Управление безопасностью с использованием групповой политики и шаблонов безопасности

  1. Групповые правила
  2. Шаблоны безопасности
  3. Анализ безопасности системы
  4. Перенос настроек в другую систему

Стандартная установка Windows XP установлена ​​по умолчанию для удовлетворения потребностей самого широкого круга пользователей. Хотя эта конфигурация достаточно безопасна, иногда стоит улучшить качество защиты системы, изменив настройки нескольких параметров. Групповая политика полезна для этой цели. Это набор опций, с помощью которых мы можем устанавливать определенные правила и поведение системы. Хотя они чаще используются администраторами, которые облегчают управление несколькими хостами, групповая политика также может использоваться для повышения уровня безопасности отдельного компьютера. Когда их использование имеет смысл? Прежде всего, когда более одного человека используют используемый компьютер, или если существует возможность такого доступа неуполномоченным лицом. Нетрудно представить ситуацию, когда мы покидаем офис за кофе, не выходя из системы. Применение механизма групповой политики поможет нам защитить систему от нашего отвлечения. Однако следует учитывать умеренность и здравый смысл, поскольку некоторые параметры могут даже снизить уровень безопасности или эффективно помешать использованию компьютера.

Групповые правила

Большую часть групповой политики можно найти в локальных настройках безопасности. Вы можете получить к ним доступ, открыв Панель управления , выбрав Производительность и обслуживание , а затем Администрирование , где находится локальная политика безопасности . Однако вы можете настроить те же параметры, используя родительский инструмент - консоль групповой политики . Чтобы научить этому, давайте запустим из командной строки: gpedit.msc . Настройки безопасности можно найти в разделе настроек Windows в разделе « Конфигурация компьютера ». Нетрудно увидеть, сколько разных вариантов у нас в распоряжении. Наиболее интересные из них можно найти в Правилах учетной записи и Локальной политике , но также стоит ознакомиться с настройками, которые находятся в других ветвях ветки дерева Локального компьютера (то есть нашей gpedit ). Большинство параметров консоли имеют краткое описание их работы. Стоит прочитать его перед настройкой, потому что название правил иногда сбивает с толку.
Попробуем найти варианты, которые нас интересуют больше всего. Конечно, они включают в себя правила паролей , которые являются подмножеством политик учетных записей . Конфигурация этих элементов по умолчанию довольно слабая, и ее стоит сделать более строгой. Прежде всего, увеличьте минимальную длину пароля. Конечно, в пределах разумного. Значение между 8-12 символами кажется подходящим.

Давайте также включим опцию: пароль должен соответствовать требованиям сложности . Мы также можем установить требование менять пароль каждый указанный период времени. Хотя это часто рекомендуется, на практике это является источником самих проблем. Пользователи путают и забывают пароль, в результате чего пишут его на наклеенных на монитор листах, или выбирают простую и понятную фразу, защищающую доступ к компьютеру.

По этой причине давайте оставим эти параметры выключенными. Стоит взглянуть на следующий набор правил учетной записи , то есть правила блокировки учетной записи . В этой части вы можете определить процедуры, которые имеют место при сбое входа пользователя. Установите порог блокировки учетной записи для трех неудачных попыток. Это затруднит угадывание нашего пароля и в то же время не будет перекрывать доступ к компьютеру, когда мы спешим ошибиться при авторизации. Продолжительность блокировки учетной записи должна быть установлена ​​на такую ​​длину, чтобы затруднить любую попытку получить несанкционированный доступ к компьютеру. Так что не должно быть ни минуты, а точнее 15-25 минут. В это время мы должны вернуться с перерыва на кофе и заметить возможную блокировку аккаунта, что должно вызвать у нас беспокойство и соответствующие действия. Если мы установим время слишком долго, оно может однажды отомстить нам. Когда мы сами блокируем свою учетную запись, мы не попадем в нее, даже если мы помним правильный пароль.

