|
ВведениеВ предыдущих статьях данного цикла вы научились эффективно использовать функционал локальных политик безопасности, что позволяет максимально защитить инфраструктуру вашей организации от атак недоброжелателей извне, а также от большинства действий некомпетентных сотрудников. Вы уже знаете как можно эффективно настроить политики учетных записей, которые позволяют управлять сложностью паролей ваших пользователей, настраивать политики аудита для последующего анализа аутентификации ваших пользователей в журнале безопасности. Помимо этого вы научились назначать права для ваших пользователей для избегания нанесения ущерба своей системе и даже компьютерам в вашей интрасети, а также знаете как можно эффективно настроить журналы событий, группы с ограниченным доступом, системные службы, реестр и файловую систему. В этой статье мы продолжим изучение локальных политик безопасности, и вы узнаете о настройках безопасности проводных сетей для вашего предприятия. В серверных операционных системах компании Microsoft, начиная с Windows Server 2008, появился компонент политик проводной сети (IEEE 802.3), который обеспечивает автоматическую конфигурацию для развертывания услуг проводного доступа с проверкой подлинности IEEE 802.1X для сетевых клиентов Ethernet 802.3. Для реализации параметров безопасности проводных сетей средствами групповых политик, в операционных системах используется служба проводной автонастройки (Wired AutoConfig – DOT3SVC). Текущая служба отвечает за проверку подлинности IEEE 802.1X при подключении к сетям Ethernet при помощи совместимых коммутаторов 802.1X, а также управляет профилем, используемого с целью настройки сетевого клиента для доступа с проверкой подлинности. Также стоит отметить, что если вы будете использовать данные политики, то желательно запретить пользователям вашего домена изменять режим запуска данной службы. Настройка политики проводной сетиЗадать настройки политики проводных сетей вы можете непосредственно из оснастки «Редактор управления групповыми политиками». Для того чтобы настроить данные параметры, выполните следующие действия: - Откройте оснастку «Редактор управления групповыми политиками» и в дереве консоли выберите узел «Политики проводной сети (IEEE 802.3)», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Создание новой политики проводных сетей для Windows Vista и более поздних версий», как показано на следующей иллюстрации:
Увеличить рисунок
Рис. 1. Создание политики проводной сети - В открывшемся диалоговом окне «Новая политика для проводных сетей Properties», на вкладке «Общие», вы можете задать применение службы автонастройки проводных сетей для настройки адаптеров локальных сетей для подключения к проводной сети. Помимо параметров политики, которые распространяются на операционные системы Windows Vista и более поздние, существуют некоторые опции, которые будут применяться только к операционным системам Windows 7 и Windows Server 2008 R2. На этой вкладке вы можете выполнять следующие действия:
- Имя политики. В этом текстовом поле вы можете задавать наименование для вашей политики проводной сети. Имя политики вы сможете увидеть в области сведений узла «Политики проводной сети (IEEE 802.3)» оснастки «Редактор управления групповыми политиками»;
- Описание. Данное текстовое поле предназначено для заполнения подробного описания назначения политики проводной сети;
- Использовать службу автонастройки проводных сетей Windows для клиентов. Данная опция выполняет реальную настройку и подключает клиентов к проводной сети 802.3. Если отключить эту опцию, то операционная система Windows не будет контролировать проводное сетевое подключение и параметры политики действовать не будут;
- Запретить использование общих учетных данных пользователя для проверки подлинности сети. Этот параметр определяет, следует ли пользователю запрещать хранить общие учетные данные пользователя для проверки подлинности сети. Локально вы можете изменять данный параметр при помощи команды netsh lan set allowexplicitcreds;
- Включить период блокировки. Эта настройка определяет, следует ли запрещать компьютеру автоматически подключаться к проводной сети на протяжении указанного вами количества минут. По умолчанию указано 20 минут. Настраивается период блокировки в диапазоне от 1 до 60 минут.
На следующей иллюстрации отображена вкладка «Общие» политики проводной сети:
Рис. 2. Вкладка «Общие» диалогового окна параметров политики проводной сети - На вкладке «Безопасность» предоставлены параметры конфигурации метода проверки подлинности и режима проводного подключения. Вы можете настраивать следующие параметры безопасности:
На следующей иллюстрации отображена вкладка «Безопасность» данного диалогового окна: Рис. 3. Вкладка «Безопасность» диалогового окна параметров политики проводной сети Свойства режимов проверки подлинностиКак говорилось в предыдущем разделе, для обоих методов проверки подлинности есть дополнительные настройки, которые вызываются по нажатию на кнопку «Свойства». В этом разделе рассмотрим все возможные настройки для методов проверки подлинности. Настройки метода проверки подлинности «Microsoft: Защищенные EAP (PEAP)»EAP (Extensible Authentication Protocol, Расширяемый Протокол Аутентификации) – это расширяемая инфраструктура аутентификации, которая определяет формат посылки. Для настройки данного метода проверки подлинности доступны следующие параметры: Диалоговое окно свойств защищённого EAP отображено на следующей иллюстрации: Рис. 5. Диалоговое окно свойств защищённого EAP Настройки метода проверки подлинности «Смарт-карты или другой сертификат – настройки EAP-TLS»Для настройки данного метода проверки подлинности существуют следующие параметры: - При подключении использовать мою смарт-карту. Если вы установите переключатель на данную позицию, то клиенты, выполняющие запросы проверки подлинности, будут представлять сертификат смарт-карты для сетевой проверки подлинности;
- При подключении использовать сертификат на этом компьютере. При выборе этой опции, при проверке подключения клиентов будет использоваться сертификат, расположенный в хранилище текущего пользователя или локального компьютера;
- Использовать выбор простого сертификата. Эта опция позволяет операционной системе Windows отфильтровывать сертификаты, которые не соответствуют требованиям проверки подлинности;
- Проверять сертификат сервера. Данная опция позволяет задавать проверку сертификата сервера, который предоставляется на клиентские компьютеры на наличие валидной не просроченной подписи, а также наличие доверенного корневого центра сертификации, который выдал сертификат данному серверу
- Подключаться к серверам. Эта опция идентична одноименной опции, о которой рассказывалось в предыдущем разделе;
- Доверенные корневые центры сертификации. Также как и в диалоговом окне свойств защищенного EAP, в этом списке вы можете найти все доверенные корневые центры сертификации, которые установлены в хранилищах сертификата пользователя и компьютера;
- Не запрашивать пользователя авторизовать новые серверы или доверенные Центры Сертификации. Установив флажок для этой опции, при наличии неправильно настроенного сертификата сервера или присутствующего в списке для пользователя, не будет отображаться диалоговое окно с предложением авторизации такого сертификата. По умолчанию эта опция отключена;
- Использовать для подключения другое имя пользователя. Этот параметр определяет, нужно ли использовать для проверки подлинности имя пользователя, отличное от имени пользователя в сертификате. При включенной опции использования другого имени пользователя вам необходимо выбрать как минимум один сертификат из списка доверенных корневых центров сертификации.
