Security policy в Windows

[pakumba]

Колеги, имам поставка за правене, а именно няколко компа свързани в Workgroup безжично. Искам да им задам някакви правила за ограничения и т.н. В windows XP намирам Local policy settings и Account policy settings. Мисля, че при local се отнася за всички видове акоунти- например за акоунти "обикновен потребител" мога да задам да има право да отваря ИЕ, но за потребитл "ръководител" да не може да отвори ИЕ например. Прав ли съм? И ме интересува също дали няма някакви готови схеми за импортване директно с правила, поне повечето да са създадени, само да модифицирам някои нужни?
Идеята накратко е мрежа peer to peer, с идея 1 админ, 1 супервайзор и 4-5 обикновени юзъра. Искам да им задам ограничения на тези юзъри, с цел повишаване на сигурността и избягване на риска от разни атаки. Постановката е чисто теоретична и ще бъде пускана за тест само на моите компове в нас.
Благодаря предварително за отговорите

[zografski]

Много зависи от това какви точно ограничения искаш да зададеш на "обикновенните юзери", за админа е ясно, че трябва да има право да прави всичко, но не си дал пояснения какъв точно искаш да е резултата или т.е. какво да имат право и какво не. Другото което трябва да знаеш е от какво искаш да се пазиш, т.е. анализ на риска и каква информация трябва да се пази и колко струва, за да знаеш от какво ниво на защита се нуждаеш. И друго питане имам, това с каква идея го правиш? Нещо като постановка за малка фирмена мрежа или? Колкото до питането ти за иморт на правила - няма такова нещо. По скоро може да си намериш нещо из нета какво може да е предпоръчително. Нещо обаче не долавям каква е целта и основната задача която трябва да се постигне.

[pakumba]

Много зависи от това какви точно ограничения искаш да зададеш на "обикновенните юзери", за админа е ясно, че трябва да има право да прави всичко, но не си дал пояснения какъв точно искаш да е резултата или т.е. какво да имат право и какво не. Другото което трябва да знаеш е от какво искаш да се пазиш, т.е. анализ на риска и каква информация трябва да се пази и колко струва, за да знаеш от какво ниво на защита се нуждаеш. И друго питане имам, това с каква идея го правиш? Нещо като постановка за малка фирмена мрежа или? Колкото до питането ти за иморт на правила - няма такова нещо. По скоро може да си намериш нещо из нета какво може да е предпоръчително. Нещо обаче не долавям каква е целта и основната задача която трябва да се постигне.

Това е проект, който ще си остане написан само на хартия- за мрежа на малка фирма. Информацията, която ще се пази няма да е силно конфиденциална, но все пак искам да осигуря някакво прилично ниво на защита. Дотук съм включил повечето защити, които съм преценил на рутера, разни SYN-flood и от този род опции от firewall, включил съм криптирането на ви фи. За самите машини им спирам усб портовете, карам ги да си сменят паролите на еди колко си време, слагам някакви изисквания към самите пароли. Една машина ще бъде сървър и всички ще имат достъп до нея, ще има и вързан принтер към същата. Относно ограниченията на "обикновен потребител", искам да има достъп до ресурсите на сървъра в папка Х, но до У да няма- там примерно само потребител с профил "супервайзор" ще може да вижда папка У, това ми идва наум. Какви ограничения мога да сложа още на юзърите при самия броауз примерно, за да гарантирам някаква прилична защитеност- не знам. Ето затова ми трябва малко помощ

[zografski]

Всичко си направил добре за една прилична защита, като допълнение е добре да забраниш пинга към Сървъра, също така няма да е лошо секюритито на рутера ти да не е WEP, това предполагам го знаеш
"Относно ограниченията на "обикновен потребител", искам да има достъп до ресурсите на сървъра в папка Х, но до У да няма- там примерно само потребител с профил "супервайзор" ще може да вижда папка У, това ми идва наум."
Така тук при самото share-ване се оказват правилата. Но от гледна точка на сигурност при share XP-то е голямо недоразумение. Даваш му share и чекваш, че може да променя файловете в пакпата и от там е . Като няма share няма как да достъпи папка която не си share-нал, освен ако не влезе с C$ или D$, за това системните share ги забрянявам обикновенно. Като цяло няма как да се обясни в 3 реда и съм доста бос в обясненията! Като цяло за секюрити при share win 7цата е доста по лесна за конфигуриране, като се отиде на share&security и се зададът домейнските user-и с правата на достъп. Като цяло в нета има толкова много инфо по въпросите ти, че можеш да четеш с дни и да тренираш всякъкви варианти, но за мен XP-то не е правилния ОС който ползваш за обикновенните user-и, най-добре прави експеримента с 7ца и като видиш там как са реализирани нещата ще ти стане много по ясно и ще се ориентираш за какво говоря, там ч/з firewall-а можеш да добавяш правила за входящия и изходящия трафик. А за интернет сърфирането най-добре е изкачащите прозорци да се забранят, също така може да забраниш определени сайтове, даже има и такива програмки, които забраняват дадени сайтове на служителите си, като например facebook, tweter и т.н.

[zografski]

Как ги реализираш нещата нагледно? В реална среда т.е. физически имаш N на брой компютри в мрежа или използваш виртуални машини? Ако си от София мога да дойда на място и да help-вам, че така с писане е трудно описанието и не може да се каже всичко.

[pakumba]

Така, първо да благодаря за отделеното време.
Иначе на въпроса, пинга към рутера мисля, че съм го спрял като се чекнат двете кутийки Ignore Ping Packet From WAN Port и Forbid Ping Packet From LAN Port. Към сървъра предполагам се спира от Firewall-a на самия сървър?
Защитата на безжичната е wpa2. Шерването и самото ограничаване още не мога да го тествам, защото да си призная не съм подкарал мрежата. Имам 2 лаптопа с ВИН 7 и един с ХП, който едвам крета и го държа, само за да си завърша проекта. Това е част от дипломна, затова мога и да променям условията на задачата Правя го с ХП, защото с него съм свикнал, със 7ца сравнително отскоро се занимавам и по-малко съм я човъркал, но принципно мога да попроменя нещата да ги направя тези работи и на 7ца.
Инфо знам, че има много. Дотук все така я карам, но в случая се обърквам от понятия като Group policy, Account policy, local policy. Мисля, че първото се прилага само при клиент-сървър мрежи, а другите ги има при всички видове. Иска ми се някак да кажа в account policy /ако има такава възможност/:
- юзъри Гошо, Пешо, Иван са в група обикновени юзъри
- юзър Джузепе и Франческо са в група супервайзори
- админа си е админ

Тогава да кажа- група обикновени юзъри могат да отварят калкулатор, пейнт, IE и могат да отварят документите на дял Х на сървърната машина. Група супервайзори могат да се включват през remote managment към всички от група обикновени юзъри.
Както добре се вижда не знам от трите неща кое какво е /Group policy, Account policy, local policy/. Не ми е удобно да те занимавам с моите глупости, още повече пък да се разхождаш. Сега ще пробвам да ги вкарам всичките в workgroup и да пробвам шера, както ми го написа.
Благодаря

[Чудомир]

Ако става въпрос за академичен проект и ниво на защита "параноя" ето ти малко идеи от мен:

Имаш 3 нива на защита: физическо, хардуерно и софтуерно

Физическо:

Кабелна мрежа - по ВиФИ не е ясно кой друг слухти по медията
По кабел също го има този проблем, но може да се реши с препачване на кабелите и разменяне на кабелчетата вътре - така, че само модифицирани кабели да получават сок по жицата
Активно следене на мрежовия трафик за нерегистрирани потребители, закачени "на клона"
Регулирано ниво на достъп до важните машини - карти, следене с камери 24/7 и така

Хардуерно:
Забрана на дискети (ок, вече няма, но не се знае), УСБта и CDта
Парола на харда (не на биоса, а на харда както е по ATA спецификация), за да не може да пали в грешни ръце и да не може чрез слагане на харда на друго ПЦ да му пресипят боклуци и да го върнат обратно в ПЦто (сценария е особено релевантен за лаптопи)
Парола на биоса - не знам, хардуерът вече не е болка за умиралка, ако се изгуби...купува се нов

Софтуерно:
В твоя сценарий сървърът трябва да го играе домейн контролер и с домейн policy-та да спуска на станциите кой какво може да прави. Всички други варианти при над 3 ПЦта са "маратонско администриране" (прави се със здрави маратонки), другото е тежкарско и централизирано
За обикновените ПЦта най чиста работа едно време беше kiosk mode на Уиндовс ХП - след всеки рестарт системата е в дефинирано стартово положение. Не съм се задълбавал да видя какви са му недостатъците, но ако примерно днес трябва да дигна интернет зала или офис това ще е първото нещо, което ще проуча. Отделно има други подобни решения на базата на Акронис или Нортън Гоуст

Останалите неща вече сте ги споменали, но те са на по-дребно ниво. Представи си как забраняваш
във вариант 1 ИЕ за всички групата на нормалните потребители чрез домейн полиси
във вариант 2 на всяко ПЦ трябва да забраниш ИЕ за съответната група

Да не говорим за админицтрация на юзери, общи принтери, мрежови папки ...въх! BTDT!

