Управление безопасностью служб в Windows Server 2008

Written on . Posted in Windows Server 2008

ОГЛАВЛЕНИЕ

Страница 1 из 4
Практически каждый сервер, который есть в вашей среде, выполняет определенные службы. Эти службы обеспечивают доступ к данным, ресурсам, репликации, приложениям и другим областям функциональности сервера и сети. Если эти службы не защищены, они становятся отличными кандидатами для атак. Когда служба подвергается атаке, на кону стоит доступ к серверу и сети. Возможность саботажа службы также присутствует, что может привести к потерям времени и денег в силу некорректной работы сервера, отвечающего за службы. В Windows Server 2008 компания Microsoft добавила некоторые отличные новые виды контроля над службами. Когда вы сочетаете все виды контроля, предоставленные компанией Microsoft для служб в объектах групповой политике, вы можете быть уверены в том, что ваши службы защищены.

Области защиты служб

Службы по своей сути опасны для ваших серверов и сети в силу того, что они представляют «дыры» в сервере для пользователей, приложений и прочих ресурсов доступа к серверу. Когда дыра слишком большая или служба не защищена, атакующему пользователю может быть обеспечен доступ с привилегиями слишком высокого уровня. Поэтому очень важно обеспечивать защиту служб с тем, чтобы доступ был обеспечен только к той области, для которой предназначена служба.

При оценке того, что нужно защищать, вам необходимо смотреть за пределы основных дыр, которые появляются, и думать о потенциальных атаках, которые могут быть предприняты против служб и связанных с ними параметров. Далее приведен список потенциальных областей, связанных со службами, которые необходимо защищать:

  • Список контроля доступа для службы
  • Режим запуска службы
  • Учетная запись службы
  • Пароль служебной учетной записи службы

Всеми этими связанными с безопасностью областями теперь можно управлять с помощью групповой политики в Windows Server 2008/Vista.

Доступ к объектам групповой политики (GPO)

Чтобы вы смогли полностью воспользоваться всеми преимуществами параметров, обсуждаемых в этой статье, вам нужно запустить следующие элементы в своей сети:

  • Контроллер домена Windows Server 2008
  • Windows Vista SP1, с установленным инструментом Remote Server Administrative Tools, работающим в домене Windows Active Directory

Как только у вам запущен один из этих компьютеров, вы можете использовать консоль управления групповой политикой для управления и редактирования объектов групповой политики на этом компьютере. Вы не сможете просматривать новые параметры с другого компьютера, на котором не запущены вышеперечисленные компоненты.

форум windows server