Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 31 (всего у книги 91 страниц)

нескольких системах. На этом занятии мы обсудим эти м е х а н и з м ы и их вза-

имодействие.

Изучив материал этого занятия, вы сможете:

S Конфигурировать параметры безопасности на компьютере с помощью ло-

кальной политики безопасности.

S Создавать и применять шаблоны безопасности для управления конфигура-

цией безопасности.

S Анализировать конфигурацию безопасности на основе шаблонов безопас-

ности.

S Создавать, редактировать и применять политики безопасности с помощью

мастера настройки безопасности.

«

У Развертывать конфигурацию безопасности с помощью групповой политики.

Продолжительность занятия —• около 60 мин.

Настройка локальной политики безопасности

Каждый сервер Windows Server 2008 поддерживает набор параметров безо-

пасности, которыми можно управлять с помощью локального объекта GPO.

Локальный объект групповой политики конфигурируется с помощью оснастки

Редактор объектов групповой политики ( G r o u p Policy Object Editor) в консоли

Локальная политика безопасности (Local Security Policy). Доступные категории

параметров политики показаны на рис. 7-5.

На этом занятии мы рассмотрим механизмы настройки и управления па-

раметрами безопасности, а не сами параметры. Многие из этих параметров,

– Занятие 2

Управление параметрами безопасности 3Q7

включая п о л и т и к и учетных записей, политику аудита и назначение прав поль-

зователей, о п и с а н ы в других главах данного руководства.

Кеислт. Действие Эйд Сгрев"Д Щ

и й 1 . . . Щ .

Пэдвжтр* 5«.мпасности

Ш

Ш ' Ш Ш Ш 'С

£ ПОЛ'ТЛЛ учет-to. w»:eй

;в,По<*гтикиучет<>о1 загъкей П

. 4 Политика rupareii

: ^Локаль»чл(»огитич– П

.' Попока Блокдевки учетнсЛ ипио'

bMnCHSyipWfTdOKiepe»)... Б

Й

j Полет диспетчера mo... И

•V: ; ij По/итила аудита

Ж '.щ Назначение гож пользователя

л Полит,** ограпг-егмогоне...

Плр»*трь, бгюглзости

ЗЛПо»»»т>«о1 jp-безопасности н... А

В Ь{>аидпа»зр Windows в реж.*« повмьетой безопасности

й tit Браидиаухз VVMDTW» в режиие NCEO«UE>^AI беэопаооои • Объект лскаланои групповой ПОЛИТУЖИ

9Ц ГЧиекла для iKxoAwiero палк/*эчмв>

J^i Правила 6exr*ib»mi подключения

Полит,toi диспетчера амсха сетей

• S iiJ rto/vaiv-л открытого клоча

Шифрующая фа'-лоеая система (JFS)

: j! Поптмо* стрм»Ж1«юго хгк>г».;эсг»»'а протрет

® J Пелитла» 1Р<е*юао«ссти па "Лс*алы*»й ьспыотер'

Рис. 7-5. Параметры безопасности в локальном объекте групповой политики

Поскольку к о н т р о л л е р ы доменов содержат лишь доменные учетные записи

н не содержат л о к а л ь н ы е учетные записи пользователей, вместо политик в кон-

тейнере П о л и т и к и у ч е т н ы х записей (Account Policies) в локальном объекте

GPO на к о н т р о л л е р а х доменов следует конфигурировать политики учетных

записей домена в объекте G P O , привязанном к домену (например, в объекте

Default D o m a i n Policy). П о л и т и к и учетных записей описаны на первом заня-

тии в главе 8.

П а р а м е т р ы в л о к а л ь н ы х п о л и т и к а х Параметры безопасности (Security

Settings) п р е д с т а в л я ю т собой поднабор политик, которые можно конфигури-

ровать с п о м о щ ь ю групповой политики домена (рис. 7-6).

ц щ в е

н ш в щ ш

Kttro^ д

тУтвие Ьс,

р з . Й г т . у

& Параметры

Параметр 6

«

6 о

« п

о (

п»

( 1

» «

1 >

« с

> т

с 1

т ч

1

• • • ш н и ш ч м р м

Поп«ту*и

Поп«ту* учетных

учетны за

з п

а и

п с

и е

с й

е

В

м

В

К

S Попгпка п*х>леи

Чтобы просхогоеть on «сам

<§3 Пегогик» учетной игмеи

Пожт.«а КегЬего»

^ Полл **л аудита

.jj Параметры безопасности

J; Ж я>«ал событии

Груттц с огра<»*ю iu< доступои

. (j, Спет е*««е службы

ы ^о™"»*»' проводной сети (ЕЕ SC2.3)

(5 С] Ерандкауар WocSo*» в ре we поевкаетой бекпасности

й #Ьс^наррЛ«к1о*»вреж1»«поам1*»^6е»оп»сности 1ГМ^:/,<сп-(ЗиУЭ«-0160-1!С2-9;>

О Правила для входящих подклс-oki

IJJ Пра»чда для исходяыего подключения

Праама безопасности ГЮДКЛОФЫЯ

i .'i Полтжи диспетчера л е ч сетей

>4. ^олгтуки бесгоеводкм спи (IfFf 902.1 Ij

ffi ; П о п т к и открытого ключ*

Ш ftonm« ограичешуо «тюль «сван.» rvorpa**'

ЯВ UJ Neb-ark Access Protection —'

3 noi»m«i Г « к о * н Ю 4 na "Служб» каталогов Лсп.е Oectc<* (cwnoeo.ton;"

QoS на основе палпюм

Ки*тстрагншгыс шаблоны; огре^едеяня пзлтгнк {ADMX-файлы) ровучмы с локаленого кссьотера.

Рис– 7-6. Параметры безопасности в объекте групповой политики домена

' 3 0 6 Параметры групповой политики

Глава 7

Конфигурацией лучше всего у п р а в л я т ь с п о м о ш ы о г р у п п о в о й п о л и т и к и до-

мена, а не путем настройки л о к а л ь н о й г р у п п о в о й п о л и т и к и на к а ж д о й м а ш и н е ;

это относится и к к о н т р о л л е р а м д о м е н а . О б ъ е к т г р у п п о в о й п о л и т и к и D e f a u l t

Domain Controllers Policy с о з д а е т с я п р и п о в ы ш е н и и р а н г а с е р в е р а д о п е р в о г о

контроллера в домене. Э т о т о б ъ е к т с в я з ы в а е т с я с п о д р а з д е л е н и е м D o m a i n

Controllers и д о л ж е н и с п о л ь з о в а т ь с я д л я у п р а в л е н и я о с н о в н ы м и п а р а м е т р а м и

безопасности всех к о н т р о л л е р о в в д о м е н е с ц е л ы о с о г л а с о в а н н о й н а с т р о й к и .

Управление конфигурацией безопасности

с помощью шаблонов безопасности

Вторым механизмом у п р а в л е н и я к о н ф и г у р а ц и е й б е з о п а с н о с т и я в л я е т с я ш а б -

лон безопасности – набор п а р а м е т р о в к о н ф и г у р а ц и и , с о х р а н е н н ы й к а к т е к с -

товый ф а й л с р а с ш и р е н и е м .inf. К а к п о к а з а н о на рис. 7-7, ш а б л о н б е з о п а с н о с т и

содержит поднабор параметров, д о с т у п н ы х в о б ъ е к т е G P O д о м е н а , к о т о р ы е

несколько отличаются о т параметров, у п р а в л я е м ы х л о к а л ь н ы м о б ъ е к т о м G P O .

Инструменты, и с п о л ь з у е м ы е д л я у п р а в л е н и я ш а б л о н а м и б е з о п а с н о с т и , ото-

бражают эти параметры в и н т е р ф е й с е , где к о н ф и г у р а ц и ю б е з о п а с н о с т и м о ж н о

сохранить в качестве ф а й л о в и р а з в е р т ы в а т ь п р и н е о б х о д и м о с т и . С п о м о щ ь ю

шаблона безопасности т а к ж е м о ж н о а н а л и з и р о в а т ь с о о т в е т с т в и е т е к у щ е й к о н -

фигурации к о м п ь ю т е р а т р е б о в а н и я м о р г а н и з а ц и и .

– l a l x i

Рис. 7-7. Параметры безопасности в шаблоне безопасности

Хранение к о н ф и г у р а ц и и б е з о п а с н о с т и в ш а б л о н а х б е з о п а с н о с т и обеспе-

чивает несколько п р е и м у щ е с т в . Н а п р и м е р , п о с к о л ь к у э т и ш а б л о н ы представ-

ляют собой о т к р ы т ы е т е к с т о в ы е ф а й л ы , с н и м и м о ж н о р а б о т а т ь в р у ч н у ю , как

и с любым текстовым ф а й л о м , п р и н е о б х о д и м о с т и в ы р е з а я и в с т а в л я я секции.

Кроме того, ш а б л о н ы у п р о щ а ю т х р а н е н и е р а з л и ч н ы х т и п о в к о н ф и г у р а ц и и

безопасности д л я п р и м е н е н и я р а з н ы х у р о в н е й б е з о п а с н о с т и к к о м п ь ю т е р а м ,

в ы п о л н я ю щ и х р а з л и ч н ы е р о л и .

Далее о п и с а н ы т и п ы п о л и т и к и и п а р а м е т р о в , к о т о р ы е м о ж н о к о н ф и г у р и -

ровать с п о м о щ ь ю ш а б л о н о в б е з о п а с н о с т и .

• Политики у ч е т н ы х з а п и с е й ( A c c o u n t P o l i c i e s ) Н а з н а ч а ю т с я ограничения

паролей, п о л и т и к и б л о к и р о в к и у ч е т н ы х з а п и с е й и п о л и т и к и Kerberos.

• Л о к а л ь н ы е политики ( L o c a l P o l i c i e s ) К о н ф и г у р и р у ю т с я п о л и т и к и ауди-

та, назначения п р а в п о л ь з о в а т е л е й и п о л и т и к и б е з о п а с н о с т и . г-'

– Занятие 2

Управление параметрами безопасности 3 Q 7

• П о л и т и к и ж у р н а л о в с о б ы т и й ( E v e n t L o g P o l i c i e s ) К о н ф и г у р и р у е т с я

м а к с и м а л ь н ы й р а з м е р ж у р н а л о в с о б ы т и й и п о л и т и к и создания новых фай-

• л о в ж у р н а л о в . • . . . . . .

• Г р у п п ы с о г р а н и ч е н н ы м д б с т у п о м ( R e s t r i c t e d G r o u p s ) П о л ь з о в а т е л и

в к л ю ч а ю т с я в к о н к р е т н ы е г р у п п ы .

• С и с т е м н ы е с л у ж б ы ( S y s t e m S e r v i c e s ) О п р е д е л я ю т с я типы запуска й раз-

р е ш е н и я д о с т у п а д л я с и с т е м н ы х с л у ж б .

• Р е е с т р ( R e g i s t r y ) З а д а ю т с я р а з р е ш е н и я к о н т р о л я доступа к конкретным

к л ю ч а м р е е с т р а .

• Ф а й л о в а я с и с т е м а ( F i l e S y s t e m ) О п р е д е л я ю т с я р а з р е ш е н и я контроля

д о с т у п а д л я ф а й л о в и п а п о к N T F S .

С у щ е с т в у е т м н о ж е с т в о с п о с о б о в р а з в е р т ы в а н и я шаблонов безопасности

с п о м о щ ь ю о б ъ е к т о в г р у п п о в о й п о л и т и к и A c t i v e Directory, оснастки Анализ и

н а с т р о й к а б е з о п а с н о с т и ( S e c u r i t y C o n f i g u r a t i o n a n d Analysis), а также утилиты

Secedit.exe. П р и с в я з ы в а н и и ш а б л о н а б е з о п а с н о с т и с о б ъ е к т о м Active Directory

п а р а м е т р ы в ш а б л о н е в к л ю ч а ю т с я в о б ъ е к т G P O , с в я з а н н ы й с объектом в Active

Directory. Ш а б л о н б е з о п а с н о с т и т а к ж е м о ж н о п р и м е н и т ь непосредственно к

к о м п ь ю т е р у – в э т о м с л у ч а е п а р а м е т р ы в ш а б л о н е будут включены в локальные

п о л и т и к и к о м п ь ю т е р а . Н а э т о м з а н я т и и м ы р а с с м о т р и м все э т и способы.

Оснастка шаблонов безопасности

Д л я р а б о т ы с ш а б л о н а м и б е з о п а с н о с т и и с п о л ь з у е т с я оснастка Ш а б л о н ы безо-

пасности ( S e c u r i t y T e m p l a t e s ) . По у м о л ч а н и ю в W i n d o w s Server 2008 не вклю-

чена к о н с о л ь с э т о й о с н а с т к о й , т а к ч т о ее н у ж н о с о з д а т ь в р у ч н у ю с помощью

к о м а н д ы Д о б а в и т ь и л и у д а л и т ь о с н а с т к у ( A d d / R e m o v e S n a p – i n ) в консоли

М М С . Эта о с н а с т к а с о з д а е т в п а п к е D o c u m e n t s п а п к у S e c u r i t y с подпапкой

Templates, а п а п к а D o c u m e n t s S e c u r i t y T e m p l a t e s с т а н о в и т с я размещением,

где м о ж н о х р а н и т ь о д и н и л и н е с к о л ь к о ш а б л о н о в безопасности.

