Андрончик А.Н., Богданов В.В., Домуховский Н.А. Защита информации в компьютерных сетях. Практический курс
Подождите немного. Документ загружается.
161
диться в отсутствии на нем опасных программ, позволяющих атаковать сис-
тему.
Необходимо использовать меры по организации для пользователей
замкнутой программной среды, исключающей запуск любых приложений,
кроме приложений, обеспечивающих работу с защищаемыми данными:
− удаление потенциально опасных исполняемых файлов;
− установка NTFS-разрешений, запрещающих пользователям терминаль-
ного сервера запуск потенциально опасных приложений, необходимых для
работы администратора, которые невозможно удалить;
− применение списков программ, доступных для запуска пользователям
терминального сервера.
6.3. Настройки сервера MSTS
Настройки сервера MSTS включают в себя настройки политики безо-
пасности ОС Windows Server 2003. Основная задача, решаемая данными на-
стройками, состоит в разрешении возможности доступа к ресурсам терми-
нального сервера только для учетных записей, зарегистрированных в создан-
ной по умолчанию группе «Remote Desktop Users». Кроме того, применяются
дополнительные меры по запрету терминального доступа для администратора
и пользователей, входящих в состав группы Administrators. Эти меры требу-
ются для защиты учетных записей администраторов от подбора: даже при из-
вестном пароле администратора зарегистрироваться с данной учетной запи-
сью будет невозможно.
По умолчанию параметр политики безопасности «Allow log on through
Terminal Server» (раздел «Назначение прав пользователя» оснастки «Локаль-
ная политика безопасности») разрешает терминальный доступ для группы
Administrators. Необходимо исключить из перечня учетных записей, имеющих
данную привилегию, все группы за исключением «Remote Desktop Users»
(
рис. 6.12).
Параметр политики безопасности «Deny log on through Terminal Server»
(раздел «Назначение прав пользователя» оснастки «Локальная политика безо-
пасности») по умолчанию не установлен. Необходимо установить специаль-
ный запрет терминального доступа для группы Administrators, а также для ос-
тальных учетных записей, имеющих права администратора, добавив в пере-
чень требуемые учетные записи (
рис. 6.13).
Все учетные записи, которые предназначены для терминального досту-
па, должны быть включены в состав группы «Remote Desktop Users», участие
этих учетных записей в составе иных групп должно быть исключено (
рис.
6.14
).
Для сервера (свойства объекта «Мой компьютер», раздел «Remote») не-
обходимо установить возможность терминального доступа (включить пара-
метр «Enable Remote Desktop on this computer»).
162
Рис. 6.12. Установка права терминального доступа
Рис. 6.13. Установка специального запрета терминального доступа
для учетной записи Администратор
163
Рис. 6.14. Добавление пользователей терминального доступа
в группу «Remote Desktop Users»
6.4. Настройки протокола RDP
Настройка протокола RDP осуществляется в оснастке «Terminal Services
Configuration» (
рис. 6.15). Основная цель данных настроек состоит в установ-
ке требования ввода пароля при регистрации и запрещении использования ре-
сурсов рабочей станции, включая буфер обмена, принтеры и накопители.
Как уже отмечалось выше, терминальный сервер поддерживает шифро-
вание трафика. За настройки шифрования отвечает раздел «General» (
рис.
6.16
), все настройки в этом разделе можно оставить по умолчанию.
Рис. 6.15. Фрагмент окна настройки протокола RDP
164
Рис. 6.16. Раздел «General»
В разделе «Logon Settings» необходимо включить требование ввода па-
роля при регистрации — «Always prompt for password». Исходя из предполо-
жения, что все пользователи будут работать со своими учетными записями,
включается параметр «Use client-provided logon information».
В связи с тем, что не предполагается ограничений по длительности се-
анса терминального доступа, в разделе «Sessions» следует оставить отключен-
ные по умолчанию параметры «Override user settings» (
рис. 6.17).
