Windows - Biztonsági konfiguráció és analízis

3. rész

A biztonsági konfigurálást és konfiguráció ellenőrzést egy program segítségével könnyen automatizálhatjuk. A feladat elvégzéséhez szükséges eszközöket akár egy floppy lemezre is kimásolhatjuk és mobilizálhatjuk. Készíthetünk egy batch fájlt és akkor még a parancsokat sem kell beírni. A lehetőségek széles skáláját rejti magába a cikkben ismertetésre kerülő alkalmazás. Nem kell gépenként kézzel ellenőriznünk a biztonsági beállításokat, ha alkalmazzuk a parancssori SECEDIT.EXE nevű programot. Elhelyezhetjük egy batch fájlban és ezt hozzáadhatjuk az ütemezett feladatokhoz (Kellékek > Rendszereszközök > Ütemezett feladatok). Tetszés szerinti időpontban naponta vagy hetente célszerű ellenőrizni a rendszert - függően az alkalmazási területtől.

Próbáljuk ki a SECEDIT használatát egy nem "élesben" működő gépen az alábbiak segítségével.
A /DB, /CFG, /LOG kapcsolóknál mindenhol szükséges az elérési utak megadása is - ha különböző alkönyvtárakba találhatók a fájlok. Mi a könnyebb áttekinthetőség kedvéért, mindig az aktuális alkönyvtárban dolgoztuk.

A biztonsági beállítások ellenőrzése:

Ellenőrző üzemmódba a /ANALYZE kapcsolóval lehet lépni:
SECEDIT /ANALYZE /DB informatika.sdb /CFG securedc.inf /LOG eredmenynapló
A felhasznált kapcsolók:
/DB adatbázisnév - a biztonsági sablont vagy sablonokat tartalmazó munkaadatbázis neve, a benne szereplő beállításokat hasonlítja össze a program az aktuális beállításokkal.
/CFG sablonfájl - csak a /DB paraméterrel együtt használható, ha elhagyjuk, akkor az adatbázisban lévő sablon lesz az elemzés alapja.
/LOG naplófájl - az elemzés eredményét megjelenítő naplófájl neve, ha elhagyjuk, akkor az alapértelmezett fájl lesz felhasználva (%windir%\security\logs). Ilyenkor a rendszer az elemzés végén kiírja a nevet az elérési úttal együtt.

További kapcsolók:
/VERBOSE - az elemzési folyamat részleteit jeleníti meg: az aktuális állapotot, az összes feladatok számát, stb.
/QUIET - nincs részletes kimenet. Az eredményt a "Biztonsági konfiguráció és analízis" beépülő modul tartalmazza.

A biztonsági beállítások érvényre juttatása:

A konfiguráláshoz a /CONFIGURE kapcsolóra lesz szükségünk:
SECEDIT /CONFIGURE /DB raktat.sdb /CFG basicwk.inf /OVERWITE /LOG napló /VERBOSE
A /DB kapcsoló után kell megadni a munkaadatbázis nevét - ha létezik, akkor innen olvassa ki a program a beállításokat, amelyeket ezután a rendszeren is elvégez. Ha nem létezik, akkor létrejön egy új fájl, ilyenkor a /CFG paraméterben szereplő sablonfájl beállításai kerülnek feldolgozásra, ezért ezt kötelező megadni. A /LOG, /VERBOSE, /QUITE kapcsolók jelentése ugyanaz mint az előbb.
A /OVERWRITE kapcsolóval a létező adatbázisban tárolt sablonokat a /CFG paraméterben megadott sablon felülírja. A kapcsoló elhagyása esetén ez hozzáfűződik, és így összetett sablon keletkezik.
Speciális esetekben alkalmazhatjuk még a /AREAS kapcsolót is. Ezzel a biztonsági beállítások alkalmazásának területeit tudjuk meghatározni. Nem az egész sablon, hanem csak bizonyos részei kerülnek át az operációs rendszerbe. A területeket vesszővel elválasztva kell felsorolni és az alábbiakat tudjuk használni. Mellette az a hatókör található, amelyiknek a beállításaira vonatkozik:
  • SECURITYPOLICY - Helyi házirend
  • GROUP_MGMT - Korlátozott csoportok
  • USER_RIGHTS - Felhasználói engedélyek és jogok
  • REGKEYS - Regisry beállítások
  • FILESTORE - Fájltárolás beállításai
  • SERVICES - Szolgáltatás biztonsága
Alapértelmezésben a /AREAS kapcsoló elhagyásával a sablon teljes tartalma feldolgozásra kerül.

Active Directory csoportházirendjének újbóli beolvasása és alkalmazása:
SECEDIT /REFRESHPOLICY MACHINE_POLICY
SECEDIT /REFRESHPOLICY USER_POLICY
A parancs ismét letölti a csoportházirend helyi gépre vonatkozó beállításait és alkalmazza is őket.
A MACHINE_POLICY paraméter a csoportházirend számítógépre vonatkozó részét dolgozza fel ismét, a USER_POLICY pedig a felhasználóra vonatkozó résszel foglalkozik.
Az utasításokhoz hozzáfűzve a /ENFORCE kapcsolót, a beállítások akkor is frissülnek, ha nem volt különbség a csoportházirend érvényes beállításaihoz képest.

Biztonsági munkaadatbázisból sablonkészítés:
SECEDIT /EXPORT /MERGEDPOLICY /DB informatika.sdb /CFG mytemplate.inf
Ahol a /MERGEDPOLICY jelenti a tartományi és helyi házirendek összefűzését és exportálását.
A /DB az exportálás alapját képviselő adatbázis, innen olvassa ki a program az adatokat.
A /CFG a létrehozandó új sablon neve.
Az előzőekkel egyezően használhatjuk a /AREAS, /LOG, /VERBOSE, /QUIET paramétereket is.




Biztonsági konfiguráció és analízis cikksorozat