Нетрудно видеть, что длительность блокировки учетной записи связана со сбросом счетчика блокировки учетной записи . Разница в том, что когда мы делаем одну ошибку при входе в систему, после сброса счетчика блокировки учетной записи , наша ошибка будет забыта. Однако блокировка учетной записи активируется после превышения ранее установленного порога ошибки. После блокировки счетчик сбрасывается одновременно.
Давайте теперь посмотрим на местные политики . Мы можем найти здесь много ценных вариантов защиты системы. Эта коллекция разделена на две части: назначение прав пользователя и параметры безопасности . В первом случае мы можем определить, какие пользователи будут иметь какие разрешения. Однако в параметрах безопасности мы устанавливаем определенные правила, управляющие системой. Есть несколько интересных вариантов, которые могут нас заинтересовать. Мы можем, например, решить, что никто, кроме нас, не сможет выключить компьютер. Чтобы обеспечить это, мы изменим опцию закрытия системы , которая находится в разделе « Назначение прав пользователя », оставляя там соответствующие группы пользователей. Вы должны знать, что это отключит неавторизованных пользователей, возможность отключить ваш компьютер от вашей учетной записи. Тем не менее, вы все равно сможете выключить систему без входа в систему. Чтобы запретить это, мы должны найти в параметрах безопасности правило: Закрытие: разрешить выключение без входа в систему и отключить его.
Третья группа параметров конфигурации - Административные шаблоны . В них вы можете найти более подробные настройки, адаптирующие рабочую среду пользователей. Вы можете использовать параметры там, в том числе отключить доступ к панели управления или заблокировать возможность изменения настроек сетевого подключения. Мы будем использовать другой, очень ценный вариант - запрос пароля при выходе из режима гибернации / ожидания . Это очень полезная функция, которая запрашивает авторизацию, когда вы покидаете офис дольше, оставляете компьютер без ошибок. Эту опцию можно найти в административных шаблонах , расположенных в разделе « Конфигурация пользователя» дерева консоли, которое обрабатывается во время входа в систему. В папке « Система » выберите « Управление энергопотреблением» . В правом окне консоли у нас есть один - интересный вариант.
Как видите, настроек, к которым вы получаете доступ с помощью групповой политики , много, поэтому возможности настройки системы огромны.

Шаблоны безопасности

Мы уже обсуждали групповую политику . Тем не менее, как использовать их эффективно и управлять ими? Вы можете использовать шаблоны безопасности для этого . Это еще один адаптер для консоли MMC . С его помощью мы можем использовать набор правил, который был подготовлен для конкретной цели (например, шаблон Rootsec предоставляет разрешения для корневой папки системного диска). Мы также можем создать наш собственный шаблон, который изменит конфигурацию до удовлетворительной формы после восстановления исходных настроек с использованием шаблона безопасности установки .
Чтобы использовать шаблоны безопасности , мы запускаем консоль, вызывая mmc из командной строки. В меню « Файл» выберите « Добавить / удалить оснастку» . Затем на вкладке « Автономный » нажмите кнопку « Добавить» .

В появившемся окне выберите « Шаблоны безопасности» и примите наше решение с помощью кнопки « Добавить» . Мы закрываем окно для добавления автономной оснастки с помощью кнопки « Закрыть» . Затем, чтобы завершить этот шаг, нажмите ОК . Мы уже можем просматривать наши шаблоны безопасности . Как мы быстро заметили, в дополнение к настройке безопасности остальные шаблоны практически пусты. Это связано с тем, что их использование будет изменять только очень специфический диапазон настроек. С добавленным адаптером мы можем просматривать и изменять шаблоны данных.

> Не забудьте сохранить каждое изменение с помощью параметра « Сохранить» в меню « Действие» или « Сохранить как», если вы хотите сохранить изменения как шаблон с другим именем, оставив оригинал без изменений. Для принудительного использования данного шаблона нам понадобится другой адаптер. Как и раньше, мы добавляем его, выбирая оснастку « Настройка и анализ безопасности» в окне « Добавить автономную оснастку». Щелкните правой кнопкой мыши узел добавленной оснастки и выберите « Открыть базу данных» . Если у нас нет ранее созданного, мы вводим имя новой базы данных. Снова щелкните правой кнопкой мыши узел « Конфигурация и анализ безопасности» и выберите параметр « Импорт шаблона» . Теперь мы можем выбрать интересующий нас шаблон безопасности. Чтобы применить измененные параметры, щелкните правой кнопкой мыши узел « Конфигурация и анализ безопасности» и выберите параметр « Настроить компьютер сейчас» . Нам будет предложено ввести путь к журналу, который мы подтвердим, нажав OK . Изменения будут введены, и их влияние можно проверить, просматривая события, используя опцию Просмотр файла журнала .

Анализ безопасности системы

Вы также можете использовать консоль конфигурации и оснастку анализа безопасности для просмотра настроек защиты системы. Он основан на сравнении текущей конфигурации компьютера и содержимого базы данных. Таким образом, мы выясним, правильно ли применен использованный шаблон безопасности. Чтобы выполнить эту процедуру, щелкните правой кнопкой мыши узел Конфигурация и анализ безопасности и выберите опцию Анализировать компьютер сейчас . Теперь с помощью этой оснастки вы можете просматривать настройки в том же макете, который работает в шаблонах безопасности .

В правом окне будет отображен результат сравнения данных правил. Чтобы изменить их настройки в базе данных, дважды щелкните по интересующему элементу и измените его, выбрав Определить в базе данных следующие правила .

Как видите, консоль MMC является мощным инструментом. Добавляя различные оснастки, мы можем создать удобный механизм, полезный при настройке и управлении системой.

Перенос настроек в другую систему

Мы уже настроили групповую политику для компьютера, который мы используем. Однако это не единственный способ управления компьютерной безопасностью или всей сетью. Групповые политики можно настроить сверху вниз с помощью Active Directory , настроенного на сервере, управляющем доменом. Мы также можем сохранить сохраненный нами шаблон безопасности , скопировать его на другие компьютеры и применить его к этим машинам без необходимости утомительного изменения каждого параметра отдельно для каждого хоста в сети. Они сохраняются в каталоге% SystemRoot% \ Security \ Templates \ как * .inf файлы. Консоль MMC также может быть полезна. Он имеет возможность добавлять вкладки групповой политики не только на локальный компьютер, но и на удаленные узлы. Конечно, для этой цели у вас должны быть соответствующие разрешения на компьютере, к которому вы хотите получить доступ. Для управления Групповой политикой удаленного хоста в окне консоли выберите оснастку « Добавить / удалить» в меню « Файл» .

Затем, в соответствии с процедурой, которую мы уже знаем, мы добавляем групповую политику , с той разницей, что вместо локального компьютера мы выбираем параметр « Обзор» и вводим имя компьютера из сети в поле « Другой компьютер» .

Мы изучили инструменты, которые помогают определить политику безопасности компьютера. С их помощью, выполнив немного трудоемкой работы, мы можем внести ценные изменения в систему.

