Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00447 009320 10484593 na godz. na dobę w sumie
Windows Server 2003. Bezpieczeństwo. Biblia - książka
Windows Server 2003. Bezpieczeństwo. Biblia - książka
Autor: Liczba stron: 528
Wydawca: Helion Język publikacji: polski
ISBN: 83-7361-246-7 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> systemy operacyjne >> windows server
Porównaj ceny (książka, ebook, audiobook).

W systemach obsługujących serwery, znaczenie bezpieczeństwa jest trudne do przecenienia. Dotyczy to w szczególny sposób nowych systemów operacyjnych, takich jak Windows 2003 Server, które z racji swojej krótkiej obecności na rynku, są potencjalnie bardziej narażone na skuteczne ataki hakerów. Pojawienie się nowego systemu oznacza jednocześnie początek wyścigu, między hakerami, którzy próbują go złamać, a administratorami, którzy starają się temu zapobiec.

Jeśli chcesz w tym wyścigu wygrać, sięgnij po książkę: 'Windows Server 2003. Bezpieczeństwo. Biblia'. Jest to opracowanie mające dostarczyć Ci wszystkich informacji niezbędnych do skutecznego zabezpieczanie sieci przed atakami zewnętrznymi i wewnętrznymi. Dowiesz się jak analizować środowisko sieciowe, planować i wdrażać odpowiednie rozwiązania, przygotowywać i prowadzić audyty zabezpieczeń, szyfrować dane oraz uwierzytelniać użytkowników.

Poznasz:
Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TREĎCI SPIS TREĎCI KATALOG KSI¥¯EK KATALOG KSI¥¯EK KATALOG ONLINE KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK TWÓJ KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAMÓW INFORMACJE ZAMÓW INFORMACJE O NOWOĎCIACH O NOWOĎCIACH ZAMÓW CENNIK ZAMÓW CENNIK CZYTELNIA CZYTELNIA Windows Server 2003. Bezpieczeñstwo. Biblia Autor: Blair Rampling T³umaczenie: Pawe³ Koronkiewicz ISBN: 83-7361-246-7 Tytu³ orygina³u: Windows Server 2003 Security Bible Format: B5, stron: 528 W systemach obs³uguj¹cych serwery, znaczenie bezpieczeñstwa jest trudne do przecenienia. Dotyczy to w szczególny sposób nowych systemów operacyjnych, takich jak Windows 2003 Server, które z racji swojej krótkiej obecnoġci na rynku, s¹ potencjalnie bardziej nara¿one na skuteczne ataki hakerów. Pojawienie siê nowego systemu oznacza jednoczeġnie pocz¹tek wyġcigu, miêdzy hakerami, którzy próbuj¹ go z³amaæ, a administratorami, którzy staraj¹ siê temu zapobiec. Jeġli chcesz w tym wyġcigu wygraæ, siêgnij po ksi¹¿kê: „Windows Server 2003. Bezpieczeñstwo. Biblia”. Jest to opracowanie maj¹ce dostarczyæ Ci wszystkich informacji niezbêdnych do skutecznego zabezpieczanie sieci przed atakami zewnêtrznymi i wewnêtrznymi. Dowiesz siê jak analizowaæ ġrodowisko sieciowe, planowaæ i wdra¿aæ odpowiednie rozwi¹zania, przygotowywaæ i prowadziæ audyty zabezpieczeñ, szyfrowaæ dane oraz uwierzytelniaæ u¿ytkowników. FRAGMENTY KSI¥¯EK ONLINE FRAGMENTY KSI¥¯EK ONLINE Poznasz: • Potencjalne zagro¿enia • Sposoby planowania i inspekcji systemu zabezpieczeñ • Zabezpieczanie systemu operacyjnego • Zabezpieczanie aplikacji • Szyfrowanie danych • Uwierzytelnianie w systemie Windows Server 2003 • Protokó³ Kerberos • Infrastrukturê klucza publicznego i wdra¿anie us³ug certyfikatów • Tworzenie wirtualnych sieci prywatnych L2TP i PPTP • Protokó³ IPSec • Microsoft Internet Security and Acceleration Server Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl 5RKUVTGħEK 9UVúR 44 úħè+2QFUVCY[ F  4QFKCđ CITQľGPKC4 Zagrożenia wewnętrzne a zagrożenia zewnętrzne................................................... ..............................18 Zagrożenia wewnętrzne................................................... ................................................... .............18 Zagrożenia zewnętrzne................................................... ................................................... ..............21 Środki bezpieczeństwa wewnętrznego i zewnętrznego................................................... ......................26 Środki bezpieczeństwa zewnętrznego................................................... ..........................................27 Środki bezpieczeństwa wewnętrznego................................................... .........................................27 Typy ataków ................................................... ................................................... ....................................28 Wandalizm w sieci WWW................................................... ................................................... ........29 Szpiegostwo i kradzież danych ................................................... ....................................................30 Ataki typu Denial of Service................................................... ........................................................32 Podsumowanie................................................... ................................................... .................................34 4QFKCđ CDGRKGEGPKCUKGEKKU[UVGOWōRTGINæF  Charakterystyka bezpiecznej sieci................................................... ......................................................36 Wielopoziomowa struktura zabezpieczeń................................................... ....................................37 Punkty wejścia i wyjścia ................................................... ................................................... ...........43 Zabezpieczenia systemów komputerowych ................................................... .................................45 Zabezpieczenia aplikacji ................................................... ................................................... ...........47 Metody naruszania ochrony danych ................................................... ...................................................49 Przecieki informacji ................................................... ................................................... ..................50 Ataki na zasadzie pełnego przeglądu ................................................... ...........................................51 Przepełnienie bufora................................................... ................................................... ..................52 Podstawienie ciągu formatującego................................................... ...............................................54 Zmiana katalogu bieżącego................................................... ................................................... .......54 Fałszywy pośrednik................................................... ................................................... ...................55 Socjotechnika ................................................... ................................................... ............................55 Root kity i konie trojańskie ................................................... ................................................................57 Wykrywanie root kitów................................................... ................................................... .............57 Usuwanie szkodliwych programów ................................................... .............................................58 Podsumowanie................................................... ................................................... .................................58  9KPFQYU5GTXGT$GRKGEGēUVYQ$KDNKC 4QFKCđ2NCPQYCPKGCTEJKVGMVWT[CDGRKGEGē  Projektowanie bezpiecznej architektury serwera ................................................... ...............................62 Minimalizacja................................................... ................................................... ............................63 Wyłączanie zbędnych usług ................................................... ................................................... ......64 