Защита контроллеров домена Windows Server 2003

На этой странице

	Введение
	Перед тем как начать
	Защита контроллеров домена
	Включение дополнительных служб на контроллерах домена
	Защита службы DNS-сервера
	Обеспечение безопасности контроллеров домена
	Другие сведения по этой теме

Введение

Потеря данных и прибыли в результате атак злоумышленников на компьютерные системы может иметь разрушительные последствия для любой организации. Для защиты компьютерных систем компании от постоянной угрозы проникновения злонамеренного кода, используемого в программах-червях и вирусах, а также во время атак злоумышленников необходимо выполнить развертывание мер безопасности, которые помогут снизить уязвимость ресурсов компании.

Контроллеры домена в сети — центральный элемент службы каталогов Active Directory. Они содержат сведения об учетных данных всех имеющихся пользователей, без которых последние не смогут войти в сеть и получить доступ к ресурсам, необходимым для выполнения повседневной работы.

Из-за характера данных, содержащихся в контроллерах домена, и их важной роли в любой среде они нередко становятся главной мишенью для возможных атак. Вот почему следует размещать контроллеры домена в наиболее безопасных местах, регулярно обновлять их, устанавливая последние обновления безопасности, а также отключать ненужные службы, чтобы свести к минимуму уязвимость для программ-червей, вирусов и нападений злоумышленников.

Данное руководство содержит пошаговые инструкции, которые помогут быстро развернуть меры безопасности для защиты конфигурации контроллеров домена от посторонних воздействий. Все включенные в документ пошаговые инструкции основаны на использовании стандартного меню «Пуск» в Microsoft Windows XP.

Для повышения безопасности среды следует применять групповую политику, которая является технологией управления изменениями и конфигурацией, включенной в службу Active Directory на используемых контроллерах домена. Это руководство содержит инструкции по выполнению следующих задач:

Примечание. Настройка групповой политики на контроллерах домена — это лишь первый шаг на пути к повышению безопасности контроллеров домена и всей среды.

Изучите и выполните задачи, описанные в документе «Защита клиентов Windows XP Professional в среде Windows Server», входящем в комплект руководств по безопасности. Задачи, описываемые в текущем руководстве, позволяют повысить безопасность контроллеров домена.

После выполнения указанных задач контроллеры домена будут иметь основной уровень безопасности, позволяющий защитить используемую среду от большого количества угроз. Выполнение этих задач гарантирует, что на контроллерах домена запущены только те службы, которые необходимы для текущей среды. Более того, настройка автоматических обновлений позволяет обновлять контроллеры доменов с помощью автоматической загрузки и установки последних обновлений безопасности по мере их выпуска корпорацией «Майкрософт».

Внимание! Все пошаговые инструкции, включенные в документ, основаны на использовании меню «Пуск», отображаемого по умолчанию при установке операционной системы. Если меню Пуск было изменено, этапы могут несколько отличаться.

К началу страницы

Перед тем как начать

Для выполнения задач, описанных в данном руководстве, необходимо войти в систему контроллеров домена с правами члена группы безопасности «Администраторы домена». Следует помнить, что при выполнении некоторых шагов требуется перезапустить контроллер домена, поэтому лучше всего производить эти действия в нерабочее время, чтобы свести к минимуму нежелательные последствия для пользователей.

В этом руководстве предполагается, что клиентская среда состоит из компьютеров под управлением пакета обновления 2 (SP2) для Microsoft Windows 2000 или более поздней версии и пакета обновления 1 (SP1) для Windows XP. Некоторые задачи и рекомендации, подробно рассмотренные в этом документе, не подходят для более ранних версий Windows.

Если на используемых компьютерах не установлены эти пакеты обновления или же не известно точно, установлены они или нет, перейдите на страницу Windows Update на веб-узле «Майкрософт» по адресу http://go.microsoft.com/fwlink/?LinkID=22630 и проверьте свои системы, чтобы узнать, какие обновления для них доступны. Если пакеты обновления отображаются среди доступных обновлений, нужно установить их, прежде чем выполнять описываемые в документе задачи. Дополнительные сведения об использовании Windows Update рассмотрены ниже.

