
Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 31 (всего у книги 91 страниц)
нескольких системах. На этом занятии мы обсудим эти м е х а н и з м ы и их вза-
имодействие.
Изучив материал этого занятия, вы сможете:
S Конфигурировать параметры безопасности на компьютере с помощью ло-
кальной политики безопасности.
S Создавать и применять шаблоны безопасности для управления конфигура-
цией безопасности.
S Анализировать конфигурацию безопасности на основе шаблонов безопас-
ности.
S Создавать, редактировать и применять политики безопасности с помощью
мастера настройки безопасности.
«
У Развертывать конфигурацию безопасности с помощью групповой политики.
Продолжительность занятия —• около 60 мин.
Настройка локальной политики безопасности
Каждый сервер Windows Server 2008 поддерживает набор параметров безо-
пасности, которыми можно управлять с помощью локального объекта GPO.
Локальный объект групповой политики конфигурируется с помощью оснастки
Редактор объектов групповой политики ( G r o u p Policy Object Editor) в консоли
Локальная политика безопасности (Local Security Policy). Доступные категории
параметров политики показаны на рис. 7-5.
На этом занятии мы рассмотрим механизмы настройки и управления па-
раметрами безопасности, а не сами параметры. Многие из этих параметров,
– Занятие 2
Управление параметрами безопасности 3Q7
включая п о л и т и к и учетных записей, политику аудита и назначение прав поль-
зователей, о п и с а н ы в других главах данного руководства.
Кеислт. Действие Эйд Сгрев"Д Щ
и й 1 . . . Щ .
Пэдвжтр* 5«.мпасности
Ш
Ш ' Ш Ш Ш 'С
£ ПОЛ'ТЛЛ учет-to. w»:eй
;в,По<*гтикиучет<>о1 загъкей П
. 4 Политика rupareii
: ^Локаль»чл(»огитич– П
.' Попока Блокдевки учетнсЛ ипио'
bMnCHSyipWfTdOKiepe»)... Б
Й
j Полет диспетчера mo... И
•V: ; ij По/итила аудита
Ж '.щ Назначение гож пользователя
л Полит,** ограпг-егмогоне...
Плр»*трь, бгюглзости
ЗЛПо»»»т>«о1 jp-безопасности н... А
В Ь{>аидпа»зр Windows в реж.*« повмьетой безопасности
й tit Браидиаухз VVMDTW» в режиие NCEO«UE>^AI беэопаооои • Объект лскаланои групповой ПОЛИТУЖИ
9Ц ГЧиекла для iKxoAwiero палк/*эчмв>
J^i Правила 6exr*ib»mi подключения
Полит,toi диспетчера амсха сетей
• S iiJ rto/vaiv-л открытого клоча
Шифрующая фа'-лоеая система (JFS)
: j! Поптмо* стрм»Ж1«юго хгк>г».;эсг»»'а протрет
® J Пелитла» 1Р<е*юао«ссти па "Лс*алы*»й ьспыотер'
Рис. 7-5. Параметры безопасности в локальном объекте групповой политики
Поскольку к о н т р о л л е р ы доменов содержат лишь доменные учетные записи
н не содержат л о к а л ь н ы е учетные записи пользователей, вместо политик в кон-
тейнере П о л и т и к и у ч е т н ы х записей (Account Policies) в локальном объекте
GPO на к о н т р о л л е р а х доменов следует конфигурировать политики учетных
записей домена в объекте G P O , привязанном к домену (например, в объекте
Default D o m a i n Policy). П о л и т и к и учетных записей описаны на первом заня-
тии в главе 8.
П а р а м е т р ы в л о к а л ь н ы х п о л и т и к а х Параметры безопасности (Security
Settings) п р е д с т а в л я ю т собой поднабор политик, которые можно конфигури-
ровать с п о м о щ ь ю групповой политики домена (рис. 7-6).