Uaktualnianie systemu ................................................... ................................................... ..............66 Dokumentowanie nowej instalacji ................................................... ...............................................69 Architektura sieci ................................................... ................................................... ......................69 Tworzenie planu czynności konserwacyjnych zabezpieczeń................................................... .............71 Codzienne czynności administracyjne ................................................... .........................................71 Uaktualnienia zabezpieczeń ................................................... .........................................................72 Kontrolowanie zmian ................................................... ................................................... ......................73 Plan awaryjny ................................................... ................................................... ..................................75 Środki doraźne................................................... ................................................... ...........................75 Gromadzenie dowodów................................................... ................................................... .............75 Przywracanie stanu systemu................................................... .........................................................77 Honeypot (garnek miodu)................................................... ................................................... ................77 Podsumowanie................................................... ................................................... .................................78 4QFKCđ+PURGMELCCDGRKGEGē 4 Planowanie inspekcji komputerów................................................... .....................................................79 Inspekcja zabezpieczeń w systemie Windows ................................................... ...................................80 Ogólny przegląd zabezpieczeń................................................... .....................................................80 Przechwytywanie pakietów (sniffing)................................................... ..........................................82 Inspekcja zabezpieczeń w systemie UNIX................................................... .........................................88 Ogólny przegląd zabezpieczeń................................................... .....................................................88 Skanowanie portów ................................................... ................................................... ...................95 Przechwytywanie pakietów w systemie UNIX................................................... ............................96 Podsumowanie................................................... ................................................... ...............................101 4QFKCđ/GEJCPKO[CDGRKGEGēYU[UVGOKG9KPFQYU5GTXGT Architektura systemu Windows Server ................................................... ............................................103 Funkcje zabezpieczeń systemu Windows Server ................................................... .............................105 Co nowego?................................................... ................................................... .............................105 Starsze mechanizmy zabezpieczeń systemu Windows ................................................... ..............107 Active Directory ................................................... ................................................... ............................112 Architektura Active Directory................................................... ....................................................113 Zabezpieczenia w Active Directory ................................................... ...........................................114 Microsoft CryptoAPI................................................... ................................................... .....................114 IPSec................................................... ................................................... ..............................................115 Serwer ISA ................................................... ................................................... ....................................116 Jaka jest rola usług serwera ISA?................................................... ...............................................116 Na czym polegają zabezpieczenia serwera ISA? ................................................... .......................116 Podsumowanie................................................... ................................................... ...............................117 úħè++ CDGRKGEGPKCU[UVGOW   4QFKCđ CDGRKGECPKGU[UVGOW9KPFQYU5GTXGT  Zabezpieczenia sprzętowe ................................................... ................................................... .............122 Zabezpieczanie systemu operacyjnego................................................... .............................................125 Ograniczanie instalacji ................................................... ................................................... ............126 Uprawnienia dostępu do plików................................................... .................................................132 Inspekcja................................................... ................................................... ..................................137 5RKUVTGħEK  Zasady grup ................................................... ................................................... ...................................139 Tworzenie i usuwanie obiektów GPO................................................... ........................................140 Modyfikowanie obiektów GPO ................................................... .................................................142 Zabezpieczenia obiektu GPO ................................................... .....................................................144 Internet Connection Firewall (ICF) ................................................... ..................................................146 Podsumowanie................................................... ................................................... ...............................151 4QFKCđ CDGRKGECPKGCRNKMCELK 4 Zabezpieczanie serwerów WWW i FTP ................................................... ..........................................153 Zabezpieczanie serwerów WWW ................................................... ..............................................154 Zabezpieczanie serwerów FTP................................................... ...................................................165 Zabezpieczanie serwerów pocztowych ................................................... ............................................166 Zabezpieczenia serwera................................................... ................................................... ...........166 Zabezpieczanie przed spamem................................................... ...................................................167 Zabezpieczanie serwerów DNS................................................... ........................................................168 Zabezpieczanie innych aplikacji................................................... .......................................................169 Zabezpieczanie aplikacji różnego typu ................................................... ......................................170 Zabezpieczanie aplikacji wielowarstwowych ................................................... ............................170 Podsumowanie................................................... ................................................... ...............................171 úħè+++7YKGT[VGNPKCPKGKU[HTQYCPKG  4QFKCđ5[HTQYCPKGFCP[EJ 4 Wprowadzenie do kryptografii................................................... .........................................................175 Szyfry z kluczem jednorazowym ................................................... ...............................................177 Szyfry z kluczem symetrycznym ................................................... ...............................................178 Szyfry z kluczem publicznym ................................................... ....................................................178 Kryptografia kontrolowana ................................................... ................................................... .....179 Kryptograficzny podpis................................................... ................................................... ...........180 Steganografia................................................... ................................................... ...........................181 Encrypting File System (EFS)................................................... ..........................................................181 Czym jest system EFS? ................................................... ................................................... ...........182 Korzystanie z szyfrowania EFS ................................................... .................................................182 Oprogramowanie kryptograficzne innych firm ................................................... ................................196 Podsumowanie................................................... ................................................... ...............................202 4QFKCđ CDGRKGECPKGUVTQP999KRQEV[GNGMVT4QPKEPGL ōRTQVQMQđ[55.K6.5 4 SSL i TLS — wprowadzenie................................................... ................................................... .........205 Wydajność mechanizmów SSL ................................................... ................................................... .....207 Protokół SSL a bezpieczna komunikacja HTTP ................................................... ..............................208 Szyfrowanie transmisji pocztowych................................................... .................................................209 Słabe strony SSL ................................................... ................................................... ...........................210 Protokół SSL w oprogramowaniu serwera Microsoft IIS ................................................... ................211 Szyfrowanie komunikacji SMTP w systemie Windows Server................................................... .......217 Podsumowanie................................................... ................................................... ...............................219 4QFKCđ7YKGT[VGNPKCPKGYU[UVGOKG9KPFQYU5GTXGT  Proces uwierzytelniania................................................... ................................................... .................221 Uwierzytelnianie podstawowe................................................... ..........................................................223 Kerberos................................................... ................................................... .........................................224  9KPFQYU5GTXGT$GRKGEGēUVYQ$KDNKC Uwierzytelnianie zewnętrzne ................................................... ...........................................................225 Metody biometryczne................................................... ................................................... ..............226 Systemy żetonowe................................................... ................................................... ...................226 Karty inteligentne................................................... ................................................... ....................226 Uwierzytelnianie w systemie Windows przy użyciu kart inteligentnych .....................................227 Podsumowanie................................................... ................................................... ...............................234 4QFKCđ5[UVGO-GTDGTQU4 Wprowadzenie ................................................... ................................................... ...............................236 Prosty system Kerberos................................................... ................................................... ...........236 Rozproszony system Kerberos ................................................... ...................................................236 Uwierzytelnianie Kerberos w układzie wieloobszarowym................................................... ........237 Zaawansowane techniki obsługi biletów Kerberos................................................... ....................239 Projektowanie architektury Kerberos ................................................... ...............................................241 Architektura................................................... ................................................... .............................241 Znaczenie synchronizacji czasu ................................................... .................................................243 Kerberos a Windows Server 2003 ................................................... ....................................................243 Konfigurowanie zasad grup ................................................... ................................................... ....244 Współdziałanie z innymi środowiskami ................................................... ....................................245 Podsumowanie................................................... ................................................... ...............................249 4QFKCđ+PHTCUVTWMVWTCMNWECRWDNKEPGIQ 2-+  Więcej o PKI ................................................... ................................................... .................................253 Infrastruktura PKI w ujęciu teoretycznym ................................................... .................................253 PKI w praktyce................................................... ................................................... ........................254 Projektowanie infrastruktury PKI................................................... .....................................................256 Podsumowanie................................................... ................................................... ...............................258 4QFKCđ+PUVCNQYCPKGKMQPHKIWTQYCPKGWUđWIEGTV[HKMCVÎY  Planowanie wdrożenia usług certyfikatów ................................................... .......................................259 Instalowanie usług certyfikatów................................................... .......................................................260 Konfigurowanie urzędu CA................................................... ................................................... ...........265 Tworzenie szablonów certyfikatów ................................................... ...........................................274 Uaktywnianie szablonów certyfikatów ................................................... ......................................280 Zgłaszanie żądań