К началу страницы

Защита контроллеров домена

Можно повысить безопасность контроллеров домена с помощью групповой политики. Выполнение перечисленных ниже задач позволит узнать, как настроить групповую политику для отключения на контроллерах домена ненужных или неиспользуемых служб, которые в противном случае могут стать причиной уязвимости системы. Для настройки групповой политики контроллеров домена выполните следующие задачи:

Развертывание базовой политики для контроллеров домена

Необходимо один раз выполнить перечисленные ниже действия. Безопасность всех контроллеров домена будет повышена одновременно после настройка базовой политики контроллеров домена.

Внимание! Для того чтобы базовая политика контроллеров домена вступила в силу, нужно перезапустить все контроллеры домена. Выполняйте все эти действия в нерабочее время, чтобы свести к минимуму неблагоприятные последствия для пользователей.

Требования

Проверка новых параметров

После настройки параметров безопасности групповой политики убедитесь, что параметры были успешно применены.

Требования

Убедитесь, что журнал событий приложения на каждом из контроллеров домена содержит код события 1704.

Затем убедитесь, что на контроллерах домена отключены ненужные службы.

К началу страницы

Включение дополнительных служб на контроллерах домена

Базовая политика контроллеров домена, которая была применена в предыдущем разделе, отключает несколько служб, которые не используются для обеспечения основных функциональных возможностей контроллера домена. Такое изменение конфигурации позволяет повысить безопасность контроллеров домена, однако оно мешает правильной работе отдельных служб, которую контроллеры домена обычно обеспечивают в организациях малого и среднего бизнеса.

Описанные далее шаги показывают, как можно изменить групповую политику для повторного включения дополнительных служб. Изучите перечисленные ниже задачи и выполните их на контроллерах домена, только если для работы сети требуются дополнительные функции, обеспечиваемые этими службами:

Включение служб DHCP

Если один из контроллеров домена настроен как DHCP-сервер, нужно изменить параметры групповой политики контроллера домена для обеспечения работы служб DHCP в имеющейся среде. В этом разделе содержатся инструкции по настройке групповой политики для повторного включения служб DHCP.

Настройка групповой политики для включения служб DHCP

Для повторного включения службы DHCP-сервера нужно изменить параметр Domain Controllers Baseline Policy (Базовая политика контроллеров домена) на контроллерах домена. Выполнение этих действий позволяет включить службу DHCP-сервера на всех контроллерах домена, которые обеспечивают службы DHCP.

Требования

Проверка новых параметров

После изменения параметров групповой политики для включения службы DHCP убедитесь, что служба работает.

Внимание! Также убедитесь, что клиентские компьютеры получают IP-адреса DHCP-сервера с контроллера домена.

Включение служб WINS

Если контроллер домена настроен как WINS-сервер, нужно изменить параметры групповой политики контроллера домена для обеспечения работы служб WINS в имеющейся среде. В этом разделе содержатся инструкции по настройке групповой политики для повторного включения служб WINS.

Настройка групповой политики для включения служб WINS

Для повторного включения службы WINS на контроллерах домена нужно изменить объект групповой политики Domain Controllers Baseline Policy (Базовая политика контроллеров домена). Выполните следующие действия для включения службы WINS на всех контролерах домена.

Требования

Проверка новых параметров

После изменения параметров групповой политики для включения службы WINS убедитесь, что служба работает.

Включение файловых служб и служб печати

Доступ к общим файлам на контроллерах домена не затрагивается базовой политикой контроллеров домена, развернутой после выполнения инструкций предыдущих разделов. Для безопасного доступа к файловым службам не требуются никакие изменения контроллеров домена.

Однако если один из контроллеров домена настроен как сервер печати, нужно настроить параметры групповой политики для включения службы диспетчера очереди печати, чтобы контроллеры домена могли обеспечить работу служб печати в имеющейся среде.

Настройка групповой политики для включения служб печати

Для включения службы диспетчера очереди печати на контроллерах домена нужно изменить объект групповой политики Domain Controllers Baseline Policy (Базовая политика контроллеров домена). Выполните следующие действия для включения службы диспетчера очереди печати на всех контролерах домена.

