Осигуряване на бизнес и важни акаунти
Управление на акаунта на услугата
Както при управлението на критични и администраторски акаунти, той ще очертае три ключови принципа, които са ключови за успешното разработване на ефективен план за сигурност на услугата в средно голяма корпоративна мрежа. Важно е тези проблеми да бъдат разгледани по време на фазите на развитие и да бъдат включени в процедурите на политиката за сигурност.
Анализирайте и документирайте околната среда.
Използвайки принципа на най-малката привилегия.
Използвайки принципа на най-малкото обслужване.
Анализирайте и документирайте околната среда
Тази стъпка може да изглежда очевидна, но много компании имат твърде малко познания за всички роли и услуги, които се предлагат в мрежова среда. Причините за липсата на информираност и документация могат да бъдат няколко, но най-често това се дължи на бързия растеж на мрежовата среда и липсата на време и ресурси за правилно документиране.
За да определите колко безопасен е компютърът, трябва да знаете какви услуги се изпълняват на него и какви свойства имат. Тази информация е важна, за да се защитят сървърите и техните услуги, както и акаунтите, необходими за изпълнението на тези услуги. За да се изпълни тази задача, е полезно да се създаде таблица с услуги, свойства на услугите и компютрите, на които се изпълняват тези услуги. Създаването на такава таблица може да бъде предизвикателство, но резултатите си заслужават усилията. В допълнение, актуализирането на таблицата, след като е създадена и включена в процесите на изграждане на сървър и внедряване на приложения, ще бъде относително лесно.
Има няколко инструмента, които могат да ви помогнат да документирате услугите и техните свойства в мрежа. Някои от тези средства са изброени по-долу.
Инструмент за контрол на услуги (sc.exe). Тази програма за команден ред е включена в операционните системи Windows Server 2003 и Windows XP. Улеснява работата с Service Control Manager от командния ред, заявявайки и задавайки свойства на услугата.
Инструмент за управление на списък с услуги (sclist.exe). Комплектът ресурси за Windows 2000 Server включва инструмент, който изброява работещите и спрените услуги на локален или отдалечен компютър. Sclist.exe се използва за идентифициране на услуги, работещи на отдалечени сървъри, които не са оборудвани с монитори или са географски отдалечени от администратора.
Инструменти за управление на Windows (WMI). Този компонент е включен в Windows Server 2003 и Windows XP. Той предоставя данните, необходими за управление и контрол на корпоративната мрежа. Администраторите използват WMI за заявки и задаване на данни на компютри, мрежи, приложения и услуги. В допълнение към възможността да използва скриптове за управление на административни задачи, WMI ви позволява да дефинирате зависимости на услугите и всички услуги, от които тези услуги зависят.
Команден ред на инструментите за управление на Windows (WMIC). WMI включва и инструмента за команден ред WMIC, който осигурява прост интерфейс на командния ред към WMI за заявки и дистанционно управление на компютър. Резултатите от заявките на WMIC могат да бъдат изведени във формат HTML таблица, който може да се преглежда във всеки браузър, като Internet Explorer.
Спазване на принципа за предоставяне на най-малко привилегии
Microsoft разбира важността на сигурността и важността на най-малкото привилегия за защитата на вашата мрежова среда. Microsoft приложи принципа на най-малките привилегии при разработването на операционната система Windows Server 2003, за да гарантира, че основните услуги на операционната система използват най-малко привилегированите акаунти, като по този начин елиминира необходимостта потребителите да конфигурират тези услуги. Когато използвате този подход, вниманието трябва да бъде насочено към защитата на услуги, които не са част от операционната система, като например тези, предоставяни като компоненти на други продукти като Microsoft SQL Server, Microsoft Operations Manager или софтуерни продукти на трети страни.
Съответно принципът за предоставяне на най-малко привилегии също трябва да се използва при стартиране на други услуги, въпреки че е много по-лесно да се предоставят по-високи привилегии при инсталиране на нови продукти. Например услугите трябва да използват акаунта на локална услуга, когато е възможно, така че успешната атака на локалния компютър да не компрометира целия домейн. Услугите, които изискват удостоверяване за достъп до мрежата, трябва да използват акаунта на мрежовата услуга, когато е възможно. Услугите, които изискват повече привилегии, трябва да използват акаунта на локалния компютър. И накрая, ако услугата използва акаунт на администратор на домейн, тогава сървърите, които изпълняват тази услуга, трябва да бъдат силно защитени системи, които са толкова защитени, колкото критичните мрежови ресурси и контролерите на домейна.
Можете също да използвате групови правила, за да контролирате отделни услуги, които се изпълняват на компютри. Редица свойства могат да бъдат променени на страницата Имоти услуги под Компютърна конфигурация \ Конфигурация на Windows \ Настройки за сигурност \ Системни услуги. Можете да промените параметри като режим на стартиране и разрешения, за които акаунтите могат да се използват за извършване на определени операции в услугата (например стартиране или спиране).