Політика груп

Одним з найбільш могутніх нових засобів в Win 2000 є політика груп, яка вже кілька разів згадувалася в цьому розділі. Об'єкти політики груп можуть зберігатися як в активному каталозі, так і на локальній машині, і визначати параметри конфігурації в масштабах домена або одного комп'ютера відповідно. Політикові груп можна застосовувати до вузлів, доменів або організаційних одиниць. Параметри політики успадковуються користувачами або комп'ютерами, що входить до складу цих одиниць ("учасниками" групи).
Об'єкти політики груп можна переглядати і редагувати в будь-якому вікні консолі, що управляє, за наявності привілеїв адміністратора. У комплект постачання Win 2000 входять наступні об'єкти політики груп: Local Computer, Default Domain і Default Domain Controller. При запуску програми gpedit.msc з меню Start викликається об'єкт політики груп локального комп'ютера. Об'єкти політики груп можна також проглянути у вкладці Group Policy вікна властивостей кожного об'єкту активного каталога (домена, організаційної одиниці або вузла). Там відбита конкретна політика, вживана до вибраного об'єкту (типи політики перераховані відповідно до пріоритету), а також вказано, де блокується спадкоємство об'єктів політики. Тут же можна редагувати об'єкти політики груп.
Завдяки можливості редагування політики можна забезпечити безліч безпечних конфігурацій для об'єктів каталога. Значний інтерес представляє підрозділ Security Options розділу Computer Configurations-windows Settings>security Settings>local Policies. У нім міститься більше 30 різних параметрів конфігурації, що забезпечують безпеку будь-якого комп'ютерного об'єкту, до якого застосовується дана політика. До числа цих опцій входять режим обмеження анонімних з'єднань Additional Restrictions For Anonymous Connections (параметр системного реєстру Restrictanonymous), параметр рівня аутентифікації Lanmanager, і опція перейменування облікового запису адміністратора.
У розділі Security Settings можна також вибрати політику для облікових записів, політику аудиту, параметри журналу реєстрації подій, відкритий ключ і набудувати політикові Ipsec. Завдяки можливості налаштування цих політик на рівні вузла, домена і організаційної одиниці завдання забезпечення безпеки у великих мережах значно спрощується. Пропонована за умовчанням політика груп на рівні домена показана на мал. 6.2.

Об'єкти політики груп забезпечують один із способів захисту великих доменів Win 2000. Проте часто політика рівня домена може входити в суперечність з локальною політикою. Крім того, згубний результат може мати затримка, що виникає до набуття чинності політики груп. Таку затримку можна усунути, наприклад, за допомогою утиліти secedit (ця утиліта детальніше обговорюється в наступному розділі), що виконує негайне оновлення політики. Для оновлення політики за допомогою утиліти secedit відкрийте діалогове вікно Run і введіть команду secedit /refreshpolicy Machine_policy
Для оновлення політики, заданої в розділі User Configuration, введіть secedit /refreshpolicy User_policy

Мал. 6.2. Об'єкт політики груп Default Domain Policy

Засоби налаштування безпеки

Для налаштування політики груп можна скористатися набором утиліт для налаштування безпеки, до складу якого входять дві програми: Security Configuration and Analysis і Security Templates.
Програма Security Configuration and Analysis дозволяє адміністраторам виконувати перевірку відповідності конфігурації локальних систем певному шаблону і змінювати будь-які несумісні параметри. Ця програма вбудована в консоль, що управляє, а також існує у вигляді утиліти командного рядка secedic. Це досить могутній механізм для швидкої перевірки безпеки системи. На жаль, ця утиліта дозволяє аналізувати тільки локальну систему і не працює в масштабі домена. Її можна використовувати в командному файлі сценарію реєстрації і розповсюдити таким чином її дію на видалені системи, проте вона не так зручна для розподіленого середовища, як засіб Group Policy.
На щастя, шаблони захисту можна імпортувати в програму Group Policy, забезпечивши передачу шаблону кожному домену, вузлу або організаційній одиниці, до яких застосовується політика груп. Щоб імпортувати шаблон захисту в утиліту Group Policy, клацніть правою кнопкою на елементі Computer Configurationwvindows Settings\security Settings і виберіть з контекстного меню команду Import. За умовчанням імпортування виконується з каталога %windir%\ securityxtemplates, де зберігається 11 стандартних шаблонів.
Фактично ці 11 шаблонів і складають засіб Security Templates. Файли шаблонів відповідають різним рівням безпеки, які можуть використовуватися спільно із засобом Security Configuration and Analysis. Хоча багато параметрів цих шаблонів не визначено, вони є хорошою відправною крапкою при розробці шаблону для конфігурації і аналізу системи. Ці файли можна проглянути за допомогою консолі Security Templates, що управляє, або уручну конфігурувати в будь-якому текстовому редакторові (нагадаємо, що файли шаблонів мають розширення . inf і розташовані в каталозі %windir%\security\templates\).

