Меню

Windows 2003 настройки безопасности

Настройка фильтрации TCP/IP в Windows Server 2003

В этой статье описывается настройка фильтрации TCP/IP на компьютерах с Microsoft Windows 2003.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 816792

Аннотация

Компьютеры под управлением Windows 2003 поддерживают несколько методов управления входным доступом. Один из самых простых и наиболее мощных методов управления входным доступом — использование функции фильтрации TCP/IP. Фильтрация TCP/IP доступна на всех компьютерах с Windows 2003.

Фильтрация TCP/IP помогает в обеспечении безопасности, так как она работает в режиме ядра. Другие методы управления входным доступом к компьютерам под управлением Windows 2003, например с помощью фильтра политики IPSec и сервера маршрутизации и удаленного доступа, зависят от процессов пользовательского режима или рабочих станций и серверов.

Вы можете использовать схему управления входным доступом TCP/IP с помощью фильтрации TCP/IP с фильтрами IPSec и фильтрацией пакетов маршрутов и удаленного доступа. Этот подход особенно полезен, если вы хотите контролировать как входящий, так и исходящие доступ по TCP/IP, так как только безопасность TCP/IP контролирует только входящий доступ.

Фильтрация TCP/IP может фильтровать только входящий трафик и не может блокировать сообщения ICMP (Протокол сообщений управления интернетом), независимо от параметров, настроенных в столбце «Разрешить только IP-протоколы» или если вы не разрешаете протокол 1. Используйте политики IPSec или фильтрацию пакетов, если вам требуется дополнительный контроль над исходящие доступ.

Рекомендуется использовать мастер настройки электронной почты и подключения к Интернету на компьютерах на основе SBS 2003 с двумя сетевыми адаптерами, а затем включить параметр брандмауэра, а затем открыть необходимые порты на внешнем сетевом адаптере. Для получения дополнительных сведений о мастере настройки электронной почты и подключения к Интернету выберите «Начните» и выберите «Справка и поддержка». В поле поиска введите «Настройка электронной почты и мастера подключения к Интернету» и выберите «Начать поиск». Сведения о мастере настройки электронной почты и подключения к Интернету можно найти в списке результатов «Разделы о малом бизнес-сервере».

Настройка безопасности TCP/IP в Windows Server 2003

Чтобы настроить безопасность TCP/IP:

Выберите «Начните», «На панели управления»,«Сетевые подключения» и выберите подключение к локальной сети, которое нужно настроить.

В диалоговом окне «Состояние подключения» выберите «Свойства».

Выберите протокол Интернета (TCP/IP) и выберите «Свойства».

В диалоговом окне «Свойства TCP/IP» выберите «Дополнительные».

Выберите Параметры.

В области «Необязательные параметры» выберите фильтр TCP/IP, а затем выберите «Свойства».

Щелкните, чтобы включить TCP/IP-фильтрацию (все адаптеры).

При выборе этого фильтра включается фильтрация для всех адапторов, но фильтры настраиваются отдельно для каждого адаптера. Одинаковые фильтры применяются не для всех адапторов.

В диалоговом окне «Фильтрация TCP/IP» есть три раздела, в которых можно настроить фильтрацию для TCP-портов, портов UDP и интернет-протоколов. Для каждого раздела настройте параметры безопасности, соответствующие компьютеру.

При активации разрешения «Все» разрешается все пакеты для трафика TCP или UDP. Разрешить только позволяет разрешить только выбранный трафик TCP или UDP, добавив разрешенные порты. Чтобы указать порты, используйте кнопку «Добавить». Чтобы заблокировать весь трафик UDP или TCP, выберите «Только разрешение», но не добавляйте номера портов в столбце «Порты UDP» или «Порты TCP». Трафик UDP или TCP нельзя заблокировать, выбрав «Разрешить только для ip-протоколов» и исключив протоколы IP 6 и 17.

Настройка безопасности TCP/IP в Windows Small Business Server 2003

Чтобы настроить фильтрацию TCP/IP, выполните следующие действия.

Для выполнения этой процедуры необходимо быть членом группы администраторов или группы «Операторы конфигурации сети» на локальном компьютере.