Требования

Проверка новых параметров

После изменения параметров групповой политики для включения службы диспетчера очереди печати убедитесь, что служба работает.

Внимание! Также убедитесь, что клиентские компьютеры могут выполнять печать на общих принтерах на контроллерах домена.

Включение служб IAS

Если один из контроллеров домена настроен как IAS-сервер, нужно изменить параметры групповой политики контроллера домена для обеспечения работы служб IAS в имеющейся среде. В этом разделе последовательно описываются инструкции по настройке групповой политики для повторного включения служб IAS.

Настройка групповой политики для включения служб IAS

Для повторного включения служб IAS на контроллерах домена нужно изменить параметр Domain Controllers Baseline Policy (Базовая политика контроллеров домена). Выполнение этих действий позволяет включить службы сертификатов на всех контроллерах домена, которые обеспечивают работу служб IAS.

Требования

Проверка новых параметров

После изменения параметров групповой политики для включения служб IAS убедитесь, что службы работают.

Включение служб сертификатов

Если один из контроллеров домена настроен как центр сертификации, нужно изменить параметры групповой политики контроллера домена для обеспечения работы служб сертификатов в имеющейся среде. В этом разделе последовательно описываются инструкции по настройке групповой политики для повторного включения служб сертификатов.

Настройка групповой политики для включения служб сертификатов

Для повторного включения служб сертификатов на контроллерах домена нужно изменить параметр Domain Controllers Baseline Policy (Базовая политика контроллеров домена). Выполнение этих действий позволяет включить службы сертификатов на всех контроллерах домена, которые обеспечивают работу этих служб.

Требования

Проверка новых параметров

После изменения параметров групповой политики для включения служб сертификатов убедитесь, что служба работает.

Включение и защита службы «Планировщик задач»

Если один из контроллеров домена использует назначенные задачи для автоматического запуска сценариев или программ, нужно изменить параметры групповой политики контроллера домена для обеспечения работы службы «Планировщик задач».

Чтобы повысить безопасность контроллеров домена, после повторного включения службы планировщика задач ограничьте любые задачи, которые назначены с помощью AT-команд при использовании локальной системной учетной записи. При сохранении конфигурации учетной записи по умолчанию контроллеры домена открыты для атак злонамеренных пользователей.

Этот раздел содержит поэтапные инструкции для выполнения следующих действий:

Настройка групповой политики для включения службы планировщика заданий

Для включения службы планировщика заданий на контроллерах домена нужно изменить объект групповой политики Domain Controllers Baseline Policy (Базовая политика контроллеров домена). Выполните следующие действия для включения службы планировщика заданий на всех контролерах домена.

Требования

Проверка новых параметров

После изменения параметров групповой политики для включения службы планировщика заданий убедитесь, что служба работает.

Защита службы планировщика заданий с помощью изменения учетной записи AT-службы

Для назначения задач в планировщике заданий можно также использовать AT-команды. По умолчанию задачи, назначенные с помощью AT-команд, выполняются с локальной системной учетной записью, вне зависимости от того, какой пользователь вошел в систему компьютера. Очень часто эти задачи выполняются в фоновом режиме и остаются незамеченными для администраторов.

Локальная системная учетная запись — это специальная предустановленная учетная запись, которая используется для запуска и выполнения многих служб на контроллерах домена. Эта учетная запись обеспечивает полный доступ ко всем контроллерам домена, а также к сетевым ресурсам. Следовательно, при многих видах атак на систему безопасности делается попытка воспользоваться службами, которые выполняются с помощью локальной системной учетной записи.

Для повышения безопасности контроллеров домена можно ограничить возможности злонамеренных пользователей по запуску программ, использующих локальную системную учетную запись. Рекомендуется изменить конфигурацию планировщика заданий таким образом, чтобы любые задачи, назначенные с помощью AT-команд, не выполнялись с использованием локальной системной учетной записи.

После выполнения следующих действий любые задачи, назначенные с помощь AT-команд, смогут выполняться только при использовании явно указанной учетной записи.

