Локальна політика безпеки. Частина 1: Введення

  1. Вступ
  2. Конфігурація політик безпеки
  3. Застосування політик безпеки для локального комп'ютера і для об'єкта групової політики робочої...
  4. Застосування політики безпеки для локального комп'ютера
  5. Застосування політики безпеки для об'єкта групової політики робочої комп'ютера, приєднаного...
  6. Застосування політики безпеки для об'єкта групової політики з контролера домену Windows Server 2008 R2
  7. висновок

Вступ

У попередніх моїх статтях про групових політиках було розказано про принципи роботи оснастки "Редактор локальної групової політики". Розглядалися деякі вузли поточної оснащення, а також функціонал множинної групової політики. Починаючи з цієї статті, ви зможете дізнатися про управління параметрами безпеки на локальному комп'ютері, а також в доменній середовищі. У наш час забезпечення безпеки є невід'ємною частиною роботи як для системних адміністраторів у великих і навіть дрібних підприємствах, так і для домашніх користувачів, перед якими стоїть завдання налаштування комп'ютера. Недосвідчені адміністратори і домашні користувачі можуть порахувати, що після установки антивіруса і брандмауера їх операційні системи надійно захищені, але це не зовсім так. Звичайно, ці комп'ютери будуть захищені від безлічі атак, але що ж врятує їх від людського фактора? Зараз можливості операційних систем по забезпеченню безпеки дуже великі. Існують тисячі параметрів безпеки, які забезпечують роботу служб, мережеву безпеку, обмеження доступу до певних ключам і параметрам системного реєстру, управління агентами відновлення даних шифрування дисків BitLocker, управління доступом до додатків і багато, багато іншого.

У зв'язку з великим числом параметрів безпеки операційних систем Windows Server 2008 R2 і Windows 7 , Неможливо налаштувати всі комп'ютери, використовуючи один і той же набір параметрів. У статті "Налаштування групових політик контролю облікових записів в Windows 7" були розглянуті методи тонкої настройки керування обліковими записами операційних систем Windows, і це тільки мала частина того, що ви можете зробити за допомогою політик безпеки. У циклі статей по локальним політикам безпеки я постараюся розглянути якомога більше механізмів забезпечення безпеки з прикладами, які можуть вам допомогти в подальшій роботі.

Конфігурація політик безпеки

Політика безпеки - це набір параметрів, які регулюють безпеку комп'ютера і управляються за допомогою локального об'єкта GPO. Налаштовувати дані політики можна за допомогою оснастки "Редактор локальної групової політики" або оснащення "Локальна політика безпеки". Оснастка "Локальна політика безпеки" використовується для зміни політики облікових записів і локальної політики на локальному комп'ютері, а політики облікових записів, прив'язаних до домену Active Directory можна налаштовувати за допомогою оснастки "Редактор управління груповими політиками". Перейти до локальних політикам безпеки, ви можете наступними способами:

  1. Натисніть на кнопку "Пуск" для відкриття меню, в поле пошуку введіть Локальна політика безпеки і відкрийте програму в знайдених результатах;
  2. Скористайтеся комбінацією клавіш + R для відкриття діалогу "Виконати". У діалоговому вікні "Виконати", в поле "Відкрити" введіть secpol.msc і натисніть на кнопку "ОК";
  3. Відкрийте "Консоль управління MMC". Для цього натисніть на кнопку "Пуск", в полі пошуку введіть mmc, а потім натисніть на кнопку "Enter". Відкриється порожня консоль MMC. В меню "Консоль" виберіть команду "Додати або видалити оснастку" або за допомогою комбінації клавіш Ctrl + M. У діалозі "Додавання і видалення оснасток" виберіть оснастку "Редактор локальної групової політики" і натисніть на кнопку "Додати". У діалозі "Вибір об'єкта групової політики" натисніть на кнопку "Огляд" для вибору комп'ютера або натисніть на кнопку "Готово" (за замовчуванням встановлений об'єкт "Локальний комп'ютер"). У діалозі "Додавання або видалення оснасток" натисніть на кнопку "ОК". В оснащенні "Редактор локальної групової політики" перейдіть в вузол "Конфігурація комп'ютера", а потім відкрийте вузол "Параметри безпеки".


У тому випадку, якщо ваш комп'ютер приєднаний до домену Active Directory, політика безпеки визначається політикою домену або політикою підрозділу, членом якого є комп'ютер.

Застосування політик безпеки для локального комп'ютера і для об'єкта групової політики робочої станції, приєднаної до домену

За допомогою наступних прикладів ви побачите різницю між застосуванням політики безпеки для локального комп'ютера і для об'єкта групової політики робочого комп'ютера, приєднаного до домену Windows Server 2008 R2.

Застосування політики безпеки для локального комп'ютера

Для успішного виконання поточного прикладу, обліковий запис, під якою виконуються дані дії, повинна входити в групу "Адміністратори" на локальному комп'ютері. Якщо комп'ютер підключений до домену, то ці дії можуть виконувати тільки користувачі, які є членами групи "Адміністратори домену" або груп, з дозволеними правами на редагування політик.

У цьому прикладі ми перейменуємо гостьову обліковий запис. Для цього виконайте такі дії:

  1. Відкрийте оснастку "Локальні політики безпеки" або перейдіть в вузол "Параметри безпеки" оснащення "Редактор локальної групової політики";
  2. Перейдіть в вузол "Локальні політики", а потім "Параметри безпеки";
  3. Відкрийте параметр "Облікові записи: Перейменування облікового запису гостя" двічі клацнувши на ньому або натиснувши на клавішу Enter;
  4. У текстовому полі введіть Гостьова запис і натисніть на кнопку "ОК";

  5. Перезавантажте комп'ютер.

