Руководство предназначено только для ознакомительных целей. Корпорация майкрософт не предоставляет никаких гарантий, явных, подразумеваемых или предписанных законом, в отношении сведений, содержащихся в этом документе

Скачать 1.12 Mb.

Название	Руководство предназначено только для ознакомительных целей. Корпорация майкрософт не предоставляет никаких гарантий, явных, подразумеваемых или предписанных законом, в отношении сведений, содержащихся в этом документе
страница	2/12
Тип	Руководство

rykovodstvo.ru > Руководство ремонт > Руководство

1 2 3 4 5 6 7 8 9 ... 12

Пошаговое руководство по развертыванию политик брандмауэра ОС Windows в режиме повышенной безопасности

Это пошаговое руководство демонстрирует развертывание объектов групповой политики Active Directory® (объектов GPO) для настройки брандмауэра ОС Windows в режиме повышенной безопасности на ОС Windows Vista® и Windows Server® 2008. Настроить один сервер можно и локально, используя его собственные средства управления групповыми политиками, но такой подход не обеспечивает нужной эффективности и очередности, когда требуется настроить множество компьютеров. В последнем случае стоит создать и настроить объекты GPO, а затем применить их к остальным компьютерам предприятия.

Цель настройки на предприятии брандмауэра ОС Windows в режиме повышенной безопасности — повысить защищенность каждого компьютера, предотвращая его подключение к нежелательному сетевому трафику. Сетевой трафик, не удовлетворяющий набору правил брандмауэра в режиме повышенной безопасности, отсекается. Можно также ввести требование того, чтобы весь разрешенный трафик защищался проверкой подлинности или шифрованием. Благодаря возможности управлять брандмауэром в режиме повышенной безопасности с помощью групповых политик администраторы могут распространять согласованные настройки по всей организации тем способом, который пользователям совсем не просто обойти.

Благодаря этому руководству, можно приобрести практический опыт реализации в лабораторной среде типичных настроек брандмауэра, создавая и редактируя объекты групповой политики с помощью средств управления групповыми политиками. Здесь также будет рассмотрено конфигурирование объектов GPO с целью реализации типовых сценариев изоляции сервера и домена и показан эффект, производимый такими настройками.

Обзор сценария

В этом руководстве будет рассмотрено создание и развертывание настроек брандмауэра ОС Windows в режиме повышенной безопасности путем выполнения пошаговой процедуры, отражающей задачи, с которыми приходится иметь дело в типичных ситуациях.

В частности, при помощи настроек объектов GPO будут контролироваться следующие аспекты поведения брандмауэра:

• включение и выключение брандмауэра, настройка его базовых характеристик;

• определение того, каким программам и сетевым портам разрешено принимать входящий сетевой трафик;

• определение того, какой исходящий трафик блокируется, а какой нет;

• поддержка сетевого трафика, использующего несколько портов или динамические порты, например, порты трафика при удаленном вызове процедур (RPC) или порты протокола FTP;

• требование того, чтобы весь трафик, входящий на определенные серверы, был защищен проверкой подлинности IPsec и, возможно, зашифрован.

Предполагается работа с несколькими компьютерами, которые будут играть типичные роли, встречающиеся в сетевой среде. Это — контроллер домена, рядовой сервер и клиентский компьютер (см. следующую иллюстрацию).

Сценарий работы включает просмотр и изменение настроек брандмауэра, конфигурирование среды изоляции домена, изоляцию сервера, из-за которой для доступа к нему потребуется членство в группе, и необязательное шифрование всего серверного трафика. Наконец, в него входит рассмотрение способа, позволяющего доверенным сетевым устройствам обходить настройки брандмауэра для устранения неполадок.

Каждый из шагов сценария описан в последующих разделах.

Определение настроек по умолчанию на клиентах и серверах

В этом разделе для определения настроек по умолчанию брандмауэра ОС Windows в режиме повышенной безопасности на компьютерах CLIENT1 и MBRSVR1 мы используем настройку брандмауэра в панели управления, средство командной строки netsh и оснастку консоли управления (MMC) брандмауэра в режиме повышенной безопасности. Использование этих средств непосредственно на локальном компьютере позволяет увидеть текущую конфигурацию брандмауэра и действующие на компьютере правила безопасности подключений.

Развертывание основных настроек с помощью групповой политики

В этом разделе мы создадим объект групповой политики (GPO), содержащий основные настройки брандмауэра, а затем назначим этот объект подразделению (OU), в которое входит клиентский компьютер. Чтобы настройки объекта групповой политики были применены только к нужным компьютерам, мы используем инструментарий управления ОС Windows WMI и фильтрацию групп безопасности, ограничив с их помощью область распространения настроек только компьютерами под управлением нужной версии ОС Windows.

Настраиваемый объект GPO будет включать ряд базовых параметров брандмауэра в режиме повышенной безопасности, которые обычно входят в состав настроек объекта GPO типовой организации:

• игнорируются все локальные настройки брандмауэра, созданные любыми пользователями, включая локальных администраторов;

• обеспечивается запуск брандмауэра с указанными параметрами обработки сетевого трафика и невозможность его отключения;

• компьютер не отображает уведомлений, когда брандмауэр в режиме повышенной безопасности запрещает программе прослушивание сетевого порта.

Создание правил, разрешающих определенный входящий трафик

В этом разделе мы создадим правила брандмауэра для входящих соединений, которые:

• используют предопределенные группы правил для поддержки обычных сетевых служб;

• позволяют программе прослушивать любой сетевой трафик, в котором она нуждается;

• позволяют программе прослушивать трафик только на определенном порту TCP или UDP;

• позволяют сетевой службе прослушивать сетевой трафик;

• ограничивают сетевой трафик только указанными адресами и типами сетей;

• вводят в действие разные модели поведения брандмауэра в зависимости от типа сетевого размещения сети, к которой подключен компьютер;

• поддерживают программы, использующие динамическое назначение портов RPC.

Создание правил, блокирующих нежелательный исходящий трафик

В этом разделе мы настроим исходящие правила брандмауэра на запрещение исходящего трафика, посылаемого неизвестными программами.

Развертывание настроек изоляции домена

В этом разделе мы распространим настройки объекта групповой политики на компьютеры, входящие в домен, благодаря чему те станут принимать только запросы на соединения, посылаемые из этого же домена.

Изолирование сервера обязательным шифрованием и членством в группе

В этом разделе мы создадим правила безопасности подключений, требующие, чтобы сервер или группа серверов пропускали только трафик с компьютеров, входящих в авторизованную группу, а также обязывающие шифровать весь входящий и исходящий трафик этих серверов.

Создание правил, позволяющих отдельным компьютерам или пользователям обходить запрещающие правила брандмауэра

В этом разделе мы настроим брандмауэр и правила безопасности подключений таким образом, чтобы определенные пользователи или компьютеры, например, сканеры сетевых портов, используемые группами по выявлению сетевых неполадок и обеспечению безопасности, могли обходить брандмауэр.

1 2 3 4 5 6 7 8 9 ... 12

Похожие:

	Ооо «Логические системы», далее Компания «ЛогиС» Компания «логис» отказывается от всех гарантий, явных или подразумеваемых, включая любые гарантии товарной пригодности или пригодности...		Руководство пользователя 6 Операция «Поиск сведений» ...
	SharePoint Server 2013 Ознакомительное руководство для ит-специалистов Корпорация Microsoft, 2012 г. Все права сохранены. Настоящий документ предоставляется на условиях «как есть». Сведения и идеи, изложенные...		Руководство по безопасности Windows Корпорация Майкрософт. Все права защищены. Читатель несет ответственность за соблюдение применимого законодательства в области охраны...
	Руководство по безопасности Internet Explorer Корпорация Майкрософт. Все права защищены. Читатель несет ответственность за соблюдение применимого законодательства в области охраны...		Руководство по безопасности Internet Explorer Корпорация Майкрософт. Все права защищены. Читатель несет ответственность за соблюдение применимого законодательства в области охраны...
	Руководство пользователя Замечание Корпорация Millipore не несет ответственности за возможные ошибки, содержащиеся в данном документе. На момент публикации данное руководство...		Руководство по эксплуатации ивеж. 674212. 012 Рэ Руководство по эксплуатации предназначено для ознакомления с конструкцией разъединителей типа рвр-10/4000 му3 и рврз-10/4000 му3...
	Руководство по эксплуатации рэлс. 403455. 002 Рэ РЭ) предназначено для изучения обслуживающим персоналом конструкции и основных технических характеристик, принципа действия, правил...		Примечание. Определение термина «конференция» в настоящем документе... Архитектурно-технические спецификации, представленные в настоящем документе, предназначены для этих целей. По мере необходимости...
	Методические материалы для подготовки к сдаче Правовые основы регулирования оценочной деятельности в отношении объектов оценки, принадлежащих рф, субъектам РФ или муниципальным...		Руководство администратора Руководство предназначено для администраторов программного комплекса гнивц курьер «Корпорация» ивключает сведения по
	Методические рекомендации по разработке электронных сервисов и применению... Руководство пользователя сервиса передачи сведений об утраченном документе по учету похищенных документов мвд россии "Сведения об...		Руководство пользователя сервиса передачи сведений о «документе,... Сервис передачи сведений о «документе, подтверждающем установленное разрешенное использование земельного участка»
	Архитектура и планирование для Office SharePoint Server 2007. Часть 1 Корпорация Майкрософт В этой книге также содержатся ссылки на таблицы планирования для записи информации, относящейся к мероприятиям по планированию и...		Руководство по эксплуатации Разъединитель рлк-10. Iv/400ухл1 Руководство по эксплуатации предназначено для ознакомления с конструкцией разъединителей переменного тока серии рлк на напряжение...

Руководство, инструкция по применению