1.1 Szablony zabezpieczeń ZABEZPIECZENIA ZAKRES PRAC

Transkrypt

1 ZABEZPIECZENIA ZAKRES PRAC 1. Wdrażanie zasad zabezpieczeń dla serwera autonomicznego (samodzielnego) z systemem Windows Server 2012 R Szablony zabezpieczeń Eksportowanie wybranej listy wpisów dotyczących ustaleń w Local Security Policy Tworzenie kopii - eksportowanie aktualnych lokalnych ustawień zabezpieczeń komputera przy użyciu konsoli MMC Tworzenie kopii - eksportowanie aktualnych lokalnych ustawień zabezpieczeń komputera przy użyciu narzędzia secedit.exe Tworzenie własnego, nowego szablonu zabezpieczeń Analiza i konfiguracja zasad bezpieczeństwa komputera przy użyciu szablonu zabezpieczeń Przywracanie lokalnych ustawień zabezpieczeń przy zastosowaniu wcześniej zapisanego wzorca 1.2. Uprawnienia do plików i folderów wynikające ze stosowania systemu plików NTFS Przeglądanie, ustawianie, zmienianie i usuwanie uprawnień do folderów przy użyciu GUI i polecenia cacls Usuwanie domyślnych i definiowanie własnych uprawnień NTFS do folderu Modyfikacja uprawnienia własności do foldera, przejmowanie na własność przy użyciu narzędzia GUI i takeown Wpływ operacji kopiowania i przenoszenia foldera na kwestie dziedziczenia uprawnień 1.3. Konfigurowanie ustawień inspekcji 1.4. Dziennik zdarzeń (Event Viewer) MATERIAŁY POMOCNICZE 1.1 Szablony zabezpieczeń Za pomocą przystawki Szablony zabezpieczeń (Security Templates) dla konsoli Microsoft Management Console można tworzyć zasady zabezpieczeń dla komputera lub sieci. Jest to pojedynczy punkt wprowadzania, gdzie można brać pod uwagę pełny zakres zabezpieczeń. Przystawka Security Templates nie wprowadza nowych parametrów zabezpieczeń, a tylko organizuje wszystkie istniejące atrybuty zabezpieczeń w jednym miejscu, co ułatwia administrowanie zabezpieczeniami. Importowanie szablonu zabezpieczeń do obiektu zasad grupy upraszcza administrowanie domeną, ponieważ wystarczy tylko raz skonfigurować zabezpieczenia dla domeny lub jednostki organizacyjnej. Aby zastosować szablon zabezpieczeń do komputera lokalnego, można użyć przystawki Security configuration and analysis (Konfiguracja i analiza zabezpieczeń) lub narzędzia wiersza polecenia Secedit. Szablony zabezpieczeń mogą być używane do określania następujących obszarów zabezpieczeń: Account Policies (Zasady kont):

2 o Password Policy (Zasady haseł) o Account Lockout Policy (Zasady blokady konta) o Kerberos Policy (Zasady protokołu Kerberos) Local Policies (Zasady lokalne): o Audit Policy (Zasady inspekcji) o User Rights Assignment (Przypisywanie praw użytkownika) o Security Options (Opcje zabezpieczeń) Event Log (Dziennik zdarzeń): Application, system, and security Event Log settings (Ustawienia aplikacji, systemu i dziennika zdarzeń zabezpieczeń) Restricted Groups (Grupy z ograniczeniami): Membership of security-sensitive groups (Członkostwo w grupach zabezpieczeń) System Services (Usługi systemowe): Startup and permissions for system services (Tryby uruchomienia i uprawnienia usług systemowych) Registry (Rejestr): Permissions for registry keys (Uprawnienia do kluczy Rejestru) File System (System plików): Permissions for folders and files (Uprawnienia do folderów i plików) Każdy szablon jest zapisany jako tekstowy plik *.inf. Pozwala to na kopiowanie, wklejanie, importowanie lub eksportowanie niektórych lub wszystkich atrybutów szablonu. W szablonie zabezpieczeń mogą być zawarte wszystkie atrybuty zabezpieczeń z wyjątkiem zasad zabezpieczeń protokołu internetowego i zasad kluczy publicznych. 