Microsoft Windows Security Resource Kit.pdf

(968 KB) Pobierz

Microsoft

Security

Windows

Resource Kit

Wydanie II, uzupełnione i rozszerzone

Ben Smith i Brian Komar

oraz Microsoft Security Team

Microsoft

Windows

Security Resource Kit, wydanie II

Edycja polska Microsoft Press

Polish edition by APN PROMISE Sp. z o. o. Warszawa 2005

APN PROMISE Sp. z o. o., biuro: 00-108 Warszawa, ul. Zielna 39

tel. (022) 351 90 00, faks (022) 351 90 99

e-mail: mspress@promise.pl

Wszystkie prawa zastrzeżone. Żadna część niniejszej książki nie może być powielana

i rozpowszechniana w jakiejkolwiek formie i w jakikolwiek sposób (elektroniczny, mechaniczny),

włącznie z fotokopiowaniem, nagrywaniem na taśmy lub przy użyciu innych systemów bez

pisemnej zgody wydawcy.

Microsoft, Active Directory, ActiveSync, ActiveX, Authenticode, BackOfﬁce, BizTalk, DirectX,

FrontPage, IntelliSense, MapPoint, Microsoft Press, MSDN, NetMeeting, Outlook, PowerPoint,

SharePoint, Visual Basic, Visual SourceSafe, Visual Studio, Win32, Windows, Windows

Media, Windows Mobile, Windows NT, Windows Server oraz Windows Server System

są zarejestrowanymi znakami towarowymi Microsoft Corporation.

Wszystkie inne nazwy handlowe i towarowe występujące w niniejszej publikacji mogą

być znakami towarowymi zastrzeżonymi lub nazwami zastrzeżonymi odpowiednich ﬁrm

odnośnych właścicieli.

Przykłady ﬁrm, produktów, osób i wydarzeń opisane w niniejszej książce są ﬁkcyjne i nie odnoszą

się do żadnych konkretnych ﬁrm, produktów, osób i wydarzeń. Ewentualne podobieństwo

do jakiejkolwiek rzeczywistej ﬁrmy, organizacji, produktu, nazwy domeny, adresu poczty

elektronicznej, logo, osoby, miejsca lub zdarzenia jest przypadkowe i niezamierzone.

APN PROMISE Sp. z o. o. dołożyła wszelkich starań, aby zapewnić najwyższą jakość tej

publikacji. Jednakże nikomu nie udziela się rękojmi ani gwarancji.

APN PROMISE Sp. z o. o. nie jest w żadnym wypadku odpowiedzialna za jakiekolwiek szkody

będące następstwem korzystania z informacji zawartych w niniejszej publikacji, nawet jeśli

APN PROMISE została powiadomiona o możliwości wystąpienia szkód.

ISBN: 83-88440-55-1

Przekład:

Marek Włodarz

Korekta: Ewa Swędrowska

Skład i łamanie: Marek Włodarz

Przedmowa

Bezpieczeństwo nie jest pojęciem binarnym. Nie można go włączyć używając jakiegoś

przełącznika lub nawet całego ich zestawu. Nie można go wyrazić za pomocą absolutnych

wartości liczbowych. Nie należy wierzyć nikomu, kto próbuje głosić odmienną tezę. Bez-

pieczeństwo jest wartością względną – można mówić jedynie, że jakiś system jest „bardziej

bezpieczny” lub „mniej bezpieczny”. Co więcej, bezpieczeństwo systemu zmienia się dyna-

micznie, ponieważ ludzie, procesy i technologie też zmieniają się nieustannie. Wszystko

to sprawia, że zarządzanie zabezpieczeniami jest trudne.

Niniejsza książka została opracowana, aby pomóc czytelnikowi w zwiększaniu, ocenie

i utrzymaniu bezpieczeństwa komputerów używających systemów operacyjnych Microsoft

Windows 2000, Windows Server 2003 i Windows XP. Może ona także pomóc w lepszym

zrozumieniu, dlaczego ludzie i procesy organizacyjne są integralnymi elementami systemu

zabezpieczeń. Mamy nadzieję, że czytelnik niniejszej książki, stosując opisane w niej zasady,

praktyki i zalecenia, będzie nie tylko lepiej wyposażony do zarządzania bezpieczeństwem,

lecz także lepiej zrozumie rządzące nim reguły.

Powodzenia!

Ben Smith i Brian Komar

Marzec 2005

Podziękowania

Chociaż nasze nazwiska są wymienione na okładce, to trudno powiedzieć, abyśmy byli

jedynymi osobami, którym można przypisać wkład pracy w powstanie niniejszej książki.

