Административные шаблоны (Administrative Templates)
Административные шаблоны (Administrative Templates)
С помощью расширения Административные шаблоны администратор системы может настроить целый набор параметров реестра, задающих режим функционирования компонентов операционной системы и приложений.
Задать конкретные параметры, доступные для модификации с помощью интерфейса пользователя оснастки Групповая политика, можно с помощью специальных административных шаблонов. Модифицируемые значения параметров реестра, относящиеся к зарегистрированному в компьютере пользователю, записываются в раздел реестра HKEY_CURRENT_USER. Значения шаблонов, относящиеся к компьютеру, записываются в раздел HKEY_LOCAL_MACHINE.
Административный шаблон представляет собой текстовый файл в кодировке Unicode с расширением adm, информация которого определяет, как доступные для модификации параметры реестра должны отображаться в окне интерфейса пользователя оснастки Групповая политика. Кроме того, административные шаблоны задают разделы реестра, куда должны быть записаны модифицированные значения параметров, с их помощью проверяется допустимость вводимых значений параметров. В некоторых случаях с помо-цЦью шаблонов могут быть заданы значения параметров реестра, выбираемые по умолчанию. Операционная система Windows XP содержит два файла административных шаблонов — system.adm и inetres.adm, где описаны все параметры реестра, доступные для изменения и отображаемые в расширении Административные шаблоны по умолчанию. Узел Административные шаблоны может быть расширен. Для этого администратор должен присоединить индивидуальный административный шаблон:
1. | Установите указатель мыши на узел Административные шаблоны и нажмите правую кнопку. |
2. | В появившемся контекстном меню выберите команду Добавление и удаление шаблонов (Add/Remove Template). |
3. | В окне Добавление и удаление шаблонов нажмите кнопку Добавить. Если вы на данном этапе хотите удалить ненужный шаблон, нажмите кнопку Удалить (Remove). |
4. | Если была нажата кнопка Добавить, появится окно диалога Шаблоны политики (Policy Templates), в котором следует выбрать добавляемый шаблон и нажать кнопку Открыть (Open) (Рисунок 27.2). |
5. | В окне Добавление и удаление шаблонов нажмите кнопку Закрыть (Close). |
/p>
Внутри узла Административные шаблоны появятся дополнительные папки, соответствующие добавленному шаблону. С их помощью администратор может редактировать параметры дополнительного набора разделов реестра.
Создание индивидуального административного шаблона. При установке нового программного обеспечения содержимое реестра изменяется. Как правило, в нем появляются новые параметры и даже ветви. Ими нельзя управлять с помощью оснастки Групповая политика, поскольку стандартные административные шаблоны не предоставляют доступ к вновь появившимся разделам реестра. В таких случаях необходимо создать индивидуальный административный шаблон. Он может быть сгенерирован с помощью любого текстового редактора, позволяющего работать с файлами в кодировке Unicode, например, программы Блокнот (Notepad). В административном шаблоне с помощью специального языка определяется иерархия категорий и подкатегорий, задающая взаимоотношения между доступными для модификации параметрами реестра. Каждая из категорий и подкатегорий может состоять из нескольких политик. Каждая политика, в свою очередь, может состоять из нескольких частей. Все политики и части политик описываются с помощью операторов языка создания административных шаблонов. Они позволяют описать название политики, параметр реестра, который регулирует политика, набор допустимых значений параметра, элементы управления пользовательского интерфейса оснастки Групповая политика, с помощью которых можно настроить данный параметр и т. д. Состав и синтаксис языка создания административных шаблонов в данной книге подробно не рассматривается. Дополнительную информацию по этому вопросу можно получить на сайте компании Microsoft.
Анализ нарушений политики безопасности системы
Пусть политика безопасности системы предполагает, что в группу Администраторы могут быть включены только администраторы системы, а в группу Опытные пользователи — только определенные пользователи. Если членом этих групп станет другой пользователь, произойдет нарушение политики безопасности. Выполнив с помощью оснастки Анализ и настройка безопасности анализ текущей конфигурации безопасности системы, можно выявить эти и любые другие нарушения:
Для просмотра результатов анализа текущих настроек безопасности в окне структуры откройте интересующую вас папку настроек безопасности (в данном примере, Группы с ограниченным доступом) (Рисунок 27.11). Не совпадающая с параметром базы данных текущая настройка безопасности будет помечена красным значком (крестиком или восклицательным знаком) и строка будет отмечена словом "Исследовать" (Investigate). Для получения более детальной информации о нарушении политики безопасности двойным щелчком выберите отмеченный параметр.
/p> Групповые политики расширяют и используют преимущества Active Directory. Их настройки находятся в объектах групповых политик (Group Policy Object, GPO), которые в свою очередь ассоциируются с такими контейнерами Active Directory, как сайты, домены и подразделения (организационные единицы). Политики безопасности Windows XP хранятся в двух типах объектов GPO: локальном объекте групповой политики и объекте групповой политики домена. Делегирование управления объектами групповой политики
С помощью инструментов управления Active Directory администратор может делегировать другим пользователям и группам право управления частью каталога. Это в полной мере относится и к объектам групповой политики, в отношении которых могут быть, в частности, делегированы следующие права: П Управление связями GPO с сайтом, доменом или подразделением (OU). Для этого с помощью инструмента управления Active Directory укажите сайт, домен или OU и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Делегирование управления (Delegate Control). Запустится Мастер делегирования управления (Delegation of Control Wizard). С его помощью можно выбрать объект групповой политики, группу или пользователя, которому должны быть делегированы права, а также и само право (в данном случае Управление ссылками групповой политики (Manage Group Policy links)).
|
Хранение GPO
Хранение GPO
Объекты GPO и Active Directory
GPO хранит информацию о настройках групповых политик в двух структурах — контейнере групповых политик (Group Policy Container, GPC) и шаблоне групповых политик (Group Policy Template, GPT). Контейнер групповых политик представляет собой объект Active Directory, в котором хранятся свойства GPO: версия, список расширений, которые хранят свои настройки в объекте групповой политики, состояние GPO и т. д. Шаблон групповых политик — это папка, где находится информация о настройках, модифицируемых с помощью оснастки Групповая политика: политики, настраиваемые с помощью административных шаблонов, настройки безопасности, приложения, управление которыми осуществляется посредством расширения Установка программ, сценарии, заданные с помощью расширения Сценарии, и т. д. Папка шаблона групповых политик находится на системном томе контроллеров доменов в папке Policies. При работе с GPO имя папки его шаблона групповых политик выступает в качестве глобального уникального идентификатора (Global Unique Identifier, GUID), уникально характеризующего данный объект групповой политики.
Оснастку Групповая политика можно настроить так, что информация о групповых политиках будет храниться вне GPO. Однако в этом случае в одном из стандартных мест хранения информации о групповых политиках необходимо сохранить ссылку (link) на местоположение данных GPO.
Инструменты настройки безопасности
Инструменты настройки безопасности
Обеспечение эффективной безопасности системы имеет несколько аспектов.
Во-первых, операционная система должна соответствовать базовым требованиям к безопасности. Например, требования к системе, соответствующей уровню безопасности С2, включают защиту памяти, дискреционное управление доступом и наличие средств аудита.
Во-вторых, для создания эффективной безопасности следует создать инструмент, позволяющий управлять всеми средствами обеспечения безопасности, заложенными в операционной системе. В Windows XP для управления безопасностью системы применяется Набор инструментов настройки безопасности (Security Configuration Tool Set). В него включены параметры безопасности операционной системы, собранные в единый блок управления, и ряд программных инструментов, позволяющих управлять этими параметрами.
Набор инструментов настройки безопасности состоит из следующих компонентов:
Служба настройки безопасности (Security Configuration Service) — служба, являющаяся ядром Набора инструментов настройки безопасности. Она работает на любой машине и отвечает за выполнение функций, связанных с настройкой безопасности и ее анализом. Эта служба является центральной для всей инфраструктуры безопасности системы. | ||
Начальная безопасность (Setup Security) — первоначальная конфигурация безопасности, создаваемая при установке Windows XP с помощью заранее определенного шаблона, поставляемого вместе с системой. На каждом компьютере Windows XP формируется первоначальная база данных безопасности, называемая локальной политикой компьютера (Local Computer Policy). | ||
Оснастка Шаблоны безопасности (Security Templates) — этот инструмент позволяет определять конфигурации безопасности, не зависящие от машины, которые хранятся в виде текстовых файлов. | ||
Оснастка Анализ и настройка безопасности (Security Configuration and Analisys ) — этот инструмент позволяет импортировать одну или несколько хранящихся конфигураций безопасности в базу данных безопасности (это может быть база данных локальной политики компьютера или любая другая личная база). Импорт конфигураций создает специфическую для машины базу данных безопасности, которая хранит композитную настройку. Ее можно активизировать на компьютере и проанализировать состояние текущей конфигурации безопасности по отношению к композитной настройке, хранящейся в базе данных. |
Использование групп безопасности
Использование групп безопасности
Группы безопасности (security groups) предназначены для решения следующих двух задач: ограничения влияния групповой политики и делегирования управления объектами групповой политики.
Локальные GPO
Локальные GPO
На каждом компьютере сети Windows XP существует локальный объект групповой политики, представляющий собой шаблон групповых политик. По умолчанию он содержит только информацию безопасности. Его данные расположены в папке %.SystemRoot/w.R0of%\System32\GroupPolicy. Администраторы и операционная система обладают полным доступом к этой папке. Пользователи получают доступ только на чтение.
Настройка безопасности для раздела реестра
Настройка безопасности для раздела реестра
Ниже показано, как можно настроить безопасность для раздела реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT. Администраторы получат полный контроль, а все остальные аутентифицированные пользователи будут иметь доступ только на чтение. Последовательность настройки безопасности для раздела реестра:
1. | Запустите оснастку Групповая политика. | |
2. | Откройте узел Конфигурация компьютера | Конфигурация Windows | Параметры безопасности, выберите папку Реестр. | |
3. | Нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Добавить раздел (Add Key). Запустится браузер реестра. | |
4. | Перейдите к узлу MacIune\Software\Microsoft\Windows NT. (В качестве альтернативы можно ввести полный путь к редактируемому полю.) | |
5. | Нажмите кнопку ОК. Откроется стандартное окно редактора списков управления доступом (ACL), в котором можно настроить разрешения для выбранного раздела. | |
6. | Для изменения списка объектов, имеющих разрешение доступа к данному разделу, используйте кнопки Добавить и Удалить. Здесь вы можете задать полный доступ только для администраторов и доступ только на чтение для остальных пользователей. По завершении корректировки данных нажмите кнопку ОК. | |
7. | При настройке безопасности раздела реестра можно задать три типа действия безопасности:
Распространить наследуемые разрешения на все подразделы (Propagate inheritable permissions to all subkeys) — разрешения, установленные для данного раздела реестра, будут автоматически наследоваться ниже по дереву. При этом все напрямую заданные разрешения на доступ к подразделам будут сохранены, и к ним будут добавлены унаследованные разрешения. Заменить текущие разрешения во всех подразделах наследуемыми (Replace existing permissions on all subkeys with inheritable permissions) — разрешения на доступ, установленные для данного раздела реестра, будут автоматически наследоваться ниже по дереву. Но в данном случае любые напрямую заданные права доступа к подразделам будут перезаписаны новыми установками. Действовать будут только вновь созданные разрешения. Запретить замену разрешений в этом разделе (Do not allow permissions on this key to be replaced). Если для родительского раздела установлены новые разрешения, то они наследуются всеми подразделами и перезаписывают все остальные прямые установки. Однако один из подразделов может быть сконфигурирован так, что настройки безопасности родительского раздела будут игнорироваться и не будут распространяться ниже по дереву. | 8. | Закройте программы настройки. Все сделанные вами изменения в настройках будут сохранены и начнут работать в локальной политике безопасности. |
Настройка безопасности для всего диска С:
Настройка безопасности для всего диска С:
С помощью политик безопасности вы можете установить различные права доступа к устройству для разных пользователей (например, полный контроль для администраторов и права на чтение и создание подкаталогов, а также полный контроль над создаваемыми файлами — для пользователей)! Такая настройка невозможна для обычных компьютеров. Для настройки безопасности устройства на контроллере домена:
1. | Запустите оснастку Групповая политика для локального объекта групповой политики. |
2. | Откройте узел Конфигурация компьютера | Конфигурация Windows | Параметры безопасности, выберите папку Файловая система. |
3. | Щелкните правой кнопкой мыши и выберите в контекстном меню команду Добавить файл (Add File). Запустится браузер файловой системы. |
4. | В окне диалога Добавление файла или папки (Add file or folder) выберите диск С: и нажмите кнопку ОК. |
5. | По умолчанию группа Все (Everyone) имеет полный доступ к диску. В открывшемся окне диалога Безопасность базы данных (Database Security for) с помощью кнопки Удалить можно очистить список пользователей. Нажав кнопку Добавить, можно выбрать пользователей и группы, а затем определить соответствующие разрешения для диска С:. Чтобы настроить особые права доступа, нажмите кнопку Дополнительно (Advanced). |
6 | После установки необходимых разрешений нажмите кнопку ОК. |
7. | В открывающемся затем окне Параметр шаблона политики безопасности (Template Security Policy Setting) выберите тип действия безопасности (распространить, заменить и игнорировать разрешения). Здесь можно нажать кнопку Изменить безопасность (Edit Security) и вернуться к редактированию разрешений. |
8. | Закончив выбор необходимых действий, нажмите кнопку ОК. |
Настройка групповых политик компьютера в домене
Настройка групповых политик компьютера в домене
Создание объектов политики безопасности в Active Directory
Каждый домен по умолчанию обладает ассоциированной с ним групповой политикой. Объект групповой политики (Group Policy Object, GPO) автоматически создается при создании домена. Впоследствии этот объект можно отредактировать. Используя групповые политики, можно одновременно управлять поведением всех компьютеров в домене, а также контролировать делегирование прав администрирования.
При формировании сети предприятия очень важно правильно организовать групповые политики, что позволит минимизировать избыточность параметров и оптимизировать управление сетью. К сожалению, эти цели в определенном смысле противоречат друг другу. Для минимизации избыточности GPO должны с максимальной точностью описывать каждую из политик, действующих на конкретные домены и подразделения (организационные единицы, OU), что приводит к увеличению числа GPO. Для улучшения управления сетью следует, наоборот, создавать небольшое число GPO. Поэтому в каждом конкретном случае нужно правильно сбалансировать количество объектов политик безопасности.
Для правильного планирования структуры групповых политик сети следует:
Разделить политики на логические группы. Например, политики учетных записей могут быть объединены в одну группу. | ||
Для каждой логической" группы создать один или несколько объектов GPO, имеющих различные настройки групповых политик. | ||
Распределить объекты-компьютеры по иерархическим древовидным структурам, состоящим из подразделений. В качестве критерия при таком распределении следует выбрать функцию, которую выполняет данный компьютер. |
В основном, каждое подразделение должно иметь определенную групповую политику, действующую на все находящиеся в ней компьютеры. Зачастую
это сделать непросто, поскольку подразделения могут отражать географическое расположение организации, а также иерархию управления сетью. В случаях, когда групповые политики должны распространяться на подмножество компьютеров организации, можно сделать следующее:
Создать в различных подразделениях организации внутренние подразделения, переместить туда нужные объекты-компьютеры и назначить внутренним подразделениям собственные групповые политики. | ||
Если вы не хотите создавать внутренние подразделения, можно использовать схему фильтрации GPO, основанную на разрешениях доступа. С ее помощью вы сможете задать соответствие компьютеров и действующих на них GPO. | ||
Настройка групповых политик на автономном компьютере
Настройка групповых политик на автономном компьютере
В операционной системе Windows XP реализована новая концепция управления политиками безопасности компьютера. Каждый компьютер обладает своим собственным локальным объектом групповой политики (Local Group
Policy Object, LGPO), который можно редактировать. Если компьютер Windows XP не присоединен к домену, то на нем активна только локальная групповая политика. После присоединения к домену групповые политики применяются в соответствии с их иерархией. Следует обратить внимание, что локальная групповая политика применяется даже при включенной блокировке наследования политики от контейнеров более высокого уровня.
Для редактирования локального объекта групповой политики загрузите его в оснастку Групповая политика (при присоединении оснастки в поле ввода Объект групповой политики нужно указать опцию Локальный компьютер). Ниже на примерах показано, как редактировать параметры локальных политик.
Настройка политики выбора контроллера домена
Настройка политики выбора контроллера домена
Можно сконфигурировать групповую политику, определяющую, какой контроллер домена будет выбираться по умолчанию при запуске оснастки Групповая политика. Для этого:
1. | Запустите оснастку Групповая политика для групповой политики контроллера домена или для политики всего домена. | |
2. | Откройте узел Конфигурация пользователя | Административные шаблоны | Система | Групповая политика. | |
3. | Выберите в списке политику Выбор контроллера домена групповой политики (Group Policy domain controller selection) — откроется окно настройки политики. | |
4. | Включите политику и установите нужный вариант выбора контроллера домена:
Использовать основной контроллер домена (Use the Primary Domain Controller) Унаследовать от оснасток Active Directory (Inherit from the Active Directory Snap-ins) Использовать любой доступный контроллер домена (Use any available domain controller) |
После того, как политика установлена, команда Параметры контроллера домена в меню Вид окна оснастки Групповая политика будет недоступна.
Объекты групповой политики (GPO)
Объекты групповой политики (GPO)
Оснастка Групповая политика (Group Policy)
При создании, настройке и хранении параметров групповых политик применяется подход, позволяющий работать с GPO как с документами.
После создания GPO ассоциируется с определенным контейнером Active Directory, и в результате групповые политики, хранящиеся в данном GPO, будут выполняться для всех компьютеров и пользователей, находящихся в этом контейнере. Дополнительными средствами настройки групповых политик в контейнере являются группы безопасности и дискреционные разрешения доступа.
GPO создается с помощью оснастки консоли управления Групповая политика, которая может вызываться как изолированный инструмент и в качестве расширения таких оснасток, как Active Directory—пользователи и компьютеры (Active Directory Users and Computers) или Active Directory—сайты и службы (Active Directory Site and Services). Для вызова оснастки Групповая политика в качестве расширения в окне соответствующей оснастки укажите нужный контейнер и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Свойства (Properties). В открывшемся окне перейдите на вкладку Групповая политика (Group Policy). С ее помощью вы сможете просматривать контейнеры Active Directory и ассоциированные с ними GPO.
Для запуска оснастки Групповая политика в виде изолированной оснастки:
1. | Нажмите кнопку Пуск (Start). Выберите команду Выполнить (Run). В поле ввода введите с клавиатуры и нажмите кнопку ОК. Запустится консоль управления Microsoft. |
2. | В окне консоли управления в меню Консоль (Console) выберите команду Добавить/удалить оснастку (Add/Remove Snap-in), затем нажмите кнопку Добавить (Add). В открывшемся окне выберите элемент Групповая политика и нажмите кнопку Добавить. |
3. | В следующем окне нажмите кнопку Обзор (Browse). В открывшемся окне диалога выберите GPO, который будет загружен в оснастку (можно выбрать GPO для отдельного компьютера, подразделения, сайта или домена), и нажмите кнопку ОК. Нажмите кнопки Готово (Finish), Закрыть (Close) и ОК. (Пример окна оснастки приведен ниже, на Рисунок 27.1) Теперь оснастку можно сохранить в файле с любым именем. |
/p>
Создать групповую политику для контейнера Active Directory можно только при наличии определенного набора условий. Необходимо иметь работающий контроллер домена Windows XP. Пользователь, который создает групповую политику, должен обладать правами на чтение и запись в системный том контроллеров домена (папка Sysvol). Кроме того, он должен иметь право модификации выбранного контейнера Active Directory.
После запуска оснастки Групповая политика в окне структуры появляется набор узлов, которые являются расширениями этой оснастки. По умолчанию все расширения загружаются в процессе запуска оснастки. Однако их состав можно изменить с помощью средств создания индивидуальной конфигурации консоли ММС и с помощью политик, определяющих работу самой консоли. Подход, предполагающий применение расширений, позволяет пользователям создавать свои собственные расширения оснастки Групповая политика, наделяя ее способностью устанавливать дополнительные групповые политики. Любое расширение может в свою очередь состоять из расширений, поэтому оснастка Групповая политика — чрезвычайно гибкий инструмент, который можно сконфигурировать для конкретной компьютерной среды.
Ограничение влияния настроек групповой политики
Ограничение влияния настроек групповой политики
Как уже говорилось, все компьютеры и пользователи, находящиеся в определенном контейнере, подпадают под влияние групповых политик, настройки которых находятся в GPO, связанном с данным контейнером. Для более тонкой настройки влияния определенного объекта груп повой политики на группы пользователей и компьютеров применяют группы безопасности. Они не могут быть связаны с GPO, но с помощью вкладки Безопасность окна свойств объекта групповой политики можно задать, будет ли данный GPO влиять на членов определенной группы безопасности.
Примечание
Обратите внимание, что фильтрация влияния политик безопасности может быть выполнена только с помощью групп безопасности. Группы дистрибуции (distribution groups) для этого не подходят.
Для ограничения влияния настроек групповой политики:
1. | В правом подокне окна оснастки Групповая политика укажите корневой узел объекта групповой политики и нажмите правую кнопку мыши. | |
2. | В появившемся контекстном меню выберите команду Свойства. | |
3. | В окне свойств объекта групповой политики перейдите на вкладку Безопасность. | |
4. | Нажмите кнопку Добавить и добавьте нужную группу. | |
5. | Установите для нее надлежащие права доступа к объекту групповой политики. Можно разрешить или запретить доступ к GPO. На членов группы, для которой в строке Применение групповой политики флажок установлен в позиции Разрешить, влияют настройки данного объекта групповой политики. Чтобы запретить влияние групповой политики на определенную группу, в строке Применение групповой политики флажок необходимо установить в позиции Запретить (Deny). Если флажок не установлен ни в одной из позиций, это значит, что к данной группе не применяются настройки ни одной из установленных политик. Примечание Следует очень хорошо осмыслить факт влияния групповых политик на группы безопасности! Хотя, как указывается в любой документации от Microsoft, относящейся к групповым политикам, "групповые политики (различные GPO) могут распространять свое влияние на сайты, домены и подразделения" — т. е. на контейнеры Active Directory, однако, используя механизмы безопасности, можно построить систему групповых политик, ориентированную на группы. Например, можно создать несколько политик на уровне домена и разрешить применение каждой из политик только к отдельным группам (при этом нужно в каждой политике удалить или запретить подключаемую по умолчанию группу Прошедшие проверку (Authenticated Users), в которую попадаются все пользователи). Иногда такой подход может оказаться весьма полезным и гибким. |
Оснастка Анализ и настройка безопасности (Security Configuration and Analysis)
Оснастка Анализ и настройка безопасности (Security Configuration and Analysis)
Здесь мы поговорим об использовании оснастки Анализ и настройка безопасности для анализа различных аспектов безопасности систем Windows XP. Эту оснастку, как и утилиту командной строки secedit, можно применять для интерактивного сбора анализируемых данных в системе или для выполнения периодического сбора информации с помощью сценария, запускаемого в соответствии с заданным расписанием.
Изолированная оснастка Анализ и настройка безопасности запускается стандартным образом, при помощи консоли управления. Пользовательский интерфейс оснастки прост и интуитивно понятен. Визуализация проблем (нарушении политики безопасности) выполняется с помощью специальных значков, шрифтов и цветовых выделений. При этом выводится информация, помогающая в устранении проблем. Применяются простые таблицы со списками атрибутов и соответствующих им значений, а также рекомендованных значений.
При выполнении анализа безопасности оснастка использует информацию базового шаблона безопасности, содержащего предпочтительные или рекомендуемые настройки, помещенные в базу данных безопасности. Ядро анализа оснастки Анализ и настройка безопасности запрашивает текущие настройки различных атрибутов по каждому из направлений настройки безопасности и сравнивает полученные величины с рекомендациями базового шаблона. Если настройка совпадает с шаблоном, она признается правильной. В обратном случае идентифицируется потенциальная проблема, требующая дополнительного исследования.
Оснастка Шаблоны безопасности (Security Templates)
Оснастка Шаблоны безопасности (Security Templates)
Редактор шаблонов безопасности реализован в виде оснастки ММС. Он предназначен для создания и редактирования текстовых файлов конфигурации безопасности операционной системы Windows XP. Такие файлы значительно легче переносятся с одной системы на другую, чем соответствующие им базы данных безопасности.
Созданные при помощи оснастки Шаблоны безопасности текстовые файлы хранятся на жестком диске и при необходимости могут быть импортированы в базу данных безопасности. В этом случае все хранимые настройки безопасности начнут действовать.
С помощью оснастки Шаблоны безопасности можно конфигурировать:
Политики безопасности учетных записей (Account Security). Здесь вы сможете настроить такие параметры безопасности, как политика паролей, политика блокировки паролей и т. д. | ||
Локальные политики (Local Policies). Здесь можно настроить параметры безопасности, касающиеся политики аудита, прав пользователей и индивидуальных параметров безопасности конкретной машины Windows XP. Большинство этих параметров безопасности соответствуют значениям переменных реестра. | ||
Журнал событий (Event Log). Здесь настраиваются параметры, определяющие работу журналов системы, безопасности, приложений и службы каталогов (Directory Service). | ||
Группы с ограниченным доступом (Restricted Groups). Параметры, определяющие членство в группах, включая поддержку встроенных групп контроллеров домена. | ||
Системные службы (System Services). Здесь можно настроить параметры безопасности, касающиеся режима загрузки и управления доступом для всех системных служб, а также параметры, определяющие безопасность редиректора и сервера. | ||
Реестр (Registry). Можно управлять доступом к разделам реестра системы. | ||
Файловая система (File System). Можно настроить параметры управления доступом к файлам и папкам локальных томов файловой системы и деревьев каталога. |
Значения параметров всех перечисленных выше областей обеспечения безопасности заносятся в текстовые файлы с расширением inf, называемые шаблонами безопасности. С их помощью можно конфигурировать систему.
Кроме того, при анализе безопасности системы шаблоны могут быть использованы в качестве рекомендованной конфигурации.
Информация о конфигурации безопасности расположена в нескольких разделах. Вся информация шаблонов обрабатывается ядром оснастки Шаблоны безопасности. Шаблоны обладают гибкой архитектурой, позволяющей в случае необходимости создавать новые разделы для конфигурации и анализа информации безопасности.
Оснастка Шаблоны безопасности располагает набором созданных заранее шаблонов безопасности. По умолчанию они хранятся в папке %SystemRoot% \Security\Templates. Они могут быть модифицированы с помощью этой оснастки и импортированы в расширение Параметры безопасности (Security Settings) оснастки Групповая политика.
Шаблоны безопасности отличаются друг от друга совокупностью хранящихся в них настроек. С помощью разных шаблонов можно устанавливать различные по степени защищенности конфигурации безопасности компьютера Windows XP. Применять шаблоны безопасности, можно только в случае, если система была уже настроена с помощью параметров безопасности, установленных по умолчанию. Новые шаблоны безопасности не изменяют все старые настройки параметров системы безопасности, они лишь дополняют их, увеличивая (инкрементируя) степень защищенности компьютера. Поэтому их называют инкрементирующими шаблонами безопасности. Вы можете использовать их без изменения содержимого или в качестве основы для создания своих собственных шаблонов. Инкрементирующие шаблоны безопасности можно применять в системах Windows XP, установленных на разделе NTFS. Если компьютер Windows XP был установлен путем обновления его из компьютера Windows NT 4.0, на нем необходимо предварительно установить базовый шаблон безопасности, который содержит значения параметров, безопасности, установленные по умолчанию. Если операционная система установлена в разделе FAT, такой компьютер не может быть защищен.
Оснастка Шаблоны безопасности предоставляет средства изменения информации, содержащейся в шаблонах.
Поскольку усиленная безопасность часто отрицательно сказывается на производительности системы, настройки безопасности, определенные в заранее созданных шаблонах, не должны применяться в рабочем режиме без тщательного предварительного анализа последствий установки той или другой конфигурации безопасности.
Заранее определенные компанией Microsoft конфигурации безопасности делятся на следующие типы:
|
Базовая (Basic). Это набор настроек безопасности, генерируемых по умолчанию на рабочих станциях, серверах и контроллерах доменов при первоначальной установке Windows XP. Базовая конфигурация в основном служит для того, чтобы прекращать действие более жестких типов конфигураций безопасности. Операционная система Windows XP содержит три базовых шаблона безопасности: basicwk.inf — для рабочих станций basicsv.inf — для серверов basicdc.inf — для контроллеров доменов Базовые шаблоны безопасности содержат настройки параметров безопасности, устанавливаемые по умолчанию для всех областей обеспечения безопасности, за исключением прав пользователя и групп. Эти шаблоны можно применять в системе Windows XP с помощью оснастки Анализ и настройка безопасности или с помощью утилиты Secedit.exe. |
|
Совместимая (Compatible). Эти настройки безопасности генерируются в системах, где не требуются жесткие меры безопасности, и где работают устаревшие программные продукты. В выборе между обеспечением выполнения всех функций приложения и обеспечением безопасности данная конфигурация принимает сторону приложения. Помимо некоторого улучшения установок безопасности, совместимые конфигурации содержат в себе специальные настройки, предназначенные для защиты пакета Microsoft Office. В случае, если в системе используется этот продукт, совместимая конфигурация должна быть включена после установки пакета Office. Однако следует помнить, что конфигурация безопасности, создаваемая этим шаблоном, не считается защищенной. Файл совместимого шаблона безопасности называется compatws.inf. |
|
Защищенная (Secure). Обеспечивает более надежную безопасность по сравнению с совместимой конфигурацией. В выборе между обеспечением выполнения' всех функций приложения и обеспечением безопасности данная конфигурация принимает сторону безопасности. Она содержит жесткие настройки безопасности для политики учетных записей, аудита и некоторых широко используемых разделов реестра. Защищенную конфигурацию рекомендуется ставить на компьютеры, где не задействованы все возможности Microsoft Office, или если данный компьютер предназначен для решения узкого круга задач. Шаблоны защищенной безопас ности находятся в файлах securews.inf и securedc.inf. |
|
Сильно защищенная (High Security). Эта конфигурация позволяет получить идеально защищенную систему Windows XP, не учитывающую функциональность приложений. Подобная конфигурация при обмене информацией предполагает обязательное использование электронной подписи и шифрования, которое обеспечивается только средствами Windows XP. Поэтому компьютеры, на которых установлена сильно защищенная конфигурация безопасности, не могут обмениваться данными с другими операционными системами Windows. Сильно защищенную конфигурацию можно применять в системах, где работают приложения, предназначенные для функционирования в среде с усиленной системой безопасности. Шаблоны защищенной безопасности находятся в файлах hisecws.inf и hisecdc.inf. |
/p>
Приложения, которые успешно работают на определенном уровне безопасности, обеспеченной заранее созданными шаблонами, также успешно функционируют на более низких уровнях безопасности.
Архитектура оснастки Шаблоны безопасности предполагает возможность расширения этого программного инструмента. Вы можете добавить расширения в качестве новых направлений обеспечения безопасности или в качестве новых атрибутов внутри существующих направлений. Поскольку информация конфигурации хранится в стандартных текстовых файлах, ее можно легко дополнить новыми параметрами и разделами с полным сохранением обратной совместимости.
Кроме того, в настоящее время в шаблоне определен раздел, относящийся к службам системы, архитектура которого дает возможность расширять его внутреннюю структуру. Это позволяет любой службе обратиться к оснастке Шаблоны безопасности и настроить с ее помощью свои параметры безопасности. Поэтому различные системы Windows XP могут быть сконфигурированы для работы с индивидуальными наборами служб. Кроме того, компания Microsoft ожидает, что независимые разработчики программного обеспечения, создающие новые службы, будут добавлять к общей структуре безопасности необходимую информацию конфигурации и анализа безопасности своих служб.
В следующих разделах приведены примеры работы с редактором шаблонов безопасности.
Параметры безопасности (Secyrity Settings)
Параметры безопасности (Secyrity Settings)
С помощью расширения Параметры безопасности в GPO можно определить параметры политики безопасности, определяющие различные аспекты работы системы безопасности Windows XP. Созданная в объекте групповой политики конфигурация воздействует на все компьютеры, находящиеся в контейнере, к которому присоединен данный GPO.
Расширение Параметры безопасности позволяет настраивать следующие аспекты системы безопасности компьютера:
Политики учетных записей (Account Policies). Можно настраивать политики безопасности как учетных записей в масштабах домена, так и локальных учетных записей. Здесь определяются политика паролей, политика блокировки паролей и новая политика Kerberos, распространяющаяся на весь домен. | ||
Локальные политики (Local Policies). Можно настраивать политику аудита, назначать права пользователей и различные параметры безопасности, доступные для настройки в системе Windows XP. | ||
Журнал событий (Event Log). Можно настраивать политики безопасности, определяющие работу журналов событий приложений, системы и безопасности. | ||
Группы с ограниченным доступом (Restricted Groups). Можно регулировать членство пользователей в специфических группах. Сюда обычно включают встроенные группы, такие как Администраторы, Операторы архива и другие, имеющие по умолчанию права администратора. В эту категорию могут быть включены и другие группы, безопасность которых требует особого внимания и членство в которых должно регулироваться на уровне политики. | ||
Системные службы (System Services). Можно настраивать безопасность и параметры загрузки для работающих на компьютере служб. В этом разделе могут быть использованы расширения, с помощью которых можно осуществлять настройку безопасности, специфическую для данной службы. Например, расширение File Sharing Service позволяет настраивать политику безопасности для службы создания общего доступа к файлу (активизация подписи 8MB, ограничение анонимного доступа к общим ресурсам, формирование безопасности различных сетевых общих ресурсов и т. д.). | ||
Реестр (Registry). Можно настраивать безопасность различных разделов реестра. | ||
Файловая система (File System). Можно настраивать безопасность определенных файлов. | ||
Политики открытого ключа (Public Key Policies). Можно настраивать политики безопасности в отношении шифрования информации с помощью EFS, авторизации корневого сертификата в масштабах домена, авторизации доверенного сертификата и т. д. | ||
Политики безопасности IP (IPSEC). Позволяет настраивать политику безопасности IP для компьютеров, находящихся в определенной области действия. |
/p>
Политики безопасности, определяемые расширением Параметры безопасности, действуют на компьютеры и частично на пользователей. Поскольку политика безопасности Windows XP значительно отличается от политик предыдущих версий Windows NT, при переходе к Windows XP низкоуровневые политики безопасности не переносятся. Если при переходе создается новое дерево доменов, одновременно создается и новая политика безопасности, назначаемая по умолчанию. Если при переходе домен присоединяется к уже существующему дереву, политика безопасности берется от родительского домена.
Для модификации настроек безопасности щелкните на папке Параметры безопасности, затем щелчками на соответствующих узлах откройте весь путь, ведущий к интересующим настройкам. В правом подокне окна оснастки Групповая политика двойным щелчком выберите настраиваемую политику и в
Перенаправление папки (Folder Redirection)
Перенаправление папки (Folder Redirection)
Оснастка Перенаправление папки позволяет перенаправить некоторые папки профиля пользователя в другое место (как правило, на общий ресурс сети). Перенаправление возможно для следующих папок:
Application Data | ||
Мои рисунки (My Pictures) | ||
Рабочий стол (Desktop) | ||
Главное меню (Start Menu) | ||
Мои документы (My Documents) |
Перенаправление папки на общий ресурс сети позволяет, например, обеспечить доступ к информации перечисленных папок для различных компьютеров сети (особенно важно для папки Мои документы), а также повысить отказоустойчивость и упростить создание резервных копий информации.
Для перенаправления специальной папки на общий ресурс сети:
1. | Запустите оснастку Групповая политика. |
2. | Найдите узел Перенаправление папки и откройте его. |
3. | Укажите специальную папку и нажмите правую кнопку мыши. В открывшемся контекстном меню выберите команду Свойства. |
4. | В окне свойств папки в раскрывающемся списке Значение (Setting) выберите пункт Базовый (Basic), если данная специальная папка переназначается в одно место для всех пользователей. Появится поле ввода Размещение конечной папки (Target Folder Location). |
5. | Нажмите кнопку Обзор и укажите местоположение переназначаемой информации. |
6. | Если специальная папка для различных групп переназначается в разные места, в списке Значение выберите пункт Расширенный (Advanced). В этом случае в нижней части окна свойств папки появится поле Членство в группе безопасности (Security Group Membership). |
7. | Нажмите кнопку Добавить. В открывшемся окне диалога Выбор группы и размещения (Specify Group and Location) введите имя группы пользователей и соответствующее ей целевое местоположение переназначаемой информации. |
Подкаталоги шаблона групповых политик
Подкаталоги шаблона групповых политик
Внутри папки шаблона групповых политик имеются следующие подкаталоги:
Adm (если компьютер входит в домен). Здесь находятся все файлы *.adm для данного шаблона групповых политик. | ||
Machine. Здесь хранится файл Registry.pol со значениями параметров реестра, устанавливаемыми для компьютера. При загрузке операционной системы файл Registry.pol копируется с контроллера домена, и его данные записываются в реестр в раздел HKEY_LQCAL_MACHINE. Если компьютер входит в домен, в папке Machine появляется подкаталог Scripts (где находятся все сценарии и связанные с ним файлы), в котором находятся подкаталоги Shutdown и Startup для сценариев выключения и запуска системы (соответственно). | ||
User. Здесь хранится (если компьютер входит в домен) файл Registry.pol со значениями параметров реестра, устанавливаемыми для пользователей. Когда пользователь регистрируется в системе, файл Registry.pol копируется с контроллера домена, и его данные записываются в реестр в раздел HKEY_CURRENT_USER. Если компьютер входит в домен, падка User содержит подкаталог Scripts, где находятся все сценарии и связанные с ними файлы, и подкаталоги Logoff и Logon (для сценариев выхода из системы и регистрации в системе). |
Порядок применения групповых политик
Порядок применения групповых политик
Применение групповых политик происходит в последовательности, соответствующей иерархии GPO: сначала объект групповой политики сайта, затем домена, затем GPO, связанные с подразделениями в соответствии с их вложенностью, Порядок выполнения групповых политик можно изменить с помощью настроек, блокирующих определенные групповые политики или заставляющих их выполняться принудительно. Кроме того, на порядок выполнения групповых политик влияет применение групп безопасности, о которых речь пойдет ниже.
По умолчанию настройки групповой политики, применяемые к контейнеру определенного уровня, наследуются всеми контейнерами более низких уровней и находящимися внутри них пользователями и компьютерами. Если с дочерней организационной единицей (контейнером) связан свой GPO, он может устанавливать для нее индивидуальные настройки групповых политик, отменяющие применение к ней наследуемых настроек. Если некоторые настройки групповых политик родительского контейнера не заданы (not defined), то они не наследуются и дочерними контейнерами. Если родительский контейнер обладает сконфигурированными настройками групповых политик, которые не заданы в GPO дочернего контейнера, то такие настройки наследуются.
Наследование настроек групповых политик родительского контейнера дочерним контейнером, с которым связан собственный объект групповой политики, может иметь место только в случае совместимости этих групповых политик. Например, если политика родительского контейнера задает определенную конфигурацию рабочего стола компьютера пользователя, а политика дочернего контейнера дополняет ее, пользователь увидит на своем рабочем столе все элементы, заданные обеими политиками. Если же групповая политика родительского контейнера противоречит групповой политике дочернего контейнера,, выполняются только настройки GPO, связанного с дочерним контейнером.
Подобное положение вещей может быть изменено. Установка флажка Блокировать наследование политики (Block Policy inheritance), находящегося на вкладке Групповая политика окна свойств некоторого контейнера, запрещает наследование каких-либо групповых политик, установленных для родительского контейнера.
Существует средство, позволяющее настроить принудительное применение групповой политики, настроенной для некоторого контейнера, всеми контейнерами более низкого уровня. Для этого на вкладке Групповая политика окна свойств контейнера следует нажать кнопку Параметры (Options). В появившемся окне диалога Параметры имя_подразделения необходимо установить флажок Не перекрывать (No override). В этом случае дочерние контейнеры будут наследовать (т. е. не смогут переопределить) все настройки родительского контейнера, даже в том случае, если для дочерних контейнеров установлен флажок Блокировать наследование политики.
По умолчанию групповая политика применяется синхронно, т. е. политики компьютера применяются до появления окна Вход в Windows (Log on to Windows), а политики пользователя — до передачи операционной системой управления оболочке, интерактивно взаимодействующей с пользователем. Подобный порядок можно изменить, однако делать это не рекомендуется, поскольку асинхронное применение групповых политик может привести к непредсказуемым и нежелательным результатам.
Применение групповых политик не ограничивается только, например, моментом загрузки операционной системы компьютера или регистрацией пользователя в системе. При работе компьютера в сети групповые политики могут измениться, поэтому они применяются периодически (по умолчанию — каждые 90 минут). Длительность периода применения политик можно изменять. Если задать его равным нулю, групповые политики применяются через каждые 7 секунд. Следует учитывать, что при уменьшении периода применения групповых политик значительно увеличивается нагрузка на систему. На контроллерах доменов период применения политик равен 5-ти минутам.
Настройки расширений Установка программ и Переназначение папки применяются только при загрузке операционной системы или регистрации пользователя в системе, поскольку периодическое применение этих групповых политик может вызвать нежелательные результаты.
Для блокировки и настройки принудительного выполнения групповой политики:
1. | Запустите оснастку Active Directory—пользователи и компьютеры, укажите нужный контейнер и нажмите правую кнопку мыши. |
2. | В появившемся контекстном меню выберите команду Свойства. |
3. | В окне свойств перейдите на вкладку Групповая политика (Рисунок 27.3). Нажмите кнопку Параметры. |
4. | В открывшемся окне установите флажок Не перекрывать. Теперь настройки дочерних объектов групповой политики не смогут изменять действие (переопределять) настроек данного объекта. |
5. | Нажмите кнопку ОК. |
6. | В окне свойств контейнера установите флажок Блокировать наследование политики, что запретит распространение групповой политики более высокого уровня на текущий контейнер и контейнеры нижних уровней. |
Применение групповых политик на клиентской стороне
Периодичность применения групповых политик на клиентской стороне во многом определяется пропускной способностью канала, по которому клиент обменивается информацией с серверами сети. При работе по медленному каналу администратор может увеличить период применения групповых политик. Если система обнаружила, что клиент присоединен по низкоскоростной линии, устанавливаются соответствующие флаги, влияющие на применение групповых политик. По умолчанию при наличии медленного канала загружаются только настройки узлов Административные шаблоны и Параметры безопасности. Однако с помощью специальных настроек можно регулировать работу расширений оснастки Групповая политика на клиентской стороне. Среди таких настроек отметим следующие политики:
Для настройки всех перечисленных выше и других параметров:
Просмотр и редактирование шаблона безопасности
Щелкните на одном из стандартных шаблонов безопасности, которые вы видите в окне оснастки Шаблоны безопасности. Если вы хотите модифицировать какую-либо настройку безопасности, дважды щелкните на ней и отредактируйте значения параметров. Создание пользовательского объекта в папке Файловая система или Реестр. Обратите внимание, что для этих папок в правом подокне отображаются не все объекты, а только те, которые представляют интерес с точки зрения политики безопасности. Кроме того, важно отметить, что модель наследования дискреционного списка управления доступом (Discretionary Access Control List, DACL), принятая в Windows XP, позволяет распространять действие настроек безопасности на дочерние объекты файловой системы или реестра, список которых приведен в шаблоне безопасности. Например, даже если каталог 96SystemRoot96\System32 не присутствует в списке объектов файловой системы шаблона securews, он унаследует настройки безопасности от своего родительского каталога %SystemRoot%, который определен в списке объектов. Для того чтобы добавить объект в папку Файловая система:
Следует отметить, что установленные вами настройки безопасности записываются в файл шаблона безопасности. Их работа начнется, только когда конфигурация, определенная данным шаблоном, будет активизирована в системе (например, импортирована в некоторую групповую политику).
Узел Политика блокировки учетной записи (Account Lockout Policy)
|
/p>
Для модификации локальной политики учетных записей:
1. | В оснастке Групповая политика откройте узел Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики учетных записей | Политика блокировки учетной записи (Рисунок 27.4). Откроется окно, отображающее набор настроек политики блокировки. |
2. | Для запуска средства редактирования сделайте двойной щелчок на разделе, настройку которого вы хотите изменить, например, на Пороговое значение блокировки (Account lockout threshold). |
3. | В открывшемся окне Параметр локальной политики безопасности (Local Security Policy Setting) в поле при ошибках входа в систему (invalid logon attempts) введите новое значение. |
4. | Нажмите кнопку ОК. В результате будет установлено новое значение параметра. |
Окно диалога Поиск
Рисунок 27.5. Окно диалога Поиск объекта групповой политики (Browse for a Group Policy Object) и кнопка Новый объект групповой политики (Create New Group Policy Object)
Теперь в оснастке Групповая политика загружен только что созданный GPO. Отредактируйте его в соответствии с общей концепцией обеспечения безопасности и ассоциируйте его с соответствующим доменом или OU.
Примечание
Можно создавать и редактировать GPO сразу для конкретного контейнера. Это делается на вкладке Групповая политика в окне свойств этого контейнера (см. ниже раздел "Привязка GPO к объектам Active Directory").
Загрузка уже созданного GPO. Чтобы загрузить GPO:
1. | Запустите оснастку Групповая политика. При запуске оснастки укажите загружаемый GPO. Для этого нажмите кнопку Обзор. Запустится браузер GPO. |
2. | В открывшемся окне диалога Поиск объекта групповой политики выберите нужный GPO и нажмите кнопку ОК. |
Редактирование GPO. Чтобы отредактировать GPO:
1. | Загрузите нужный GPO в оснастку Групповая политика. |
2. | После запуска оснастки переместитесь по дереву узлов и откройте редактируемые параметры групповой политики. |
3. | В правом подокне окна оснастки Групповая политика щелкните на редактируемом параметре. В открывшемся окне установите нужное значение. |
Привязка GPO к объектам Active Directory. Чтобы привязать созданный GPO к сайту, домену или подразделению (создать ссылку на некоторый GPO):
1. | Запустите оснастку Active Directory—сайты и службы — для работы с сайтами или Active Directory—пользователи и компьютеры — для доменов и подразделений. |
2. | Укажите тот контейнер, для которого устанавливается ассоциация с GPO, и нажмите правую кнопку мыши. В появившемся меню выберите команду Свойства и в открывшемся окне перейдите на вкладку Групповая политика. |
3. | Для того чтобы добавить новый GPO, нажмите кнопку Добавить. Запустится браузер GPO. | 4. | Найдите объект групповой политики, с которым вы хотите ассоциировать выбранный контейнер, и выберите его. Нажмите кнопку ОК. GPO будет добавлен к списку ассоциированных объектов. Для изменения приоритета политик (порядка следования элементов в списке) используйте кнопки Вверх (Up) и Вниз (Down). |
/p>
Настройка политики паролей для локальных учетных записей. Для настройки политики паролей в некотором домене или подразделении:
1. | Создайте GPO, предназначенный для формирования политики паролей, как было описано выше. |
2. | Загрузите созданный GPO и откройте узел Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики учетных записей | Политика паролей. |
3. | Установите необходимые значения параметров политики паролей. | 4. | Закройте окно оснастки Групповая политика. Все сделанные вами изменения будут записаны в GPO. |
5. | Выполните процедуру привязки созданного GPO к домену или подразделению, описанную в предыдущем разделе. |
Включение аудита на контроллерах домена. При создании контроллера домена в контейнере Domain Controllers для него по умолчанию формируется GPO, определяющий локальные политики всех контроллеров домена. Для того чтобы настроить аудит на всех контроллерах домена, можно просто отредактировать этот GPO.
Для изменения политики аудита контроллеров домена:
1. | Запустите оснастку Политика безопасности контроллера домена (Domain Controller Security Policy) — команда Пуск | Администрирование | Политика безопасности контроллера домена (Start | Administrative Tools | Domain Controller Security Policy). Можно также открыть GPO для контроллеров домена, подключив к нему изолированную оснастку Групповая политика. |
2. | Раскройте узел Локальные политики. Вы увидите три подраздела, относящиеся к трем настройкам локальной политики. |
3. | Выберите раздел Политика аудита (Audit Policy). В правом подокне появятся политики аудита |
4. | Выберите двойным щелчком политику Аудит доступа к службе каталогов (Audit Directory Service Access). |
5. | Для активизации аудита установите флажок Определить следующие параметры политики (Define these policy settings). Аудит неудачных попыток получения доступа к каталогу активизируется установкой флажка отказ (Failure) в группе Вести аудит следующих попыток доступа (Audit these attempts). Для активизации аудита удачных попыток получения доступа к каталогу установите флажок успех (Success). |
6. | Нажмите кнопку ОК. Все сделанные вами изменения появятся в правом подокне. |
7. | Закройте окно оснастки. Новая политика вступит в силу. |
/p>
Настройка привилегий пользователей и групп при работе в домене с Active Directory. С помощью GPO можно определить набор привилегий, имеющихся у всех пользователей домена или подразделения. Для настройки привилегий группы пользователей или индивидуального пользователя при работе с ресурсами компьютера:
1. | Создайте GPO, хранящий необходимые значения параметров групповой политики. Процедура создания объекта описана выше. |
2. | Загрузите его в оснастку Групповая политика. |
3. | В окне оснастки Групповая политика откройте узел Конфигурация компьютера | Конфигурация Windows | Локальные политики | Назначение прав пользователя (User Rights Assignments). |
4. | В правом подокне окна оснастки Групповая политика дважды щелкните, например, на строке Обход перекрестной проверки (Bypass traverse checking). В открывшемся окне (Рисунок 27.6) установите флажок Определить следующие параметры политики и нажмите кнопку Добавить. В открывшемся окне Добавление пользователя или группы введите имя настраиваемой группы или нажмите кнопку Обзор и выберите нужные группы или пользователей. |
5. | После выбора групп нажмите кнопку ОК. Все изменения будут записаны в GPO. |
6. | С помощью описанной выше процедуры установите ассоциацию между созданным GPO и контейнером Active Directory, в котором будут осуществляться только что настроенные привилегии. |
Окно диалога Параметр
|
Окно Параметры для
4. | Выберите один из трех возможных вариантов:
Хозяин операций для эмулятора РОС (The one with the Operations Master token for the PDC emulator). Это самый распространенный и предпочтительный принцип выбора DC. В данном случае существует полная гарантия, что объекты групповой политики будут редактироваться на одном и том же контроллере домена. Если по ошибке или каким-то другим причинам редактирование одного и того же GPO выполнялось на различных контроллерах домена, велика вероятность, что изменения, выполненные на одном из них, будут утеряны в результате репликации. Контроллер, используемый оснастками Active Directory (The one used by the Active Directory Snap-ins). В данном случае оснастка Групповая политика выбирает тот же контроллер домена, что и оснастки управления Active Directory. Каждая из них обладает возможностью подключения к разным работающим DC. В данном случае оснастка Групповая политика будет следовать выбору контроллера домена, сделанному в оснастках управления Active Directory. Любой доступный контроллер домена (Use any available domain controller). Данный вариант не рекомендуется для широкого использования. В этом случае с большой долей вероятности будет выбран контроллер домена локального сайта. |
Окно Параметры для выбора контроллера домена(Options for domain controller selection)
Рисунок 27.7. Окно Параметры для выбора контроллера домена(Options for domain controller selection)
<
Просмотр папки Политика паролей шаблона безопасности securews
Рисунок 27.8. Просмотр папки Политика паролей шаблона безопасности securews
<
Выбор способа применения устанавливаемой безопасности
Рисунок 27.9 Выбор способа применения устанавливаемой безопасности
<
/p>
Ограничение доступа к группе. Для ограничения членства в группе:
1. | В окне оснастки Шаблоны безопасности выберите необходимый шаблон безопасности и откройте его. Укажите папку Группы с ограниченным доступом и нажмите правую кнопку мыши. |
2. | Выберите команду Добавить группу (Add Group). |
3. | В открывшемся окне диалога Добавление группы (Add Groups) введите имя нужной группы или нажмите кнопку Обзор и выберите группу из списка. Эта группа будет добавлена в список групп, членством в которых вы хотите управлять. |
4. | Двойным щелчком выберите настраиваемую группу в правом подокне окна оснастки Шаблоны безопасности. |
5. | В окне Настройка членства (Configure Membership) можно выбрать пользователей, которые имеют право быть членами конфигурируемой группы, а также указать, в какие группы входит данная группа (эта возможность отсутствует на изолированных компьютерах). |
6. | Нажмите кнопку ОК и закройте окно. |
1. | Укажите откорректированный стандартный шаблон и нажмите правую кнопку мыши. |
2. | В появившемся контекстном меню выберите команду Сохранить как (Save As). |
3. | Введите с клавиатуры новое имя файла (например, custom.inf). По умолчанию шаблоны безопасности располагаются в каталоге %SystemJRoot98\Security \Templates. |
Результаты анализа политики безопасности системы
Рисунок 27.10. Результаты анализа политики безопасности системы
<
Нарушение политики безопасности системы в отношении группы Опытные пользователи
Рисунок 27.11 Нарушение политики безопасности системы в отношении группы Опытные пользователи
<
Сценарии (Scripts)
Сценарии (Scripts)
С помощью этого расширения можно задать сценарии, которые должны выполняться на компьютере при загрузке и завершении работы операционной системы, а также при регистрации пользователя в системе и окончании сеанса работы. Выполнять сценарии, написанные на Visual Basic Scripting Edition и JScript, можно с помощью сервера сценариев Windows Windows Scripting Host. Это независимый от языка сервер выполнения сценариев, предназначенный для 32-разрядных платформ Windows.
Для задания сценариев:
1. | Запустите оснастку Групповая политика. |
2. | Если необходимо задать сценарий, выполняющийся при загрузке операционной системы или завершении ее/работы, откройте узел Конфигурация компьютера. |
3. | Чтобы задать сценарий, выполняющийся при регистрации пользователя в системе и выходе из системы, откройте узел Конфигурация пользователя. |
4. | Откройте узел Сценарии. |
5. | В правом подокне окна оснастки Групповая политика появится пара образов сценариев: Автозагрузка/Завершение (Startup/Shutdown) — для компьютера и Вход в систему/Выход из системы (Logon/Logoff) — для пользователя. |
6. | Для подключения сценария укажите соответствующий образ и нажмите правую кнопку мыши. В контекстном меню выберите команду Свойства. Откроется окно диалога свойств сценариев. |
7. | В этом окне нажмите кнопку Добавить. Откроется окно диалога Добавление сценария (Add a Script), в котором введите имя присоединяемого сценария и задайте необходимые значения параметров. Если имя сценария неизвестно, нажмите кнопку Обзор — отобразится содержимое папки, где по умолчанию хранятся сценарии (каждый тип сценария находится в собственной папке на общем томе SYSVOL). Здесь можно выбрать необходимый сценарий. Для быстрого перехода к папке со сценариями служит кнопка Показать файлы (Show Files) в окне свойств сценариев. |
8. | После завершения ввода информации нажмите кнопку ОК. |
Схема именования GPO и его структура
Схема именования GPO и его структура
При запуске оснастка Групповая политика загружает корневой узел, представляющий собой GPO, присоединенный к определенному контейнеру. Имя этого GPO и имя контейнера, к которому он присоединен, отображаются в окне структуры в следующем формате:
Политика Имя_СРО[.Имя_домена.сот]
Затем пространство имен подразделяется на два узла более низкого уровня — Конфигурация компьютера (Computer Configuration) и Конфигурация пользователя (User Configuration). Используя их, можно создавать и настраивать групповые политики для компьютера и пользователей.
Создание личной базы данных и анализ компьютера
Создание личной базы данных и анализ компьютера
База данных, с помощью которой выполняется анализ безопасности системы, задается следующим образом:
1. | Запустите оснастку Анализ и настройка безопасности и нажмите правую кнопку мыши на корне структуры. |
2. | В появившемся контекстном меню выберите команду Открыть базу данных (Open Database). |
3. | Введите имя новой базы данных и нажмите кнопку ОК. По умолчанию базы данных располагаются в каталоге Имя_диска\Оосимегй& and Settings \Имя_пальзователя\Му Documents\Security\Database. |
4. | В следующем окне выберите шаблон безопасности, информация которого должна быть перенесена в создаваемую базу данных, и нажмите кнопку Открыть. По умолчанию шаблоны безопасности находятся в каталоге %iSystemRoot%\Security\Templates. |
Анализ безопасности по личной базе данных. В данном случае вы анализируете одну из возможных политик безопасности, которая впоследствии может стать системной политикой, но только после тщательного анализа ее правильности.
Для того чтобы выполнить анализ безопасности системы по личной базе данных:
1. | Выберите корень оснастки Анализ и настройка безопасности и нажмите правую кнопку мыши. Если база данных конфигураций безопасности только что была создана (см. выше), то нужно перейти к пункту 3. |
2. | С помощью команды Открыть базу данных открывшегося контекстного меню загрузите личную базу данных. |
3. | В том же контекстном меню выберите команду Анализ компьютера (Analyze Computer Now). |
4. | Введите с клавиатуры имя файла журнала и нажмите кнопку ОК. По умолчанию файлы журналов создаются в каталоге Имя_диска\Documents and Settings\Имя_пользователя\Local Settings\Temp. |
Соответствие модулей DLL расширениям оснастки Групповая политика на клиентской стороне
Таблица 27.1. Соответствие модулей DLL расширениям оснастки Групповая политика на клиентской стороне
Расширение на клиентской стороне | Имя модуля DLL |
Административные шаблоны | Usernv.dll |
Квоты диска (Disk Quota) | Diskquota.dll |
Переназначение папки | Fdeploy.dll |
Сценарии | Gptext.dll |
Установка программ | Appmgmts.dll |
Безопасность (Security) | Scecli.dll |
Безопасность IP | Gptext.dll |
Восстановление EPS (EPS Recovery) | Scecli.dll |
Указание контроллера домена, выбираемого оснасткой Групповая политика по умолчанию
Указание контроллера домена, выбираемого оснасткой Групповая политика по умолчанию
Определить, какой контроллер домена (Domain Controller, DC) выбирается по умолчанию оснасткой Групповая политика при работе с GPO, можно двумя способами: указать это в самой оснастке Групповая политика или установить политику выбора контроллера домена (см. следующий раздел).
В первом случае необходимые установки выполняются с помощью команды DC Options.
Для настройки контроллера домена, выбираемого по умолчанию:
Запустите оснастку Групповая политика для групповой политики контроллера домена.
Выберите корневой узел.
Выберите в меню Вид команду Параметры контроллера домена (DC Options). Откроется окно диалога Параметры для выбора контроллера домена (Options for domain controller selection) (Рисунок 27.7).
Установка новой политики безопасности системы с помощью шаблона
Установка новой политики безопасности системы с помощью шаблона
Процесс установки новой политики безопасности состоит из нескольких описанных ниже этапов.
Импорт конфигурации безопасности в базу данных системной политики безопасности. Чтобы импортировать некоторую конфигурацию:
1. | Выберите папку Анализ и настройка безопасности и нажмите правую кнопку мыши. |
2. | В появившемся контекстном меню выберите команду Импорт шаблона (Import Template). |
3. | В открывшемся окне введите с клавиатуры имя шаблона безопасности и нажмите кнопку Открыть. При необходимости можно установить флажок Очистить эту базу данных перед импортом (Clear this database before inporting). |
В результате в базу данных безопасности будет занесена новая информация о настройках, хранящаяся в указанном вами шаблоне безопасности.
Анализ и корректировка настроек безопасности. Конфигурацию из импортированного шаблона можно проанализировать и при необходимости скорректировать отдельные параметры безопасности. Для этого нужно двойным щелчком выбрать параметр и в диалоговом окне установить требуемые значения или изменить существующие. Затем анализ можно повторить.
Активизация новых настроек безопасности, занесенных в базу данных.
Для анализа новой конфигурации:
1. | Выберите папку Анализ и настройка безопасности и нажмите правую кнопку мыши. |
2. | В контекстном меню выберите команду Настроить компьютер. |
3. | В открывшемся окне введите с клавиатуры имя файла журнала и нажмите кнопку ОК. |
Появится окно, показывающее этапы установки новой конфигурации безопасности системы. По завершении конфигурирования настройки безопасности системы будут соответствовать значениям параметров безопасности, заданных выбранным вами шаблоном. После настройки компьютера использованная база данных выгружается.