Для каждого пользователя терминального доступа возможна установка
собственной программы для автоматического запуска. Это может быть вы-
полнено путем изменения свойств пользователя в оснастке «Пользователи и
группы». В тех случаях, когда в свойствах пользователя какая-либо опреде-
ленная программа не будет назначена, в окне терминала пользователю будет
доступен его Рабочий стол (Desktop). В разделе «Environment» рекомендуется
установить пункт «Run initial program specified by user profile and Remote Desk-
top Connections or Terminal Services client».
В связи с тем, что в окне терминального доступа не требуется установка
дополнительного контроля действий пользователя, в разделе «Remote Control»
рекомендуется установить пункт «Do not allow remote control».
165
Рис. 6.17. Рекомендуемые установки раздела «Sessions»
В разделе «Client Settings» (рис. 6.18) обязательно должны быть вклю-
чены запреты использования ресурсов рабочей станции, так как при их от-
ключении будет нарушена вся настраиваемая политика безопасности. Кроме
того, при их отключении появляется возможность внедрения на сервер вредо-
носных программ. Обязательно должны быть установлены запреты на:
− использование совместного буфера обмена (параметр «Clipboard
mapping»);
− подключение локальных дисков рабочей станции (параметр «Drive
mapping»);
− использование принтеров рабочей станции (параметры «Windows printer
mapping» и «LPT port mapping»);
− использование звуковой карты рабочей станции (параметр «Audio
mapping») не влияет на политику безопасности, однако может существенно
увеличить сетевой трафик и загруженность сервера при прослушивании поль-
зователями звуковых файлов, поэтому в целях повышения производительно-
сти сервера терминального доступа данный параметр также рекомендуется
отключить.
166
Рис. 6.18. Рекомендуемые установки раздела «Client Settings»
Дополнительно должен быть отключен параметр, позволяющий клиенту
терминального доступа самостоятельно настраивать возможность подключе-
ния локальных принтеров (должен быть снят параметр «Use connection seings
from user settings»).
В качестве дополнительной меры, повышающей производительность,
предлагается ограничить параметры видеоизображения (параметр «Limit
Maxium Color Depth») глубиной 16 бит.
При количестве пользователей, не превышающем 30, применяется ма-
лая часть пропускной способности канала, и с этой точки зрения количество
разрешенных подключений не имеет принципиального значения. Однако под
каждое соединение система выделяет некоторые ресурсы, кроме того, система
для ускорения подключения пользователей к терминальному серверу поддер-
живает два резервных соединения (т.е. инициализированную среду). Поэтому
в целях экономии системных ресурсов желательно установить максимальное
количество подключений, равное числу машин, с которых осуществляется ра-
бота с терминальным сервером. Это значение устанавливается в разделе
«Network Adapter» (
рис. 6.19).
167
Рис. 6.19. Рекомендуемые установки раздела «Network Adapter»
Установленные по умолчанию разрешения доступа в разделе
«Permissions» (
рис. 6.20), позволяющие осуществлять доступ к терминальной
службе для группы администраторов, необходимо изменить, разрешив доступ
лишь для группы «Remote Desktop Users» с правом User access. В списке дос-
тупа необходимо установить две записи: для группы «Remote Desktop Users» и
для учетной записи «SYSTEM» (
рис. 6.21). Для группы «Remote Desktop
Users» необходимо установить минимально необходимые права: Query
Information, Logon, Connect (
рис. 6.22). Для учетной записи «SYSTEM» необ-
ходимо установить минимально необходимые права: Query Information, Set
Information, Remote Control (
рис. 6.23).
168
Рис. 6.20. Установки раздела «Permissions» по умолчанию
Рис. 6.21. Рекомендуемый список доступа
169
Рис. 6.22. Разрешения доступа группы «Remote Desktop Users»
Рис. 6.23. Разрешения доступа учетной записи «SYSTEM»
170
В разделе «Server Settings» оснастки «Terminal Services Configuration»
рекомендуется установить значения параметров, приведенные на
рис. 6.24. В
частности, рекомендуется ограничить каждого пользователя единственным
сеансом работы, установив параметр «Restrict each user to one session». Ука-
занное ограничение не даст возможности подключаться к серверу от имени
уже работающего пользователя.
Рис. 6.24. Рекомендуемые установки раздела «Server Settings»
Рис. 6.25. Отключение пиктограммы свойств сетевого подключения