certyfikatów ................................................... .........................................................281 Podsumowanie................................................... ................................................... ...............................289 4QFKCđ9KTVWCNPGUKGEKRT[YCVPG.62K2262  Sieci VPN typu LAN-LAN ................................................... ................................................... ...........292 Wprowadzenie................................................... ................................................... .........................292 Konfigurowanie połączenia VPN typu router-router opartego na protokole PPTP......................293 Konfigurowanie połączenia VPN typu router-router opartego na protokole L2TP......................303 Połączenia VPN zdalnego dostępu ................................................... ...................................................315 Konfigurowanie połączenia VPN zdalnego dostępu opartego na protokole PPTP.......................316 Konfigurowanie połączenia VPN zdalnego dostępu opartego na protokole L2TP.......................320 Podsumowanie................................................... ................................................... ...............................324 4QFKCđ CDGRKGEGPKC+25GE 4 Czym jest protokół IPSec? ................................................... ................................................... ............325 Konfigurowanie zabezpieczeń IPSec ................................................... ...............................................326 Wyposażenie sprzętowe ................................................... ................................................... ................343 Podsumowanie................................................... ................................................... ...............................344 5RKUVTGħEK  úħè+8/KETQUQHV+PVGTPGV5GEWTKV[CPF#EEGNGTCVKQP5GTXGT   4QFKCđ+5#5GTXGTōRQFUVCY[ 4 Zapory firewall ................................................... ................................................... ..............................348 Inspekcja stanowa i bezstanowa................................................... .................................................350 Skalowalność zapory................................................... ................................................... ...............351 Systemy wykrywania włamań (IDS)................................................... ..........................................352 Systemy buforowania treści................................................... ..............................................................353 Buforowanie treści — oprogramowanie ................................................... ....................................355 Buforowanie treści — urządzenia ................................................... ..............................................355 Skalowanie serwera buforującego................................................... ..............................................356 Metody i protokoły buforowania................................................... ................................................356 Serwer ISA — przegląd................................................... ................................................... .................357 Integracja z systemem Windows Server ................................................... ....................................357 Wymagania................................................... ................................................... ..............................358 Zapora — przegląd funkcji ................................................... ................................................... .....358 Usługa akceleracji — przegląd ................................................... ..................................................363 Podsumowanie................................................... ................................................... ...............................368 4QFKCđ+PUVCNQYCPKGKMQPHKIWTQYCPKGCRQT[HKTGYCNN Instalowanie serwera ISA................................................... ................................................... ..............369 Instalowanie aktualizacji schematu Active Directory................................................... ................369 Instalowanie serwera ISA................................................... ................................................... ........372 Konfigurowanie zapory firewall................................................... .......................................................378 Kreator konfiguracji (Getting Started Wizard) ................................................... ..........................378 Filtry ................................................... ................................................... ........................................391 Reguły ................................................... ................................................... .....................................399 Kontrola ruchu sieciowego................................................... ................................................... ......408 Filtry aplikacji ................................................... ................................................... .........................410 Podsumowanie................................................... ................................................... ...............................413 4QFKCđ-QPHKIWTQYCPKGWUđWIKDWHQTQYCPKC Konfigurowanie buforowania................................................... ...........................................................415 Zasady buforowania i rozmiar bufora ................................................... ........................................416 Buforowanie proste ................................................... ................................................... .................424 Buforowanie odwrotne................................................... ................................................... ............428 Mostkowanie SSL ................................................... ................................................... ...................430 Analizowanie ruchu sieciowego i raporty ................................................... ........................................432 Mechanizmy raportowania i monitorowania serwera ISA................................................... .........432 Liczniki wydajności buforowania ................................................... ..............................................436 Rozwiązywanie problemów i optymalizowanie pracy bufora ................................................... ...437 Podsumowanie................................................... ................................................... ...............................438 QFCVMKF  QFCVGM#0CTúFKCCFOKPKUVTCVQTCCDGRKGEGē QFCVGM$ĻTÎFđCKPHQTOCELKQCDGRKGEGPKCEJ QFCVGM 5VCPFCTFQYGRT[RKUCPKCRQTVÎY6 2+2 5MQTQYKF 44 4QFKCđ CDGRKGECPKGU[UVGOW 9KPFQYU5GTXGT W rozdziale:  Zabezpieczenia warstwy sprzętowej  Zabezpieczanie systemu operacyjnego  Zasady grup  Internet Connection Firewall Po omówieniu teoretycznych i proceduralnych aspektów zabezpieczeń czas zająć się praktyczną stroną zabezpieczania systemu Windows Serve r 2003. Jak pisaliśmy w rozdziale 5., kolejne systemy operacyjne, począwszy od Windows NT 4.0, przez Windows 2000, po Windows Server 2003 były platformą ewolucyjnych zmian w systemach zabezpieczeń. Przykładem jednego z wielu usprawnień może być wpro- wadzenie mechanizmu Kerberos do uwierzytelniania do menowego. Aby wzmocnić zabezpieczenia systemu, można korzystać z różnych środków. Podstawowe z nich omówimy w niniejszym rozdziale, a są nimi:  konfiguracja sprzętowa,  instalowanie systemu operacyjnego,  określanie uprawnień do pliku,  konfigurowanie inspekcji,  zasady grup. O ile uwzględnimy potencjalne luki, zastosowanie tych środków może prowadzić do utworzenia stosunkowo bezpiecznej konfiguracji. Pełne zabezpieczenie komputera wymaga dokładnej znajomości konfiguracji sieci i systemu ope racyjnego.  