Microsoft Business Solutions – Navision. Руководство по повышению безопасности. Советы и рекомендации по обеспечению безопасности, страница 8

Дополнительные сведения см. в разделе «Аудит» электронной справки сервера Windows.

Практические рекомендации по управлению доступом

•  Присваивайте разрешения группам, а не пользователям. Так как сопровождение учетных записей отдельных пользователей неэффективно, назначать разрешения на уровне пользователей следует только в виде исключения.

•  В определенных особых случаях используйте разрешения типа «Запрет». Например, запрет разрешений можно использовать для исключения некоторого подмножества пользователей из группы, которой назначены разрешения. 

•  Никогда не запрещайте доступ к объекту для группы «Все». Запрет разрешения на доступ к объекту коснется также администраторов, которые входят в состав группы «Все». Лучшим вариантом в данном случае будет вообще удалить группу «Все», обеспечив при этом разрешения на доступ к этому объекту другим пользователям, группам или компьютерам. Помните, что если не определено никаких разрешений, то доступ невозможен.

•  Назначайте разрешения по объектам как можно выше в дереве объектной иерархии и затем применяйте наследование, чтобы распространить параметры безопасности вниз по дереву. Параметры управления доступом можно быстро и эффективно применить ко всем потомкам или поддеревьям родительского объекта. Это позволит получить самый большой эффект с наименьшими усилиями. Задаваемые параметры разрешений должны отвечать потребностям большинства пользователей, групп и компьютеров.

•  Явно заданные разрешения иногда могут переопределять унаследованные разрешения. Унаследованный запрет разрешения не предотвращает доступ к объекту, если для объекта имеется явное разрешение на доступ. Явные разрешения имеют приоритет над унаследованными разрешениям – даже унаследованными разрешениями «Запрет».

•  Следуйте рекомендациям относительно разрешений по объектам Active

Directory®

Дополнительные сведения см. в разделе «Рекомендации по назначению разрешений объектам Active Directory» электронной справки Windows Server 2003.

Внешний брандмауэр безопасности

Брандмауэр – это аппаратное устройство или программное обеспечение, которое предотвращает поступление пакетов данных в сеть или отправку их за пределы сети. Управление потоком трафика осуществляется открытием или закрытием портов брандмауэра для определенных пакетов данных. В каждом пакете данных брандмауэр анализирует несколько разделов информации: протокол, под которым доставлен пакет, адресат или отправитель пакета, тип содержимого пакета и номер порта, на который он направлен. Если настройкой брандмауэра предусмотрено принятие определенного протокола через определенный порт, соответствующий пакет пропускается. С сервером Microsoft Windows Small Business Server 2003 Premium Edition в качестве брандмауэра поставляется сервер Microsoft Internet Security and Acceleration (ISA) Server 2000. Сервер Small Business Server Standard Edition также содержит брандмауэр.

ISA Server 2004

Сервер Internet Security and Acceleration (ISA) Server 2000 безопасно пересылает запросы и ответы между Интернетом и клиентскими компьютерами внутренней сети.

Для клиентов локальной сети сервер ISA действует как защищенный шлюз в Интернет. Компьютер с сервером ISA работает незаметно для других объектов на магистрали связи. Пользователь Интернета не должен чувствовать присутствие сервера брандмауэра, за исключением случаев обращения к службе или перехода к веб-узлу, где компьютер с сервером ISA отвергает доступ. Сервер в Интернете, к которому выполняется обращение, интерпретирует запросы компьютера с сервером ISA, как если бы запросы исходили из приложения-клиента.

При выборе фильтрования фрагментов по протоколу Интернета (IP) фильтрование фрагментов пакета фактически выполняют службы веб-прокси и брандмауэра. При фильтровании фрагментов пакета все фрагментированные IP-пакеты удаляются. Широко известным способом маскировки сетевых атак является отправка фрагментированных пакетов со сборкой их «на месте» таким образом, что в целом виде они могут представлять опасность для системы.