Mieliśmy szczęście i zaszczyt współpracować z najlepszymi ludźmi w branży – ta publikacja

jest także ich dziełem.

Od samego początku chcieliśmy stworzyć książkę, która będzie się nadawała do nor-

malnego czytania.

Czytelnicy, którzy już nas znają, łatwo sobie wyobrażą, jak wiele pracy musiały włożyć

w tę książkę Michelle Goodman i Christina Palaia, które redagowały pierwszą i drugą edy-

cję. Musiały poradzić sobie z jednym z najbardziej mozolnych zadań – doprowadzeniem

naszej angielszczyzny do przyzwoitego poziomu. Również Elizabeth Hansford, Joel Panchot

i William Teel wykonali wspaniałą pracę, tworząc świetnie wyglądającą książkę – prawdziwie

herkulesowe dzieło. Seth Maislin stworzył indeks. Dziękujemy!

Wprawdzie z gramatycznego punktu widzenia książki się pisze, w rzeczywistości przy-

pomina to raczej budowanie. Karen Szall wykonała świetną robotę składając tę książkę

i zawsze będziemy jej dłużnikami. Musimy także wyrazić wdzięczność człowiekowi, który

jako pierwszy rozpoczął pracę nad tą książką jeszcze w 2001 roku – Martinowi DelRe, który

gromadził niezbędne informacje.

Chcielibyśmy również podziękować naszemu bliskiemu przyjacielowi, Ronaldowi Bee-

kelaarowi, który przeczytał każde słowo tej wersji książki (i niemal całą pierwszą edycję).

Jego wpływu na jakość tej publikacji nie można przecenić. Nie znamy lepszego recenzenta

technicznego ani redaktora.

Wydanie drugie zostało również przejrzane i poprawione przez naszych kolegów z ﬁrmy

Microsoft, w tym Andreasa Luthera, Aymana AlRasheda, Allena Stewarta, Billa Siska, Chase

xvi

Microsoft Windows Security Resource Kit, wydanie drugie

Carpentera, Chrisa Reinholda, Claudio Vacalebre, Dallasa Davisa, Didiera Vandenbroecka,

Erica Fitzgeralda, George Spanakisa, Joela Schaeffera, Jose Luisa Auricchio, Joe Daviesa,

Kai Axford, Kena Andersona, Marka Kradela, Marka Pustilnika, Matta Claphama, Matta

Kestiana, Mike Greera, Ryana Vatne, Shaina Wray i Shawna Rabourna. Szczególne podzię-

kowania należą się Aymanowi, którego uwagi i rady pomogły w stworzeniu lepszej książki,

oraz Michaelowi Glassowi za zorgnizowanie i prowadzenie recenzji. Tym niemniej wszystkie

błędy i pominięcia są nasze własne.

Najważniejsze zostawiliśmy na sam koniec: chcielibyśmy wyrazić wdzięczność dla

naszych żon, Beth Boatright i Kristy Kunz. Ich wsparcie i tolerancja były ogromne i bardzo

nam potrzebne – znacznie bardziej, niż jesteśmy w stanie wyrazić słowami. Dziękujemy.

Ben Smith i Brian Komar

Styczeń 2003

Wprowadzenie

Witamy wszystkich czytelników niniejszego dzieła –

Microsoft Windows Security Resource Kit,

wydanie drugie. Książka ta zawiera szczegółowe informacje na temat funkcji zabezpieczających

w systemach Windows Server 2003, Windows 2000 i Windows XP oraz wiadomości pozwa-

lające na lepsze zabezpieczenie tych systemów.

Omówienie niniejszego Resource Kit

Chociaż zachęcamy do przeczytania niniejszej książki od deski do deski, to dla wygody Czy-

telników podzieliliśmy ją na sześć części. Każda z nich dotyczy innego aspektu zabezpieczeń

systemów Windows Server 2003, Windows 2000 i Windows XP, każdą z nich można czytać

niezależnie podczas implementacji określonych funkcji zabezpieczeń lub jako podręcznik

używany w czasie pracy.