Ч т о б ы с о з д а т ь н о в ы й ш а б л о н б е з о п а с н о с т и , щ е л к н и т е правой кнопкой

м ы ш и у з е л , п р е д с т а в л я ю щ и й п у т ь п о и с к а ш а б л о н а ( н а п р и м е р , C : U s e r s

D o c u m e n t s A f l M H H H C T p a T o p S e c u r i t y T e m p l a t e s ) и в ы п о л н и т е команду Создать

шаблон ( N e w T e m p l a t e ) . В ы м о ж е т е с о з д а т ь ш а б л о н с т е к у щ е й конфигурацией

сервера, к а к о п и с а н о в п о д р а з д е л е « С о з д а н и е ш а б л о н а безопасности».

П а р а м е т р ы к о н ф и г у р и р у ю т с я в ш а б л о н е т о ч н о т а к и м ж е образом, как

и п а р а м е т р ы в о б ъ е к т е G P O . Д л я н а с т р о й к и п а р а м е т р о в в шаблоне безопас-

ности и с п о л ь з у е т с я о с н а с т к а Ш а б л о н ы б е з о п а с н о с т и ( S e c u r i t y Templates).

Она п р е д с т а в л я е т с о б о й л и ш ь р е д а к т о р и н е и г р а е т н и к а к о й р о л и при реаль-

ном п р и м е н е н и и э т и х п а р а м е т р о в в с и с т е м е . О т к о н ф и г у р и р у й т е параметры

безопасности в ш а б л о н е с п о м о щ ь ю о с н а с т к и Ш а б л о н ы безопасности. Хотя

сам по себе ш а б л о н – э т о т е к с т о в ы й ф а й л , его с и н т а к с и с д о в о л ь н о сложный.

И с п о л ь з о в а н и е о с н а с т к и г а р а н т и р у е т и з м е н е н и е п а р а м е т р о в с применением

корректного с и н т а к с и с а . И с к л ю ч е н и е м и з этого п р а в и л а я в л я е т с я добавление

параметров реестра, к о т о р ы е е щ е не п е р е ч и с л е н ы в с е к ц и и ш а б л о н а Локаль-

ные п о л и т и к и П а р а м е т р ы б е з о п а с н о с т и ( L o c a l P o l i c i e s S e c u r i t y Options). Как

только станут и з в е с т н ы м и н о в ы е п а р а м е т р ы б е з о п а с н о с т и , к о н ф и г у р и р у е м ы е

308 Параметры групповой политики

с помощью ключа реестра, их можно добавить в шаблон безопасности. Для

этого добавьте их в секцию Значение реестра (Registry Values) шаблона.

К СВЕДЕНИЮ Добавление настраиваемых параметров реестра

В статье «How to Add Custom Registry Settings to Security Configuration Editor» no

адресу http://support.microsoft.com/9kbid~214752 описано, как выполнять1ту задачу.

ПРИМЕЧАНИЕ Сохранение параметров

Для сохранения параметров в шаблоне безопасности щелкните шаблон правой кноп-

кой мыши и выполните команду Сохранить (Save).

При установке сервера или повышении его ранга до контроллера домена

система Windows применяет шаблон безопасности по умолчанию. Этот шаблон

находится в папке %SystemRoot%SecurityTemplates. На контроллере домена

этот шаблон имеет имя DC security.inf. Данный шаблон нельзя модифицировать

напрямую, однако его можно скопировать по пути поиска шаблонов и моди-

фицировать копию.

ПРИМЕЧАНИЕ Шаблоны безопасности в Windows Server 2008

и предыдущих версиях Windows

В предыдущих версиях Windows можно было модифицировать и применять к ком-

пьютеру множество шаблонов. Новая конфигурация Windows Server 2008 на основе

ролей и улучшенный Диспетчер настройки безопасности (Security Configuration

Manager) исключили необходимость в этих шаблонах.

Развертывание шаблонов безопасности

с помощью объектов групповой политики

Создание и модификация шаблонов безопасности не способствуют повыше-

нию уровня безопасности, если эти шаблоны не применяются. Д л я того что-

бы отконфигурировать множество компьютеров в о д н о й операции, шаблон

безопасности можно импортировать в объект групповой политики домена,

сайта или подразделения в Active Directory. А чтобы импортировать шаблон

безопасности в объект GPO, щелкните правой кнопкой мыши узел Парамет-

ры безопасности (Security Settings) и выполните команду Импорт политики

(Import Policy). Если в диалоговом окне Импорт политики из (Import Policy

From) установить флажок Очистить эту базу данных перед импортом (Clear

This Database Before Importing), все параметры безопасности в этом объекте

GPO будут удалены перед импортом параметров шаблона, в результате чего

параметры безопасности GPO будут точно соответствовать параметрам шабло-

на. Если не устанавливать этот флажок, параметры политики G P O останутся

и будут импортированы параметры шаблона. Все параметры, определенный

в GPO и в шаблоне, будут заменены параметрами шаблона.