Экспорт политики безопасности системы. Оснастка Анализ и настройка безопасности позволяет не только импортировать конфигурацию безопасности системы, определенную в шаблоне, но и экспортировать текущую конфигурацию безопасности в файл после выполнения анализа конфигурации. Для экспорта конфигурации безопасности системы:
1. | Выберите папку Анализ и настройка безопасности и нажмите правую кнопку мыши. |
2. | В появившемся контекстном меню выберите команду Экспорт шаблона (Export Template). |
3. | В открывшемся окне введите с клавиатуры имя нового файла шаблона безопасности и нажмите кнопку Сохранить. |
Установка программ (Software Installation)
Установка программ (Software Installation)
Оснастка Установка программ предназначена для организации централизованного управления установкой программного обеспечения на компьютеры сети Windows XP. Она позволяет настроить два режима установки ПО на группу компьютеров , или для группы пользователей — назначение (assignment) и публикация (publishing).
Назначение ПО группе пользователей или компьютеров предполагает, что все пользователи, которым необходима данная программа, будут автоматически получать ее без привлечения администраторов или технического персонала. Если для приложения установлен принудительный режим, ярлык, соответствующий данной программе, появляется в меню Пуск, а в реестр заносится информация о данном приложении, включая местоположение пакета и других файлов, необходимых для установки данного ПО. При первом обращении пользователя к ярлыку соответствующее программное обеспечение устанавливается и запускается.
Публикация программного обеспечения предполагает, что пользователь сам сможет решить, устанавливать ему данное приложение или нет. В данном случае ярлык в меню Пуск не появляется, локальный реестр тоже не изменяется. Вся информация, необходимая для установки программы, находится в Active Directory. Для установки программы:
1. | Запустите утилиту Установка и удаление программ (Add/Remove Programs) из панели управления. |
2. | В окне диалога Установка и удаление программ нажмите кнопку Установка новой программы (Add New Programs). |
3. | Система выполнит поиск, всех программных пакетов, для которых настроена публикация. Результат, поиска (список всех приложений, для установки которых настроена публикация) будут отображены в поле Установка программ из сети (Add programs from your network). |
4. | Щелчком выберите нужную программу, |
Для настройки автоматической установки программного обеспечения на компьютеры клиентов:
1. | Запустите оснастку Групповая политика. |
2. | Откройте узел Установка программ. |
3. | В правом подокне или на узле Установка программ нажмите правую кнопку мыши. В открывшемся контекстном меню выберите команду Создать | Пакет (New | Package). |
4. | Откроется окно диалога Открыть, в котором нужно перейти к местоположению настраиваемого программного пакета, выбрать его и нажать кнопку Открыть. |
5. | Откроется окно диалога Развертывание программ (Deploy Software). Укажите в нем, какой метод развертывания программного пакета необходим: публичный (Published) (этот режим может быть установлен только для пользователя), назначенный (Assigned) или публичный или назначенный с особыми свойствами (Advanced published or assigned). В последнем случае откроется окно диалога Свойства для настройки необходимых свойств программного пакета. Если в дальнейшем понадобится изменить свойства программного пакета, настроенного для автоматической установки, щелкните на нем дважды в правом подокне. |
Для удаления программного пакета из автоматической установки:
1. | В правом подокне укажите удаляемый пакет и нажмите правую кнопку мыши. |
2. | В контекстном меню выберите команду Все задачи (All Tasks). В появившемся подменю выберите команду Удалить. |
Утилита командной строки secedit
Утилита командной строки secedit
Утилиту secedit.exe можно использовать из командной строки или с Диспетчером задач для активизации и анализа некоторой конфигурации безопасности. Secedit.exe загружает в локальную базу данных настройки безопасности, определенные в шаблоне. Загруженные новые настройки безопасности начинают работать в следующих случаях:
После перезагрузки машины. | ||
Когда администратор конфигурирует систему с помощью оснастки Анализ и настройка безопасности (режим Настроить компьютер (Configure Computer Now)). |
Существуют следующие варианты синтаксиса команды secedit:
Для выполнения анализа безопасности введите команду:
eecedit /analyze /DB ймя_файла [/CFG Имя_файла] [/log Путь_к_журналу ] [/verbose] [/quiet] где /db имя_файла — путь к базе данных, с помощью которой выполняется анализ. Результаты анализа заносятся в самой базе данных вместе с находящейся в ней информацией о настройках безопасности. Этот параметр является обязательным. /cfg имя_файла — имеет значение только при условии, что предыдущий параметр задает имя новой (еще не существующей) базы данных. Тогда значение Имя_файла в данном параметре определяет файл конфигурации, который должен быть загружен в новую (только что созданную) базу данных перед выполнением анализа. /log путь_к_журналу — путь к журналу процесса. Если данный параметр не задан, по умолчанию используется путь %SystemRoot%\Security\ Logs\Scesrv.log. /verbose — в журнал должна быть занесена подробная информация о ходе анализа. /quiet — ничего не заносить в журнал и не выводить на экран. |
||
Для выполнения конфигурации безопасности введите команду:
secedit /configure /DB Имя_файла [/CFG Иня_файла] [/overwrite] [/areas Области...] [/log Путь_к_журналу] [/verbose] [/quiet] - где /db имя_файла — путь к базе данных, с помощью которой выполняется конфигурация безопасности. Этот параметр является обязательным. /cfg имя_файла — значение Имя_файла определяет файл конфигурации, который должен быть загружен в новую (только что созданную) базу данных перед выполнением конфигурации безопасности. /overwrite — применяется только совместно с параметром /cpg. Этот параметр говорит, что информация, загружаемая из файла, указанного в параметре /cfs, должна перезаписать любую существующую конфигурацию, находящуюся в базе данных. /areas области... — определяет, какие области обеспечения безопасности будут подвергаться конфигурации. По умолчанию конфигурируются все области. Если в данном параметре вводится несколько значений, они должны быть разделены пробелами. Перечислим значения данного параметра: securitypolicy — определяет локальную политику и политику домена, применяемые к данной системе. group_mgmt — настройки групп с ограниченным членством. user_rights — привилегии пользователей при регистрации и работе с объектами Active Directory. regkeys — разделы реестра. filestore — безопасность локально хранимых файлов. services — настройки безопасности для всех служб. /log Путь_к_журналу — путь к журналу процесса. Если данный параметр не задан, по умолчанию используется путь %SystemRoot98\Secur\ty\ Logs\Scesrv.log. /verbose — в журнал должна быть занесена детальная информация, /quiet — ничего не заносить в журнал и не выводить на экран. |
||
Для обновления политики введите команду:
secedit /refreshPolicy {MACHINE_POLICY | USER_POLICY} [/enforce] где machine_policy — обновляемая политика для локальной машины. oser_policy — обновляемая политика для зарегистрировавшегося пользователя. /enforce — предписывает заново применить политику, даже в случае, если в GPO не было сделано никаких изменений. |
||
Для проверки целостности базы данных введите команду: secedit /validate Имя_файла
где Имя_файла — имя файла базы данных, целостность которой необходимо проверить. |
Узел Конфигурация компьютера (Computer Configuration)
Узел Конфигурация компьютера (Computer Configuration)
Узел Конфигурация компьютера содержит параметры всех политик, определяющих работу компьютера. Они регулируют функционирование операционной системы вид рабочего стола, задают параметры выполняемых приложений определяют работу средств обеспечения безопасности и т. д. Групповая политика применяется к компьютеру на этапе загрузки системы и в дальнейшем при выполнении циклов обновления, о которых сказано ниже.
Узел Конфигурация пользователя (User Configuration)
Узел Конфигурация пользователя (User Configuration)
Узел Конфигурация пользователя содержит параметры всех политик, определяющих работу пользователя на компьютере. Они регулируют вид рабочего стола как и в предыдущем случае, задают параметры выполняющихся приложений, определяют работу средств обеспечения безопасности и пользовательских сценариев входа и выхода. Групповая политика применяется к пользователю при его регистрации на компьютере и в дальнейшем при выполнении циклов обновления.
Загрузка оснастки Шаблоны безопасности
Загрузка оснастки Шаблоны безопасности
Для работы с оснасткой Шаблоны безопасности необходимо запустить консоль управления Microsoft и подключить к ней оснастку. Для знакомства с шаблонами в окне оснастки откройте, например, узел Шаблоны безопасности, щелчком выберите шаблон безопасности securews и просмотрите его папку Политика паролей (Рисунок 27.8).
Как показано на Рисунок 27.8, помимо раскрытого шаблона безопасности securews.inf существуют и другие стандартные шаблоны, конфигурации которых позволяют получить различные по надежности системы безопасности.