Выберите «Начните» и выберите пункт «Панель управления», щелкните правой кнопкой мыши «Сетевые подключения» и выберите «Открыть».

Щелкните правой кнопкой мыши сетевое подключение, в котором необходимо настроить управление входным доступом, а затем выберите «Свойства».

Under adaptorName Connection Properties on the General tab, select Internet Protocol (TCP/IP), and then select Properties.

В диалоговом окне «Свойства TCP/IP» выберите «Дополнительные».

Выберите вкладку «Параметры».

Выберите фильтр TCP/IP, а затем выберите «Свойства».

Щелкните, чтобы включить TCP/IP-фильтрацию (все адаптеры).

При выборе этого фильтра включается фильтрация для всех адапторов. Однако конфигурация фильтра должна быть завершена на каждом адаптере. Если включена фильтрация TCP/IP, вы можете настроить каждый адаптер, выбрав параметр «Разрешить все», или разрешить прием входящие подключения только для определенных протоколов IP, TCP-портов и портов UDP .Datagram Protocol. Например, если включить фильтрацию TCP/IP и настроить внешний сетевой адаптер для разрешения только порта 80, это позволит внешнему сетевому адаптеру принимать только веб-трафик. Если для внутреннего сетевого адаптера также включена фильтрация TCP/IP, но выбран параметр «Разрешить все», это обеспечивает неограниченное взаимодействие на внутреннем сетевом адаптере.

Читайте также:  Не форматирует диск во время установки windows

В области фильтрации TCP/IP есть три столбца со следующими метами:

В каждом столбце необходимо выбрать один из следующих параметров:

  • Разрешить все. Выберите этот параметр, если необходимо разрешить все пакеты для трафика TCP или UDP.
  • Разрешить только. Выберите этот параметр, если необходимо разрешить только выбранный трафик TCP или UDP, выберите «Добавить», а затем введите соответствующий порт или номер протокола в диалоговом окне «Добавление фильтра». Трафик UDP или TCP нельзя заблокировать, выбрав «Разрешить только» в столбце «Протоколы IP», а затем добавив ip-протоколы 6 и 17.

Сообщения ICMP блокировать нельзя, даже если в столбце «Протоколы IP» выбрано разрешение «Разрешить» и не включен протокол IP 1.

Фильтрация TCP/IP может фильтровать только входящий трафик. Эта функция не влияет на исходящие трафик и порты ответа TCP, созданные для принятие ответов от исходящие запросы. Используйте политики IPSec или маршрутику и фильтрацию пакетов удаленного доступа, если требуется дополнительный контроль над исходяным доступом.

Если выбрать «Разрешить только в портах UDP», «TCP-порты» или в столбце «Протоколы IP», а списки будут оставлены пустыми, сетевой адаптер не сможет взаимодействовать ни с чем по сети, ни локально, ни с Интернетом.

Ссылки

Дополнительные сведения о номерах портов TCP и UDP см. в реестре имен служб и номеров портов транспортного протокола.

Windows 2003 настройки безопасности

Общие обсуждения

Дано: 1. Резервный контроллер домена под управлением свежеустановленного Windows 2003 R2 server standart RUS
2. При включении брандмауэра блокируется репликация Актив Директори

Задача: Обеспечить безопасность сервера без потери его функционала

Решение:
1. На рабочем столе имеется ярлык «Мастер настройки безопасности», ознакомился с ним и создал политику безопасности
2. Применить созданную политику не удается

Хронология неудачного применения
из журнала приложений 1. Источник SCW: Создание отката завершено успешно. Созданный файл отката C:\WINDOWS\security\msscw\RollbackFiles\Policy1.xml
2. Источник EAPOL: Не найдено описание для события с кодом ( 2003 ) в источнике ( EAPOL ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания.
3. Источник EAPOL: Не найдено описание для события с кодом ( 2002 ) в источнике ( EAPOL ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания.
4. Источник EventSystem: Системе событий COM+ не удалось создать копию подписчика . StandardCreateInstance было возвращено значение HRESULT 80070422.
5. Источник EventSystem: Система событий COM+ попыталась запустить событие EventObjectChange::ChangedSubscription, однако получила обратно неверный код возврата. Значение HRESULT: 80040201.
6. Источник SCW: Не удалось выполнить настройку. Дополнительные сведения содержатся в C:\WINDOWS\security\msscw\Logs\Configure.xml