Команда runas

До радості поклонників операційної системи UNIX до складу Win 2000 включена власна команда перемикання привілеїв користувачів runas (аналог su).
Відповідно до вимог безпеки для виконання завдань користувачеві бажано надавати мінімально необхідні для цього привілеї. Виконувані файли, поштові повідомлення і видалені Web-узлы, що відвідуються через броузер, можуть запускати команди з привілеями поточного користувача. Значить, чим вище за привілей цього користувача, тим вірогідніше небезпека таких операцій.
Багато хто з небезпечних атак може відбуватися в процесі виконання повсякденних операцій. Про це особливо потрібно пам'ятати тим користувачам, яким для виконання частини завдань доводиться використовувати привілеї адміністратора (до таких завдань відносяться додавання робочій станції до домена, управління користувачами, апаратними засобами і так далі). Поклавши руку на серці, можна сказати, що адміністратори ніколи не реєструються як звичайні користувачі, як того вимагають правила безпеки. Це особливо небезпечно на сучасному світі тотального підключення до Internet. Якщо користувач з правами адміністратора відвідає хакер-ський Web-узел або прочитає повідомлення у форматі HTML з упровадженим активним вмістом (див. розділ 16), то він нанесе своїй системі значно більше шкоди, чим що допустив цю ж помилку звичайний користувач Вася Іванов.
Команда runas дозволяє будь-якому користувачеві реєструватися в системі з нижчими привілеями і отримувати права адміністратора для виконання конкретних завдань. Наприклад, припустимо Вася Іванов реєструвався на контроллері домена через термінальний сервер як звичайний користувач, а потім йому терміново потрібно було змінити пароль один з адміністраторів домена (скажімо, тому, що цього адміністратора тільки що звільнили і він в люті погрожує нагадати про себе). На жаль, реєструється як звичайний користувач, Вася не зможе навіть запустити службу Active Directory Users and Computers, а не тільки змінити пароль адміністратора. Для цього Васе доведеться виконати наступні дії.
1. Вибрати команду Start>run і ввести 
runas /user:mydomain\administrator "mmc %windir%\system32\dsa.msc"
2. Ввести пароль адміністратора.
3. Після запуску служби Active Directory Users and Computers (файл dsa.mmc) з привілеями адміністратора домена змінити пароль адміністратора.
4. Потім він завершить сеанс служби Active Directory Users and Computers і продовжить роботу як звичайний користувач.
Таким чином, Вася позбавить себе від необхідності завершення сеансу термінального сервера, реєстрації з правами адміністратора і повторної перереєстрації з привілеями звичайного користувача. Основним правилом повинне стати використання мінімального рівня привілеїв.
Наочніший приклад обережного використання утиліти runas — пониження привілеїв для запуску web-броузера або читання пошти. В кінці березня 2000 року відбулася цікава дискусія (http://www.ntbugtraq.com) про те, які привілеї повинні використовуватися при виклику деякої адреси URL у вікні броузера, якщо в системі відкрито декілька вікон, зокрема деякі з привілеями адміністратора runas /u:administrator. Одін з підходів зводився до того, щоб ярлик броузера помістити в групу автозавантаження Startup і завжди запускати його з мінімальними привілеями. Остання крапка в цій суперечці щодо доцільності використання runas так і не була поставлена. Річ у тому, що додатки, що запускаються в рамках динамічного обміну даними DDE, типу IE, інформацію про ключі захисту отримують з процесу, що породжує їх. Отже, runas ніколи не створює процеси IE, необхідні для обробки гіперпосилань, упроваджених документів і так далі Створення процесу, що породжує, залежить від програми, тому дуже складно визначити реального власника цього процесу. Можливо, компанія Microsoft коли-небудь роз'яснить, чи дійсно runas забезпечує велику безпеку, чим повне завершення роботи всіх програм, що вимагають привілеїв адміністратора, перед використанням броузера.
Утиліта runas — не панацея. За словами Джефа Шмідта (Jeff Schmidt), усуваючи деякі погрози, вона відкриває можливості для інших. Тому її слід використовувати з обережністю.

Команда Run as тепер доступна через контекстне меню.
Для її запуску потрібно клацнути правою кнопкою
миші на імені файлу у вікні провідника
Win 2000 при натиснутій клавіші <Shift>.