ц щ в е
н ш в щ ш
Kttro^ д
тУтвие Ьс,
р з . Й г т . у
& Параметры
Параметр 6
«
6 о
« п
о (
п»
( 1
» «
1 >
« с
> т
с 1
т ч
1
• • • ш н и ш ч м р м
Поп«ту*и
Поп«ту* учетных
учетны за
з п
а и
п с
и е
с й
е
В
м
В
К
S Попгпка п*х>леи
Чтобы просхогоеть on «сам
<§3 Пегогик» учетной игмеи
Пожт.«а КегЬего»
^ Полл **л аудита
.jj Параметры безопасности
J; Ж я>«ал событии
Груттц с огра<»*ю iu< доступои
. (j, Спет е*««е службы
ы ^о™"»*»' проводной сети (ЕЕ SC2.3)
(5 С] Ерандкауар WocSo*» в ре we поевкаетой бекпасности
й #Ьс^наррЛ«к1о*»вреж1»«поам1*»^6е»оп»сности 1ГМ^:/,<сп-(ЗиУЭ«-0160-1!С2-9;>
О Правила для входящих подклс-oki
IJJ Пра»чда для исходяыего подключения
Праама безопасности ГЮДКЛОФЫЯ
i .'i Полтжи диспетчера л е ч сетей
>4. ^олгтуки бесгоеводкм спи (IfFf 902.1 Ij
ffi ; П о п т к и открытого ключ*
Ш ftonm« ограичешуо «тюль «сван.» rvorpa**'
ЯВ UJ Neb-ark Access Protection —'
3 noi»m«i Г « к о * н Ю 4 na "Служб» каталогов Лсп.е Oectc<* (cwnoeo.ton;"
QoS на основе палпюм
Ки*тстрагншгыс шаблоны; огре^едеяня пзлтгнк {ADMX-файлы) ровучмы с локаленого кссьотера.
Рис– 7-6. Параметры безопасности в объекте групповой политики домена
' 3 0 6 Параметры групповой политики
Глава 7
Конфигурацией лучше всего у п р а в л я т ь с п о м о ш ы о г р у п п о в о й п о л и т и к и до-
мена, а не путем настройки л о к а л ь н о й г р у п п о в о й п о л и т и к и на к а ж д о й м а ш и н е ;
это относится и к к о н т р о л л е р а м д о м е н а . О б ъ е к т г р у п п о в о й п о л и т и к и D e f a u l t
Domain Controllers Policy с о з д а е т с я п р и п о в ы ш е н и и р а н г а с е р в е р а д о п е р в о г о
контроллера в домене. Э т о т о б ъ е к т с в я з ы в а е т с я с п о д р а з д е л е н и е м D o m a i n
Controllers и д о л ж е н и с п о л ь з о в а т ь с я д л я у п р а в л е н и я о с н о в н ы м и п а р а м е т р а м и
безопасности всех к о н т р о л л е р о в в д о м е н е с ц е л ы о с о г л а с о в а н н о й н а с т р о й к и .
Управление конфигурацией безопасности
с помощью шаблонов безопасности
Вторым механизмом у п р а в л е н и я к о н ф и г у р а ц и е й б е з о п а с н о с т и я в л я е т с я ш а б -
лон безопасности – набор п а р а м е т р о в к о н ф и г у р а ц и и , с о х р а н е н н ы й к а к т е к с -
товый ф а й л с р а с ш и р е н и е м .inf. К а к п о к а з а н о на рис. 7-7, ш а б л о н б е з о п а с н о с т и
содержит поднабор параметров, д о с т у п н ы х в о б ъ е к т е G P O д о м е н а , к о т о р ы е
несколько отличаются о т параметров, у п р а в л я е м ы х л о к а л ь н ы м о б ъ е к т о м G P O .
Инструменты, и с п о л ь з у е м ы е д л я у п р а в л е н и я ш а б л о н а м и б е з о п а с н о с т и , ото-
бражают эти параметры в и н т е р ф е й с е , где к о н ф и г у р а ц и ю б е з о п а с н о с т и м о ж н о
сохранить в качестве ф а й л о в и р а з в е р т ы в а т ь п р и н е о б х о д и м о с т и . С п о м о щ ь ю
шаблона безопасности т а к ж е м о ж н о а н а л и з и р о в а т ь с о о т в е т с т в и е т е к у щ е й к о н -
фигурации к о м п ь ю т е р а т р е б о в а н и я м о р г а н и з а ц и и .
– l a l x i
Рис. 7-7. Параметры безопасности в шаблоне безопасности
Хранение к о н ф и г у р а ц и и б е з о п а с н о с т и в ш а б л о н а х б е з о п а с н о с т и обеспе-
чивает несколько п р е и м у щ е с т в . Н а п р и м е р , п о с к о л ь к у э т и ш а б л о н ы представ-
ляют собой о т к р ы т ы е т е к с т о в ы е ф а й л ы , с н и м и м о ж н о р а б о т а т ь в р у ч н у ю , как
и с любым текстовым ф а й л о м , п р и н е о б х о д и м о с т и в ы р е з а я и в с т а в л я я секции.
Кроме того, ш а б л о н ы у п р о щ а ю т х р а н е н и е р а з л и ч н ы х т и п о в к о н ф и г у р а ц и и
безопасности д л я п р и м е н е н и я р а з н ы х у р о в н е й б е з о п а с н о с т и к к о м п ь ю т е р а м ,
в ы п о л н я ю щ и х р а з л и ч н ы е р о л и .
Далее о п и с а н ы т и п ы п о л и т и к и и п а р а м е т р о в , к о т о р ы е м о ж н о к о н ф и г у р и -
ровать с п о м о щ ь ю ш а б л о н о в б е з о п а с н о с т и .
• Политики у ч е т н ы х з а п и с е й ( A c c o u n t P o l i c i e s ) Н а з н а ч а ю т с я ограничения
паролей, п о л и т и к и б л о к и р о в к и у ч е т н ы х з а п и с е й и п о л и т и к и Kerberos.
• Л о к а л ь н ы е политики ( L o c a l P o l i c i e s ) К о н ф и г у р и р у ю т с я п о л и т и к и ауди-
та, назначения п р а в п о л ь з о в а т е л е й и п о л и т и к и б е з о п а с н о с т и . г-'
– Занятие 2
Управление параметрами безопасности 3 Q 7
• П о л и т и к и ж у р н а л о в с о б ы т и й ( E v e n t L o g P o l i c i e s ) К о н ф и г у р и р у е т с я
м а к с и м а л ь н ы й р а з м е р ж у р н а л о в с о б ы т и й и п о л и т и к и создания новых фай-
• л о в ж у р н а л о в . • . . . . . .
• Г р у п п ы с о г р а н и ч е н н ы м д б с т у п о м ( R e s t r i c t e d G r o u p s ) П о л ь з о в а т е л и
в к л ю ч а ю т с я в к о н к р е т н ы е г р у п п ы .
• С и с т е м н ы е с л у ж б ы ( S y s t e m S e r v i c e s ) О п р е д е л я ю т с я типы запуска й раз-
р е ш е н и я д о с т у п а д л я с и с т е м н ы х с л у ж б .
• Р е е с т р ( R e g i s t r y ) З а д а ю т с я р а з р е ш е н и я к о н т р о л я доступа к конкретным
к л ю ч а м р е е с т р а .
• Ф а й л о в а я с и с т е м а ( F i l e S y s t e m ) О п р е д е л я ю т с я р а з р е ш е н и я контроля
д о с т у п а д л я ф а й л о в и п а п о к N T F S .
С у щ е с т в у е т м н о ж е с т в о с п о с о б о в р а з в е р т ы в а н и я шаблонов безопасности
с п о м о щ ь ю о б ъ е к т о в г р у п п о в о й п о л и т и к и A c t i v e Directory, оснастки Анализ и
н а с т р о й к а б е з о п а с н о с т и ( S e c u r i t y C o n f i g u r a t i o n a n d Analysis), а также утилиты
Secedit.exe. П р и с в я з ы в а н и и ш а б л о н а б е з о п а с н о с т и с о б ъ е к т о м Active Directory
п а р а м е т р ы в ш а б л о н е в к л ю ч а ю т с я в о б ъ е к т G P O , с в я з а н н ы й с объектом в Active
Directory. Ш а б л о н б е з о п а с н о с т и т а к ж е м о ж н о п р и м е н и т ь непосредственно к
к о м п ь ю т е р у – в э т о м с л у ч а е п а р а м е т р ы в ш а б л о н е будут включены в локальные
п о л и т и к и к о м п ь ю т е р а . Н а э т о м з а н я т и и м ы р а с с м о т р и м все э т и способы.
Оснастка шаблонов безопасности
Д л я р а б о т ы с ш а б л о н а м и б е з о п а с н о с т и и с п о л ь з у е т с я оснастка Ш а б л о н ы безо-
пасности ( S e c u r i t y T e m p l a t e s ) . По у м о л ч а н и ю в W i n d o w s Server 2008 не вклю-
чена к о н с о л ь с э т о й о с н а с т к о й , т а к ч т о ее н у ж н о с о з д а т ь в р у ч н у ю с помощью
к о м а н д ы Д о б а в и т ь и л и у д а л и т ь о с н а с т к у ( A d d / R e m o v e S n a p – i n ) в консоли
М М С . Эта о с н а с т к а с о з д а е т в п а п к е D o c u m e n t s п а п к у S e c u r i t y с подпапкой
Templates, а п а п к а D o c u m e n t s S e c u r i t y T e m p l a t e s с т а н о в и т с я размещением,
где м о ж н о х р а н и т ь о д и н и л и н е с к о л ь к о ш а б л о н о в безопасности.
Ч т о б ы с о з д а т ь н о в ы й ш а б л о н б е з о п а с н о с т и , щ е л к н и т е правой кнопкой
м ы ш и у з е л , п р е д с т а в л я ю щ и й п у т ь п о и с к а ш а б л о н а ( н а п р и м е р , C : U s e r s
D o c u m e n t s A f l M H H H C T p a T o p S e c u r i t y T e m p l a t e s ) и в ы п о л н и т е команду Создать
шаблон ( N e w T e m p l a t e ) . В ы м о ж е т е с о з д а т ь ш а б л о н с т е к у щ е й конфигурацией
сервера, к а к о п и с а н о в п о д р а з д е л е « С о з д а н и е ш а б л о н а безопасности».
П а р а м е т р ы к о н ф и г у р и р у ю т с я в ш а б л о н е т о ч н о т а к и м ж е образом, как
и п а р а м е т р ы в о б ъ е к т е G P O . Д л я н а с т р о й к и п а р а м е т р о в в шаблоне безопас-
ности и с п о л ь з у е т с я о с н а с т к а Ш а б л о н ы б е з о п а с н о с т и ( S e c u r i t y Templates).
Она п р е д с т а в л я е т с о б о й л и ш ь р е д а к т о р и н е и г р а е т н и к а к о й р о л и при реаль-
ном п р и м е н е н и и э т и х п а р а м е т р о в в с и с т е м е . О т к о н ф и г у р и р у й т е параметры
безопасности в ш а б л о н е с п о м о щ ь ю о с н а с т к и Ш а б л о н ы безопасности. Хотя
сам по себе ш а б л о н – э т о т е к с т о в ы й ф а й л , его с и н т а к с и с д о в о л ь н о сложный.
И с п о л ь з о в а н и е о с н а с т к и г а р а н т и р у е т и з м е н е н и е п а р а м е т р о в с применением
корректного с и н т а к с и с а . И с к л ю ч е н и е м и з этого п р а в и л а я в л я е т с я добавление
параметров реестра, к о т о р ы е е щ е не п е р е ч и с л е н ы в с е к ц и и ш а б л о н а Локаль-
ные п о л и т и к и П а р а м е т р ы б е з о п а с н о с т и ( L o c a l P o l i c i e s S e c u r i t y Options). Как
только станут и з в е с т н ы м и н о в ы е п а р а м е т р ы б е з о п а с н о с т и , к о н ф и г у р и р у е м ы е
308 Параметры групповой политики
с помощью ключа реестра, их можно добавить в шаблон безопасности. Для
этого добавьте их в секцию Значение реестра (Registry Values) шаблона.
К СВЕДЕНИЮ Добавление настраиваемых параметров реестра
В статье «How to Add Custom Registry Settings to Security Configuration Editor» no
адресу http://support.microsoft.com/9kbid~214752 описано, как выполнять1ту задачу.
ПРИМЕЧАНИЕ Сохранение параметров
Для сохранения параметров в шаблоне безопасности щелкните шаблон правой кноп-
кой мыши и выполните команду Сохранить (Save).
При установке сервера или повышении его ранга до контроллера домена
система Windows применяет шаблон безопасности по умолчанию. Этот шаблон
находится в папке %SystemRoot%SecurityTemplates. На контроллере домена
этот шаблон имеет имя DC security.inf. Данный шаблон нельзя модифицировать
напрямую, однако его можно скопировать по пути поиска шаблонов и моди-
фицировать копию.
ПРИМЕЧАНИЕ Шаблоны безопасности в Windows Server 2008
и предыдущих версиях Windows
В предыдущих версиях Windows можно было модифицировать и применять к ком-
пьютеру множество шаблонов. Новая конфигурация Windows Server 2008 на основе
ролей и улучшенный Диспетчер настройки безопасности (Security Configuration
Manager) исключили необходимость в этих шаблонах.
Развертывание шаблонов безопасности
с помощью объектов групповой политики
Создание и модификация шаблонов безопасности не способствуют повыше-
нию уровня безопасности, если эти шаблоны не применяются. Д л я того что-
бы отконфигурировать множество компьютеров в о д н о й операции, шаблон
безопасности можно импортировать в объект групповой политики домена,
сайта или подразделения в Active Directory. А чтобы импортировать шаблон
безопасности в объект GPO, щелкните правой кнопкой мыши узел Парамет-
ры безопасности (Security Settings) и выполните команду Импорт политики
(Import Policy). Если в диалоговом окне Импорт политики из (Import Policy
From) установить флажок Очистить эту базу данных перед импортом (Clear
This Database Before Importing), все параметры безопасности в этом объекте
GPO будут удалены перед импортом параметров шаблона, в результате чего
параметры безопасности GPO будут точно соответствовать параметрам шабло-
на. Если не устанавливать этот флажок, параметры политики G P O останутся
и будут импортированы параметры шаблона. Все параметры, определенный
в GPO и в шаблоне, будут заменены параметрами шаблона.
- Занятие 2
Управление параметрами безопасности 3Q7
Инструмент Анализ и настройка безопасности
Для интерактивного использования шаблона безопасности к компьютеру при-
меняется оснастка Анализ и настройка безопасности (Security Configuration
And Analysis), которая также позволяет анализировать текущую конфигурацию
безопасности системы и сравнивать ее с базовыми настройками, сохраненными
в шаблоне безопасности. Таким образом вы можете быстро определить изме-
нения параметров б е з о п а с н о с т и компьютера пользователями и соответствие
системы политикам безопасности организации.
В Windows Server 2 0 0 8 оснастка Алализ и настройка безопасности (Security
Configuration And Analysis), как и оснастка Шаблоны безопасности (Security
Templates), по у м о л ч а н и ю не включена, так что ее нужно вручную добавить
в консоль.
Для того ч т о б ы п р и м е н и т ь оснастку Анализ и настройка безопасности
(Security Configuration A n d Analysis), вначале нужно создать базу данных, ко-
торая будет содержать коллекцию параметров безопасности. Эта база данных
является интерфейсом м е ж д у реальными параметрами безопасности компью-
тера и параметрами, которые хранятся в шаблонах безопасности. Создайте
базу данных (или откройте существующую), щелкнув правой кнопкой мыши
узел Анализ и настройка безопасности (Security Configuration And Analysis)
в дереве консоли и п р и м е н и в соответствующую команду.
После этого вы м о ж е т е импортировать один или несколько шаблонов
безопасности. При и м п о р т е нескольких шаблонов нужно принять решение
относительно очистки базы данных. Если база данных очищена, она будет
содержать только параметры нового шаблона, если же нет, дополнительные
определяемые параметры б у д у т заменять параметры ранее импортированных
шаблонов. В случае если параметры в новом импортированном шаблоне не
определены, в базе данных останутся параметры из ранее импортированных
шаблонов. Таким образом, оснастка Анализ и настройка безопасности (Security
Configuration And Analysis) создает базу данных параметров безопасности, со-
держащую параметры импортированных шаблонов безопасности. Параметры
в базе данных м о ж н о применять к компьютеру или использовать для анализа
соответствия компьютера требованиям безопасности.
ВНИМАНИЕ! Параметры базы данных и параметры компьютера
Помните, что параметры в базе данных не модифицируют параметры компьютера или
параметры в шаблоне, пока эта база данных не будет использована для настройки
компьютера или экспортирована в шаблон.
Применение шаблонов безопасности к компьютеру
После импорта одного или нескольких шаблонов для создания базы данных
параметры последней можно применить к компьютеру. Щелкните правой кноп-
кой мыши узел Анализ И настройка безопасности (Security Configuration And
' 310 Параметры групповой политики
Глава 7
Analysis) и выполните команду Настроить компьютер ( C o n f i g u r e C o m p u t e r
Now). Укажите путь к журналу ошибок, которые будут генерироваться во вре-
мя применения параметров. После применения параметров проанализируйте
журнал ошибок и зафиксируйте все неполадки.
Контрольный вопрос
• Опишите процедуру применения шаблона безопасности к компьютеру.
Ответ на контрольный вопрос
• С помощью оснастки Анализ и настройка безопасности (Security Configuration
And Analysis) создать базу данных. Затем импортировать шаблон и с помо-
щью этой базы данных отконфигурировать компьютер.
Анализ конфигурации безопасности к о м п ь ю т е р а
Прежде чем применить параметры базы данных к компьютеру, проанализи-
руйте текущую конфигурацию компьютера, чтобы определить о т л и ч и я . Щел-
кните правой кнопкой мыши узел Анализ и настройка безопасности (Security
Configuration And Analysis) и выполните команду Анализ компьютера (Analyze
Computer Now). Далее укажите месторасположение ф а й л а ж у р н а л а ошибок,
после чего текущие параметры компьютера будут сравниваться с параметрами
в базе данных. После окончании анализа консоль генерирует отчет (рис. 7-8).
Консоль! – [Корень консоялАиалнз а настройка
-«iaJjsJ
Консшь Действие Вид Избранное
i-JjSJxj!
Корень консоли
Политика
' Т п а р а и е г р б а з ы да .. j П а р ^ Г – Л
; м} Анализ и настройка безопасности
Изненение параметров среды и... Не определено
АДГ-HHl-
ffi ~j§ Политики учетных записей
. Изменение системного времегя
Не определено
А д м м
9 Локаль»«е полк<тики
• Изменение часового пояса
Не определено
Админ!
a Jj Погитика аудита
Имитация клиента после прове... Не определено
СЛУЖБ
Я ц| Назначение нова пользователя
©Локальный вход в систему
Администраторы
Опера 1
ffi .jj Паранетры безопасности
Настройка квот памяти для про... Не определено
Адм*«-
ffi Jj Журнал событии
Не определено
{£ .. Гругпы с ограниченным доступом
Обход перекрестной проверки
Операг
£ jj Сметенные сл ужбы
.. .Отказать в доступе кэтому ко... Не определено
ffi % Реестр
.... Отказать во входе в качестве ... Не определено
S; 4 Файловая систена
Отказать во входе в качестве ... Не определено
. ,
Не определено
s Отключение компьютера от ст...
Адшмк
.,.;,• Отладка программ
Не определено
АДМИН1
Принудительное удаленное зав... Не определено
Адими>
. , Профилирование одного процесса Не определено
Аднинг"*
. Профнжрование производите л... Не определено
Ajjrt'iHi-
Работа в реж»*)е операционной ... Не определено
. . Разрешать вход в систему мере... Не определено
, Разрешение доверия к учетным... Не определено
("г^ХОПМИХЛ!1ИО ялммых rnv*6w... Hp ОППРЛРПРНП
л)
Jf
Рис. 7-8. Оснастка Анализ и настройка безопасности отображает анализ текущей
конфигурации компьютера
В отличие от отображения параметров политики в Редакторе управления
групповой политикой (Group Policy Management Editor), Редакторе объектов
– Занятие 2
Управление параметрами безопасности 3Q7
г р у п п о в о й п о л и т и к и ( G r o u p P o l i c y O b j e c t E d i t o r ) , о с н а с т к а х Л о к а л ь н а я п о л и -
т и к а б е з о п а с н о с т и ( L o c a l S e c u r i t y P o l i c y ) и Ш а б л о н ы б е з о п а с н о с т и ( S e c u r i t y
T e m p l a t e s ) э т о т о т ч е т о т о б р а ж а е т к а ж д ы й п а р а м е т р п о л и т и к и , о п р е д е л е н н ы й в
базе д а н н ы х ( к о т о р а я б ы л а в ы в е д е н а и з и м п о р т и р о в а н н ы х ш а б л о н о в ) , и теку-
щ и й п а р а м е т р п о л и т и к и . Д в а п а р а м е т р а с р а в н и в а ю т с я , а результат отображает-
с я в в и д е ф л а ж к а н а з н а ч к е п о л и т и к и . Н а п р и м е р , н а р и с . 7 – 8 у к а з а н а р а з н и ц а
м е ж д у п а р а м е т р о м Л о к а л ь н ы й в х о д в с и с т е м у ( A l l o w L o g On Locally) в базе
д а н н ы х и т е к у щ е й к о н ф и г у р а ц и и к о м п ь ю т е р а . Д а л е е о п и с а н ы и с п о л ь з у е м ы е
ф л а ж к и .
• К р е с т и к в к р а с н о м к р у ж к е П о л и т и к а о п р е д е л е н а в базе д а н н ы х и на
к о м п ь ю т е р е , о д н а к о о т к о н ф и г у р и р о в а н н ы е з н а ч е н и я н е совпадают.
• З е л е н а я г а л о ч к а в б е л о м к р у ж к е П о л и т и к а о п р е д е л е н а в базе д а н н ы х
и на к о м п ь ю т е р е , о т к о н ф и г у р и р о в а н н ы е з н а ч е н и я совпадают.
• З н а к в о п р о с а в б е л о м к р у ж к е П о л и т и к а н е о п р е д е л е н а в базе д а н н ы х
и п о э т о м у н е п р о а н а л и з и р о в а н а , л и б о п о л ь з о в а т е л ь , з а п у с т и в ш и й анализ,
н е и м е е т п р а в д о с т у п а к п о л и т и к е н а к о м п ь ю т е р е .
• В о с к л и ц а т е л ь н ы й з н а к в б е л о м к р у ж к е П о л и т и к а определена в базе дан-
н ы х , о д н а к о н е с у щ е с т в у е т н а к о м п ь ю т е р е .
• Н е т ф л а ж к а У к а з ы в а е т , ч т о п о л и т и к а н е определена в базе д а н н ы х и л и
н а к о м п ь ю т е р е .
К о р р е к т и р о в а н и е о т л и ч и й п а р а м е т р о в б е з о п а с н о с т и
Е с л и п р и а н а л и з е э л е м е н т о в б а з ы д а н н ы х и с р а в н е н и и ее п а р а м е т р о в с па-
р а м е т р а м и к о м п ь ю т е р а б у д у т о б н а р у ж е н ы о т л и ч и я , т о н е о б х о д и м о внести
и з м е н е н и я в к о н ф и г у р а ц и ю к о м п ь ю т е р а и л и б а з ы д а н н ы х . Д в а ж д ы щ е л к н и т е
л ю б у ю п о л и т и к у , ч т о б ы о т о б р а з и т ь е е д и а л о г о в о е окно С в о й с т в а ( P r o p e r t i e s )
и м о д и ф и ц и р о в а т ь ее п а р а м е т р в б а з е д а н н ы х . П о с л е того к а к вы внесете из-
м е н е н и я , п а р а м е т р ы б а з ы д а н н ы х м о ж н о п р и м е н и т ь к компьютеру, в ы п о л н и в
шаги, о п и с а н н ы е в п о д р а з д е л е « П р и м е н е н и е ш а б л о н о в безопасности к ком-
п ь ю т е р у » .
ПРЕДУПРЕЖДЕНИЕ Применение и экспорт изменений базы данных
При модификации значения параметра политики в оснастке Анализ и настройка бе-
зопасности (Security Configuration And Analysis) изменяются только значения в базе
данных, а не реальные параметры компьютера. Чтобы изменения вступили в силу
на компьютере, нужно применить параметры базы данных к компьютеру с помощью
команды Настроить компьютер (Configure Computer Now) или экспортировать базу
данных в новый шаблон и применить его к компьютеру с помощью объекта GPO
или команды Seced.it.exe (описанной в подразделе «Утилита Secedit.exe>).
В ы т а к ж е м о ж е т е н а п р я м у ю м о д и ф и ц и р о в а т ь п а р а м е т р ы б е з о п а с н о с т и
К о м п ь ю т е р а с п о м о щ ь ю к о н с о л и Л о к а л ь н а я п о л и т и к а б е з о п а с н о с т и (Local
Security P o l i c e ) , м о д и ф и ц и р у я с о о т в е т с т в у ю щ и й объект групповой п о л и т и к и
Или в р у ч н у ю м а н и п у л и р у я р а з р е ш е н и я м и ф а й л о в о й системы и реестра. После
Того к а к вы в н е с е т е и з м е н е н и я , в н о в ь о т к р о й т е оснастку Анализ и настройка
'312 Параметры групповой политики
Глава 7
безопасности (Security Configuration And Analysis) и в ы п о л н и т е команду Ана-
лизировать компьютер (Analyze Computer Now), чтобы обновить сравнитель-
ный анализ параметров компьютера с настройками в базе данных.
Создание шаблона безопасности
Новый шаблон безопасности можно создать из базы данных, щ е л к н у в правой
кнопкой мыши узел Анализ и настройка безопасности (Security Configuration
And Analysis) и выполнив команду Экспорт шаблона ( E x p o r t Template), ко-
торый будет содержать параметры базы данных, и м п о р т и р о в а н н ы е из одного
или нескольких шаблонов безопасности и м о д и ф и ц и р о в а н н ы е в соответствии
с текущими параметрами анализируемого компьютера.
ВНИМАНИЕ! Экспорт базы данных в шаблон
При выполнении команды Экспорт шаблона (Export Template) создается новый
шаблон на основе текущих параметров базы данных, а не текущих параметров ком-
пьютера.
Утилита Secedit.exe
Утилита командной строки Secedit.exe, как правило, в ы п о л н я е т те же функции,
что и оснастка Анализ и настройка безопасности ( S e c u r i t y Configuration And
Analysis). Преимущество Secedit.exe состоит в том, что ее м о ж н о в ы п о л н и т ь
в сценариях и командных файлах, а это позволяет а в т о м а т и з и р о в а т ь развер-
тывание шаблонов безопасности. Кроме того, с п о м о щ ь ю у т и л и т ы Secedit.exe
к компьютеру можно применить только часть шаблона, чего н е л ь з я сделать
с помощью оснастки Анализ и настройка безопасности (Security Configuration
And Analysis) или объектов групповой п о л и т и к и . Н а п р и м е р , т о л ь к о данная
утилита обеспечивает способ применения л и ш ь разрешений ф а й л о в о й системы
из шаблона без остальных параметров.
Утилита Secedit.exe запускается в окне командной строки с одним из шести
основных параметров и с дополнительными параметрами для каждой функции.
• Configure Все параметры базы данных или какая-то их часть применяются
к локальному компьютеру. Программу также можно отконфигурировать для
импорта шаблона безопасности в указанную базу данных, а потом приме-
нить параметры базы данных к компьютеру.
1 Analyze Выполняется сравнение текущих параметров безопасности ком-
пьютера с параметрами в базе данных. Прежде чем произвести анализ, про-
грамму можно отконфигурировать так, чтобы обеспечить импорт шаблона
безопасности в базу данных. Сохраненные в базе данных результаты анализа
можно просмотреть с помощью оснастки Анализ и настройка безопасности
(Security Configuration And Analysis).
• Import Весь шаблон безопасности или его часть импортируется в конк-
ретную базу данных.
• Export Весь шаблон или часть параметров из базы данных экспортируется
в новый шаблон безопасности.
- Занятие 2
Управление параметрами безопасности 3Q7
V a l i d a t e В ы п о л н я е т с я п р о в е р к а к о р р е к т н о с т и в н у т р е н н е г о с и н т а к с и с а ,
. и с п о л ь з у е м о г о в ш а б л о н е б е з о п а с н о с т и .
• G e n e r a t e r o l l b a c k С о з д а е т с я ш а б л о н безопасности, к о т о р ы й и с п о л ь з у е т с я
д л я в о с с т а н о в л е н и я и с х о д н о й к о н ф и г у р а ц и и с и с т е м ы после п р и м е н е н и я
е щ е о д н о г о ш а б л о н а .
Н а п р и м е р , ч т о б ы н а с т р о и т ь м а ш и н у с п о м о щ ь ю ш а б л о н а BaselineSecurity,
и с п о л ь з у е т с я т а к а я к о м а н д а :
secedit. /configure /db BaselineSecurity.sdb
/cfg BaselineSecurity.inf / l o g BaselineSecurity.log
А ч т о б ы с о з д а т ь ш а б л о н о т к а т а д л я ш а б л о н а BaselineSecurity, п р и м е н я е т с я
к о м а н д а :
secedit /generaterollback / c f g BaselineSecurity.inf
/rbk BaselineSecurityRollback.inf
/log BaselineSecurityRollback.log
К СВЕДЕНИЮ Утилита Secedit.exe
Полное описание у т и л и т ы Secedit.exe и ее переключателей содержится по адре-
су http://technet2.microsoft.com/windowsserver/en/library/b1007de8-a11a-4d88-9370-
25e2445605871033.mspx?mfr-true.
Мастер настройки безопасности
М а с т е р н а с т р о й к и б е з о п а с н о с т и ( S e c u r i t y C o n f i g u r a t i o n W i z a r d ) п о в ы ш а е т
у р о в е н ь б е з о п а с н о с т и с е р в е р а , п о с к о л ь к у з а к р ы в а е т п о р т ы и отключает служ-
бы, н е н у ж н ы е д л я р о л е й с е р в е р а . Е г о м о ж н о з а п у с т и т ь и з д о м а ш н е й страницы
Д и с п е т ч е р а с е р в е р а ( S e r v e r M a n a g e r ) в с е к ц и и С в е д е н и я системы безопасности
( S e c u r i t y I n f o r m a t i o n ) и л и и з п а п к и А д м и н и с т р и р о в а н и е (Administrative Tools).
С у щ е с т в у е т т а к ж е с о о т в е т с т в у ю щ а я у т и л и т а к о м а н д н о й с т р о к и scwcmd.exe,
с п р а в к у о к о т о р о й м о ж н о п о л у ч и т ь , в ы п о л н и в к о м а н д у scwcmd.exe /?, и л и по
адресу http://technet2.microsoft.com/windowsserver2008/en/library/a222cb38-db08-
4bf1-b9cf-6ec566c239e91033.mspx?mfr=true.
М а с т е р н а с т р о й к и б е з о п а с н о с т и ( S e c u r i t y C o n f i g u r a t i o n Wizard) – инстру-
мент у п р а в л е н и я с л е д у ю щ е г о п о к о л е н и я . О н р а с п о л а г а е т б о л е е . о б ш и р н ы -
ми в о з м о ж н о с т я м и , ч е м о с н а с т к а А н а л и з и н а с т р о й к а безопасности (Security
C o n f i g u r a t i o n A n d A n a l y s i s ) , и о с н о в а н на р о л я х в с о о т в е т с т в и и с конфигура-
ц и е й W i n d o w s S e r v e r 2 0 0 8 . М а с т е р н а с т р о й к и б е з о п а с н о с т и создает политику
б е з о п а с н о с т и в в и д е ф а й л а .xml, к о т о р а я к о н ф и г у р и р у е т с л у ж б ы и сетевую бе-
зопасность, в к л ю ч а я п р а в и л а б р а н д м а у э р а , з н а ч е н и я реестра, п о л и т и к у аудита