Инструменты настройки безопасности
Обеспечение эффективной безопасности системы имеет несколько аспектов.
Во-первых, операционная система должна соответствовать базовым требованиям к безопасности. Например, требования к системе, соответствующей уровню безопасности С2, включают защиту памяти, дискреционное управление доступом и наличие средств аудита.
Во-вторых, для создания эффективной безопасности следует создать инструмент, позволяющий управлять всеми средствами обеспечения безопасности, заложенными в операционной системе. В Windows 2000 для управления безопасностью системы применяется Набор инструментов настройки безопасности (Security Configuration Tool Set). В него включены параметры безопасности операционной системы, собранные в единый блок управления, и ряд программных инструментов, позволяющих управлять этими параметрами.
Набор инструментов настройки безопасности состоит из следующих компонентов:
- Служба настройки безопасности (Security Configuration Service) – служба, являющаяся ядром Набора инструментов настройки безопасности. Она работает на любой машине и отвечает за выполнение функций, связанных с настройкой безопасности и ее анализом. Эта служба является центральной для всей инфраструктуры безопасности системы.
- Начальная безопасность (Setup Security) – первоначальная конфигурация безопасности, создаваемая при установке Windows 2000 с помощью заранее определенного шаблона, поставляемого вместе с системой. На каждом компьютере Windows 2000 формируется первоначальная база данных безопасности, называемая локальной политикой компьютера (Local Computer Policy).
- Оснастка Шаблоны безопасности (Security Templates) – этот инструмент позволяет определять конфигурации безопасности, не зависящие от машины, которые хранятся в виде текстовых файлов.
- Оснастка Анализ и настройка безопасности (Security Configuration and Analisys) – этот инструмент позволяет импортировать одну или несколько хранящихся конфигураций безопасности в базу данных безопасности (это может быть база данных локальной политики компьютера или любая другая личная база). Импорт конфигураций создает специфическую для машины базу данных безопасности, которая хранит композитную настройку. Ее можно активизировать на компьютере и проанализировать состояние текущей конфигурации безопасности по отношению к композитной настройке, хранящейся в базе данных.