[zografski]

Е то и аз пиша магистърска теза която е доста близка до това по което пишеш и ти. "Продукти и технологии за защита от кибератаки в компютърните мрежи". Като цяло аз реализирам всичко в/у Oracle VM VirtualBox, на него съм закачил win server 2008r2 и още 2 win7-ци. Това което каза колегата за безжичните мрежи е много вярно, като цяло не са никак сигурни, но то като цяло пълна сигурност няма. Както е казал 1 много умен човек най-защитения компютър е изключеният , но и това не е много така, защото изключва физическата сигурност(идва момчето с козия крак и крадне щайгата (както каза 1 колега на защитата му на дипломна работа "щайгата си е щайга") )

[pakumba]

Ако става въпрос за академичен проект и ниво на защита "параноя" ето ти малко идеи от мен:

Имаш 3 нива на защита: физическо, хардуерно и софтуерно

Физическо:

Кабелна мрежа - по ВиФИ не е ясно кой друг слухти по медията
По кабел също го има този проблем, но може да се реши с препачване на кабелите и разменяне на кабелчетата вътре - така, че само модифицирани кабели да получават сок по жицата
Активно следене на мрежовия трафик за нерегистрирани потребители, закачени "на клона"
Регулирано ниво на достъп до важните машини - карти, следене с камери 24/7 и така

Хардуерно:
Забрана на дискети (ок, вече няма, но не се знае), УСБта и CDта
Парола на харда (не на биоса, а на харда както е по ATA спецификация), за да не може да пали в грешни ръце и да не може чрез слагане на харда на друго ПЦ да му пресипят боклуци и да го върнат обратно в ПЦто (сценария е особено релевантен за лаптопи)
Парола на биоса - не знам, хардуерът вече не е болка за умиралка, ако се изгуби...купува се нов

Софтуерно:
В твоя сценарий сървърът трябва да го играе домейн контролер и с домейн policy-та да спуска на станциите кой какво може да прави. Всички други варианти при над 3 ПЦта са "маратонско администриране" (прави се със здрави маратонки), другото е тежкарско и централизирано
За обикновените ПЦта най чиста работа едно време беше kiosk mode на Уиндовс ХП - след всеки рестарт системата е в дефинирано стартово положение. Не съм се задълбавал да видя какви са му недостатъците, но ако примерно днес трябва да дигна интернет зала или офис това ще е първото нещо, което ще проуча. Отделно има други подобни решения на базата на Акронис или Нортън Гоуст

Останалите неща вече сте ги споменали, но те са на по-дребно ниво. Представи си как забраняваш
във вариант 1 ИЕ за всички групата на нормалните потребители чрез домейн полиси
във вариант 2 на всяко ПЦ трябва да забраниш ИЕ за съответната група

Да не говорим за админицтрация на юзери, общи принтери, мрежови папки ...въх! BTDT!

Определено много ми помогнаха насоките, поне знам какво да търся из нета. Благодаря ти. Набара точно за параноята, колкото повече параноя, толкова по-висока оценка.

[pakumba]

Е то и аз пиша магистърска теза която е доста близка до това по което пишеш и ти. "Продукти и технологии за защита от кибератаки в компютърните мрежи". Като цяло аз реализирам всичко в/у Oracle VM VirtualBox, на него съм закачил win server 2008r2 и още 2 win7-ци. Това което каза колегата за безжичните мрежи е много вярно, като цяло не са никак сигурни, но то като цяло пълна сигурност няма. Както е казал 1 много умен човек най-защитения компютър е изключеният , но и това не е много така, защото изключва физическата сигурност(идва момчето с козия крак и крадне щайгата (както каза 1 колега на защитата му на дипломна работа "щайгата си е щайга") )

Аз също почнах на този вариант, но със сървър 2003 на VM. Не знам дали ще ти е полезно, но очевидно дипломните ни са сходни, ще ти пратя линк към една темичка, която аз съм ползвал и може да ти помогне, па дано не сме в една група
https://research.uni-sofia.bg/handle/10506/199