Ниже привожу фрагмент содержимого файла C:\WINDOWS\security\msscw\Logs\Configure.xml содержащий сообщения об ошибках

Имя расширенияMicrosoft.OS.Services
14.04.2009 17:24:29 0 Начало настройки
14.04.2009 17:25:00 0x80070005 Ошибка при настройке C:\ WINDOWS\security\msscw\ConfigureFiles\Services.inf Отказано в доступе.
14.04.2009 17:25:00 0 Завершение настройки
14.04.2009 17:25:00 0x80070005 Не удалось завершить обработку расширения: Microsoft.OS.Services Отказано в доступе.

Второй день не могу найти решения.
Помогите разобрать ошибки, остальное я сделаю сам 🙂

Изучаем безопасность Windows 2003: Настройка защиты на основе прав доступа кода

Предыдущая статья этой серии описывала принципы работы .NET Framework. Эта информация будет служить в качестве отправной точки для обсуждения защиты на основе прав доступа кода (code access security), основанного на функциональных возможностях, предоставляемых общеязыковой исполняющей средой (CLR, Common Language Runtime). Поэтому, если вы пока не знакомы с .NET Framework, я настоятельно рекомендую вам прочесть предыдущую статью.

Будучи основанной на CLR, защита по правам доступа кода возможна только для управляемых приложений (то есть приложений, написанных в соответствии со спецификациями .NET). Несмотря на то, что стандартные приложения Windows исполняются в контексте безопасности запустившего их пользователя, уровень привилегий, предоставляемых приложению .NET, является настраиваемым. Ресурсы компьютера могут быть защищены не только от атак злоумышленников, то также от потенциальных ошибок или уязвимостей в их коде. Архитектура защиты на основе прав доступа кода концептуально основана на двух главных компоновочных блоках:

  • Наборе разрешений. Набор разрешений — это коллекция отдельных разрешений на различных ресурсах компьютера, определяющая, какой код может получать доступ к ним (например, предоставление доступа read-only к определенному ключу реестра).
  • Группе кода. Группа кода — это списки критериев (называемых условиями членства), оцениваемые по отношению к исполняемому коду и набор разрешений, назначаемый коду, который соответствует этим критериям.

Когда пользователь запускает выполнение программы (или файла, называемого в мире .NET сборкой (assembly)), CLR сначала проверяет ее код на ошибку переполнения буфера (ее присутствие создает уязвимость и потенциальную угрозу вторжения). Кроме того, CLR проходит через стадию верификации, в ходе которой анализирует цифровую подпись создателя, назначаемую коду для проверки, было ли данное приложение изменено с момента его выхода.

Если обе проверки приводят к удовлетворительным результатам, то CLR проверяет другие свойства приложения, такие как его происхождение (зона, сайт или системный путь файла) и характеристики кода (хэш, издатель или строгое имя (strong name)). Этот этап часто описывается как «сбор признаков» (evidence gathering).

Затем этот код сравнивается с группами кода, настроенными для локального компьютера. Наборы разрешений, связанных с каждой группой, определяют, какой тип действий приложению разрешается выполнять.

Наборы разрешений и группы кода конфигурируются через инструмент .NET Framework Configuration tool, доступный из меню Administrative Tools в Windows Server 2003 (и на других платформах Windows, если на них установлен .NET framework). Он реализован как часть оснастки Microsoft Management Console и содержит следующие узлы в панели дерева (в левой части окна):

  • Assembly cache (кэш сборки) предлагает опцию просмотра содержания глобального кэша сборок (GAC, Global Assembly Cache) и добавления к нему новых сборок. GAC расположен в папке Windows\Assembly и хранит совместно используемые сборки, являющиеся кусочками кода, которые могут использоваться многими приложениями .NET. (Кэш сборок служит функциональным эквивалентом папки Windows\ System32, хранящей совместно используемые файлы Win32 DLL (Dynamic Link Library). Сборки в этом хэше реализованы либо в виде DLL-, либо ЕХЕ-файлов).
  • Configure assemblies (конфигурирование сборок) позволяет задавать два типа политик любой сборке (включая сборки, расположенные не на локальном компьютере).

