Обеспечение эффективной безопасности системы имеет несколько аспектов.
Во-первых, операционная
система должна соответствовать базовым требованиям к безопасности. Например, требования
к системе, соответствующей уровню безопасности С2, включают защиту памяти, дискреционное
управление доступом и наличие средств аудита.
Во-вторых, для создания эффективной безопасности следует создать инструмент, позволяющий
управлять всеми средствами обеспечения безопасности, заложенными в операционной
системе. В Windows 2000 для управления безопасностью системы применяется Набор
инструментов настройки безопасности (Security Configuration Tool Set). В
него включены параметры безопасности операционной системы, собранные в единый
блок управления, и ряд программных инструментов, позволяющих управлять этими параметрами.
Набор инструментов
настройки безопасности состоит из следующих компонентов:
Служба настройки безопасности (Security Configuration Service) — служба,
являющаяся ядром Набора инструментов настройки безопасности. Она работает на любой
машине и отвечает за выполнение функций, связанных с настройкой безопасности и
ее анализом. Эта служба является центральной для всей инфраструктуры безопасности
системы.
Начальная безопасность
(Setup Security) — первоначальная конфигурация безопасности, создаваемая
при установке Windows 2000 с помощью заранее определенного шаблона, поставляемого
вместе с системой. На каждом компьютере Windows 2000 формируется первоначальная
база данных безопасности, называемая локальной политикой компьютера (Local
Computer Policy).
Оснастка
Шаблоны безопасности (Security Templates) — этот инструмент позволяет
определять конфигурации безопасности, не зависящие от машины, которые хранятся
в виде текстовых файлов.
Оснастка Анализ и настройка безопасности (Security Configuration
and Analisys ) — этот инструмент позволяет импортировать одну или несколько хранящихся
конфигураций безопасности в базу данных безопасности (это может быть база данных
локальной политики компьютера или любая другая личная база). Импорт конфигураций
создает специфическую для машины базу данных безопасности, которая хранит композитную
настройку. Ее можно активизировать на компьютере и проанализировать состояние
текущей конфигурации безопасности по отношению к композитной настройке, хранящейся
в базе данных.
Управление системами в корпоративной среде Windows 2003
Инсталляция и сопровождение программ
Средства Инсталляции и сопровождения программ обеспечивают надежную, быструю
установку программных продуктов и их автоматическое восстановление для групп
пользователей и компьютеров. С помощью этих средств администраторы могут обновлять
развернутые приложения, удалять устаревшие программы и устанавливать сервисные
пакеты и обновления операционной системы.
Для этих целей используются групповые политики, которые могут описываться в
Active Directory для сайтов, доменов и подразделений (организационных единиц).
При каждом включении компьютера запрашивается соответствующая политика инсталляции
программ, с помощью которой конфигурируется компьютер. Для каждого зарегистрированного
в системе клиента запрашивается пользовательская политика инсталляции программ,
и система обновляется, делая доступными нужные приложения.
Ключевым инструментом для оперативной инсталляции программ является служба Windows
Installer. Для того чтобы программный продукт смог воспользоваться средствами
Windows Installer, он должен быть авторизован и записан в дистрибутивный пакет
(файл с расширением msi). Служба Windows Installer полностью автоматизирует
процесс инсталляции и конфигурирования программ.
Используя групповую политику и средства Инсталляции и сопровождения программ,
администраторы могут публиковать (publish) или назначать (assign) приложения
для групп пользователей и компьютеров.