úħè++ CDGRKGEGPKCU[UVGOW CDGRKGEGPKCURTúVQYG Pierwszą rzeczą, którą powinniśmy wziąć pod uwagę, gdy zabezpieczamy komputer, są zabezpieczenia na poziomie sprzętowym. Bezpieczeństwo wyposażenia to ważny krok w stronę całościowej ochrony systemu. Źle zabezpieczone wyposażenie może umożliwić dostęp do chronionych plików lub naru- szenie ochrony całego systemu. Standardowe zabezpieczenia większości platform sprzę- towych umożliwiają dowolnej osobie modyfikowanie konfiguracji BIOS-u komputera oraz ładowanie systemu operacyjnego z dyskietki. Zagadnienie zabezpieczeń sprzętowych wiąże się z istotną „cechą” systemu zabezpieczeń. System plików NTFS może być obsługiwany przez sterowniki systemów DOS i Linux. Po uruchomieniu komputera przy użyciu dyskietkowej wersji jednego z tych systemów operacyjnych wszystkie pliki komputera stają się swobodnie dostępne — sterowniki systemu plików dla systemów DOS i Linux ignorują listy kontroli dostępu (ACL). Brak mechanizmu uwierzytelniania Windows uniemożliwia operowanie odpowiednimi żeto- nami dostępu. Tak uzyskiwany dostęp do danych jest użytecznym narzędziem do odzy- skiwania danych i zapewnia zgodność systemów. Konsekwencją jest jednak konieczność uwzględnienia w zabezpieczeniach dostępu do systemu komputerowego oraz konfigu- racji BIOS-u. Podstawowy problem zabezpieczeń sprzętowych polega na możliwości uruchomienia kom- putera za pomocą dyskietki i uzyskania — przy użyciu sterowników spoza Windows — dostępu do dysków twardych (wyjątkiem są jedynie pewne konfiguracje RAID obsługiwane przez sterowniki Windows, ich wprowadzenie nie jednak metodą zabezpieczania danych). Po takim ataku można wprowadzać modyfikacje w plikach systemowych, a nawet Rejestrze i bazie danych SAM. Efektem może być zmiana haseł lub innego rodzaju osłabienie me- chanizmów zabezpieczeń. Atakujący ma dostęp do wszystkich plików komputera. Inną możliwością może być zainstalowanie nowego systemu operacyjnego. Po zainstalowaniu systemu Windows Server 2003 od nowa, atakujący może skorzystać z praw administratora komputera lokalnego i zastąpić wcześniejsze listy kon troli dostępu do plików. Atak na poziomie sprzętowym można uniemożliwić kilkoma sposobami. Najprostszą me- todą uniemożliwienia załadowania systemu operacyjnego z dyskietki lub dysku CD-ROM jest fizyczna obecność przy komputerze. Dostępne są również specjalne blokady stacji dyskietek, umieszczane w szczelinie napędu i zamykane na klucz. W zamek może być wyposażona również obudowa. Jeżeli komputer jest w szafce, można zamknąć szafkę. Również wejście do centrum obliczeniowego czy sali serwerów może pozostawać stale zamknięte. Warto zadbać o stosowanie tego rodzaju środków odpowiednio do potrzeb organizacji. Po zainstalowaniu systemu operacyjnego nic zazwyczaj nie stoi na przesz- kodzie, aby całkowicie usunąć stację CD-ROM i stację dyskietek z komputera. Dalsze oprogramowanie można instalować, korzystając z udziałó w sieciowych. Kolejnym poziomem ochrony jest zmiana konfiguracji BIOS-u komputera. Ustawienia te muszą być zabezpieczone hasłem uniemożliwiającym atakującemu ich zmianę. Rysunek 6.1 przedstawia wprowadzanie hasła BIOS-u w przykładowym komputerze. W większości komputerów hasło zabezpieczające BIOS określa się jako supervisor password lub setup password. 4QFKCđ CDGRKGECPKGU[UVGOW9KPFQYU5GTXGT  4[UWPGM Hasło dostępu do ustawień konfiguracyjnych BIOS-u zabezpiecza przed wprowadzeniem niepożądanych zmian Oprogramowanie BIOS produkują różne firmy, stąd istotne różnice pomiędzy komputerami. Mimo że konkretne rozwiązania mogą być nieco odmienne, w niemal każdym programie konfiguracyjnym BIOS-u znaleźć można opisywane poniżej op cje konfiguracyjne. Typową możliwością jest wprowadzenie hasła użytkownika. Komputer może być wówczas uruchomiony wyłącznie po podaniu hasła użytkownika lub hasła dostępu do BIOS-u. Dodatkową możliwością może być ograniczenie możliwości uzyskania dostępu do na- pędów dysków wyłącznie do sytuacji, gdy przy uruchamianiu komputera podane zostało hasło dostępu do BIOS-u. Gdy opcja ograniczenia dostępu do napędów dysków nie jest dostępna, pozostaje okreś- lenie haseł oraz wyłączenie dostępu do stacji dyskietek i stacji CD-ROM. Rysunek 6.2 przedstawia opcję konfiguracyjną BIOS-u, która umożliwia wyłączenie stacji dyskietek. 4[UWPGM Stacja dyskietek powinna zostać wyłączona w programie konfiguracyjnym BIOS-u Po wprowadzeniu takiej zmiany, aby załadować system operacyjny z dyskietki, osoba znająca hasło dostępu do BIOS-u musi uruchomić programu konfiguracyjny i włączyć stację. Wyłączenie napędu CD-ROM może być nieco trudniejsze. Jeżeli jest to jedyny napęd przyłączony do danego kanału IDE, można wyłączyć ten kanał. Jeżeli do tego samego kanału przyłączony jest drugi napęd albo CD-ROM korzysta ze złącza SCSI, jedyną dostępną opcją może być wyjęcie stacji z komput era.  úħè++ CDGRKGEGPKCU[UVGOW Inną możliwości zabezpieczenia komputera przed uruchomieniem z dyskietki lub dysku CD-ROM jest odpowiednie ustalenie kolejności przeglądania napędów w poszukiwaniu systemu operacyjnego. Nie wykluczy to możliwości korzystania ze stacji po uruchomie- niu komputera, ale uniemożliwi załadowanie innego systemu operacyjnego. Rysunek 6.3 przedstawia standardową kolejność przeglądania napędów . 4[UWPGM Standardowa kolejność przeglądania napędów umożliwia ładowanie systemu operacyjnego ze stacji dysków wymiennych i CD-ROM Domyślnie najpierw podejmowana jest próba załadowania systemu operacyjnego ze stacji dysków wymiennych, takiej jak stacja dyskietek. Następnie system jest poszukiwany na dysku twardym, w stacji CD-ROM i, ostatecznie, w sieci. W takim układzie atakujący bez najmniejszego problemu może załadować system operacyjny z dyskietki. Może też odłączyć dysk systemowy i skorzystać z możliwości uruchamiania z dysku CD-ROM lub serwera sieciowego. Wówczas dostępne będą inne dyski systemu (o ile w komputerze jest ich więcej). Jeżeli atakujący zmieni konfigurację dysku rozruchowego i uniemożliwi ładowanie zeń systemu operacyjnego, również i ten dysk będzie dostępny. Po wprowa- dzeniu zmian zapewniających inny sposób dostępu do systemu konfiguracja dysku może zostać przywrócona. Rozważenie powyżej wymienionych możliwości prowadzi do wniosku, że prostsza zmiana kolejności przeglądania napędów w poszukiwaniu systemu operacyjnego nie będzie wys- tarczająca. Niezbędne jest całkowite wykluczenie innych nośników niż dysk twardy (patrz rysunek 6.4). W przedstawionym na rysunku programie konfiguracyjnym BIOS-u wyk- rzyknik oznacza, że urządzenie zostało wyłączone i nie może zostać użyte do ładowania systemu operacyjnego. Po wprowadzeniu opisywanych wyżej zmian komputer można uznać za zabezpieczony na poziomie sprzętowym. Zabezpieczenie konfiguracji BIOS-u komputera hasłem jest ważne i skuteczne. Dla osoby nieznającej hasła jedynym sposobem uzyskania dostępu do systemu jest odłączenie zasilania pamięci konfiguracji. Jest to metoda dość radykalna, choć prosta technicznie. Nie można więc zapominać o fizycznym bezp ieczeństwie centrum przetwa- rzania danych. Wracając do modelu zabezpieczeń opartego na warstwach, ochrona w BIOS-ie i wyłą- czone urządzenia rozruchowe to jedna warstwa bezpieczeństwa, a zamknięte drzwi centrum komputerowego lub szafki albo zamki w komputerze mogą tworzyć warstwy dalsze. Nawet wymontowanie stacji dysków wymiennych z komputera nie jest stuprocentowo skuteczne — włamywacz może przynieść własne urządzenia. Każda z warstw jedynie utrudnia atak lub ostatecznie zniechęca mniej zdeterminowaną osobę. 