Похожие

Управление информацией WHOIS ваших доменов
Этот учебник охватывает следующие темы: Очень важно постоянно обновлять административную информацию о вашем домене, чтобы избежать каких-либо проблем с властями регистратора домена. Если ваш домен зарегистрирован SiteGround, вы можете легко редактировать всю административную информацию прямо из Зона пользователя → Мои учетные записи → Управление рядом с предпочтительным доменом.
Скоро в школах появятся новые правила техники безопасности
Мы хвалим вас! Большинство наших клиентов - послы образовательного портала Мы представляем результаты теста удовлетворенности, рекомендаций и рекомендаций для клиентов знаний и практики и образовательного портала, проведенного компанией «Маркетинговые отношения».
Thunderbolt 3, USB 3.1, USB Type-C: анализ подключений
В техническом пространстве все меняется так быстро, что даже профессионалы иногда оказываются в тупике из-за непрекращающейся и запутанной терминологии, связанной с определенными протоколами (такими, которые мы собираемся обсудить сегодня - Thunderbolt и USB ). Я помню времена лент с 8 дорожками, но я также помню, когда ленты были превзойдены компакт-дисками, а компакт-диски превзошли MP3, и теперь, как MP3 переходит к потоковым источникам музыки. Вспоминая
Как исправить: Safari не работает после обновления iOS 12/11/10
Ваш Safari не работает на вашем iPhone или iPad после обновления до iOS 11.4.1 или iOS 12? Прочтите это руководство, чтобы получить советы по решению этой проблемы. Также поддерживает iOS 10. От iMobie | Опубликовано: 12 сентября 2018, Последнее обновление: 12 сентября 2018 Вы знаете, Apple собирается выпустить iOS 12 для общественности в сентябре этого года. Новое обновление iOS 12 принесет некоторые
[Обновление 02-03-2018] Производитель изменил название мобильного приложения на Lechange, и были добавлены новые ...
[Обновление 02-03-2018] Производитель изменил название мобильного приложения на Lechange, и были добавлены новые функции. Сайт Easy4ip по-прежнему доступен по следующему адресу:
Обучение сотрудников технической безопасности
... безопасности, но и будущие профессиональные возможности, связанные с их владением. Наши курсы: они охватывают пять тематических областей, вытекающих из потребностей рынка технической безопасности и требований законодательства, различаются по форме и продолжительности занятий, тематике, объему учебного материала и количеству практических занятий, дать право участнику курса подать заявку на внесение в список квалифицированных сотрудников
eForum - планы строительства и инструкция по пожарной безопасности на CD
... шаблоны, шаблоны и медицинские карты возможность импорта данных об управляемых зданиях защита от потери данных Почему оно того стоит? Вы хотите разработать Руководство по пожарной безопасности, которое будет соответствовать последним требованиям Закона о противопожарной защите 2017 года и Положения о противопожарной защите, чтобы избежать исключения объекта из эксплуатации. Вы должны составить обязательный план объекта и предоставить
Анализ паттернов диаграммы: чашка и ручка
Чашка и ручка являются продолжением и разворотом. Модель разворота отмечает конец нисходящего тренда и показывает, что цена переходит в восходящий тренд. Паттерн продолжения происходит во время восходящего тренда; формируется чашка и ручка, затем цена продолжает расти. Чашка и ручка похожи на закругленное дно За исключением того, что с чашкой и ручкой цена останавливается около точки прорыва и движется
Взлом Mirai: анализ ботнета IoT DDoS
... анализ исходного кода Mirai позволил нам создать надежную подпись, с помощью которой мы могли бы идентифицировать деятельность Mirai в нашей сети. Затем мы обратились к нашим журналам и изучили недавние нападения, чтобы узнать, не было ли на них отпечатков пальцев Мирай. Конечно же, мы обнаружили, что ботнет Mirai был ответственен за множество наводнений GRE, которые были смягчены нашей службой 17 августа. Используя тактику «беги и беги», атака достигла пика со скоростью 280
Самые популярные поисковые системы в мире
... системы помогают нам выходить в интернет. Благодаря им мы можем решить наши проблемы: найти правильный размер обуви вашей мечты, найти способ починить протекающий кран или узнать, где находится ближайший банкомат. Мы полагаемся на поисковые системы гораздо больше, чем мы могли бы себе позволить. Интернет, однако, не всегда был таким упорядоченным, как сейчас. В начале истории сети не было поисковых систем, которые могли бы помочь обычному пользователю использовать его. Однако сейчас сложно
Мы поможем вам выбрать устройства хранения
... безопасности, указанные респондентами: Другие указанные преимущества: Онлайн тренинги и конференции Обслуживание клиентов Шаблоны документов Такие результаты обязывают! Мы благодарны за положительную оценку портала «Здоровье и безопасность». В то же время мы не останавливаемся на достигнутом - мы заботимся о дальнейшем развитии и улучшении тех областей, которые, по мнению наших клиентов, все еще нуждаются в улучшении.

