что нужно защищать, вам необходимо смотреть за пределы основных дыр, которые появляются, и думать о потенциальных атаках, которые могут быть предприняты против служб и связанных с ними параметров. Далее приведен список потенциальных областей, связанных со службами, которые необходимо защищать:
- Список контроля доступа для службы
- Режим запуска службы
- Учетная запись службы
- Пароль служебной учетной записи службы
Всеми этими связанными с безопасностью областями теперь можно управлять с помощью групповой политики в Windows Server 2008/Vista.
Доступ к объектам групповой политики (GPO)Чтобы вы смогли полностью воспользоваться всеми преимуществами параметров, обсуждаемых в этой статье, вам нужно запустить следующие элементы в своей сети:
- Контроллер домена Windows Server 2008
- Windows Vista SP1, с установленным инструментом Remote Server Administrative Tools, работающим в домене Windows Active Directory
Как только у вам запущен один из этих компьютеров, вы можете использовать консоль управления групповой политикой для управления и редактирования объектов групповой политики на этом компьютере. Вы не сможете просматривать новые параметры с другого компьютера, на котором не запущены вышеперечисленные компоненты.
Список контроля доступа службы
Чтобы вы могли контролировать список контроля доступа службы, вам нужно использовать вкладку «Службы» в объектах групповой политики, которую можно найти в: Конфигурация компьютера \Политики \Параметры Windows\Параметры безопасности \Системные службы, как показано на рисунке 1.
Рисунок 1: Политика системных служб для управления списком контроля доступа службы
Чтобы использовать эту политику, вам нужно найти службу, которую вы хотите контролировать, в списке в правой части панели, и затем выбрать ее. Когда вы нажимаете правой клавишей на имени службы, вы можете редактировать свойства этой службы. При редактировании свойств службы у вас открывается диалоговое окно «Свойства», как показано на рисунке 2.
Рисунок 2: Диалоговое окно свойств системной службы
Чтобы изменить список контроля доступа службы, поставьте флажок в строке «Определить параметры этой политики», а затем нажмите кнопку «Изменить безопасность». После нажатия этой кнопки вы увидите диалоговое окно, как показано на рисунке 3.
Рисунок 3: Диалоговое окно безопасности для управления списком доступа службы
Обратите внимание, что у вас есть некоторые стандартные разрешения, которые вы можете задавать для этой службы:
Полный контроль,Чтение,Запуск, остановка и пауза,Запись,Удаление
Вы также можете создавать пользовательский список разрешений, нажав на кнопку «Дополнительно», которая предоставляет вам 14 подробных разрешений безопасности, которые можно задавать для каждой службы.
Режим запуска службы
Режим запуска службы является критически важным для служб, которые вы не можете или не хотите деинсталлировать, но хотите, чтобы они не запускались автоматически при загрузке системы. Существует три уровня запуска для служб, лишь один из которых действительно защищает компьютер.
Автоматический, Ручной, Отключено
Автоматический и ручной режим может запускать службу в любое время в зависимости от того, как построена служба. Эти два режима позволяют запускать службу при необходимости.
Однако когда стоит значение «Отключено», служба не будет запускаться, пока для нее не будет задан параметр «Автоматически» или «Вручную». Таким образом, вы защищаете сервер от запуска службы, пока она не начинает работать по требованию администратора. Использование режима запуска совместно со списком контроля доступа может стать очень мощным оружием, поскольку разрешения могут ограничивать то, какие пользователи могут запускать или изменять службу.
Вы будете контролировать режим запуска в той же политике, в которой вы контролируете список контроля доступа. На рисунке 2 показаны вышеперечисленные режимы запуска службы.
Служебная учетная запись службы
Для работы многих служб требуется использование служебных учетных записей. Причиной тому является предоставление службе доступа не только к тому компьютеру, на котором она запущена, но и к другим компьютерам в сети. В данных ситуациях учетные записи сетевых служб или локальной системы работать не будут.
В прошлом настройку служебных учетных записей приходилось выполнять на компьютере, на котором была запущена эта служба. Теперь, благодаря привилегиям групповой политики, вы можете контролировать то, какие служебные учетные записи используются в Active Directory с помощью групповой политики.
Параметры, которые вам нужно настроить, расположены в Конфигурации компьютера \Привилегии \Параметры панели управления \Службы, как показано на рисунке 4.
Рисунок 4: Имя служебной учетной записи можно настроить с помощью привилегий групповой политики
Чтобы настроить политику на управление вашей службой, вам нужно нажать правой клавишей на вкладке «Службы» и выбрать «Новая» ‘ «Служба». Здесь вы можете выбирать службу, которую хотите настроить в диалоговом окне «Службы», как показано на рисунке 5.
Рисунок 5: Диалоговое окно привилегий групповой политики службы
Нажатие на стрелочку позволит вам просмотреть службы через список служб и выбрать ту службу, которую вы хотите контролировать. После выбора службы, вы выбираете кнопку «Эта учетная запись» и ищите служебную учетную запись, которую хотите использовать в Active Directory. Когда все готово, у вас будет полноценная конфигурация служебной учетной записи для службы на каждом компьютере, который управляется объектом групповой политики, содержащим эти параметры политики.
Пароль служебной учетной записи службы
В предыдущем шаге мы настроили только служебную учетную запись, но из рисунка 5 отчетливо видно, что мы также можем настроить пароль для этой служебной учетной записи. Это очень мощная настройка, поскольку раньше вы могли это сделать только на том компьютере, на котором запущена служба, или с помощью инструментов удаленного администрирования для подключения к этому серверу.
Используя привилегии групповой политики для этой службы, вы можете убедиться в том, что служебная учетная запись, настроенная для вашей службы, имеет правильный пароль, который вы задали в базе данных Active Directory для этой учетной записи. Это также означает, что как только вы восстановите пароль для служебной учетной записи в AD, вам нужно будет лишь обновить эту политику и пароль для учетной записи, чтобы она синхронизировала пароли, как показано на рисунке 6.
Рисунок 6: Пароли служебных учетных записей можно синхронизировать с AD с помощью GPO
Это добавляет небывалый уровень защиты для служебной учетной записи в силу того, что многие служебные учетные записи имеют права повышенного уровня, и поэтому должны быть защищены должным образом.
Резюме
Используя новые функции контролирования, добавленные в Windows Server 2008 и Windows Vista, службы вашей сети теперь могут быть защищены. Безопасность служб является крайне важной, поскольку службы обеспечивают доступ к ключевым данным, хранящимся на этих серверах. Безопасности можно достичь, управляя разрешениями, режимами запуска, служебными учетными записями и паролями этих учетных записей. Используя параметры групповой политики, имеющиеся в вашем домене Windows Active Directory, вы можете защитить все эти области для любой службы, запущенной в вашем домене.
Автор: Дерек Мелбер