4QFKCđ CDGRKGECPKGU[UVGOW9KPFQYU5GTXGT  4[UWPGM Stacja dyskietek, stacja CD-ROM i sieć zostały wykluczone z procedur poszukiwania systemu operacyjnego CDGRKGECPKGU[UVGOWQRGTCE[LPGIQ Po zabezpieczeniu komputerów na poziomie sprzętowym kolejnym krokiem logicznym będzie instalacja systemu operacyjnego. Pierwszym elementem jest autentyczność noś- nika plików instalacyjnych. Kopii dysku, czy to „domowego wyrobu” czy pirackiej, nie można traktować z pełnym zaufaniem. Może się to wydawać nieco przesadnym środkiem bezpieczeństwa, ale dyski powielane przez firmę Microsoft są przed zapakowaniem we- ryfikowane pod kątem bezpieczeństwa. Nowsze CD mają numer i oznaczenia holograficzne stosunkowo trudne do podrobienia. Zdarza się, że komputer zostaje zakupiony z zainstalowanym już systemem operacyjnym. W większości przypadków administrator reinstaluje wówczas oprogramowanie zarówno ze względów bezpieczeństwa, jak i dla ułatwienia przyszłej administracji. Jedynie w szcze- gólnych przypadkach wielkie serwery i zainstalowany system Windows Server 2003 Datacenter Edition sprzedawane są jako całość i reinstalacja jest wykluczona. Wówczas pozostaje tylko sprawdzić, czy sprzedawca faktycznie dysponuje prawem do korzystania z logo authorized reseller. Bezpieczeństwo w trakcie dostawy może zapewnić odpowied- nie plombowanie. Na dyskach instalacyjnych systemu operacyjnego stosunkowo łatwo umieścić pliki z ukry- tym oprogramowaniem typu „tylne wejście”. Pracownik kopiujący dysk CD może umieś- cić na nim zarażony plik. Może się to wydawać przesadną podejrzliwością, ale zasada korzystania z bezpiecznych kopii dysków instalacyjnych jest na tyle prosta, że nie warto podejmować ryzyka. Zabezpieczanie przed lukami w zabezpieczeniach dobrze zacząć od podstaw. W trakcie instalacji systemu operacyjnego i podstawowych czynności konfiguracyjnych można korzystać z dalszych środków wzmacniających bezpieczeństwo komputera, takich jak:  minimalizowanie liczby instalowanych składników sys temu operacyjnego,  wyłączenie wszystkich usług innych niż niezbędne po za kończeniu instalacji,  określenie właściwych uprawnień do plików,  úħè++ CDGRKGEGPKCU[UVGOW  włączenie inspekcji,  określenie zasad grup narzucających dodatkowe zabezp ieczenia systemu. System Windows Server 2003 powinien być instalowany na partycji NTFS. Użycie partycji FAT stoi w ostrej sprzeczności z dążeniem do zabezpieczenia komputera. System pli- ków FAT nie zapewnia żadnych mechanizmów zabezpieczeń, takich jak listy kontroli dostępu i szyfrowanie dostępne w systemie NTFS. Poza środowiskami testowymi system plików FAT nie piowinien być stosowany do formatowania żadnych partycji pod kontrolą systeimu Windows Server 2003. Partycję systemową można utworzyć w trakcie instalowania systemu operacyjnego. Ry- sunek 6.5 przedstawia ekran wybierania systemu plików partycji Windows Server 2003. 4[UWPGM Aby zapewnić bezpieczeństwo komputera, w trakcie instalowania systemu Windows Server 2003, formatujemy partycję systemową w formacie NTFS 1ITCPKECPKGKPUVCNCELK Minimalizowanie liczby składników systemu operacyjnego to, jak pisaliśmy w rozdziale 3., metoda ograniczania liczby elementów zagrożonych potencjalnymi lukami w zabezpie- czeniach. Wcześniej wspomnieliśmy już pojęcie „ograniczania profilu systemu”. Każda aplikacja i usługa to kolejny składnik oprogramowania, w którym mogą występować szkodliwe błędy przepełnienia bufora, wykorzystania ciągu formatującego i inne. Gdy taka luka zostanie odkryta w przyszłości, a administrator w porę nie uzyska odpowied- niej informacji, atakujący może uzyskać dostęp do komp utera, lokalnie lub zdalnie. /KPKOCNKQYCPKGNKED[UMđCFPKMÎY9KPFQYU W przeciwieństwie do wcześniejszych wersji systemu Windows, w tym Windows 2000 Server i Windows NT 4.0 Server, system Windows Server 2003 nie oferuje w trakcie instalacji możliwości wybierania składników. Standardowo instalowany jest ograniczony zestaw podstawowego oprogramowania serwera. Przed instalacją składników sieciowych wprowadzamy: 4QFKCđ CDGRKGECPKGU[UVGOW9KPFQYU5GTXGT   wybór ustawień regionalnych systemu,  dane użytkownika,  klucz produktu,  wybór trybu licencjonowania,  nazwę komputera,  hasło administratora,  datę i godzinę. Procedura instalowania składników sieciowych zapewnia konfigurację standardową, umoż- liwiającą wielu komputerom natychmiastowe rozpoczęcie pracy w sieci. Adres IP jest pobierany z serwera DHCP. Włączone zostają również standardowe usługi sieciowe. W większości przypadków nie unikniemy oczywiście wprowadzania ręcznych korekt tej konfiguracji. Można wyłączyć niektóre usługi lub okr eślić statyczny adres IP. Aby przejrzeć ustawienia sieciowe, klikamy Ustawienia niestandardowe (Custom Settings), a następnie Dalej (Next). Wyświetlone zostanie wówczas okno konfiguracji sieci. Nie będziemy raczej wyłączać klienta sieci Microsoft Networks ani protokołu TCP/IP. Elementem wartym rozważenia jest jednak Udostępnianie plików i drukarek w sieciach Microsoft Networks (File and Printer Sharing for Microsoft Networks). Jeżeli konfigurowany komputer nie będzie wykorzystywany jako serwer plików lub serwer drukarek, wyłączamy tę usługę. Jej pozostawienie naraża na luki w zabezpieczeniach wynikające z niewystarczających ograniczeń dostępu do plików lub błędów w oprog- ramowaniu usługi. Nie ma powodu, aby instalować usługę udostępniania na dedykowanym serwerze WWW lub poczty elektronicznej. Jeżeli zdecydujemy się wyłączyć usługę, kli- kamy w towarzyszącym jej nazwie polu wyboru. Kolejnym krokiem może być dostosowa- nie ustawień TCP/IP, po którym klikamy Dalej (Next), aby przejść do kolejnego okna. Kolejnym istotnym wyborem jest określenie, czy serwer będzie pracował w domenie czy w grupie roboczej. Serwer należący do domeny zezwala użytkownikom na dostęp z tej domeny. Inne kom- putery w domenie są dla niego komputerami godnymi zaufania. Dobrą praktyką jest po- zostawianie poza domeną tych serwerów, których funkcja nie wymaga takiej przynależ- ności. Dotyczy to przede wszystkim serwerów WWW, FTP i serwerów pocztowych. Naruszenie zabezpieczeń serwera należącego do domeny ułatwia ataki na inne komputery. Pozostawienie serwerów szczególnie wrażliwych na ataki poza domeną pozwala uniknąć tego problemu. Włączenie serwera do domeny zapewnia wiele ułatwień. W miejsce zarządzania osobną listą użytkowników każdego serwera udostępniamy zasoby użytkownikom w domenie. Kusi to wielu administratorów do włączania do domeny serwerów WWW i innych, które w rzeczywistości nie wymagają uwierzytelniania domenowego. Problemem jest to, że na- ruszenie zabezpieczeń tak „otwartych” systemów może służyć do ataków na inne komputery domeny.  úħè++ CDGRKGEGPKCU[UVGOW Konfiguracja sieci w niektórych organizacjach wymusza pracę pewnych komputerów jako członków domeny. Najlepszym przykładem są serwery plików i drukarek. Jeżeli serwer plików nie jest członkiem domeny, baza danych użytkowników tego serwera jest kopią części bazy użytkowników domeny. Celem istnienia domeny jest jednak właśnie ułat- wianie zarządzania użytkownikami. Gdy serwer jest członkiem domeny, na listach ACL można operować nazwami użytkowników i grup domeny, bez ciągłych problemów z ko- piowaniem konfiguracji kont między różnymi serwerami. Niektóre aplikacje pocztowe (a ściślej groupware), jak Microsoft Exchange, wymagają od użytkowników uwierzytelniania domenowego. Podobnie skonfigurować można in- tranetowy serwer WWW. Wówczas konta domenowe zapewnią efektywny mechanizm uwierzytelniania dostępu do serwera wewnętrznego. Po określeniu, czy serwer ma pracować w domenie czy w grupie roboczej, podajemy jej nazwę, po czym klikamy Dalej (Next), aby kontynuować instalację. Na tym kończy się interakcyjna część procesu. Instalator przechodzi do kopiowania plików i generowania wstępnej konfiguracji komputera. 