[zografski]

Ами малко ме съмнява да сме една група Аз като цяло ползвам 3 много полезни книжки (1та ти я казвам "Хакове за мрежова сигурност, 100 изпитани съвета и инструмента" има доста полезни неща другите 2 са малко по насочени към теорията и всичко го има писано на 100 места) и съм включил някои допълнителни неща, но и тази тема съм я гледал По принцип аз съм вече на края имам 10-15 стр. от практическата част и съм готов, даже трябваше вече да съм защитил, но не бях в БГ и останах за Юли месец да защитавам.
Успех с писането и защитата

[Matematiks]

Правилно си се насочил, групите се създават на сървъра както и групирането на самите обекти (GPO-group policy objects) като няма значение дали са принтери, юзъри, машини,... всичко е обджектс :)
От GPO задаваш пермишънс и рестрикшънс, като най важното нещо , което да запомниш е, че винаги по рестриктивното важи!!!


От там вече можеш да сетваш каквото и както си поискаш - не,че шрез седмицата не можеш(клиентска машина) но на сървъра имаш адски много повече опции, рийд, райт, шеър, дилиит, тейк оунъшип, модифай.. аве много :)

Нета го филтрираш най добре през прокси по принцип и му задаваш настройки и "изключения" за самите юзъри

Правилно е казал чичо ви Чудомир за видовете сигурност

Качи си на единият комп W2K8R2(който е на кор уин 7) и оттам си иснтални ролята Hyper-V оттам вече създаваш виртуалните обекти, били те раутъри, сървъри, домейн контролери и тнт.. Ще се научиш да правиш виртуалн дискове, да ползваш sysprep за имиджи .vhd

Създаваш си виртуални суичове пак там за да си навържеш обектите както и да сетнеш събнетите. Правиш си домейн контролер оттам правиш гори, дървета, поддомейни... и съответно тренираш едно много важно нещо в актив дайректори, а именно РЕПЛИКАЦИЯТА(мам*цата и )

Local policy е в твоят си домейн(примерно gosho.local). Не си казал какви администратори ще правиш- Local, Global,Domain...
Реално няма значение, как ще се казва групата, важното е какви права има.

Мениджмънта трябва ЗАДЪЛЖИТЕЛНО да е добавен в група Remote Access, може и като група да ги добавиш. Понякога се налага и създаването на реджистри кий за да могат да го правят на Сървър 2003

Нещата са адскии обширни... направо няма да ти се вярва

[pakumba]

Правилно си се насочил, групите се създават на сървъра както и групирането на самите обекти (GPO-group policy objects) като няма значение дали са принтери, юзъри, машини,... всичко е обджектс :)
От GPO задаваш пермишънс и рестрикшънс, като най важното нещо , което да запомниш е, че винаги по рестриктивното важи!!!


От там вече можеш да сетваш каквото и както си поискаш - не,че шрез седмицата не можеш(клиентска машина) но на сървъра имаш адски много повече опции, рийд, райт, шеър, дилиит, тейк оунъшип, модифай.. аве много :)

Нета го филтрираш най добре през прокси по принцип и му задаваш настройки и "изключения" за самите юзъри

Правилно е казал чичо ви Чудомир за видовете сигурност

Качи си на единият комп W2K8R2(който е на кор уин 7) и оттам си иснтални ролята Hyper-V оттам вече създаваш виртуалните обекти, били те раутъри, сървъри, домейн контролери и тнт.. Ще се научиш да правиш виртуалн дискове, да ползваш sysprep за имиджи .vhd

Създаваш си виртуални суичове пак там за да си навържеш обектите както и да сетнеш събнетите. Правиш си домейн контролер оттам правиш гори, дървета, поддомейни... и съответно тренираш едно много важно нещо в актив дайректори, а именно РЕПЛИКАЦИЯТА(мам*цата и )

Local policy е в твоят си домейн(примерно gosho.local). Не си казал какви администратори ще правиш- Local, Global,Domain...
Реално няма значение, как ще се казва групата, важното е какви права има.

Мениджмънта трябва ЗАДЪЛЖИТЕЛНО да е добавен в група Remote Access, може и като група да ги добавиш. Понякога се налага и създаването на реджистри кий за да могат да го правят на Сървър 2003

Нещата са адскии обширни... направо няма да ти се вярва

Благодаря за насоките на всички, оттук вече трябва да се чете