Після перезавантаження комп'ютера для того щоб перевірити, чи застосує політика безпеки до вашого комп'ютера, вам потрібно відкрити в панелі управління компонент "Облікові записи користувачів" і перейти за посиланням "Управління іншим користувачем". У вікні, ви побачите всі облікові записи, створені на вашому локальному комп'ютері, в тому числі перейменовану обліковий запис гостя:


Застосування політики безпеки для об'єкта групової політики робочої комп'ютера, приєднаного до домену Windows Server 2008 R2

У цьому прикладі ми заборонимо користувачеві Test_ADUser змінювати пароль для облікового запису на своєму комп'ютері. Нагадаю, що для виконання наступних дій ви повинні входити в групу "Адміністратори домену". Виконайте наступні дії:

  1. Відкрийте "Консоль управління MMC". Для цього натисніть на кнопку "Пуск", в полі пошуку введіть mmc, а потім натисніть на кнопку "Enter";
  2. В меню "Консоль" виберіть команду "Додати або видалити оснастку" або за допомогою комбінації клавіш Ctrl + M;
  3. У діалозі "Додавання і видалення оснасток" виберіть оснастку "Редактор локальної групової політики" і натисніть на кнопку "Додати";
  4. У діалозі "Вибір об'єкта групової політики" натисніть на кнопку "Огляд" для вибору комп'ютера і виберіть потрібний комп'ютер, як показано на наступному скріншоті:

  5. У діалозі "Вибір об'єкта групової політики" переконайтеся, що вибрали потрібний комп'ютер і натисніть на кнопку "Готово";

  6. У діалозі "Додавання або видалення оснасток" натисніть на кнопку "ОК";
  7. В оснащенні "Редактор локальної групової політики" перейдіть в вузол "Конфігурація комп'ютера", а потім відкрийте вузол Параметри безпеки \ Локальний комп'ютер \ Параметри безпеки;
  8. Відкрийте параметр "Контролер домену: Заборонити зміну пароля облікових записів комп'ютера" двічі клацнувши на ньому або натиснувши на клавішу Enter;
  9. У діалозі налаштувань параметра політики безпеки виберіть опцію "Включити" і натисніть на кнопку "ОК";
  10. Перезавантажте комп'ютер.

Після перезавантаження комп'ютера для того щоб перевірити, чи застосує політика безпеки, перейдіть на комп'ютер, над яким проводилися зміни і відкрийте консоль управління MMC. У ній додайте оснащення "Локальні користувачі та групи" і спробуйте змінити пароль для своєї доменної облікового запису.

Застосування політики безпеки для об'єкта групової політики з контролера домену Windows Server 2008 R2

За допомогою цього прикладу, змінимо число нових унікальних паролів, які повинні бути призначені облікового запису користувача до повторного використання старого пароля. Ця політика дозволяє вам покращувати безпеку, гарантуючи, що старі паролі НЕ будуть повторно використовуватися протягом кількох раз. Увійдіть на контролер домену або використовуйте засоби адміністрування віддаленого сервера. Виконайте наступні дії:

  1. Відкрийте консоль "Управління груповою політикою" - в діалоговому вікні "Виконати", в поле "Відкрити" введіть gpmc.msc і натисніть на кнопку "ОК";
  2. У контейнері "Об'єкти групової політики" клацніть правою кнопкою миші і з контекстного меню виберіть команду "Створити";

  3. В поле "Ім'я" введіть назву об'єкта GPO, наприклад "Об'єкт політики, призначений для тестування" і натисніть на кнопку "ОК";

  4. Клацніть правою кнопкою миші на створеному об'єкті і з контекстного меню виберіть команду "Змінити";

  5. У вікні "Редактор управління груповими політиками" розгорніть вузол Конфігурація комп'ютера \ Політики \ Конфігурація Windows \ Параметри безпеки \ Політики облікових записів \ Політика паролів;
  6. Відкрийте параметр "Вести журнал паролів" двічі клацнувши на ньому або натиснувши на клавішу Enter;
  7. У діалозі настройки параметра політики встановіть прапорець на опції "Визначити наступний параметр політики", в тестовому поле введіть 5 і натисніть на кнопку "ОК";
  8. Закрийте оснащення "Редактор управління груповими політиками".
  9. В консолі "Управління груповою політикою" натисніть правою кнопкою миші на групі безпеки, для якої будуть застосовуватися зміни, і з контекстного меню виберіть команду "Зв'язати існуючий об'єкт групової політики ...". У діалозі "Вибір об'єкта групової політики" виберіть створений вами об'єкт, як показано на наступному скріншоті:

  10. У фільтрах безпеки об'єкта політики виберіть користувача або групу, на яких буде поширюватися зазначені настройки.

  11. Оновлення параметри політики на клієнтському комп'ютері за допомогою команди gpupdate.

Про використання оснастки "Управління груповою політикою" на контролерах домену і про команду gpupdate буде детально розповідатиметься в наступних статтях.

висновок

З цієї статті ви дізналися про методи застосування локальних політик безпеки. У наданих прикладах проілюстрована настройка політик безпеки за допомогою оснастки "Локальна політика безпеки" на локальному комп'ютері, настройка політик на комп'ютері, підключеному до домену, а також управління локальними політиками безпеки з використанням контролер домену. У наступних статтях з циклу про локальні політиках безпеки ви дізнаєтеся про використання кожного вузла оснастки "Локальна політика безпеки" і про приклади їх використання в тестовій і робітничому середовищі.

Посилання по темі

Звичайно, ці комп'ютери будуть захищені від безлічі атак, але що ж врятує їх від людського фактора?
IRC (Internet Relay Chat)