Требования

К началу страницы

Защита службы DNS-сервера

Для правильной работы Active Directory необходимо наличие DNS-сервера. В интернете и других сетях TCP/IP именование DNS используется для поиска компьютеров и служб с помощью удобных для пользователя имен. Когда пользователь вводит имя DNS в приложении, DNS-службы разрешают имя в IP-адрес.

Для поддержки Active Directory можно использовать DNS-службу, которая предоставлена поставщиком услуг, или разместить собственную систему DNS в Windows Server 2003. При размещении собственной службы DNS-сервера можно повысить его безопасность с помощью параметров, описанных в этом разделе:

Внимание! Параметры службы DNS-сервера по умолчанию предназначены для обеспечения безопасности. Например, перемещения зон разрешаются только для указанных вторичных DNS-серверов. Прежде чем изменять любые параметры по умолчанию службы DNS-сервера, убедитесь, что полностью представляете последствия для используемой среды.

Ограничение IP-адресов, на которых слушает служба DNS-сервера

Многосетевой компьютер — это компьютер, имеющий несколько сетевых адаптеров или настроенный с несколькими IP-адресами для одного сетевого адаптера. По умолчанию служба DNS-сервера выполняется на многосетевом компьютере, настроенном для слушания запросов DNS с использованием всех его IP-адресов.

С помощью ограничения IP-адресов, на которых слушает служба DNS-сервера, можно сократить угрозу атаки на DNS-сервер. Следует настраивать DNS-серверы только для слушания запросов DNS на IP-адресах, указанных как предпочтительные DNS-серверы в конфигурации компьютеров текущей среды. Используйте следующую процедуру для ограничения IP-адресов, на которых выполняет прослушивание служба DNS-сервера.

Требования

Отключение рекурсии для отдельных DNS-серверов

Клиент отправляет запрос на DNS-сервер, когда требуется узнать IP-адрес конкретного компьютера. Рекурсивный запрос — это запрос, который сделан на DNS-сервер с требованием принять ответственность за предоставление полного ответа на запрос, а не просто обратиться на другой DNS-сервер. Затем DNS-сервер выполняет отдельные итеративные запросы на другие DNS-серверы от лица автора запроса, чтобы получить полный ответ на запрос. Рекурсия включена по умолчанию для службы DNS-сервера.

Несмотря на то, что рекурсия позволяет DNS-серверу выполнять циклические запросы для DNS-клиентов и серверов, от которых они получены, она может быть также использована злоумышленниками для перегрузки имеющихся ресурсов DNS-сервера, что приводит к отказу в обслуживании законных пользователей. Если имеющийся DNS-сервер обеспечивает разрешение служб для сетевых клиентов, а не для других DNS-серверов, рекурсию следует включить. Однако если DNS-сервер не обеспечивает услуги разрешения для сетевых клиентов, используйте описанную ниже процедуру для отключения рекурсии.

Внимание! Если нет уверенности в том, оказывает DNS-сервер услуги разрешения сетевым клиентам или нет, лучше не менять используемый по умолчанию параметр.

Требования

Настройка корневых ссылок для предотвращения незащищенности данных

Внутренний корень DNS используется для обеспечения частного пространства имен DNS для данной организации, которое не находится под действием общедоступного интернета. Корневые ссылки помогают DNS-серверу находить сведения о домене DNS верхнего уровня (например, .net, .org или .com).

Если в используемой инфраструктуре DNS имеется внутренний корень DNS, нужно настроить корневые ссылки на внешние DNS-серверы, чтобы указать на те из них, на которых размещен корневой домен, а не на те, на которых размещен корневой домен интернета. Это позволяет предотвратить отправку DNS-серверами личных данных через интернет при разрешении имен.

Требования

Проверка новых параметров

Чтобы убедиться в применении нужных параметров для DNS-сервера, используйте следующую процедуру.

Требования

К началу страницы

Обеспечение безопасности контроллеров домена

Поскольку контроллеры домена содержат важные данные, которые должны быть защищены, необходимо изучить имеющиеся функции безопасности контроллеров домена и применить те из них, которые подходят для используемой среды. Затем убедитесь в обеспечении защиты с помощью установки последних обновлений безопасности «Майкрософт».

В этом разделе рассматривается процедура настройки, которая поможет лучше защитить контроллеры домена:

Установка последних обновлений безопасности «Майкрософт»

Для обеспечения работы контроллеров домена необходимо регулярно загружать и устанавливать последние обновления безопасности «Майкрософт». Эти обновления помогают разрешать известные проблемы и устранять известные уязвимые места компьютера.

Выполнение перечисленных ниже действий позволит автоматически и вручную обновлять контроллеры домена с помощью установки имеющихся обновлений безопасности. Необходимо выполнить следующие задачи:

Внимание! Необходимо устанавливать последние обновления безопасности на все компьютеры в сети. Настройка автоматических обновлений и программы Windows Update для обновления котроллеров домена распространяется только на контроллеры домена, но не затрагивает остальные серверы и клиенты сети. Убедитесь, что автоматические обновления и программа Windows Update настроены для использования на всех компьютерах текущей сети, работающих под управлением Windows Server 2003, Windows 2000 и Windows XP.

Настройка автоматических обновлений

Можно настроить контроллеры домена Windows Server 2003 для автоматического обновления и установки последних исправлений безопасности «Майкрософт», когда компьютер подключен к интернету.

Требования

Использование Windows Update

Программа Windows Update представляет собой сетевое расширение системы Windows, которое следит за обновлением компьютеров, подключенных к интернету. Можно запустить программу Windows Update, чтобы проверить, были ли установлены все последние обновления безопасности с помощью автоматического обновления. Программа Windows Update может быть полезна, если корпорация «Майкрософт» присылает уведомления о новой проблеме безопасности и требуется немедленно проверить, были или нет обновлены имеющиеся компьютеры.

Требования

Внимание! Обновления безопасности часто требуют перезапуска контроллеров домена. При запуске Windows Update следует помнить о последствиях перезапуска контроллеров домена для пользователей.

Создание резервного файла, обеспечивающего восстановление после атак, затрагивающих дисковое пространство

Многие атаки на систему безопасности включают попытку использования системных ресурсов атакуемой системы. Один из наиболее часто затрагиваемых системных ресурсов — свободное дисковое пространство. Во время атак на дисковое пространство злоумышленники используют все пространство диска за счет добавления в каталог огромного количества объектов.

Можно ускорить восстановление после атаки, затрагивающей дисковое пространство, заранее создав резервный файл на диске, который содержит базу данных Active Directory (Ntds.dit). Резервный файл — это просто большой файл, который занимает (сохраняет) свободное дисковое пространство. Если злоумышленник переполняет свободное дисковое пространство, добавляя в каталог большое количество неразрешенных объектов, можно удалить резервный файл для освобождения свободного пространства и начала восстановления нормальной работы.

Внимание! Если атака, затрагивающая дисковое пространство, происходит на контроллере домена, помимо удаления резервного файла нужно также удалить неразрешенные объекты, которые заполняют дисковое пространство. Для получения дополнительных сведений об удалении неразрешенных объектов после атаки, затрагивающей дисковое пространство, см. Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations: Part II (Советы и рекомендации по защите служб каталогов Active Directory и повседневных операций: часть II) на веб-узле «Майкрософт» по адресу http://go.microsoft.com/fwlink/?LinkId=22040.

Описанная далее процедура позволяет сохранить дисковое пространство с помощью создания файла на том же диске, где расположена база данных Active Directory. Резервный файл должен быть больше 250 МБ или 1% от объема логического диска, на котором хранится база данных Active Directory. По умолчанию резервный файл размещается в папке systemroot\Ntds. Эту процедуру следует выполнить на каждом котроллере домена в сети.

Требования

Эта команда приводит к созданию резервного файла под названием Reservefile (размером 250 МБ) в каталоге, где хранится база данных Active Directory на контроллере домена. Если служба Active Directory перестает работать из-за нехватки свободного места на диске, можно удалить этот файл, чтобы создать свободное дисковое пространство.

Проверка новых параметров

С помощью следующей процедуры выполняется проверка создания резервного файла на имеющихся контроллерах домена.

Требования

Отключение автоматического создания 8.3 имен файлов

Многие вирусы и служебные программы, используемые злоумышленниками, являются 16-разрядными приложениями, которые ожидают, что имена файлов имеют формат, используемый при автоматическом создании 8.3 имен файлов. Защищенные контроллеры домена выполняют 16-разрядные приложения локально. Следовательно, нужно отключить автоматическое создание 8.3 имен, чтобы предотвратить угрозу безопасности контроллеров домена со стороны таких вирусов и служебных программ.

Для отключения автоматического создания 8.3 имен можно установить для записи реестра NtfsDisable8dot3NameCreation значение 1. Следует отключить автоматическое создание имен файлов формата 8.3 на всех контроллерах домена.

Предупреждение. Ошибка при изменении реестра может серьезно повредить систему. Прежде чем вносить изменения в реестр, следует выполнить архивацию важных данных, имеющихся на компьютере.

Требования

Защита контроллеров домена от перезапуска с помощью Syskey

На контроллерах домена данные пароля хранятся в Active Directory. Программы, взламывающие пароли, часто выбирают своей целью базу данных Security Accounts Manager (SAM) или Active Directory для доступа к паролям пользовательских учетных записей. Служебная программа System Key (Syskey) позволяет защитить контроллеры домена от ПО, взламывающего пароли. В Syskey используется технология сильного шифрования, которая помогает защитить данные о пароле учетной записи, сохраненные в базе данных SAM или в Active Directory.

Параметры Syskey

Программа Syskey включена на всех серверах Windows Server 2003 в режиме 1 (скрытый ключ). Использование Syskey в режиме 2 (пароль для консольного входа) и режиме 3 (пароль Syskey, хранящийся на дискете) рекомендуется только для контроллера домена, который подвержен физическим угрозам безопасности.

Для получения дополнительных сведений об использовании Syskey для защиты контроллеров домена от несанкционированных запусков см. Chapter 4 — Hardening Domain Controllers (Повышение защиты контроллеров домена) руководства по безопасности Windows Server 2003 на веб-узле корпорации «Майкрософт» по адресу http://go.microsoft.com/fwlink/?LinkId=22122.

Отключение анонимного доступа к Active Directory

По умолчанию Active Directory не предоставляет явных разрешений на доступ к объектам каталога для учетных данных «Анонимный вход», которые соответствуют анонимным подключениям. Однако при включении на контроллерах домена под управлением Windows Server 2003 совместимости с системами, предшествующими Windows 2000, в группу совместимого доступа с системами, предшествующими Windows 2000, добавляется член со специальными учетными данными «Анонимный вход». Поскольку данная группа имеет разрешения только для чтения в корне домена, а также в приложениях и службах пользователей, компьютеров и групповых объектов, использующих анонимный доступ, ее члены могут только считывать эти объекты.

В средах, где приложения не требуют установки анонимных подключений для доступа к данным Active Directory, рекомендуется отключить анонимный доступ.

Анонимный доступ можно отключить, если имеется один лес Active Directory с рядовыми серверами и контроллерами домена под управлением только Windows Server 2003 и Microsoft Windows 2000 Server и рабочими станциями под управлением Microsoft Windows 2000 Professional или Windows XP Professional.

Можно отключить анонимный доступ, выполнив следующие действия:

Для получения дополнительных сведений об отключении групп Everyone (Все) и Anonymous Logon (Анонимный вход) в группе доступа, совместимого с системами, предшествующими Windows 2000, см. Best Practice Guide for Securing Active Directory Installations (Советы и рекомендации по обеспечению безопасности установок Active Directory) (для Windows Server 2003) на веб-узле «Майкрософт» по адресу http://go.microsoft.com/fwlink/?linkid=22342.

К началу страницы

Другие сведения по этой теме

Дополнительные сведения о безопасности Windows Server 2003 см. в следующих документах:

Дополнительные сведения о защите DNS см. в следующих документах:

Дополнительные сведения о Windows Server 2003 см. в следующих документах:

К началу страницы