9[đæECPKGKMQPHKIWTQYCPKGWUđWI Po zakończeniu pracy instalatora systemu Windows dysponujemy wstępną konfiguracją systemu operacyjnego, która wymaga systematycznego dostosowania do konkretnego zastosowania komputera. Gdy po raz pierwszy logujemy się w nowo zainstalowanym systemie Windows Server 2003, wyświetlane jest okno narzędzia Zarządzanie tym serwerem (Manage Your Server), przedstawione na rysunku 6.6. Narzędzie to służy do konfigurowania serwera do pracy w określonej roli. Rola (ang. role) jest tutaj zestawem plików i usług zapewniających realizację pewnych funkcji komputera, takich jak ser wer DNS lub serwer Active Directory. 1. Aby przypisać komputerowi nową rolę, klikamy Dodaj lub usuń rolę (Add or remove a role). Powinniśmy dokładnie przeczytać listę czynności wstępn ych, wyświetlaną na pierwszej karcie kreatora konfigurowania serwera . Przypomina ona między innymi o tym, że przed rozpoczęciem pracy z rolami p owinniśmy zakończyć konfigurowanie połączenia sieciowego i instalowanie u rządzeń peryferyjnych. Klikamy Dalej (Next). 2. Rysunek 6.7 przedstawia kolejny krok kreatora. Opcja Konfiguracja standardowa dla pierwszego serwera (Typical configuration for a first server) zapewni skonfigurowanie serwera jako pierwszego kontrolera domeny w nowej domenie, wraz z instalacją odpowiednich usług. Opcja Konfiguracja niestandardowa (Custom configuration) pozwala dostosować konfigurację serwera do specyficznych wymagań jego śr odowiska i przeznaczenia. Wybieramy Konfiguracja niestandardowa (Custom configuration) i klikamy Dalej (Next). 4QFKCđ CDGRKGECPKGU[UVGOW9KPFQYU5GTXGT  4[UWPGMNarzędzie Zarządzanie tym serwerem automatycznie konfigpuruje serwer do określonej roli 4[UWPGM Opcja typowej konfiguracji zapewnia zainstalowanie usług związanych z pracą komputera jako pierwszego kontrolera nowej domeny  úħè++ CDGRKGEGPKCU[UVGOW 3. Kreator wyświetla listę standardowych ról serwera. Ka żda z opcji widocznych na rysunku 6.8 zapewnia nieco inne dostosowanie konfi guracji serwera. Wybranie, przykładowo, opcji Serwer aplikacji (Application server) spowoduje zainstalowanie serwera IIS i bibliotek ASP.NET, zapewnia jących możliwość uruchamiania aplikacji WWW. Opcja Serwer multimediów strumieniowych (Streaming media server) wiąże się z instalacją Windows Media Services (Windows Media Services). Serwer poczty (Mail server) to serwer usług SMTP i POP3 itd. 4[UWPGM Opcja konfiguracji niestandardowej umożliwia wybieranie pomiędzy różnymi typowymi zastosowaniami serwera, do których jest on automatycznie konfigurowany i optymalizowany Aby rozpocząć konfigurowanie serwera do pewnej roli, w ybieramy jedną z pozycji na liście i klikamy Dalej (Next). Kliknięcie Anuluj (Cancel) spowoduje zamknięcie kreatora bez wprowadzania żadnych zmian. Można wówcza s przejść do instalowania aplikacji lub dalszego konfigurowania zabezpieczeń systemu operacyjnego. Po zainstalowaniu wymaganego oprogramowania systemowego przechodzimy do kolej- nego kroku, którym jest wyłączanie niepotrzebnych usług. W systemie instalowany jest pewien zestaw standardowych usług i aplikacji. Część z nich nie jest wymagana do re- alizacji wymaganych funkcji serwera. Klikamy Start/Narzędzia administracyjne/Usługi (Start/Administrative Tools/Services), aby otworzyć konsolę MMC przedstawioną na rysunku 6.9. Każdą usługę opisuje szereg kolumn:  nazwa,  opis,  stan,  typ uruchamiania,  sposób logowania. 4QFKCđ CDGRKGECPKGU[UVGOW9KPFQYU5GTXGT  4[UWPGM Konsola Usługi umożliwia włączanie i wyłączanie usług Windows Stan usługi to informacja o tym, czy jest ona w danym momencie uruchomiona (aktyw- na). Sposób logowania to nazwa konta wykorzystywanego przez usługę w procedurach uwierzytelniania. Opcja Typ uruchomienia (Startup Type) może mieć trzy wartości:  Automatyczny (Automatic) — usługa jest uruchamiana automatycznie przy każdej inicjalizacji systemu operacyjnego.  Ręczna (Manual) — usługa tak skonfigurowana może zostać uruchomiona p rzez inny program, usługę lub użytkownika (umożliwia to prz ycisk Start przystawki Usługi).  Wyłączony (Disabled) — usługa wyłączona nie może zostać uruchomiona. Skonfigurowanie usługi jako Wyłączony (Disabled) jest najbezpieczniejszą metodą wy- łączenia niepotrzebnej usługi. Całkowicie uniemożliwia to jej uruchomienie. Lista usług jest długa i rośnie wraz z instalowanymi aplikacjami, które niekiedy dodają do niej zarządzanie własnymi składnikami oprogramowania. Istotne jest jednak, aby poznać znaczenie każdej z nich i podjąć właściwą decyzję o jej pozostawieniu lub wyłączeniu. Prostym przykładem może być usługa klienta DHCP. Jest ona odpowiedzialna za pobie- ranie danych związanych z adresem IP z serwera DHCP, gdy przyłącze komputera jest skonfigurowane do korzystania z usługi DHCP. Ponieważ serwery najczęściej konfiguruje się do pracy ze statycznymi adresami IP (co uniezależnia je od zakłóceń pracy usługi DHCP), usługa klienta może w większości przypadków zosta ć wyłączona. 1. Klikamy prawym przyciskiem myszy wiersz usługi DHCP i wybieramy z menu podręcznego polecenie Właściwości (Properties). Powoduje to wyświetlenie arkusza właściwości usługi.  úħè++ CDGRKGEGPKCU[UVGOW 2. Zmieniamy opcję Typ uruchomienia (Startup type) na Wyłączony (Disabled) i klikamy przycisk Zatrzymaj (Stop). Okno powinno wyglądać wówczas podobnie jak pokazane na rysunku 6.10. 4[UWPGM Usługa została wyłączona i zatrzymana 3. Klikamy OK, aby zamknąć arkusz właściwości. Usługa po takich zmianach jest zatrzymana i nie ma możliwości jej ponownego urucho- mienia. Odpowiednio zmieniają się też informacje w pra wym obszarze okna konsoli usług. W systemie Windows Server 2003 można doszukać się dużej liczby usług, które są uak- tywniane standardowo, a w praktyce są niewykorzystywane. O tym jednak, które z nich faktycznie można wyłączyć, decyduje zawsze środowisko pr acy serwera. 7RTCYPKGPKCFQUVúRWFQRNKMÎY Uprawnienia dostępu do plików (ang. file permissions) albo, krócej, uprawnienia do plików to ważny element mechanizmów zabezpieczeń systemu Windows Server 2003. Uprawnienia można przypisywać zarówno plikom zapisywanym przez użytkowników, jak i plikom systemowym. We wcześniejszych wersjach systemu Windows ważne pliki i katalogi, takie jak pliki systemu Windows, nie były odpowiednio zabezpieczone. W Windows Server 2003 po- dejście to zostało zmienione. Najbardziej typowym powodem do zmiany domyślnych uprawnień pliku jest konfigu- rowanie ochrony plików w serwerze. Przykładem może być sytuacja, gdy umieszczamy w serwerze ważne dane grupy ksiegowosc. Zazwyczaj pierwszym krokiem jest wówczas utworzenie katalogu. 4QFKCđ CDGRKGECPKGU[UVGOW9KPFQYU5GTXGT  1. Po utworzeniu katalogu, klikamy prawym przyciskiem jego nazwę i wybieramy z menu podręcznego polecenie Właściwości (Properties). 2. Klikamy zakładkę Zabezpieczenia (Security). Domyślne uprawnienia dostępu do pliku przedstawia rysunek 6.11. 4[UWPGM Domyślne uprawnienia dostępu do folderu umożliwiają odczyt danych przez każdego uwierzytelnionego użytkownika 3. Standardowo pełny dostęp do folderu uzyskuje domenowa grupa #FOKPKUVTCVQTU (Administratorzy) i konto systemowe. Grupa 7UGTU (Użytkownicy) ma prawa odczytu. W naszym przykładzie istotne będzie usunięci e uprawnień grupy 7UGTU i przyznanie grupie ksiegowosc uprawnień do odczytu i zapisu danych. Zaznaczamy więc pozycję 7UGTU i klikamy przycisk Usuń (Remove). Zapewni to istotne ograniczenie uprawnień dostępu, ponieważ użytkownik, któremu dostęp nie został jawnie przyznany, nie może wykonać żadnej operacji na danych. Usunięcie grupy 7UGTU z karty Zabezpieczenia może być jednak utrudnione — folder dziedziczy uprawnienia folderu nadrzędnego. Konieczne jest wówczas wyłączenie dziedziczenia uprawnień. 