-
Эффективное функционирование ни одной многопользовательской операционной системы невозможно без четкого разграничения доступа к ресурсам. Одним из средств, позволяющих настраивать параметры безопасной работы пользователей в сети в операционных системах Windows, являются политики безопасности.
-
При создании, настройке и хранении параметров групповых политик применяется подход, позволяющий работать с GPO как с документами. | После создания GPO ассоциируется с определенным контейнером Active Directory, и в результате групповые политики, хранящиеся в данном GPO, будут выполняться для всех компьютеров и пользователей, находящихся в этом контейнере.
-
При запуске оснастка Групповая политика загружает корневой узел, представляющий собой GPO, присоединенный к определенному контейнеру.
-
Ниже родительских узлов Конфигурация компьютера и Конфигурация пользователя находятся дочерние узлы, каждый из которых является полноценным расширением оснастки Групповая политика. Они могут находиться в обоих родительских узлах, хотя и с различными параметрами, или индивидуально расширять узлы Конфигурация компьютера или Конфигурация пользователя.
-
С помощью расширения Административные шаблоны администратор системы может настроить целый набор параметров реестра, задающих режим функционирования компонентов операционной системы и приложений. | Задать конкретные параметры, доступные для модификации с помощью интерфейса пользователя оснастки Групповая политика, можно с помощью специальных административных шаблонов.
-
С помощью расширения Параметры безопасности в GPO можно определить параметры политики безопасности, определяющие различные аспекты работы системы безопасности Windows 2000. Созданная в объекте групповой политики конфигурация воздействует на все компьютеры, находящиеся в контейнере, к которому присоединен данный GPO.
-
Оснастка Установка программ предназначена для организации централизованного управления установкой программного обеспечения на компьютеры сети Windows 2000. Она позволяет настроить два режима установки ПО на группу компьютеров, или для группы пользователей – назначение (assignment) и публикация (publishing).
-
С помощью этого расширения можно задать сценарии, которые должны выполняться на компьютере при загрузке и завершении работы операционной системы, а также при регистрации пользователя в системе и окончании сеанса работы.
-
Оснастка Перенаправление папки позволяет перенаправить некоторые папки профиля пользователя в другое место (как правило, на общий ресурс сети). Перенаправление возможно для следующих папок: | Application Data | Мои рисунки (My Pictures) | Рабочий стол (Desktop) | Главное меню (Start Menu)
-
Некоторым расширениям оснастки Групповая политика, находящимся на сервере, соответствуют расширения, работающие у клиента. Они предназначены, для отработки настроек групповых политик на клиентских компьютерах. Расширения, работающие на стороне клиента, представляют собой модули DLL (табл.
-
GPO хранит информацию о настройках групповых политик в двух структурах – контейнере групповых политик (Group Policy Container, GPC) и шаблоне групповых политик (Group Policy Template, GPT).
-
Внутри папки шаблона групповых политик имеются следующие подкаталоги. | Adm (если компьютер входит в домен). | Здесь находятся все файлы *.adm для данного шаблона групповых политик. | Machine. | Здесь хранится файл Registry.pol со значениями параметров реестра, устанавливаемыми для компьютера.
-
Применение групповых политик происходит в последовательности, соответствующей иерархии GPO: сначала объект групповой политики сайта, затем домена, затем GPO, связанные с подразделениями в соответствии с их вложенностью, Порядок выполнения групповых политик можно изменить с помощью настроек, блокирующих определенные групповые политики или заставляющих их выполняться принудительно.
-
Периодичность применения групповых политик на клиентской стороне во многом определяется пропускной способностью канала, по которому клиент обменивается информацией с серверами сети. При работе по медленному каналу администратор может увеличить период применения групповых политик.
-
После нескольких неудачных попыток регистрации в системе учетная запись пользователя должна быть заблокирована. Вы можете установить допустимое максимальное количество неудачных попыток. Следует заметить, что разблокировать учетную запись может только администратор.
-
Ниже показано, как можно настроить безопасность для раздела реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT. Администраторы получат полный контроль, а все остальные аутентифицированные пользователи будут иметь доступ только на чтение.
-
С помощью политик безопасности вы можете установить различные права доступа к устройству для разных пользователей (например, полный контроль для администраторов и права на чтение и создание подкаталогов, а также полный контроль над создаваемыми файлами – для пользователей)!
-
Каждый домен по умолчанию обладает ассоциированной с ним групповой политикой. Объект групповой политики (Group Policy Object, GPO) автоматически создается при создании домена. Впоследствии этот объект можно отредактировать.
-
Ниже приведен ряд примеров, демонстрирующих работу с групповыми политиками домена. | Создание объекта групповой политики | Для создания самостоятельного, изолированного GPO: | Запустите консоль управления Microsoft (MMC).
-
Определить, какой контроллер домена (Domain Controller, DC) выбирается по умолчанию оснасткой Групповая политика при работе с GPO, можно двумя способами: указать это в самой оснастке Групповая политика или установить политику выбора контроллера домена (см. следующий раздел).
-
Можно сконфигурировать групповую политику, определяющую, какой контроллер домена будет выбираться по умолчанию при запуске оснастки Групповая политика. | Для этого: | Запустите оснастку Групповая политика для групповой политики контроллера домена или для политики всего домена.
-
Как уже говорилось, все компьютеры и пользователи, находящиеся в определенном контейнере, подпадают под влияние групповых политик, настройки которых находятся в GPO, связанном с данным контейнером. | Для более тонкой настройки влияния определенного объекта груп повой политики на группы пользователей и компьютеров применяют группы безопасности.
-
С помощью инструментов управления Active Directory администратор может делегировать другим пользователям и группам право управления частью каталога. | Это в полной мере относится и к объектам групповой политики, в отношении которых могут быть, в частности, делегированы следующие права.
-
Обеспечение эффективной безопасности системы имеет несколько аспектов. | Во-первых, операционная система должна соответствовать базовым требованиям к безопасности. Например, требования к системе, соответствующей уровню безопасности С2, включают защиту памяти, дискреционное управление доступом и наличие средств аудита.
-
Редактор шаблонов безопасности реализован в виде оснастки ММС. Он предназначен для создания и редактирования текстовых файлов конфигурации безопасности операционной системы Windows 2000. Такие файлы значительно легче переносятся с одной системы на другую, чем соответствующие им базы данных безопасности.
-
Для работы с оснасткой Шаблоны безопасности необходимо запустить консоль управления Microsoft и подключить к ней оснастку. Для знакомства с шаблонами в окне оснастки откройте, например, узел Шаблоны безопасности, щелчком выберите шаблон безопасности securews и просмотрите его папку Политика паролей (рис. 27.8). | Как показано на рис.
-
Щелкните на одном из стандартных шаблонов безопасности, которые вы видите в окне оснастки Шаблоны безопасности. Если вы хотите модифицировать какую-либо настройку безопасности, дважды щелкните на ней и отредактируйте значения параметров.
-
Утилиту secedit.exe можно использовать из командной строки или с Диспетчером задач для активизации и анализа некоторой конфигурации безопасности. Secedit.exe загружает в локальную базу данных настройки безопасности, определенные в шаблоне.
-
Здесь мы поговорим об использовании оснастки Анализ и настройка безопасности для анализа различных аспектов безопасности систем Windows 2000. | Эту оснастку, как и утилиту командной строки secedit, можно применять для интерактивного сбора анализируемых данных в системе или для выполнения периодического сбора информации с помощью сценария, запускаемого в соответствии с заданным расписанием.
-
База данных, с помощью которой выполняется анализ безопасности системы, задается следующим образом: | Запустите оснастку Анализ и настройка безопасности и нажмите правую кнопку мыши на корне структуры. | В появившемся контекстном меню выберите команду Открыть базу данных (Open Database).
-
Процесс установки новой политики безопасности состоит из нескольких описанных ниже этапов. | Импорт конфигурации безопасности в базу данных системной политики безопасности. Чтобы импортировать некоторую конфигурацию: | Выберите папку Анализ и настройка безопасности и нажмите правую кнопку мыши.
-
Пусть политика безопасности системы предполагает, что в группу Администраторы могут быть включены только администраторы системы, а в группу Опытные пользователи – только определенные пользователи. Если членом этих групп станет другой пользователь, произойдет нарушение политики безопасности.