Диалоговое окно настроек смарт-карт или других сертификатов отображено на следующей иллюстрации: Рис. 6. Диалоговое окно настроек смарт-карт или других сертификатов Если вы не уверены в выбираемом вами сертификате, то нажав на кнопку «Просмотреть сертификат» сможете просмотреть все подробные сведения о выбранном сертификате, как показано ниже: Рис. 7. Просмотр сертификата из списка доверенных корневых центров сертификации Дополнительные параметры безопасности политики проводных сетейВы наверняка обратили внимание на то, что на вкладке «Безопасность» диалогового окна настроек политики проводной сети присутствуют еще дополнительные параметры безопасности, предназначенные для изменения поведения сетевых клиентов, подающих запросы на доступ с проверкой подлинности 802.1X. Дополнительные параметры политик проводных сетей можно разделить на две группы – настройки IEEE 802.1X и настройки единого входа. Рассмотрим каждую из этих групп: В группе настроек IEEE 802.1X вы можете указать характеристики запросов проводных сетей с проверкой подлинности 802.1Х. Для изменения доступны следующие параметры: - Применить дополнительные параметры 802.1X. Эта опция позволяет активировать следующие четыре настройки;
- Макс. EAPOL-сообщений. EAPOL – это протокол EAP, который используется до того как компьютер успевает аутентифицироваться, и только после успешного «логина» весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер. Этот параметр отвечает за максимальное количество отправляемых сообщений EAPOL-Start;
- Период задержки (сек). Этот параметр отвечает за задержку в секундах перед выполнением следующего запроса проверки подлинности 802.1X после получения уведомления об отказе при проверке подлинности;
- Start Period (период начала). Этот параметр отвечает за время ожидания перед повторной отправкой последовательных сообщений EAPOL-Start;
- Период проверки (сек). Этот параметр определяет число секунд между повторной передачей последовательных начальных сообщений EAPOL после инициации сквозной проверки доступа 802.1X;
- Сообщение EAPOL-Start. При помощи данного параметра вы можете указать следующие характеристики передачи начальных сообщений EAPOL:
- Не передавать. При выборе данного параметра, EAPOL сообщения не будут передаваться;
- Передано. При выборе этого параметра, клиенту нужно будет вручную отправлять начальные сообщения EAPOL;
- Передача по протоколу IEEE 802.1X. при выборе данного параметра (он определен по умолчанию) сообщения EAPOL будут отправляться в автоматическом режиме, ожидая запуска проверки подлинности 802.1Х.
При использовании единого входа, проверка подлинности должна выполняться на основании конфигурации безопасности сети в процессе входа пользователя в операционную систему. Для полной настройки профилей единого входа в систему доступны следующие параметры: - Включить единую регистрацию для сети. При включении данной опции активируются настройки единого входа в систему;
- Включить непосредственно перед входом пользователя. Если вы установите переключатель на эту опцию, то проверка подлинности 802.1Х будет выполняться перед завершением входа пользователя в систему;
- Включить сразу после входа пользователя. Если вы установите переключатель на эту опцию, то проверка подлинности 802.1Х будет выполняться после завершения входа пользователя в систему;
- Макс. задержка подключения. Этот параметр задает максимальное время, за которое должна быть завершена проверка подлинности и, соответственно, как долго будет ждать пользователь перед появлением окна пользовательского входа в систему;
- Разрешить отображение дополнительных диалоговых окон при едином входе. Этот параметр отвечает за отображение диалогового окна входа пользователя в систему;
- Эта сеть использует разные виртуальные локальные сети для проверки подлинности по учетным данными компьютеров и пользователей. При указании этой настройки, при запуске, все компьютеры будут помещаться в одну виртуальную сеть, а после успешного входа пользователя в систему, в зависимости от разрешений, будут переводиться в различные виртуальные сети. Эту опцию имеет смысл активировать только в том случае, если у вас на предприятии используются несколько виртуальных локальных сетей VLAN.
Диалоговое окно дополнительных параметров безопасности политики проводных сетей отображено на следующей иллюстрации: Рис. 8. Диалоговое окно дополнительных параметров безопасности политики проводных сетей ЗаключениеВ этой статье вы познакомились со всеми параметрами политики проводных сетей IEE 802.1X. Вы узнали о том, как можно создать такую политику, а также узнали о методах проверки подлинности EAP и проверки при помощи смарт-карт или других сертификатов. В следующей статье вы узнаете о локальных политиках безопасности диспетчера списка сетей.
|
|