[ Pobierz całość w formacie PDF ]
.Tak to już jestMożemy znaleźć siÄ™ w sytuacji, w której bÄ™dziemy chcieli dopasować obecny system zabezpieczeÅ„ do potrzeb Å›rodowiska o wysokim poziomie bezpieczeÅ„stwa, albo też po prostu ograniczyć wÅ‚adzÄ™ administratorów.Niestety w wiÄ™kszoÅ›ci przypadków okaże siÄ™ to niemożliwe (lub wyjÄ…tkowo trudne), ponieważ wiÄ™kszość co bardziej delikatnych praw i uprawnieÅ„ do zarzÄ…dzania systemem operacyjnym może być kontrolowanych jedynie za pomocÄ… grup wbudowanych i wstÄ™pnie zdefiniowanych.Przy tym Windows 2000 nie pozwoli nam tego zmienić w żaden sposób — problem pochodzi od faktu przydzielenia na staÅ‚e mnóstwa zabezpieczeÅ„ do grupy lokalnej Administratorzy w serwerach (do której domyÅ›lnie należą Administratorzy domeny i Administratorzy firmy) oraz klientach.Wobec tego w wiÄ™kszoÅ›ci przypadków możemy albo przyznać danemu administratorowi mnóstwo przywilejów, albo ograniczyć je do stopnia, w którym traci to sens.Jedynym wiÄ™kszym wyjÄ…tkiem jest tu usÅ‚uga Active Directory, w której możemy dopasowywać zabezpieczenia niemal dowolnie za pomocÄ… funkcji Delegowania administracji (lub usuwania wstÄ™pnie zdefiniowanych uprawnieni przydzielonych różnym grupom).DomyÅ›lnie, grupie globalnej (lub uniwersalnej) Administratorzy firmy przyznana jest peÅ‚na kontrola nad caÅ‚Ä… domenÄ… i konfiguracjÄ… kontekstów nazewniczych.Lecz grupy Administratorzy i Administratorzy domeny również w tych dwóch kontekstach dysponujÄ… dużą wÅ‚adzÄ…, nie obejmujÄ…cÄ… jedynie peÅ‚nej kontroli i — w wiÄ™kszoÅ›ci przypadków — praw do usuwania.KolejnÄ… nowÄ… funkcjÄ… jest przystawka Konfiguracja i analiza zabezpieczeÅ„, dajÄ…ca możliwość porównania ustawieÅ„ zabezpieczeÅ„ komputera z danym szablonem zabezpieczeÅ„, przeglÄ…dania wyników i rozwiÄ…zywania wszelkich rozbieżnoÅ›ci wykrytych podczas analizy.Wprowadzenie do zestawu narzÄ™dzi konfiguracji zabezpieczeÅ„Podstawowym zadaniemzestawu narzÄ™dzi konfiguracji zabezpieczeÅ„jest udostÄ™pnienie pojedynczego punktu do administracji zabezpieczeÅ„ systemu opartego na Windows 2000.Aby speÅ‚nić to zadanie, zestaw narzÄ™dzi pozwala administratorom:lKonfigurować zabezpieczenia dla jednego lub wielu komputerów Windows 2000.llDokonywać analiz zabezpieczeÅ„ dla jednego lub wielu komputerów Windows 2000.llWykonywać powyższe dwa zadania ze zintegrowanego i jednorodnego narzÄ™dzia.lProces konfigurowania zabezpieczeÅ„ w sieci opartej na Windows 2000 może być dość przytÅ‚aczajÄ…cy z uwagi na ilość zaangażowanych skÅ‚adników systemu i wymaganego poziomu zmian.Wobec tego zestaw narzÄ™dzi konfiguracji zabezpieczeÅ„ jest zaprojektowany tak, by umożliwić konfigurowanie w skali makro.Inaczej mówiÄ…c, zestaw narzÄ™dzi konfiguracji zabezpieczeÅ„ pozwala na zdefiniowanie kilku ustawieÅ„ zabezpieczeÅ„ i ich implementowanie w tle.W ten sposób można zgrupować i zautomatyzować zadania konfiguracji dla jednego lub kilku komputerów Windows 2000.Co ważne, ten zestaw narzÄ™dzi nie zostaÅ‚ zaprojektowany z myÅ›lÄ… o zastÄ…pieniu istniejÄ…cych narzÄ™dzi systemowych, zajmujÄ…cych siÄ™ różnymi aspektami bezpieczeÅ„stwa systemu.Zamiast tego, jego zadaniem jest uzupeÅ‚nienie tych narzÄ™dzi przez zdefiniowanie mechanizmu, który jest w stanie zinterpretować standardowy plik konfiguracyjny i wykonać czynnoÅ›ci niezbÄ™dne do automatycznego skonfigurowania ustawieÅ„ zabezpieczeÅ„ w tle.Administratorzy mogÄ… dalej korzystać z istniejÄ…cych narzÄ™dzi (lub ich nowszych wersji) w celu zmiany pojedynczych ustawieÅ„ zabezpieczeÅ„, gdy tylko zajdzie potrzeba.Aby zapeÅ‚nić lukÄ™ w analizie zabezpieczeÅ„, istniejÄ…cÄ… gdy używamy tradycyjnych narzÄ™dzi do zarzÄ…dzania zabezpieczeniami, zestaw narzÄ™dzi udostÄ™pnia analizÄ™ zabezpieczeÅ„ w skali mikro.Zestaw narzÄ™dzi jest zaprojektowany, aby udostÄ™pniać informacje o wszelkich zwiÄ…zanych z bezpieczeÅ„stwem aspektach systemu, oraz by pozwolić administratorom zabezpieczeÅ„ na przeglÄ…danie informacji i zarzÄ…dzanie ryzykiem zabezpieczeÅ„ dla caÅ‚ego Å›rodowiska systemowego lub jego podzbioru.UwagaMicrosoft obiecaÅ‚, iż funkcje analizy w przyszÅ‚ej wersji zestawu narzÄ™dzi konfiguracji zabezpieczeÅ„ bÄ™dÄ… pozwalać na tworzenie raportów i dokonywanie specjalizowanych zapytaÅ„.Zestaw narzÄ™dzi skÅ‚ada siÄ™ z poniższych skÅ‚adników:lUsÅ‚uga konfiguracji zabezpieczeÅ„ — centralny mechanizm zestawu narzÄ™dzi konfiguracji zabezpieczeÅ„, dziaÅ‚ajÄ…cy w każdym systemie Windows 2000 i odpowiedzialny za wszelkÄ… funkcjonalność konfiguracji i analizy zabezpieczeÅ„ udostÄ™pnianÄ… przez zestaw narzÄ™dzi.llZabezpieczenie instalacji — dokonuje wstÄ™pnej konfiguracji zabezpieczeÅ„ podczas instalacji, korzystajÄ…c ze wstÄ™pnie zdefiniowanych konfiguracji dostarczanych z systemem.Tworzona jest w ten sposób w każdym komputerze z czystÄ… instalacjÄ… Windows 2000 wstÄ™pna baza danych zabezpieczeÅ„ — tzw.baza danych Lokalnych zasad komputera.llSzablony zabezpieczeÅ„ — ta autonomiczna przystawka MMC pozwala na definiowanie niezależnych od komputera konfiguracji zabezpieczeÅ„ (szablonów zabezpieczeÅ„), zapisywanych w tekstowych plikach INF.llKonfiguracja i analiza zabezpieczeÅ„ — ta autonomiczna przystawka MMC pozwala na zaimportowanie jednej lub wiÄ™cej zapisanych konfiguracji do bazy danych zabezpieczeÅ„ (może niÄ… być baza danych Lokalnych zasad komputera lub dowolna prywatna baza danych).Przez importowanie konfiguracji budowana jest baza danych zabezpieczeÅ„ okreÅ›lonego komputera, przechowujÄ…ca zÅ‚ożonÄ… konfiguracjÄ™.Można zastosować zÅ‚ożonÄ… konfiguracjÄ™ do komputera, jak również przeanalizować bieżącÄ… konfiguracjÄ™ systemu w porównaniu z zÅ‚ożonÄ… konfiguracjÄ… zapisanÄ… w bazie danych.llRozszerzenie Zasad grup - Ustawienia zabezpieczeÅ„ — to narzÄ™dzie MMC stanowi rozszerzenie przystawki MMC Zasady grup i pozwala na definiowanie konfiguracji zabezpieczeÅ„ jako części GPO.lOprócz tego zestaw narzÄ™dzi zawiera narzÄ™dzie wiersza poleceÅ„ Secedit.exe, które pozwala administratorom uruchamiać konfiguracjÄ™ i analizÄ™ w skryptach [ Pobierz caÅ‚ość w formacie PDF ]