1.2 Opcje zabezpieczeń (Security Options) W konsoli Local Security Policy Local Policies Security Options znajdują się różne opcje, pogrupowane w poszczególne kategorie. Dla przykładu, można tu wymienić m.in.: Interactive logon: Do not require CTRL+ALT+DEL Logowanie interakcyjne: nie wymagaj naciśnięcia klawiszy CTRL+ALT+DEL Shutdown: Allow system to be shut down without having to log on Zamknięcie: zezwalaj na zamykanie systemu bez konieczności zalogowania 1.3 Prawa użytkowników (User Rights) Administratorzy mogą przypisywać kontom grup lub kontom poszczególnych użytkowników specjalne prawa. Prawa te upoważniają użytkowników do wykonywania określonych działań.. Prawa użytkowników różnią się od uprawnień, ponieważ prawa użytkowników dotyczą kont użytkowników, podczas gdy uprawnienia są dołączone do obiektów. Prawa użytkowników określają ich możliwości na poziomie lokalnym. Chociaż prawa użytkowników można stosować do poszczególnych kont użytkowników, najlepiej administrować nimi przy użyciu grup. Zapewnia to, że użytkownik logujący się jako członek jakiejś grupy automatycznie dziedziczy prawa skojarzone z tą grupą. Przypisywanie praw użytkowników grupom, a nie użytkownikom, upraszcza zadanie administrowania kontami użytkowników. Jeśli wszyscy użytkownicy należący do grupy muszą mieć takie same prawa użytkowników, wystarczy raz przypisać odpowiednie prawa całej grupie, zamiast przypisywać je po kolei wszystkim kontom użytkowników. Prawa użytkowników przypisane grupie są stosowane do wszystkich członków grupy, dopóki pozostają jej członkami. Jeśli użytkownik jest członkiem wielu grup, jego prawa użytkownika kumulują się, co oznacza, że użytkownik ma więcej niż jeden zestaw praw. Jedyna sytuacja, w której prawa przypisane jednej grupie mogą kolidować z prawami przypisanymi innej grupie, występuje w przypadku pewnych praw logowania. W zasadzie prawa użytkownika przypisane jednej grupie nie kolidują z prawami przypisanymi innej grupie. Aby odebrać użytkownikowi prawa, administrator musi go po prostu usunąć z grupy. W takim wypadku użytkownik przestaje mieć prawa przypisane grupie, z której został usunięty. Dla przykładu można przytoczyć prawa do: Access this computer from the network Uzyskiwanie dostępu do tego komputera z sieci Allow log on locally Zezwalaj na logowanie lokalne

3 Change the system time Zmiana czasu systemowego Deny log on locally Odmowa logowania lokalnego 1.4 Uprawniania dla plików i folderów (Permissions for files and folders) UWAGA: Uprawnienia do plików i folderów można ustawiać tylko na dyskach twardych używających systemu plików NTFS. Uprawnienia do plików zawierają następujące opcje: Full Control Pełna kontrola Modify Modyfikacja Read & Execute Odczyt i wykonanie Read Odczyt Write Zapis Uprawnienia do folderów zawierają następujące opcje: Full Control Pełna kontrola Modify Modyfikacja Read & Execute Odczyt i wykonanie List Folder Contents Wyświetlanie zawartości folderu Read Odczyt Write Zapis Każde z wyżej wymienionych uprawnień jest logiczną grupą składającą się z uprawnień specjalnych Specjalne uprawnienia dla plików i folderów (Special permissions for files and folders) Poniżej wyspecyfikowano specjalne uprawnienia dla plików i folderów. Niektóre z nich dotyczą wyłącznie plików i, inne folderów. Traverse Folder/Execute File Przechodzenie przez folder/wykonywanie pliku List Folder/Read Data Wyświetlanie zawartości folderu/odczyt danych Read Attributes Odczyt atrybutów Read Extended Attributes Odczyt atrybutów rozszerzonych Create Files/Write Data Tworzenie plików/zapis danych Create Folders/Append Data Tworzenie folderów/dołączanie danych Write Attributes Zapis atrybutów Write Extended Attributes Zapis atrybutów rozszerzonych Delete Subfolders and Files Usuwanie podfolderów i plików Delete Usuwanie Read Permissions Odczyt uprawnień Change Permissions Zmiana uprawnień Take Ownership Przejęcie na własność 1.5 Uprawniania jawne a dziedziczone (Explicit vs. inherited permissions) Są dwa typy uprawnień: uprawnienia jawne i uprawnienia dziedziczone. Uprawnienia jawne (explicit)są to uprawnienia ustawione domyślnie w wyniku akcji użytkownika związanej z utworzeniem obiektu. Uprawnienia dziedziczone (inherited) to uprawnienia, które zostały propagowane do obiektu z obiektu nadrzędnego. Uprawnienia dziedziczone ułatwiają zarządzanie uprawnieniami i zapewniają spójność uprawnień we wszystkich obiektach z wybranego kontenera. Obiekty tworzone w kontenerze domyślnie dziedziczą uprawnienia z tego kontenera. Na przykład, po utworzeniu folderu MyFolder wszystkie podfoldery i pliki utworzone w folderze MyFolder automatycznie dziedziczą uprawnienia z tego folderu. Dlatego MyFolder ma uprawnienia jawne, podczas gdy wszystkie pliki i podfoldery znajdujące się w nim mają uprawnienia dziedziczone.