- Занятие 2

Управление параметрами безопасности 3Q7

Инструмент Анализ и настройка безопасности

Для интерактивного использования шаблона безопасности к компьютеру при-

меняется оснастка Анализ и настройка безопасности (Security Configuration

And Analysis), которая также позволяет анализировать текущую конфигурацию

безопасности системы и сравнивать ее с базовыми настройками, сохраненными

в шаблоне безопасности. Таким образом вы можете быстро определить изме-

нения параметров б е з о п а с н о с т и компьютера пользователями и соответствие

системы политикам безопасности организации.

В Windows Server 2 0 0 8 оснастка Алализ и настройка безопасности (Security

Configuration And Analysis), как и оснастка Шаблоны безопасности (Security

Templates), по у м о л ч а н и ю не включена, так что ее нужно вручную добавить

в консоль.

Для того ч т о б ы п р и м е н и т ь оснастку Анализ и настройка безопасности

(Security Configuration A n d Analysis), вначале нужно создать базу данных, ко-

торая будет содержать коллекцию параметров безопасности. Эта база данных

является интерфейсом м е ж д у реальными параметрами безопасности компью-

тера и параметрами, которые хранятся в шаблонах безопасности. Создайте

базу данных (или откройте существующую), щелкнув правой кнопкой мыши

узел Анализ и настройка безопасности (Security Configuration And Analysis)

в дереве консоли и п р и м е н и в соответствующую команду.

После этого вы м о ж е т е импортировать один или несколько шаблонов

безопасности. При и м п о р т е нескольких шаблонов нужно принять решение

относительно очистки базы данных. Если база данных очищена, она будет

содержать только параметры нового шаблона, если же нет, дополнительные

определяемые параметры б у д у т заменять параметры ранее импортированных

шаблонов. В случае если параметры в новом импортированном шаблоне не

определены, в базе данных останутся параметры из ранее импортированных

шаблонов. Таким образом, оснастка Анализ и настройка безопасности (Security

Configuration And Analysis) создает базу данных параметров безопасности, со-

держащую параметры импортированных шаблонов безопасности. Параметры

в базе данных м о ж н о применять к компьютеру или использовать для анализа

соответствия компьютера требованиям безопасности.

ВНИМАНИЕ! Параметры базы данных и параметры компьютера

Помните, что параметры в базе данных не модифицируют параметры компьютера или

параметры в шаблоне, пока эта база данных не будет использована для настройки

компьютера или экспортирована в шаблон.

Применение шаблонов безопасности к компьютеру

После импорта одного или нескольких шаблонов для создания базы данных

параметры последней можно применить к компьютеру. Щелкните правой кноп-

кой мыши узел Анализ И настройка безопасности (Security Configuration And

' 310 Параметры групповой политики

Глава 7

Analysis) и выполните команду Настроить компьютер ( C o n f i g u r e C o m p u t e r

Now). Укажите путь к журналу ошибок, которые будут генерироваться во вре-

мя применения параметров. После применения параметров проанализируйте

журнал ошибок и зафиксируйте все неполадки.

Контрольный вопрос

• Опишите процедуру применения шаблона безопасности к компьютеру.

Ответ на контрольный вопрос

• С помощью оснастки Анализ и настройка безопасности (Security Configuration

And Analysis) создать базу данных. Затем импортировать шаблон и с помо-

щью этой базы данных отконфигурировать компьютер.

Анализ конфигурации безопасности к о м п ь ю т е р а

Прежде чем применить параметры базы данных к компьютеру, проанализи-

руйте текущую конфигурацию компьютера, чтобы определить о т л и ч и я . Щел-

кните правой кнопкой мыши узел Анализ и настройка безопасности (Security

Configuration And Analysis) и выполните команду Анализ компьютера (Analyze

Computer Now). Далее укажите месторасположение ф а й л а ж у р н а л а ошибок,

после чего текущие параметры компьютера будут сравниваться с параметрами

в базе данных. После окончании анализа консоль генерирует отчет (рис. 7-8).

Консоль! – [Корень консоялАиалнз а настройка

-«iaJjsJ

Консшь Действие Вид Избранное

i-JjSJxj!

Корень консоли

Политика

' Т п а р а и е г р б а з ы да .. j П а р ^ Г – Л

; м} Анализ и настройка безопасности

Изненение параметров среды и... Не определено

АДГ-HHl-

ffi ~j§ Политики учетных записей

. Изменение системного времегя

Не определено

А д м м

9 Локаль»«е полк<тики

• Изменение часового пояса

Не определено

Админ!

a Jj Погитика аудита

Имитация клиента после прове... Не определено

СЛУЖБ

Я ц| Назначение нова пользователя

©Локальный вход в систему

Администраторы

Опера 1

ffi .jj Паранетры безопасности

Настройка квот памяти для про... Не определено

Адм*«-

ffi Jj Журнал событии

Не определено

{£ ..  Гругпы с ограниченным доступом

Обход перекрестной проверки

Операг

£ jj Сметенные сл ужбы

.. .Отказать в доступе кэтому ко... Не определено

ffi % Реестр

.... Отказать во входе в качестве ... Не определено

S; 4 Файловая систена

Отказать во входе в качестве ... Не определено

. ,

Не определено

s Отключение компьютера от ст...

Адшмк

.,.;,• Отладка программ

Не определено

АДМИН1

Принудительное удаленное зав... Не определено

Адими>

. , Профилирование одного процесса Не определено

Аднинг"*

. Профнжрование производите л... Не определено

Ajjrt'iHi-

Работа в реж»*)е операционной ... Не определено

. . Разрешать вход в систему мере... Не определено

, Разрешение доверия к учетным... Не определено

("г^ХОПМИХЛ!1ИО ялммых rnv*6w... Hp ОППРЛРПРНП

л)

Jf

Рис. 7-8. Оснастка Анализ и настройка безопасности отображает анализ текущей

конфигурации компьютера

В отличие от отображения параметров политики в Редакторе управления

групповой политикой (Group Policy Management Editor), Редакторе объектов

– Занятие 2

Управление параметрами безопасности 3Q7

г р у п п о в о й п о л и т и к и ( G r o u p P o l i c y O b j e c t E d i t o r ) , о с н а с т к а х Л о к а л ь н а я п о л и -

т и к а б е з о п а с н о с т и ( L o c a l S e c u r i t y P o l i c y ) и Ш а б л о н ы б е з о п а с н о с т и ( S e c u r i t y

T e m p l a t e s ) э т о т о т ч е т о т о б р а ж а е т к а ж д ы й п а р а м е т р п о л и т и к и , о п р е д е л е н н ы й в

базе д а н н ы х ( к о т о р а я б ы л а в ы в е д е н а и з и м п о р т и р о в а н н ы х ш а б л о н о в ) , и теку-

щ и й п а р а м е т р п о л и т и к и . Д в а п а р а м е т р а с р а в н и в а ю т с я , а результат отображает-

с я в в и д е ф л а ж к а н а з н а ч к е п о л и т и к и . Н а п р и м е р , н а р и с . 7 – 8 у к а з а н а р а з н и ц а

м е ж д у п а р а м е т р о м Л о к а л ь н ы й в х о д в с и с т е м у ( A l l o w L o g On Locally) в базе

д а н н ы х и т е к у щ е й к о н ф и г у р а ц и и к о м п ь ю т е р а . Д а л е е о п и с а н ы и с п о л ь з у е м ы е

ф л а ж к и .

• К р е с т и к в к р а с н о м к р у ж к е П о л и т и к а о п р е д е л е н а в базе д а н н ы х и на

к о м п ь ю т е р е , о д н а к о о т к о н ф и г у р и р о в а н н ы е з н а ч е н и я н е совпадают.

• З е л е н а я г а л о ч к а в б е л о м к р у ж к е П о л и т и к а о п р е д е л е н а в базе д а н н ы х

и на к о м п ь ю т е р е , о т к о н ф и г у р и р о в а н н ы е з н а ч е н и я совпадают.

• З н а к в о п р о с а в б е л о м к р у ж к е П о л и т и к а н е о п р е д е л е н а в базе д а н н ы х

и п о э т о м у н е п р о а н а л и з и р о в а н а , л и б о п о л ь з о в а т е л ь , з а п у с т и в ш и й анализ,

н е и м е е т п р а в д о с т у п а к п о л и т и к е н а к о м п ь ю т е р е .

• В о с к л и ц а т е л ь н ы й з н а к в б е л о м к р у ж к е П о л и т и к а определена в базе дан-

н ы х , о д н а к о н е с у щ е с т в у е т н а к о м п ь ю т е р е .

• Н е т ф л а ж к а У к а з ы в а е т , ч т о п о л и т и к а н е определена в базе д а н н ы х и л и

н а к о м п ь ю т е р е .

К о р р е к т и р о в а н и е о т л и ч и й п а р а м е т р о в б е з о п а с н о с т и

Е с л и п р и а н а л и з е э л е м е н т о в б а з ы д а н н ы х и с р а в н е н и и ее п а р а м е т р о в с па-

р а м е т р а м и к о м п ь ю т е р а б у д у т о б н а р у ж е н ы о т л и ч и я , т о н е о б х о д и м о внести

и з м е н е н и я в к о н ф и г у р а ц и ю к о м п ь ю т е р а и л и б а з ы д а н н ы х . Д в а ж д ы щ е л к н и т е

л ю б у ю п о л и т и к у , ч т о б ы о т о б р а з и т ь е е д и а л о г о в о е окно С в о й с т в а ( P r o p e r t i e s )

и м о д и ф и ц и р о в а т ь ее п а р а м е т р в б а з е д а н н ы х . П о с л е того к а к вы внесете из-

м е н е н и я , п а р а м е т р ы б а з ы д а н н ы х м о ж н о п р и м е н и т ь к компьютеру, в ы п о л н и в

шаги, о п и с а н н ы е в п о д р а з д е л е « П р и м е н е н и е ш а б л о н о в безопасности к ком-

п ь ю т е р у » .

ПРЕДУПРЕЖДЕНИЕ Применение и экспорт изменений базы данных

При модификации значения параметра политики в оснастке Анализ и настройка бе-

зопасности (Security Configuration And Analysis) изменяются только значения в базе

данных, а не реальные параметры компьютера. Чтобы изменения вступили в силу

на компьютере, нужно применить параметры базы данных к компьютеру с помощью

команды Настроить компьютер (Configure Computer Now) или экспортировать базу

данных в новый шаблон и применить его к компьютеру с помощью объекта GPO

или команды Seced.it.exe (описанной в подразделе «Утилита Secedit.exe>).

В ы т а к ж е м о ж е т е н а п р я м у ю м о д и ф и ц и р о в а т ь п а р а м е т р ы б е з о п а с н о с т и

К о м п ь ю т е р а с п о м о щ ь ю к о н с о л и Л о к а л ь н а я п о л и т и к а б е з о п а с н о с т и (Local

Security P o l i c e ) , м о д и ф и ц и р у я с о о т в е т с т в у ю щ и й объект групповой п о л и т и к и

Или в р у ч н у ю м а н и п у л и р у я р а з р е ш е н и я м и ф а й л о в о й системы и реестра. После

Того к а к вы в н е с е т е и з м е н е н и я , в н о в ь о т к р о й т е оснастку Анализ и настройка

'312 Параметры групповой политики

Глава 7

безопасности (Security Configuration And Analysis) и в ы п о л н и т е команду Ана-

лизировать компьютер (Analyze Computer Now), чтобы обновить сравнитель-

ный анализ параметров компьютера с настройками в базе данных.

Создание шаблона безопасности

Новый шаблон безопасности можно создать из базы данных, щ е л к н у в правой

кнопкой мыши узел Анализ и настройка безопасности (Security Configuration

And Analysis) и выполнив команду Экспорт шаблона ( E x p o r t Template), ко-

торый будет содержать параметры базы данных, и м п о р т и р о в а н н ы е из одного

или нескольких шаблонов безопасности и м о д и ф и ц и р о в а н н ы е в соответствии

с текущими параметрами анализируемого компьютера.

ВНИМАНИЕ! Экспорт базы данных в шаблон

При выполнении команды Экспорт шаблона (Export Template) создается новый

шаблон на основе текущих параметров базы данных, а не текущих параметров ком-

пьютера.

Утилита Secedit.exe

Утилита командной строки Secedit.exe, как правило, в ы п о л н я е т те же функции,

что и оснастка Анализ и настройка безопасности ( S e c u r i t y Configuration And

Analysis). Преимущество Secedit.exe состоит в том, что ее м о ж н о в ы п о л н и т ь

в сценариях и командных файлах, а это позволяет а в т о м а т и з и р о в а т ь развер-

тывание шаблонов безопасности. Кроме того, с п о м о щ ь ю у т и л и т ы Secedit.exe

к компьютеру можно применить только часть шаблона, чего н е л ь з я сделать

с помощью оснастки Анализ и настройка безопасности (Security Configuration

And Analysis) или объектов групповой п о л и т и к и . Н а п р и м е р , т о л ь к о данная

утилита обеспечивает способ применения л и ш ь разрешений ф а й л о в о й системы

из шаблона без остальных параметров.

Утилита Secedit.exe запускается в окне командной строки с одним из шести

основных параметров и с дополнительными параметрами для каждой функции.

• Configure Все параметры базы данных или какая-то их часть применяются

к локальному компьютеру. Программу также можно отконфигурировать для

импорта шаблона безопасности в указанную базу данных, а потом приме-

нить параметры базы данных к компьютеру.

1 Analyze Выполняется сравнение текущих параметров безопасности ком-

пьютера с параметрами в базе данных. Прежде чем произвести анализ, про-

грамму можно отконфигурировать так, чтобы обеспечить импорт шаблона

безопасности в базу данных. Сохраненные в базе данных результаты анализа

можно просмотреть с помощью оснастки Анализ и настройка безопасности

(Security Configuration And Analysis).

• Import Весь шаблон безопасности или его часть импортируется в конк-

ретную базу данных.

• Export Весь шаблон или часть параметров из базы данных экспортируется

в новый шаблон безопасности.

- Занятие 2

Управление параметрами безопасности 3Q7

V a l i d a t e В ы п о л н я е т с я п р о в е р к а к о р р е к т н о с т и в н у т р е н н е г о с и н т а к с и с а ,

. и с п о л ь з у е м о г о в ш а б л о н е б е з о п а с н о с т и .

• G e n e r a t e r o l l b a c k С о з д а е т с я ш а б л о н безопасности, к о т о р ы й и с п о л ь з у е т с я

д л я в о с с т а н о в л е н и я и с х о д н о й к о н ф и г у р а ц и и с и с т е м ы после п р и м е н е н и я

е щ е о д н о г о ш а б л о н а .

Н а п р и м е р , ч т о б ы н а с т р о и т ь м а ш и н у с п о м о щ ь ю ш а б л о н а BaselineSecurity,

и с п о л ь з у е т с я т а к а я к о м а н д а :

secedit. /configure /db BaselineSecurity.sdb

/cfg BaselineSecurity.inf / l o g BaselineSecurity.log

А ч т о б ы с о з д а т ь ш а б л о н о т к а т а д л я ш а б л о н а BaselineSecurity, п р и м е н я е т с я

к о м а н д а :

secedit /generaterollback / c f g BaselineSecurity.inf

/rbk BaselineSecurityRollback.inf

/log BaselineSecurityRollback.log

К СВЕДЕНИЮ Утилита Secedit.exe

Полное описание у т и л и т ы Secedit.exe и ее переключателей содержится по адре-

су http://technet2.microsoft.com/windowsserver/en/library/b1007de8-a11a-4d88-9370-

25e2445605871033.mspx?mfr-true.

Мастер настройки безопасности

М а с т е р н а с т р о й к и б е з о п а с н о с т и ( S e c u r i t y C o n f i g u r a t i o n W i z a r d ) п о в ы ш а е т

у р о в е н ь б е з о п а с н о с т и с е р в е р а , п о с к о л ь к у з а к р ы в а е т п о р т ы и отключает служ-

бы, н е н у ж н ы е д л я р о л е й с е р в е р а . Е г о м о ж н о з а п у с т и т ь и з д о м а ш н е й страницы

Д и с п е т ч е р а с е р в е р а ( S e r v e r M a n a g e r ) в с е к ц и и С в е д е н и я системы безопасности

( S e c u r i t y I n f o r m a t i o n ) и л и и з п а п к и А д м и н и с т р и р о в а н и е (Administrative Tools).

С у щ е с т в у е т т а к ж е с о о т в е т с т в у ю щ а я у т и л и т а к о м а н д н о й с т р о к и scwcmd.exe,

с п р а в к у о к о т о р о й м о ж н о п о л у ч и т ь , в ы п о л н и в к о м а н д у scwcmd.exe /?, и л и по

адресу http://technet2.microsoft.com/windowsserver2008/en/library/a222cb38-db08-

4bf1-b9cf-6ec566c239e91033.mspx?mfr=true.

М а с т е р н а с т р о й к и б е з о п а с н о с т и ( S e c u r i t y C o n f i g u r a t i o n Wizard) – инстру-

мент у п р а в л е н и я с л е д у ю щ е г о п о к о л е н и я . О н р а с п о л а г а е т б о л е е . о б ш и р н ы -

ми в о з м о ж н о с т я м и , ч е м о с н а с т к а А н а л и з и н а с т р о й к а безопасности (Security

C o n f i g u r a t i o n A n d A n a l y s i s ) , и о с н о в а н на р о л я х в с о о т в е т с т в и и с конфигура-

ц и е й W i n d o w s S e r v e r 2 0 0 8 . М а с т е р н а с т р о й к и б е з о п а с н о с т и создает политику

б е з о п а с н о с т и в в и д е ф а й л а .xml, к о т о р а я к о н ф и г у р и р у е т с л у ж б ы и сетевую бе-

зопасность, в к л ю ч а я п р а в и л а б р а н д м а у э р а , з н а ч е н и я реестра, п о л и т и к у аудита