  1. Binding Policy (связанная политика) определяет версию сборки, которая должна использоваться при помощи соотнесения версии запроса приложения .NET с одним из CLR-провайдеров. Это гарантирует, что будет применена только апробированная версия (например, MyAssembly версии 1.1.1.1 будет перенаправляться на MyAssembly версии 1.2.2.2).
  2. Codebases Policy (политика, основанная на коде) определяет расположение сборок, которые должны использоваться. Чтобы добиться этого, версия, запрашиваемая приложением .NET, ставится в соответствие определенному расположению в формате URI (uniform resource identifier) (например, запрос MyAssembly версии 1.1.1.1 будет перенаправляться на Web-сайт http://www.myassemblies.com или папку file:///c:\MyAssemblies на локальном диске).
  • Remoting Services (удаленные службы) предоставляет возможность изменять свойства каналов, используемых для коммуникации между локальными приложениями и удаленными службами.
  • Runtime Security Policies (Политики безопасности периода исполнения) содержит настройки для настройки защиты на основе прав доступа кода (именно это нас и интересует). Этот узел разделен на три подузла, представляющие уровни политики.
    1. Enterprise Level (уровень предприятия): предназначен для политик уровня предприятия и сохраняется по умолчанию в файле enterprisesec.config , расположенном в подкаталоге config каталога, в который установлен .NET Framework (как правило это WINDOWS\Microsoft.NET\Framework). Ясно, что если вы попытаетесь применить эту политику ко всей вашей организации, то нужно обеспечить, чтобы данный файл был совместим со всеми системами. Это может быть легко достигнуто с помощью создания пакета .MSI в мастере Deployment Package Wizard (являющегося частью .NET Framework Configuration tool, доступ к которому можно получить из задачи Create Deployment Package в узле Active Directory Group Policy) и развертывания его на всех целевых системах с помощью Active Directory Group Policy или другого метода развертывания. Обратите внимание на то, что Package Deployment Wizard может быть также использован для развертывания политик отдельно для пользователей или компьютеров.
    2. Machine Level (уровень компьютера) применяется на локальном компьютере. Он хранится в файле security.config , расположенном в том же подкаталоге config , что и файл enterprisesec.config .
    3. User Level (уровень пользователя) применяется к текущим зарегистрировавшимся пользователям. Он хранится в файле security.config , расположенном в папке Applications Data\Microsoft\CLR Security Config в профиле пользователя.

    Политика безопасности оценивается исходя из политик защиты на основе прав доступа кода на каждом из уровней, начиная с уровня организации и заканчивая уровнем пользователя. Эти настройки оцениваются независимо и взаимодействуют таким образом, что применяются более ограничивающая из всех трех. Однако, есть возможность, настроить политики более высокого уровня (на отдельном уровне Code Group) с тем, чтобы предотвратить применение политик более низкого уровня (используя опции, доступные на вкладке General диалогового окна Properties для группы кода).

    .NET Framework также включает уровень политики Application Domain , который может конфигурироваться только через код (и недоступен в инструменте .NET Framework Configuration tool).

    Каждый уровень политики, в свою очередь, содержит три подузла, определяющие конфигурационные настройки:

    1. Code Groups (Группы кода) , каждая из которых состоит из имени, условий членства и набора разрешений, назначенных ей. Число различных типов условий членства включаю как происхождение кода (каталог приложения, сайт, URL или зона), так и свойства кода (хэш, издатель или строгое имя). Также возможно определить пользовательские условия членства (импортируемые из файлов формата XML). Условия членства сравниваются со значениями, собранными в ходе стадии «сбора признаков» после того, как было запущено управляемое приложение. Если свойства приложения совпадают с критериями, определенными для некоторой группы, то этому приложению назначается набор разрешений, связанный с данной группой кода. Обратите внимание на то, что инструмент .NET Framework Configuration tool содержит следующие предварительно установленные наборы разрешений:
      • FullTrust (полное доверие) дает неограниченный доступ ко всем ресурсам (включая возможность пропускать этап верификации);
      • SkipVerification (пропуск верификации) пропускает начальный процесс верификации (в ходе которого анализируются цифровые подписи);
      • Execution (выполнение) дает право на исполнение кода.
      • Nothing (ничего) отменяет все привилегии, включая исполнение;
      • LocalIntranet (локальная сеть) содержит права по умолчанию, обычно назначаемые локальным сетевым приложениям;
      • Internet (Интернет) содержит права по умолчанию, обычно назначаемые приложениям Интернета;
      • Everything (все) дает неограниченный доступ ко всем ресурсам (но не позволяет пропускать процесс верификации).

    Также вы можете создавать ваши собственные наборы разрешений с большей гранулированностью, включающие (но не ограниченные этим) просмотр только определенных областей служб каталога, препятствующие доступу к DNS, разрешающие выполнять аудит журналов событий, дающие доступ с правами read или write к переменным среды, контролирующие, какие файлы или папки являются перезаписываемыми, определяющими, какие диалоговые окна (например, Open или Save) используются и какие ключи реестра можно читать.

  • Policy Assemblies (сборки политики) перечисляют файлы сборок, используемые для реализации различных политик безопасности. Нет необходимости выполнять какие-либо изменения в этом узле, если только вы не реализуете пользовательские разрешения или пользовательские условия членства.
  • Applications (приложения) позволяют вам настраивать управляемые приложения, установленные на локальной системе. Вы можете, например, изменить свойства сборки мусора или установить путь поиска дополнительных сборок, просмотреть зависимости сборки, изменить связанную политику и лежащий в основе код сборки, совместно используемый приложением или изменить настройки удаленных служб.

    Как видите, новые опции, введенные в .NET framework, предлагают громадную гибкость в обеспечении безопасности управляемых приложений. Как обычно, с этим связана и оборотная сторона, связанная, в данном случае, с увеличением административных усилий и уровня сложности.

    Магазин программного обеспеченияWWW.ITSHOP.RU
    Symantec Endpoint Protection Small Business Edition, Initial Hybrid Subscription License with Support, 1-24 Devices 1 YR
    Антивирус ESET NOD32 SMALL Business Pack renewal for 10 user. Электронный ключ
    TeeGrid VCL/FMX Source Code single license
    Traffic Inspector GOLD 5 Учетных записей
    Dr.Web Security Space, продление лицензии на 1 год, 1 ПК
    Другие предложения.
    Курсы обученияWWW.ITSHOP.RU
    • Atlassian JIRA — система управления проектами и задачами
    • Методология анализа и моделирования бизнес-процессов и информационных систем с использованием инструментария Oracle Business Process Architect
    • Управление требованиями с использованием IBM Rational DOORS
    Другие предложения.
    Магазин сертификационных экзаменовWWW.ITSHOP.RU
    • Enterprise Mobility Essentials for Sales Engineers
    • Delivering Cntinus Value w/Visl Stdio 2012 App Lfcycle Mgmt
    • IBM Security Access Manager V9.0 Deployment
    Другие предложения.
    3D Принтеры | 3D ПечатьWWW.ITSHOP.RU
    Другие предложения.

    «Наличие сертификата MCSE для нас обязательно. Мы не рассматриваем кандидатов на позиции, если они не прошли сертификацию. Сейчас все наши специалисты сертифицированы. Возможность показать все сертифицированных специалистов в компании — прекрасный способ показать нашу техническую квалификацию для клиентов и партнеров. «

    «Предлагая новый проект, иногда достаточно просто указать, сколько специалистов в компании имеют сертификат MCSD, чтобы подчеркнуть насколько серьезно Compaq проводит техническую экспертизу.»

    Советы по настройке компьютера © 2021
    Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.

    Adblock
    detector
    Поиск сертификаций
    Мнение профессионалов