Комментарии

Зачем обновлять BIOS системы?
Зачем обновлять BIOS системы? Проверьте версию BIOS вашей системы. Инструкция по обновлению BIOS вашей системы в Windows Сброс BIOS через стартовое меню F12 Обновление BIOS в системах с включенным BitLocker Инструкция по обновлению BIOS вашей системы с помощью флешки
Что нам нужно знать, прежде чем менять операционную систему на 64-битную версию?
Что нам нужно знать, прежде чем менять операционную систему на 64-битную версию? Если мы уже рассмотрели все плюсы и минусы, давайте выясним, что нам нужно делать, если мы хотим изменить 64-битную операционную систему. Первым шагом является определение возможностей нашего оборудования, в частности, нам необходимо убедиться, что процессор, которым оснащен компьютер, является 64-разрядным устройством. В Windows Vista мы можем сделать это следующим образом. Щелкните правой кнопкой мыши
Вы когда-нибудь задумывались, как вы можете щелкнуть ссылку на веб-странице и быстро перейти на другую страницу сервера на полпути по всему миру?
Вы когда-нибудь задумывались, как вы можете щелкнуть ссылку на веб-странице и быстро перейти на другую страницу сервера на полпути по всему миру? Или отправить электронное письмо тете Алисе или дяде Бобу, используя только их простые адреса электронной почты? Все это зависит от DNS или системы доменных имен . Это то, что позволяет вашему компьютеру находить macworld.com, отслеживая тот факт, что это доменное имя соответствует IP-адресу 70.42.185.230, и этот числовой адрес является хостом
Похоже на MLM или другую финансовую пирамиду?
Похоже на MLM или другую финансовую пирамиду? И это правильно. Там также люди с более низких уровней должны надевать "алмазы", которые используют методы манипуляции для ловли мальков. Сегодня Voluum от Gryna является стандартом для реализации партнерских кампаний, которые чаще всего Пользователи форума STM рекомендуют себя , Дополнительный продукт Codewise, Zeropark, основан именно на использовании доменного трафика. По словам моего
Как работают электронные системы регистрации рабочего времени?
Как работают электронные системы регистрации рабочего времени? Терминалы запоминают время всех событий (например, это может быть вход сотрудника в помещение компании) и регистрируют их в системе. Рабочее время рассчитывается автоматически. Большинство систем RCP позволяют регистрировать не только начало и конец работы, но и перерывы, командировки или сверхурочные. Регистрация времени также связана с контролем доступа - вход в определенные комнаты становится возможным
Что делает iOS для вашей безопасности?
Что делает iOS для вашей безопасности? Давайте посмотрим на функции, встроенные в iOS, чтобы понять, почему iOS обычно не страдает от вирусов. Элементы управления App Store Печально известный подход Apple к iOS-приложениям в стиле «окруженный стеной» обеспечивает безопасность пользователей. В отличие от Android, где вы можете «загружать» приложения, загруженные из любого места, единственный официальный способ установки приложений для iOS - через App Store.
У вас есть еще советы по безопасности iPhone?
У вас есть еще советы по безопасности iPhone? 14. Безопасный обмен сообщениями Правоохранительные органы и, вероятно, АНБ используют симуляторы вышек сотовой связи, называемые Stingrays, IMSI ловцы или грязные коробки, сделанные Харрисом. Эти поддельные вышки сотовой связи не позволяют идентифицировать телефонную трубку и могут отслеживать данные. Они размещают их в небольших самолетах, чтобы получить тонну перехватов, не получая ордера. Пользователи сотовых
Какие CMS системы Вы можете порекомендовать для создания интернет-магазинов?
Какие CMS системы Вы можете порекомендовать для создания интернет-магазинов? Почему? Что Вы думаете о Google AMP (ускоренные мобильные страницы)? С чего нужно начинать создание интернет-магазина? Что Вы порекомендуете для успешного развития интернет-магазина? Приведите примеры лучших, на Ваш взгляд, магазинов? Почему именно они? Как Вы считаете, нужны мобильные приложения для интернет-магазинов? Евгений Кудрявченко, СЕО
Что заставит его чувствовать себя в безопасности на сайте и доверять продавцу?
Что заставит его чувствовать себя в безопасности на сайте и доверять продавцу? Отвечая на эти вопросы, вы можете сформулировать 10 наиболее важных особенностей хорошего интернет магазин , Вот они. Прозрачность страницы. Важно, чтобы сайт был читабельным и чтобы у пользователя была вся необходимая ему информация, без необходимости его поиска. Продукты должны быть отнесены к отдельным категориям.

Когда их использование имеет смысл?
Тем не менее, как использовать их эффективно и управлять ими?
Или iOS 12?
Аблоны, шаблоны и медицинские карты возможность импорта данных об управляемых зданиях защита от потери данных Почему оно того стоит?
Зачем обновлять BIOS системы?
Что нам нужно знать, прежде чем менять операционную систему на 64-битную версию?
Вы когда-нибудь задумывались, как вы можете щелкнуть ссылку на веб-странице и быстро перейти на другую страницу сервера на полпути по всему миру?
Или отправить электронное письмо тете Алисе или дяде Бобу, используя только их простые адреса электронной почты?
Похоже на MLM или другую финансовую пирамиду?
Как работают электронные системы регистрации рабочего времени?
IRC (Internet Relay Chat)