Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 32 (всего у книги 91 страниц)

и другие п а р а м е т р ы на о с н о в е р о л е й сервера. Эту п о л и т и к у безопасности затем

м о ж н о м о д и ф и ц и р о в а т ь , п р и м е н и т ь к е щ е о д н о м у серверу и л и преобразовать

в о б ъ е к т G P O д л я р а з в е р т ы в а н и я в о м н о ж е с т в е систем.

С о з д а н и е п о л и т и к и б е з о п а с н о с т и

Ч т о б ы с о з д а т ь п о л и т и к у б е з о п а с н о с т и , н у ж н о з а п у с т и т ь М а с т е р настройки

б е з о п а с н о с т и ( S e c u r i t y C o n f i g u r a t i o n W i z a r d ) и з п а п к и А д м и н и с т р и р о в а н и е

' 3 1 4 Параметры групповой политики

Глава 7

(Administrative Tools) и л и с е к ц и и С в е д е н и я с и с т е м ы б е з о п а с н о с т и ( S e c u r i t y

Information) н а домашней странице Д и с п е т ч е р а с е р в е р а ( S e r v e r M a n a g e r ) . Ф а й л

справки мастера н а с т р о й к и б е з о п а с н о с т и м о ж н о о т к р ы т ь , щ е л к н у в с с ы л к у

Подробнее о мастере н а с т р о й к и б е з о п а с н о с т и ( S e c u r i t y C o n f i g u r a t i o n W i z a r d )

н а первой странице мастера. Щ е л к н и т е Д а л е е ( N e x t ) , в ы б е р и т е о п ц и ю С о з д а т ь

новую политику безопасности ( C r e a t e A N e w S e c u r i t y P o l i c y ) , з а т е м щ е л к н и т е

Далее (Next) и введите и м я с е р в е р а д л я с к а н и р о в а н и я и а н а л и з а . П о л и т и к а

безопасности будет основана н а р о л я х , в ы п о л н я е м ы х у к а з а н н ы м с е р в е р о м . Д л я

того чтобы проанализировать р о л и сервера, н у ж н ы п р и в и л е г и и а д м и н и с т р а т о -

ра. Кроме того, прежде чем з а п у с т и т ь м а с т е р н а с т р о й к и б е з о п а с н о с т и , с л е д у е т

запустить все п р и л о ж е н и я , и с п о л ь з у ю щ и е в х о д я щ и е 1 Р – п о р т ы .

Когда в ы щелкнете Д а л е е ( N e x t ) , м а с т е р н а ч н е т а н а л и з и р о в а т ь р о л и в ы -

бранного сервера. О н и с п о л ь з у е т б а з ы д а н н ы х к о н ф и г у р а ц и и б е з о п а с н о с т и ,

которая определяет с л у ж б ы и п о р т ы , н е о б х о д и м ы е д л я к а ж д о й р о л и с е р в е р а ,

поддерживаемой мастером н а с т р о й к и б е з о п а с н о с т и . Б а з а д а н н ы х к о н ф и г у р а ц и и

безопасности представляет с о б о й н а б о р ф а й л о в .xml, у с т а н о в л е н н ы х в п а п к е

% S y s t e m R o o t % S e c u r i t y M s s c w K b s .

ПРИМЕЧАНИЕ Централизация базы данных конфигурации безопасности

В среде предприятия следует централизовать базу д а н н ы х к о н ф и г у р а ц и и безопас-

ности, чтобы администраторы использовали одну базу д а н н ы х при запуске мастера

настройки безопасности. Скопируйте ф а й л ы из папки % S y s t e m R o o t % S e c u r i t y

MsscwKbs в сетевую папку, запустите мастер настройки безопасности с помощью

команды Scw.exe, используя синтаксис scw.exe /кЬ Расположение_базы_данных. На-

пример, команда scw.exe /kb \seroer01scwkb запускает мастер настройки безопас-

ности с помощью базы данных конфигурации безопасности в общей папке scwkb

на машине SERVER01.

Мастер настройки безопасности ( S e c u r i t y C o n f i g u r a t i o n W i z a r d ) и с п о л ь з у е т

базу данных к о н ф и г у р а ц и и б е з о п а с н о с т и д л я с к а н и р о в а н и я с е р в е р а и и д е н т и -

ф и к а ц и и следующих элементов:

• роли, у с т а н о в л е н н ы е на сервере;

• роли, вероятно в ы п о л н я е м ы е с е р в е р о м ;

• службы, у с т а н о в л е н н ы е на сервере, но не о п р е д е л е н н ы е в б а з е д а н н ы х к о н -

фигурации безопасности;

• IP-адреса и подсети, о т к о н ф и г у р и р о в а н н ы е д л я с е р в е р а .

Обнаруженная и н ф о р м а ц и я о с е р в е р е с о х р а н я е т с я в ф а й л е с е р в е р а M a i n .

xml. Этот ф а й л н а з ы в а е т с я базой данных конфигурации, к о т о р у ю н е л ь з я п у т а т ь

с базой данных к о н ф и г у р а ц и и безопасности, и с п о л ь з у е м о й м а с т е р о м н а с т р о й к и

безопасности д л я в ы п о л н е н и я анализа. Д л я того ч т о б ы о т о б р а з и т ь ф а й л , следу-

е т щелкнуть кнопку П р о с м о т р б а з ы д а н н ы х ( V i e w C o n f i g u r a t i o n D a t a b a s e ) н а

странице Обработка базы д а н н ы х н а с т р о й к и б е з о п а с н о с т и ( P r o c e s s i n g S e c u r i t y

Configuration). Начальные п а р а м е т р ы в базе д а н н ы х к о н ф и г у р а ц и и н а з ы в а ю т с я

базовыми параметрами.

– Занятие 2

Управление параметрами безопасности 3Q7

П о с л е с к а н и р о в а н и я с е р в е р а и с о з д а н и я б а з ы д а н н ы х к о н ф и г у р а ц и и в ы

м о ж е т е о т к о н ф и г у р и р о в а т ь , а з а т е м и с п о л ь з о в а т ь базу д а н н ы х д л я генериро-

в а н и я п о л и т и к и б е з о п а с н о с т и с ц е л ь ю н а с т р о й к и с л у ж б , п р а в и л брандмауэра,

п а р а м е т р о в р е е с т р а и п о л и т и к и а у д и т а . П о л и т и к а безопасности применяется

к с е р в е р у и л и д р у г и м с е р в е р а м , в ы п о л н я ю щ и м а н а л о г и ч н ы е роли. Мастер на-

с т р о й к и б е з о п а с н о с т и ( S e c u r i t y C o n f i g u r a t i o n W i z a r d ) представляет каждую и з

ч е т ы р е х к а т е г о р и й п о л и т и к и б е з о п а с н о с т и в с е к ц и и н а отдельной странице.

• Н а с т р о й к а с л у ж б н а о с н о в е р о л е й ( R o l e – B a s e d S e r v i c e C o n f i g u r a t i o n )

З д е с ь с о д е р ж и т с я н а б о р п о л и т и к , к о н ф и г у р и р у ю щ и х состояние запуска

с л у ж б н а с е р в е р е . Б е з о п а с н о с т ь н а с е р в е р е гарантируется, если запускать

т о л ь к о с л у ж б ы д л я р о л е й с е р в е р а и н е з а п у с к а т ь остальные. Чтобы полу-

ч и т ь т а к о й р е з у л ь т а т , м а с т е р н а с т р о й к и безопасности отображает страницы

с р о л я м и с е р в е р а , к л и е н т с к и м и в о з м о ж н о с т я м и , а д м и н и с т р и р о в а н и е м и

д р у г и м и в о з м о ж н о с т я м и , о б н а р у ж е н н ы м и н а п р о с к а н и р о в а н н о м сервере.

Д л я п о л у ч е н и я т р е б у е м о й к о н ф и г у р а ц и и р о л е й м о ж н о добавлять и удалять

р о л и , к о м п о н е н т ы и в о з м о ж н о с т и . Н а п о с л е д н е й странице Подтверждение

и з м е н е н и й д л я с л у ж б ( C o n f i r m S e r v i c e C h a n g e s ) , показанной н а рис. 7-9,

у к а з а н ы в с е и з м е н е н и я , к о т о р ы е б у д у т в н е с е н ы в с л у ж б ы на основе ука-

з а н н ы х р о л е й .

ц л т г ы г а ^ г г т т в ^ г жямт я

Подт»ернсдени« «.миммдм служб

ГЬо'се че, продо/аость, гсдтерднте прввчъяскть юшшй

VI

служб в рыултдтд

Btc-op* ра/*й И друг** «ОГГ&^ГСО.

щ

Еь-.у.«Г|».че^тч,тоДлвг*т.*и6«опвсиастм,« аа£ра*«*< сгсееребудет tra*onaiI-V: J

оид.гсшая пестрены cnv»S:

Служб*

I Текущей

за. | ""еду* sar.yocs.n.

. i Исголвзуетея

Дипетчер устных jarwcoi .. Автокат.>-«о.»