4 Uwagi: Odziedziczone uprawnienia Deny (Odmów) nie zapobiegają dostępowi do obiektu, jeżeli obiekt ma jawny wpis uprawnienia Allow (Zezwalaj). Jawne uprawnienia mają wyższy priorytet od uprawnień odziedziczonych, nawet odziedziczonych uprawnień Deny. 1.6 Własność (Ownership) obiektu Każdy obiekt ma właściciela, niezależnie od tego, czy znajduje się na woluminie NTFS czy w usłudze Active Directory. Właściciel kontroluje, w jaki sposób ustawiane są uprawnienia do obiektu i komu uprawnienia takie są nadawane. Ważne: Administrator, który musi naprawić lub zmienić uprawnienia do pliku, musi rozpocząć od przejęcia pliku na własność. W rodzinie systemów Windows Server 2012R2 właścicielem domyślnym jest grupa Administrators. Właściciel może zawsze zmieniać uprawnienia do obiektu, nawet jeśli nie ma do niego żadnego dostępu. Własność może uzyskać: Administrator. Grupa Administrators ma domyślnie przyznane prawo użytkownika Take ownership (Przejęcie na własność) plików lub innych obiektów. Każdy użytkownik i grupa z uprawnieniem Take ownership do danego obiektu. Użytkownik, który ma przywilej Restore files and directories (Przywracanie plików i katalogów). Własność można przenieść w następujący sposób: Aktualny właściciel może przyznać uprawnienie Take ownership innym użytkownikom, pozwalając im przejąć obiekt na własność w dowolnym czasie. Aby dopełnić przekazywania, użytkownik musi rzeczywiście przejąć własność. Własność może przejąć Administrator. Użytkownik, który ma przywilej Restore files and directories (Przywracanie plików i katalogów), może kliknąć dwukrotnie ikonę Other users and groups (Inni użytkownicy i grupy) i wybrać dowolnego użytkownika lub grupę, aby przypisać im własność. 1.7 Ważne wskazówki dotyczące uprawnień i praw użytkowników Uprawnienia jest lepiej przypisywać do grup, a nie do użytkowników Ponieważ bezpośrednie zarządzanie kontami użytkowników jest nieefektywne, przypisywanie praw poszczególnym użytkownikom powinno być wyjątkiem. W szczególnych przypadkach należy użyć uprawnień Deny (Odmów) Odmowy uprawnień należy używać do wyłączenia podzestawu grupy, której przyznano uprawnienia. Odmowy można użyć do wyłączenia szczególnego uprawnienia po przyznaniu użytkownikowi lub grupie pełnej kontroli. Korzystać z szablonów zabezpieczeń Zamiast konfigurować poszczególne uprawnienia, zawsze gdy to możliwe, używać szablonów. Jeżeli to możliwe, unikać wprowadzania zmian w domyślnych wpisach zabezpieczeń obiektów systemu plików, szczególnie folderów systemowych i folderów głównych Zmiana uprawnień domyślnych może spowodować nieoczekiwane problemy z dostępem lub pogorszenie skuteczności zabezpieczeń. Nigdy nie odmawiać dostępu (nie stosować Deny) do obiektu grupie Everyone (Wszyscy) Jeżeli odmówi się uprawnienia do obiektu grupie Everyone, odmówi się go także administratorom. Lepszym rozwiązaniem jest usunięcie grupy Everyone, jeżeli udzieli się uprawnienia do tego obiektu innym użytkownikom, grupom lub komputerom. Przypisywać uprawnienia do obiektu znajdującego się jak najwyżej w drzewie, a następnie zastosować dziedziczenie, aby propagować ustawienia zabezpieczeń w całym drzewie Można szybko i efektywnie stosować ustawienia kontroli dostępu dla wszystkich obiektów podrzędnych lub poddrzewa obiektu nadrzędnego. Dzięki temu można uzyskać największe efekty najmniejszym wysiłkiem.