Część 1, „Stosowanie podstawowych zasad zabezpieczeń”

zawiera omówienie codzien-

nych czynności i samych idei związanych z bezpieczeństwem. W części tej opisano także

podstawowe wyzwania dotyczące zarządzania zabezpieczeniami i przedstawiono sposoby

radzenia sobie z nimi.

zawiera informacje na temat bezpieczeństwa

usługi Active Directory – począwszy od zagadnień projektowych związanych z lasami i

drzewami domen, a kończąc na kontrolowaniu dostępu do obiektów i atrybutów. Część

ta omawia szczegółowo sposoby zabezpieczania kont i uwierzytelniania – czyli dwóch

głównych elementów zabezpieczeń w systemach Windows Server 2003, Windows 2000

i Windows XP. Opisuje ona ponadto, w jaki sposób za pomocą zasad grup można zwięk-

szać bezpieczeństwo sieci używających usługi Active Directory,.

zawiera szczegółowe informa-

cje na temat zwiększania bezpieczeństwa systemów Windows Server 2003, Windows

2000 i Windows XP. W części tej przedstawiono ponadto sposoby zabezpieczania apli-

kacji, takich jak Microsoft Ofﬁce System 2003, Microsoft Ofﬁce XP i Microsoft Internet

Explorer oraz komputerów przenośnych.

Część 2, „Zabezpieczanie Active Directory”

Część 3, „Zabezpieczanie rdzenia systemu operacyjnego”

Wstęp

xvii

Część 4, „Zabezpieczanie standardowych usług”

opisuje sposoby zabezpieczania naj-

częściej używanych usług działających w systemach Microsoft Windows Server oraz

Microsoft Windows 2000 Server, w tym DNS (Domain Name System), DHCP (Dynamic

Host Conﬁguration Protocol), WINS (Windows Internet Name Service), usług termina-

lowych, usług certyﬁkatów, RRAS (Routing and Remote Access Service) oraz Microsoft

IIS (Internet Information Services) w wersjach 5.0 i 6.0.

Część 5, „Zarządzanie aktualizacjami zabezpieczeń”

zawiera szczegółowe informacje na

temat procesu zarządzania aktualizacjami zabezpieczeń: pakietami serwisowymi (service

pack) i poprawkami (hotﬁx), a także omawia strategie wdrażania tych aktualizacji. W czę-

ści 5 przedstawiono ponadto techniki oceny zabezpieczeń komputerów korzystających

z systemów Windows Server 2003, Windows 2000 i Windows XP.

Część 6, „Planowanie

i realizacja oceny zabezpieczeń oraz reakcji na incydenty”

zawiera

szczegółowe informacje na temat oceny zabezpieczeń, w tym skanowania elementów

narażonych na ataki, audytów i testów penetracyjnych. W części tej można znaleźć także

informacje na temat tworzenia procedur reagowania na incydenty oraz badania tych

incydentów.

Dysk CD dołączony do niniejszej książki

Dysk dołączony do książki

Microsoft Windows Security Resource Kit

zawiera różnorodne narzę-

dzia i skrypty zwiększające efektywność administratorów wdrażających i zarządzających

zabezpieczeniami w komputerach używających systemów Windows Server 2003, Windows

2000 i Windows XP. Niektóre z tych narzędzi zostały omówione w treści niniejszej książki,

jednakże wiele z nich zostało pominiętych. Dokumentację każdego z tych programów można

znaleźć w folderze, w którym się on znajduje.

Wiele z tych narzędzi pochodzi z Suplementu do pakietu

Microsoft Windows Server 2003

Resource Kit,

są więc one zaprojektowane do użycia w systemach operacyjnych z rodziny

Windows Server 2003. W szczególności są to narzędzia znajdujące się bezpośrednio w folde-

rze SecurityRKTools. Dysk CD zawiera także przeszukiwalną wersję elektroniczną niniejszej

książki w języku angielskim.

Pomoc techniczna dla pakietu Resource Kit

Firma Microsoft nie udziela wsparcia technicznego dla narzędzi i skryptów znajdujących się

na dołączonym do tej książki dysku CD i nie gwarantuje ich wydajności ani poprawek zna-

lezionych w nich błędów. Wydawnictwo Microsoft Press udostępnia jednak swoim klientom

możliwość raportowania problemów związanych z tym oprogramowaniem i uzyskiwania

informacji zwrotnej na ich temat. Aby zgłosić usterkę lub problem należy wysłać email

na adres rkinput@microsoft.com. Adres ten został udostępniony jedynie dla obsługi prob-

lemów związanych z niniejszym opracowaniem. Microsoft Press udostępnia także poprawki

do książek i oprogramowania na załączonych dyskach CD za pośrednictwem witryny inter-

netowej

http://www.microsoft.com/mspress/support/.

Baza Wiedzy Microsoft Press jest dostępna

pod adresem

http://www.microsoft.com/mspress/support/search.asp.

Problemy związane z syste-

mami operacyjnymi z rodziny Windows należy zgłaszać obsłudze technicznej wymienionej

Microsoft Windows Security Resource Kit.pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: