Security Configuration and Analysis

CLSID-номер оснастки: {011BE22D-E453-11D1-945A-00C04FB984F9}
Библиотека: wsecedit.dll
Используется в стандартных консолях: нет

Данная оснастка не является нововведением операционной системы Windows Vista. Однако мы рассмотрим ее (хоть и не подробно), так как работа с ней немного запутанна, хотя и не представляет особой сложности.

Работа с оснасткой

Оснастка SECURITY CONFIGURATION AND ANALYSIS предназначена для просмотра текущей конфигурации параметров компьютера, назначаемых с помощью шаблонов другой оснастки — оснастки SECURITY TEMPLATES, которую мы рассмотрим немного позже. При этом вы не только можете проанализировать состояние параметров компьютера, но и указать те из параметров, значения которых будут изменены согласно параметрам выбранного шаблона.

После запуска оснастки перед вами отобразится пустое окно. Чтобы начать работать с оснасткой, нужно в ее контекстном меню выбрать команду OPEN DATABASE…. После этого отобразится диалог открытия базы данных .sdb. Если вы впервые запускаете данную оснастку, тогда просто введите в диалоге название новой базы, которая будет создана после того, как вы нажмете на кнопку OK. После создания базы данных, перед вами отобразится список шаблонов безопасности (шаблоны безопасности по умолчанию располагаются в каталоге %systemroot%\security\templates), из которого нужно выбрать нужный шаблон. Шаблоны безопасности и их создание будут описаны в оснастке SECURITY TEMPLATES.

После того, как вы загрузите нужный шаблон в оснастку SECURITY CONFIGURATION AND ANALYSIS, в ее контекстном меню станет активна команда ANALYZE COMPUTER NOW…. Как только вы ее нажмете, начнется анализ конфигурации параметров компьютера, которые изменяются с помощью выбранного шаблона. Результаты анализа будут отображены в виде подразделов оснастки SECURITY CONFIGURATION AND ANALYSIS. Эти подразделы аналогичны подразделам выбранного вами шаблона безопасности, и будут описаны в следующем разделе данной главы.

Итак, теперь вы можете просмотреть, соответствуют ли текущие параметры настройки компьютера параметрам выбранного шаблона. Но что же делать, если значение какого-то параметра не соответствует значению, указанному в шаблоне (заметьте, что в этом случае напротив соответствующего параметра отображается перечеркнутый крестик)? В этом случае в контекстном меню соответствующего параметра нужно выбрать команду PROPERTIES. После этого отобразится диалог, который отображает текущее значение параметра и имеет флажок DEFINE THIS POLICY IN THE DATABASE. Если вы установите данный флажок, тогда в поле под ним отобразится значение данного параметра, указанное в шаблоне безопасности (рис. 4.17). С помощью этого же поля вы можете ввести свое значение данного параметра, отличное от того, которое указано в шаблоне безопасности. Теперь, после того, как вы нажмете кнопку OK, значение шаблона безопасности заменит собой текущее значение компьютера. Но только в окне оснастки! Чтобы значения измененных вами параметров действительно были записаны в реестр компьютера, нужно в контекстном меню данной оснастки выбрать команду CONFIGURE COMPUTER NOW…. После этого измененные вами значения параметров будут помещены в реестр компьютера.

Рис. 4.17. Установка значения параметров шаблона безопасности

Использование программы secedit.exe

Также для анализа параметров безопасности компьютера можно использовать программу командной строки secedit.exe. Возможности данной программы полностью совпадают с возможностями оснастки SECURITY CONFIGURATION AND ANALYSIS. Она поддерживает следующие опции /configure, /analyze, /import, /export, /validate и /generaterollback. Для просмотра описания использования определенной команды, достаточно ввести команду secedit.exe «команда».

Security Templates

CLSID-номер оснастки: {5ADF5BF6-E452-11D1-945A-00C04FB984F9}
Библиотека: wsecedit.dll
Используется в стандартных консолях: нет

Как и предыдущая оснастка, данная оснастка не является нововведением операционной системы Windows Vista. С ее помощью можно отредактировать стандартные шаблоны безопасности, поставляемые с операционной системой, или создать новые шаблоны безопасности. К сожалению, в операционной системе Windows Vista Ultimate 6.000, которая использовалась для написания этой книги, отсутствовали стандартные шаблоны безопасности, поэтому на страницах данной книги нельзя уверенно сказать об изменениях в них. Но, в любом случае, даже если у вас нет стандартных шаблонов безопасности, можно создать свой собственный шаблон или скопировать стандартные шаблоны безопасности операционной системы Windows XP в каталог %systemroot%\security\templates. Также вы можете взять несколько шаблонов безопасности из каталога %systemroot%\inf операционной системы Windows Vista и также перенести их в каталог %userprofile%\Documents\security\Templates. В этом каталоге находятся следующие шаблоны безопасности: defltbase.inf, defltwk.inf, sceregvl.inf, secrecs.inf.

Но для примера давайте создадим свой собственный шаблон безопасности. Для этого в контекстном меню оснастки достаточно выбрать команду NEW TEMPLATE…. После этого достаточно указать имя шаблона и его описание, после чего шаблон будет создан. Если же у вас уже есть шаблоны, тогда вы можете редактировать их или создать новый шаблон на основе значений параметров существующего. Для этого в контекстном меню шаблона нужно выбрать команду SAVE AS….

Каждый шаблон состоит из следующих подразделов.

Account Policies Этот подраздел нам знаком по оснастке GROUP POLICY OBJECT EDITOR. Однако кроме вложенных подразделов Password Policy и Account Lockout Policy, доступных в оснастке GROUP POLICY OBJECT EDITOR, данный подраздел содержит в себе еще один дочерний подраздел: Kerberos Policy. Он определяет параметры работы протокола Kerberos, используемого в домене Active Directory.

Local Policies Данный подраздел также знаком нам по оснастке GROUP POLICY OBJECT EDITOR. Как и там, этот подраздел содержит в себе такие вложенные подразделы, как Audit Policy, User Rights Assignment, Security Options.

Event Log Данный подраздел содержит в себе такие параметры настройки ведения стандартных журналов Windows, как максимальные размеры журналов, будет ли разрешено просматривать журналы пользователям группы GUEST, какой интервал очистки журналов будет использоваться и т.д.

Restricted Group Данный подраздел позволяет добавить в определенную группу временного пользователя (для повышения его прав на некоторое время). Для добавления ограниченного пользователя в группу, нужно создать саму группу, в которую будет добавляться пользователь. Для этого нужно в контекстном меню подраздела Restricted Group выбрать команду ADD GROUP…. После этого система предложит вам указать нужную группу, после чего предложит добавить в нее новых пользователей.

System Services Данный подраздел содержит в себе список всех служб, доступных в системе, и позволяет определить способы их запуска.

Registry Данный подраздел позволяет указать права доступа к различным ветвям реестра. Для этого сначала нужно добавить в данный подраздел оснастки необходимую ветвь реестра, что легко сделать с помощью команды ADD KEY… контекстного меню подраздела Registry. После этого оснастка предложит вам указать права для доступа к данной ветви реестра.

File System Данный подраздел позволяет указать права доступа к различным каталогам файловой системы Windows XP. Для этого сначала нужно добавить в данный подраздел оснастки путь к каталогу. Это делается с помощью команды ADD FILE… контекстного меню подраздела File System. После этого оснастка предложит вам указать права для доступа к данному каталогу или файлу, а также, будут ли определенные вами права распространяться на все вложенные в каталог папки и файлы.

После того, как вы отредактируете шаблон безопасности, необходимо сохранить все сделанные изменения. Для этого в контекстном меню шаблона безопасности нужно выбрать команду SAVE. После этого можно применить настройки созданного вами шаблона безопасности с помощью оснастки SECURITY CONFIGURATION AND ANALYSIS.

TPM Management

CLSID-номер оснастки: {7d3830aa-e69e-4e17-8bd1-1b87b97099da}
Библиотека: tpmcompc.dll
Используется в стандартных консолях: tpm.msc

Данная оснастка является нововведением операционной системы Windows Vista. С ее помощью можно управлять работой микросхемы TPM, которая устанавливается на современные материнские платы, и позволяет хранить в себе конфиденциальные данные пользователя, а также параметры конфигурации компьютера и операционной системы. Благодаря данной микросхеме можно повысить безопасность компьютера в отношении таких угроз, как самовольное добавление оборудования в компьютер, самовольная установка программ и т.д.

Программа TpmInit

К сожалению, автор не может описать работу с этой оснасткой, так как материнская плата его компьютера просто не содержит данной микросхемы. Однако, в качестве компенсации, можно привести недокументированные опции программы TpmInit, расположенной в каталоге %ssystemroot%\system32, которая также управляет работой микросхемы TPM. Хотя и здесь автор не может сказать, что эти опции делают и делают ли вообще.

/postForceClear
/clearTpm
/changePassword
/turnoff
/turnOn
/postForceClear
/postTurnOn
/m

Групповые политики для настройки TPM

Работу с TPM можно ограничить при помощи групповых политик. Для этого применяются политики, описанные в файле TPM.admx, и расположенные в подразделе CoMPUTER CONFIGURATION/ADMINISTRATIVE TEMPLATES/SYSTEM/TRUSTED PLATFORM MODULE SERVICES. Политики данного подраздела изменяют параметры REG_DWORD типа, расположенные в ветви HKLM\SOFTWARE\Policies\Microsoft\TPM.

ActiveDirectoryBackup Если значение данного параметра равно 1, тогда будет разрешено копировать основную информацию о данных владельца TPM (криптографический хеш главного пароля TPM) на контроллер домена Active Directory.

RequireActiveDirectoryBackup Если значение данного параметра равно 1, копирование основной информации владельца TPM на контроллер домена Active Directory будет обязательным. При этом пароль владельца TPM не будет назначен, если архивирование нового пароля на контроллере домена не прошло успешно.

Также некоторые возможности работы TPM можно настроить при помощи параметров REG_DWORD типа ветви реестра HKLM\SOFTWARE\Policies\Microsoft\TPM\BlockedCommands.

Enabled Если значение данного параметра равно 1, тогда операционная система будет использовать параметры строкового типа, расположенные в дочернем подразделе List ветви реестра, чтобы запретить определенные команды TPM.

IgnoreDefaultList Если значение данного параметра равно 1, тогда список команд TPM, выполнять которые по умолчанию запрещено, будет игнорироваться. Однако список дочернего подраздела List данной ветви реестра, или локальный список команд TPM, по-прежнему будут работать.

IgnoreLocalList Если значение данного параметра равно 1, тогда локальный список команд TPM, выполнять которые запрещено, будет игнорироваться. Однако список дочернего подраздела List данной ветви реестра по-прежнему будет работать. Также будет работать список, определенный по умолчанию.

Возможности репозитария CIM

Репозитарий CIM операционной системы Windows Vista также позволяет работать с чипом TPM. Для этого предназначено пространство имен \\root\CIMV2\Security\MicrosoftTpm. Данное пространство имен содержит в себе лишь один класс: Win32_Tpm. Он определяет настройки работы чипа TPM и даже позволяет управлять его работой. Данный класс содержит в себе следующие свойства, доступные только для чтения.

Продолжение следует