5 Ustanawiane ustawienia uprawnień powinny być odpowiednie dla większości użytkowników, grup i komputerów. Uwagi: Odziedziczone uprawnienia Deny nie zapobiegają dostępowi do obiektu, jeżeli obiekt ma jawny wpis uprawnienia Allow. Jawne uprawnienia mają wyższy priorytet od uprawnień odziedziczonych, nawet odziedziczonych uprawnień Deny. 1.8 Jaki wpływ na uprawnienia do plików i folderów ma dziedziczenie Po ustawieniu uprawnień (permissions) do folderu nadrzędnego (parent folder) nowe pliki i podfoldery tworzone w folderze dziedziczą te uprawnienia. Aby pliki i podfoldery nie dziedziczyły uprawnień, podczas konfigurowania uprawnień specjalnych do folderu nadrzędnego należy zaznaczyć na liście Apply onto (Zastosuj dla) pozycję This folder only (Tylko ten folder). Aby tylko określone pliki i podfoldery nie dziedziczyły uprawnień, należy kliknąć prawym przyciskiem myszy plik lub podfolder, kliknąć polecenie Properties (Właściwości), kliknąć kartę Security (Zabezpieczenia), kliknąć przycisk Advanced (Zaawansowane), a następnie wyczyścić pole wyboru Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. (Zezwalaj na propagowanie dziedziczonych uprawnień z obiektu nadrzędnego do tego obiektu i wszystkich obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi.). Jeśli pola wyboru są zacieniowane, plik lub folder odziedziczył uprawniania po folderze nadrzędnym. Istnieją trzy sposoby wprowadzania zmian do uprawnień dziedziczonych: - Wprowadzeni zmiany do folderu nadrzędnego, a plik lub folder będzie dziedziczyć te uprawnienia. - Zaznaczenie uprawnienia przeciwnego (Allow or Deny) (Zezwalaj lub Odmów), aby zastąpić uprawnienie dziedziczone. - Wyczyszczenie pole wyboru Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. Następnie można wprowadzać zmiany do uprawnień lub usunąć użytkownika albo grupę z listy uprawnień. Jednak plik lub folder nie będzie już wtedy dziedziczyć uprawnień po folderze nadrzędnym. W większości przypadków uprawnienie Deny (Odmów) zastępuje Allow (Zezwalaj), chyba że folder dziedziczy skonfliktowane ustawienia po różnych obiektach nadrzędnych. W takim przypadku pierwszeństwo ma ustawienie dziedziczone po obiekcie nadrzędnym, znajdującym się najbliżej w poddrzewie. Tylko uprawnienia dziedziczne są dziedziczone przez obiekty podrzędne. Ustawiając uprawnienia do obiektu nadrzędnego, można zdecydować za pomocą listy Apply onto (Zastosuj dla), czy foldery lub podfoldery mogą je dziedziczyć. Uprawnienia użytkownika lub grupy do obiektu można sprawdzić za pomocą Effective Permissions tool (narzędzia Czynne uprawnienia). 1.9 Narzędzie Effective Permissions tool (Czynne uprawnienia) Aby dowiedzieć się, jakie uprawnienia do obiektu ma użytkownik lub grupa, można użyć narzędzia Effective Permissions tool (Czynne uprawnienia). Narzędzie to oblicza uprawnienia udzielane określonemu użytkownikowi lub grupie. W obliczeniach są uwzględniane uprawnienia wykorzystywane dzięki przynależności do grupy oraz odziedziczone po obiekcie nadrzędnym. Podczas obliczeń narzędzie przeszukuje wszystkie grupy domen i grupy lokalne, których członkiem jest dany użytkownik lub grupa. Narzędzie Effective Permissions tool umożliwia uzyskanie tylko przybliżonych danych o uprawnieniach, które posiada użytkownik. Uprawnienia, które rzeczywiście posiada użytkownik, mogą być inne, ponieważ uprawnień można udzielać lub odmawiać na podstawie sposobu logowania użytkownika. Tych informacji dotyczących logowania nie można określić za pomocą Effective Permissions tool, ponieważ użytkownik nie jest zalogowany; dlatego wyświetlane informacje dotyczące czynnych uprawnień odzwierciedlają uprawnienia określone przez użytkownika lub grupę, a nieokreślone w procesie logowania Ustawienia inspekcji obiektów (Auditing settings on objects) Do każdego obiektu (object) jest dołączony zbiór informacji o zabezpieczeniach, nazywany deskryptorem zabezpieczeń (security descriptor). Część deskryptora zabezpieczeń określa grupy i użytkowników, którzy mają dostęp do obiektu, oraz typy praw dostępu (uprawnienia) udzielone tym grupom lub użytkownikom. Ta część

6 deskryptora zabezpieczeń nazywana jest listą poufnej kontroli dostępu Discretionary Access Control List (DACL). Deskryptor zabezpieczeń obiektu zawiera również informacje o inspekcji. Te informacje znane są jako systemowa lista kontroli dostępu System Access Control List (SACL). Systemowa lista kontroli dostępu określa w szczególności: Konta użytkowników i grup, które mają podlegać inspekcji podczas uzyskiwania dostępu do obiektu. Operacje, które mają podlegać inspekcji dla każdej grupy lub dla każdego użytkownika, na przykład modyfikacja pliku. Atrybut Success (Powodzenie) lub Failure (Niepowodzenie) dla każdego zdarzenia dostępu, oparty na uprawnieniach udzielonych każdej grupie i każdemu użytkownikowi na liście DACL obiektu. Inspekcji może podlegać obiekt i poprzez dziedziczenie wszystkie jego obiekty podrzędne. Jeśli na przykład jest prowadzona inspekcja nieudanych prób dostępu do folderu, to zdarzenie inspekcji mogą dziedziczyć wszystkie pliki znajdujące się w folderze. Aby prowadzić inspekcję plików i folderów, trzeba zalogować się jako członek grupy Administratorzy Zasady inspekcji (Auditing policy) Przed zaimplementowaniem zasad inspekcji trzeba wybrać kategorie zdarzeń podlegające inspekcji. Wybrane dla kategorii zdarzeń ustawienia inspekcji definiują zasady inspekcji. Na serwerach członkowskich i stacjach roboczych przyłączonych do domeny ustawienia inspekcji dla kategorii zdarzeń są domyślnie niezdefiniowane. Na kontrolerach domeny inspekcja jest domyślnie wyłączona. Definiując ustawienia inspekcji dla określonych kategorii zdarzeń, można utworzyć zasady inspekcji zgodne z wymaganiami danej organizacji w zakresie zabezpieczeń. Wybrać można następujące kategorie zdarzeń podlegających inspekcji: Audit account logon events - Przeprowadź inspekcję zdarzeń logowania na kontach Audit account management - Przeprowadź inspekcję zarządzania kontami Audit directory service access - Przeprowadź inspekcję dostępu do usługi katalogowej Audit logon events - Przeprowadź inspekcję zdarzeń logowania Audit object access - Przeprowadź inspekcję dostępu do obiektów Audit policy change - Przeprowadź inspekcję zmian zasad Audit privilege use - Przeprowadź inspekcję użycia uprawnień Audit process tracking - Przeprowadź inspekcję śledzenia procesów Audit system events - Przeprowadź inspekcję zdarzeń systemowych