4. Na karcie Zabezpieczenia (Security) klikamy przycisk Zaawansowane (Advanced), aby wyświetlić okno dialogowe zaawansowanych ustawie ń zabezpieczeń, przedstawione na rysunku 6.12. Wyłączamy opcję Zezwalaj na propagowanie dziedziczonych uprawnień z obiektu nadrzędnego…. (Allow inheritable permissions from the parent…) i klikamy OK. 5. Po wyłączeniu dziedziczenia wyświetlane jest okno dia logowe, przedstawione na rysunku 6.13. Możemy wybrać pomiędzy dwiema opcjami — skopiowania istniejących uprawnień dziedziczonych jako bezpośred nie uprawnienia do obiektu lub też porzucenia uprawnień dziedziczonych. W drugim z tych przypadków dotychczasowe uprawnienia dziedziczone zostają całko wicie usunięte. Klikamy Kopiuj (Copy), aby zachować istniejącą konfigurację uprawnień folder u. Wówczas możemy ponownie kliknąć OK, aby zamknąć okno ustawień zaawansowanych. Usunięcie grupy 7UGTU nie sprawi teraz problemu.  úħè++ CDGRKGEGPKCU[UVGOW 4[UWPGM Standardowo, uprawnienia są dziedziczone po folderze nadrzędnym. Wprowadzenie poprawnych ograniczeń dostępu wymaga wyłączenia tej funkcji 4[UWPGM Gdy wyłączamy dziedziczenie uprawnień, musimy zdecydować pomiędzy zachowaniem istniejącej konfiguracji zabezpieczeń obiektu a całkowitym usunięciem uprawnień dziedziczonych 6. Klikamy przycisk Dodaj (Add), aby dodać do listy grupę ksiegowosc. Wyświetlone zostaje okno Wybieranie: Użytkownicy lub Grupy (Select Users, Computers, or Groups), przedstawione na rysunku 6.14. 4[UWPGM Okno Wybieranie: Użytkownicy lub Grupy pozwala dołączać użytkowników lub grupy do listy na karcie Zabezpieczenia arkusza właściwości folderu 7. W polu Wprowadź nazwy obiektów do wybrania (Enter the object names to select) wprowadzamy nazwę grupy i klikamy przycisk Sprawdź nazwy (Check Names). Następnie klikamy OK, aby zakończyć dodawanie grupy. 4QFKCđ CDGRKGECPKGU[UVGOW9KPFQYU5GTXGT  8. Zaznaczamy nową grupę na liście. 9. Uprawnienia domyślne to Zapis i wykonanie (Read Execute), Wyświetlanie zawartości folderu (List Folder Contents) i Odczyt (Read). Grupa ksiegowosc wymaga dodatkowo możliwości modyfikowania plików i tw orzenia nowych. Klikamy więc pole wyboru w kolumnie Zezwalaj (Allow) i wierszu Modyfikacja (Modify). Po zaznaczeniu uprawnienia do modyfikowania plików , uprawnienie Zapis (Write) jest uaktywniane automatycznie. Choć znaczenie więk szości uprawnień jest „samo przez się” zrozumiałe, nieco wątp liwości może wzbudzić Pełna kontrola (Full Control). Uprawnienie to zapewnia wszystkie pozostałe oraz, dodatkowo, możliwość zmieniania uprawnień do pli ku lub folderu. W większości przypadków uprawnienie Pełna kontrola (Full Control) nie jest potrzebne nikomu poza administratorami. Wyjątkiem będ zie sytuacja, kiedy delegujemy zarządzanie. Rysunek 6.15 przedstawia kartę Zabezpieczenia (Security) z nowym zestawem uprawnień grupy ksiegowosc. Aby zapisać wprowadzone zmiany, klikamy OK. 4[UWPGM Uprawnienia domyślne grupy ksiegowosc zostały uzupełnione o uprawnienie Modyfikacja Choć zazwyczaj nie jest to potrzebne, warto pamiętać, że można zarządzać uprawnieniami ze znacznie większą ziarnistością. 1. Na karcie Zabezpieczenia (Security) klikamy przycisk Zaawansowane (Advanced), aby wyświetlić okno Zaawansowane ustawienia zabezpieczeń (Advanced Security Settings). 2. Na karcie Uprawnienia (Permissions) wyświetlana jest lista przypisanych uprawnień. Zaznaczamy grupę ksiegowosc i klikamy Edytuj (Edit). Wyświetlone zostaje okno Wpis uprawnienia (Permission Entry), przedstawione na rysunku 6.16. Jak łatwo zauważyć, przyznanie uprawnienia Modyfikacja (Modify) na karcie Zabezpieczenia (Security) zapewniło przyznanie niemal wszystkich uprawnień z listy. Wyjątkami są uprawnienia pozwalające użytkowni kowi lub grupie zmieniać uprawnienia do folderu: Pełna kontrola (Full Control), Zmiana uprawnień (Change  úħè++ CDGRKGEGPKCU[UVGOW 4[UWPGM Okno Wpis uprawnienia służy do zmieniania uprawnień do obiektu z większą ziarnistością Permissions) i Przejęcie na własność (Take Ownership). Uprawnienie Usuwanie (Delete Subfolders and Files) również nie jest zaznaczone, ponieważ umożliwia usuwanie podfolderów i plików wewnątrz konfigurowaneg o folderu, a do nich użytkownik nie ma uprawnień. Jeżeli w folderze znajduj e się plik i grupa ksiegowosc nie ma bezpośredniego uprawnienia do jego usunięci a, uprawnienie Usuwanie (Delete Subfolders and Files) folderu umożliwiłoby członkom grupy usunięcie tego pliku. 3. Ostatnim pojęciem związanym z uprawnieniami jest włas ność. Kliknijmy, wciąż w oknie zaawansowanych ustawień zabezpieczeń, zakład kę Właściciel (Owner). Jest ona przedstawiona na rysunku 6.17. 4[UWPGM Karta Właściciel okna zaawansowanych ustawień zabezpieczeń służy do zmieniania właściciela obiektu 4QFKCđ CDGRKGECPKGU[UVGOW9KPFQYU5GTXGT  4. Właściciel obiektu może zmieniać uprawnienia do tegoż, nawet gdy nie ma jawnie przypisanego uprawnienia pełnej kontroli. Jest to wy godne, ponieważ administrator może przejąć własność obiektu, nawet jeżeli uprawnienia m ają uniemożliwić uzyskanie do niego dostępu. Aby zmienić właściciela ob iektu, wybieramy z listy użytkownika, który ma być nowym właścicielem, i klikamy OK. Własność mogą przejmować wyłącznie administratorzy i użytkownicy, kt órym przyznano uprawnienie Przejęcie na własność (Take Ownership). +PURGMELC Inspekcja to bardzo użyteczne narzędzie administratora zabezpieczeń. W systemie Win- dows Server 2003 można rejestrować ogromną ilość różnych typów zdarzeń. Inspekcja polega na zapisywaniu każdej operacji użytkownika, dla której funkcja ta została włą- czona. Ponieważ zakończyliśmy właśnie omawianie uprawnień do plików, rozpoczniemy od przedstawienia zasad inspekcji plików. Pierwszym krokiem jest uaktywnienie mechanizmów inspekcji. Jeżeli serwer nie należy do domeny, korzystamy z lokalnych zasad zabezpieczeń, a jeżeli serwer należy do domeny — z zasad grup dotyczących serwera domeny. Sposób włączania inspekcji przy użyciu zasad grup omówimy nieco dalej. 1. W przypadku samodzielnego serwera klikamy Start/Narzędzia administracyjne/ Zasady zabezpieczeń lokalnych (Start/Administrative Tools/Local Security Policy). Otwieramy w ten sposób konsolę MMC zasad zabezpieczeń lokalnych. 2. W lewej części okna podwójnie klikamy Zasady lokalne (Local Policies), a następnie Zasady inspekcji (Audit Policy). Lista dostępnych zasad zostaje wyświetlona w prawej części okna. Przedstawiamy ją na rysunku 6.18. 4[UWPGM Aby uaktywnić procedury rejestrowania, musimy zmienić zasady inspekcji 3. Dla każdego typu inspekcji, który włączamy, musimy klik nąć prawym przyciskiem myszy odpowiednią pozycję listy i wybrać z menu podr ęcznego Właściwości (Properties). W wyświetlanym wówczas oknie wybieramy rodzaj reje strowanych operacji: Sukces (Success), Niepowodzenie (Failure) lub oba (jak na rysunku 6.19). Klikamy OK.  úħè++ CDGRKGEGPKCU[UVGOW 4[UWPGM Zasada inspekcji może być włączana i wyłączana dla operacji udanych oraz nieudanych niezależnie Inspekcję można następnie uaktywniać dla dowolnie wy branych plików i folderów. 1. Aby włączyć inspekcję, klikamy prawym przyciskiem mysz y wybrany obiekt i wybieramy z menu podręcznego Właściwości (Properties). 2. Wywołujemy kartę Zabezpieczenia (Security) i klikamy przycisk Zaawansowane (Advanced), aby otworzyć okno zaawansowanych ustawień zabezpie czeń. Klikamy następnie zakładkę Inspekcja (Auditing), aby wyświetlić kartę przedstawioną na rysunku 6.20. 4[UWPGM Karta Inspekcja okna zaawansowanych ustawień zabezpieczeń zawiera listę bieżących wpisów inspekcji oraz umożliwia dodawanie nowych 3. Aby wprowadzić nowy wpis inspekcji, klikamy przycisk Dodaj (Add). 4. Kolejnym krokiem jest wybranie użytkownika lub grupy , której czynności będą rejes
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Windows Server 2003. Bezpieczeństwo. Biblia
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: