Строительство »

Локальна політика безпеки. Частина 6: групи з обмеженим доступом, системні служби, реєстр і файлову систему

  1. Вступ З циклу попередніх статей, присвячених локальним політикам безпеки, ви вже дізналися про багатьох...
  2. Системні служби
  3. Реєстр
  4. файлова система
  5. висновок

Вступ

З циклу попередніх статей, присвячених локальним політикам безпеки, ви вже дізналися про багатьох засобах забезпечення безпеки користувачів вашої організації або домашніх користувачів засобами групових політик З циклу попередніх статей, присвячених локальним політикам безпеки, ви вже дізналися про багатьох засобах забезпечення безпеки користувачів вашої організації або домашніх користувачів засобами групових політик. З цієї статті ви дізнаєтеся ще про чотири вузлах локальних політик безпеки, а саме про управління групами з обмеженим доступом, системних службах користувачів, які потрапляють в зону дії групових політик, про обмеження розділів системного реєстру, а також про дозволи файлової системи ваших робочих станцій. Ці політики безпеки дозволять вам задати властивості для груп зі специфічними вимогами, примусово запускати або вимикати служби згідно корпоративним вимогам, обмежити доступ до конкретних розділів системного реєстру і управляти дозволами доступу і параметрами аудиту для файлової системи. Правильне використання цих політик безпеки дозволить вам закрити безліч вразливостей, від зловмисників, яким все-таки вдалося проникнути в системи ваших користувачів, а також від самих користувачів, які в зв'язку з некомпетентністю можуть нанести не менше значної шкоди своєму комп'ютеру і робочих станцій організації зокрема . Всі чотири зазначених нижче локальних політик безпеки ви не зможете знайти в оснащенні "Редактор локальної групової політики» клієнтських операційних систем.

Групи з обмеженим доступом

За допомогою локальних політик безпеки і політик «Групи з обмеженим доступом» зокрема, ви можете вказати дві властивості, що визначають членів даної групи, а також членства в групах для конкретної групи безпеки. Дана політика безпеки має особливу цінність для організацій, в яких властива складна ієрархія груп безпеки. Як відомо, групи - це важливий клас об'єктів, оскільки вони служать для єдиного управління колекціями користувачів, комп'ютерів та інших груп. Незважаючи на те, що дані політики безпеки дуже схожі на можливості функціоналу оснащення «Active Directory: Локальні користувачі та комп'ютери», я рекомендую не ігнорувати використання даних політик. У зв'язку з тим, що на перший погляд властивості «Члени групи» і «Член груп» дуже схожі, між ними є істотні відмінності.

Параметр «Член груп» вказує приналежність даної групи до ще однієї групи. Застосування цього параметра гарантує членство визначається вами групи у зазначеній локальної групи. У тому випадку, якщо ви налаштували локальні політики безпеки в кількох об'єктах групових політик, то для обраних груп буде застосовуватися кожен параметр членства групи. Наприклад, якщо ви визначили для групи «Відділ розробки», що користувачі цієї групи є членами групи «Розробники», а другий об'єкт, який прив'язаний до дочірнього підрозділу, вказує що група «Відділ тестування» також є членом групи «Розробники», то, в кінцевому рахунку, обидві групи будуть належати до групи «Розробники».

За допомогою параметра «Члени групи», ви можете вказати членство в обумовленою групі. Даний параметр є авторитарним, і він визначає остаточний список членів. Якщо політика груп з обмеженим доступом визначена в кількох об'єктах групових політик, то об'єкт GPO з вищим пріоритетом буде мати переваги над іншими об'єктами групових політик.

Наприклад, спробуємо налаштувати групу «Відладчики» як обмежену групу, в яку входить група «Підтримка»:

  1. Відкрийте консоль «Управління груповою політикою», де виберіть контейнер «Об'єкти групової політики» і натисніть на цьому контейнері правою кнопкою миші для відображення контекстного меню;
  2. У контекстному меню виберіть команду «Створити» і в діалоговому вікні, що «Новий об'єкт групової політики» введіть «Групи з обмеженим доступом», після чого натисніть кнопку «ОК»;
  3. Виберіть даний об'єкт групової політики і з контекстного меню виберіть команду «Змінити»;
  4. У вікні оснащення «Редактор управління груповими політиками» розгорніть вузол Конфігурація комп'ютера / Політика / Конфігурація Windows / Параметри безопасностіГруппи з обмеженим доступом і викличте діалогове вікно додавання групи одним з таких методів:
    • У дереві консолі виберіть вузол «Групи з обмеженим доступом», натисніть на ньому правою кнопкою миші і з контекстного меню виберіть команду «Додати групу»;
    • Натисніть правою кнопкою на панелі відомостей і з контекстного меню виберіть команду «Додати групу»;
    • Якщо у вас відображається панель дій, то перейдіть в ній по посиланню «Додаткові дії» і виберіть команду «Додати групу».
  5. У діалоговому вікні «Додавання групи» в текстовому полі «Група» введіть назву необхідної групи або знайдіть її, викликавши діалогове вікно «Вибір: Групи», натиснувши на кнопку «Огляд», після чого натисніть на кнопку «ОК»;
    Мал. 1. Діалогове вікно додавання групи
  6. У діалоговому вікні «TESTDOMAINОтладчікі Властивості» необхідно вказати осіб чи груп, які будуть членами групи «Відладчики». Для цього біля області «Члени цієї групи» натисніть на кнопку «Додати». Відкриється таке ж вікно, призначене для вибору групи, як і на попередньому етапі. Виберемо групу «Підтримка», яка була створена заздалегідь. У нашому випадку, група отладчиков не повинна входити в будь-які групи, тому далі натисніть на кнопку «ОК».
    Мал. 2. Діалогове вікно налаштування групи з обмеженим доступом
  7. Закрийте оснащення «Редактор управління груповими політиками», прив'яжіть змінений об'єкт групової політики до потрібного вам контейнеру та встановіть область дії.

Системні служби

Вузол «Служби» локальних політик безпеки відповідає за централізоване управління службами ваших клієнтських машин. Для підвищення продуктивності комп'ютерів вашої організації ви можете визначити служби, які будуть запущені автоматично, які потрібно запускати вручну, а також служби, які примусово будуть зупинені. Для того щоб визначити параметри служб, вам потрібно виконати наступні дії:

  1. Відкрийте консоль «Управління груповою політикою», де виберіть контейнер «Об'єкти групової політики» і натисніть на цьому контейнері правою кнопкою миші для відображення контекстного меню;
  2. У контекстному меню виберіть команду «Створити» і в діалоговому вікні, що «Новий об'єкт групової політики» введіть «Служби для комп'ютерів організації», після чого натисніть кнопку «ОК»;
  3. Виберіть даний об'єкт групової політики і з контекстного меню виберіть команду «Змінити»;
  4. У вікні оснащення «Редактор управління груповими політиками» розгорніть вузол Конфігурація комп'ютера / Політика / Конфігурація Windows / Параметри безопасностіСістемние служби. Область відомостей системних служб ви можете побачити нижче:

    Мал. 3. Область відомостей вузла «Системні служби»
  5. Як видно з попередньої ілюстрації, за замовчуванням для всіх системних служб встановлено в режим «Не визначено». Для того щоб налаштувати певні системні служби, виберіть будь-яку службу, наприклад, «Служба вводу планшетного ПК» і відкрийте її властивості. Властивості цієї служби відображені на наступній ілюстрації:
    Мал. 4. Діалогове вікно властивостей служби
  6. Встановіть прапорець «Визначити наступний параметр політики», а потім виберіть варіант на необхідний стан. Натиснувши на кнопку «Змінити параметри» ви можете вказати параметри безпеки для груп та користувачів.
  7. По закінченню настройки режиму запуску служби натисніть на кнопку «ОК». Після настройки служб, область відомостей буде виглядати наступним чином:

    Мал. 5. Область відомостей після настройки режиму запуску служб
  8. Закрийте оснащення «Редактор управління груповими політиками», прив'яжіть змінений об'єкт групової політики до потрібного вам контейнеру та встановіть область дії.

Реєстр

Використовуючи політики з вузла «Реєстр» ви можете визначити права доступу і аудиту для різних розділів системного реєстру комп'ютерів, які вказані в області дії об'єктів групових політик. Налаштування даних політик ідентичні тим налаштувань, які були описані в статті «Робота з оснащенням" Шаблони безпеки »» . Наприклад, для того щоб заборонити вашим користувачам змінювати налаштування автозапуску спільно з настройками режиму запуску служб, виконайте наступні дії:

  1. Відкрийте консоль «Управління груповою політикою», де виберіть контейнер «Об'єкти групової політики», потім виберіть об'єкт групової політики «Служби для комп'ютерів організації», натисніть на ньому правою кнопкою миші і з контекстного меню виберіть команду «Змінити»;
  2. У вікні оснащення «Редактор управління груповими політиками» розгорніть вузол Конфігурація комп'ютера / Політика / Конфігурація Windows / Параметри безопасностіРеестр і викличте діалогове вікно «Вибір розділу реєстру» з контекстного меню вузла, області відомостей, області дій або з меню «Дія»;
  3. У діалоговому вікні «Вибір розділу реєстру», введіть у текстовому полі «Узятий реєстр» шлях до необхідного розділу (в нашому випадку - MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun) або виберіть необхідний розділ в області «Реєстр». Дане діалогове вікно ви можете побачити нижче:
    Мал. 6. Діалогове вікно вибору розділу реєстру
  4. Натисніть на кнопку «ОК» для відкриття діалогового вікна управління безпекою даного розділу. Виберіть групу «Користувачі» і в області дозволів встановіть прапорець для повного доступу на опцію «Заборонити». Ви можете додати будь-яку групу або користувачів після натискання на кнопку «Додати» або налаштувати додаткові параметри безпеки. Натисніть на кнопку «ОК»;
  5. У тому випадку, якщо ви задали елемент заборони дозволів, то перед вами з'явиться наступне попередження:
    Мал. 7. Попередження про зміну дозволів Прочитайте його і натисніть на кнопку «Так» для продовження виконання операції.
  6. У діалоговому вікні «Додавання об'єкта» ви можете вказати дозволу для всіх дочірніх розділів. Виберіть необхідні дозволи та натисніть на кнопку «ОК»;
    Мал. 8. Діалогове вікно додавання розділу реєстру
  7. В області відомостей будуть відображатися всі розділи реєстру, для яких ви вказали дозволу. Після закінчення додавання розділів реєстру закрийте оснащення "Редактор управління групових політик»;
    Мал. 9. Область відомостей редактора управління групових політик

файлова система

За допомогою цього вузла ви можете налаштувати дозволу доступу користувачам або групам до об'єктів, розташованих на даному комп'ютері. Принцип додавання об'єкта файлової системи повністю ідентичний додаванню дозволів на розділи реєстру за винятком того, що на третьому кроці замість діалогового вікна вибору розділу реєстру вам потрібно буде вказати файл або папку в діалоговому вікні «Додавання файлу або папки». На наступній ілюстрації відображено дане діалогове вікно:

Мал. 10. Діалогове вікно додавання файлу або папки

висновок

У даній статті ви дізналися ще про одних локальних політиках безпеки: політиках груп з обмеженим доступом, які призначені для визначення членів зазначеної групи і членства в групах, про політиків системних служб, використовуючи які ви можете вказати режим запуску служб для своїх клієнтських комп'ютерів. Також були розглянуті політики реєстру, які призначені для вказівки дозволів до певних розділів системного реєстру і політики файлової системи, які потрібні для дозволу доступу користувачам або групам до об'єктів, розташованих на даному комп'ютері. У наступній статті ви дізнаєтеся про налаштування політик провідної мережі.

www.swiftsport.com.ua copyrights © 2016.
Недвижимость за рубежом