Автомат n-eoc*

Core

Догеьиые службы Active С* . Автомтччески

ABTVUITH4«CK4

Контрсчет доиеча _J

Доступ К НП>-уСТЭ0ИСТв«1

Вручн>то

Отклхмэ

ivaaotwi

Журим собь-тл* Window»

Автскат*чео<и

Автоматически

Core

Хуонг.ю: к onoeeuierwa гро... Вручную

Отклочвв

Ж /эпь/t* и втоееше

2лд.ше-**ое флмимие

Брусую

беэогжиость и сел»

Ишпяде: клочен Ой

Вручную

Беюгвосст» и Cf ть v |

<1

1

» чтобы отменить любае да

1Ьи>елеречл:/)е««>

к npuwayu^ei crpare«aari

и юиечите et»»e дей

–те

вив. перечислен*

• ми-exMv. eetxrreos

«яе в стоп5ие toxarfe:»

Подробне ъ тадтоей-»пси*? iq

< Надад ] ДД-У* > [ Отисн* )

Рис. 7-9. Страница подтверждения изменений для служб мастера настройки

безопасности

С е р в е р (см. р и с . 7 – 9 ) я в л я е т с я к о н т р о л л е р о м домена. Н а рисунке указано,

что д л я д о м е н н ы х с л у ж б A c t i v e D i r e c t o r y ( A D D S ) отконфигурирован ав-

т о м а т и ч е с к и й з а п у с к .

Н а с т р а н и ц е П о д т в е р ж д е н и е и з м е н е н и й д л я с л у ж б (Confirm Service Chang-

es) м а с т е р а н а с т р о й к и б е з о п а с н о с т и н е л ь з я и з м е н я т ь состояние запуска

с л у ж б . Н е о б х о д и м о щ е л к н у т ь к н о п к у Н а з а д ( B a c k ) , л о к а л и з о в а т ь роль,

с л у ж б у и л и в о з м о ж н о с т ь , у к а з а н н у ю в с т о л б ц е И с п о л ь з у е т с я (Used By),

' 3 1 6 Параметры групповой политики

Глава 7

и либо установить, л и б о с б р о с и т ь ф л а ж о к н а п р о т и в э т о г о э л е м е н т а . П о -

л и т и к и запуска служб н а с т р а н и ц е п о д т в е р ж д е н и я и з м е н е н и й д л я с л у ж б

определяются в ы б р а н н ы м и р о л я м и , с л у ж б а м и и в о з м о ж н о с т я м и . П р и сбра-

сывании ф л а ж к о в будут о т к л ю ч а т ь с я п а р а м е т р ы п о л и т и к з а п у с к а с л у ж б .

Сервер, н а к о т о р о м з а п у щ е н М а с т е р н а с т р о й к и б е з о п а с н о с т и ( S e c u r i t y

Configuration Wizard), м о ж е т с о д е р ж а т ь с л у ж б ы , н е о п р е д е л е н н ы е б а з о й

данных конфигурации мастера н а с т р о й к и б е з о п а с н о с т и . Н а с т р а н и ц е В ы б о р

дополнительных служб (Select Additional Services) м а с т е р а м о ж н о в к л ю ч и т ь

эти службы в п о л и т и к у б е з о п а с н о с т и , ч т о б ы о н и з а п у с к а л и с ь в с о о т в е т с -

твии с параметром п о л и т и к и в базе д а н н ы х к о н ф и г у р а ц и и .

Н а сервере, к которому п р и м е н я е т с я п о л и т и к а б е з о п а с н о с т и , т а к ж е м о г у т

быть у с т а н о в л е н ы с л у ж б ы , н е о б н а р у ж е н н ы е в о в р е м я с о з д а н и я п о л и т и к и

безопасности. Н а с т р а н и ц е О б р а б о т к а н е о п р е д е л е н н ы х с л у ж б ( H a n d l i n g

Unspecified Services) н а з н а ч а е т с я з а п у с к и л и о т к л ю ч е н и е т а к и х с л у ж б .

• С е т е в а я б е з о п а с н о с т ь ( N e t w o r k S e c u r i t y ) К о н ф и г у р и р у ю т с я п а р а м е т р ы

j брандмауэра п о л и т и к и безопасности, к о т о р ы е б у д у т п р и м е н я т ь с я Б р а н д м а -

уэром Windows в р е ж и м е п о в ы ш е н н о й б е з о п а с н о с т и ( W i n d o w s F i r e w a l l w i t h

Advanced Security). А н а л о г и ч н о с е к ц и и Н а с т р о й к а с л у ж б н а о с н о в е р о л е й

(Role-Based Service C o n f i g u r a t i o n ) с е к ц и я С е т е в а я б е з о п а с н о с т ь о т о б р а ж а е т

страницу параметров, в ы в е д е н н ы х и з б а з о в ы х п а р а м е т р о в в б а з е д а н н ы х

к о н ф и г у р а ц и и . О д н а к о п а р а м е т р ы в с е к ц и и С е т е в а я б е з о п а с н о с т ь п р е д -

ставляют п р а в и л а б р а н д м а у э р а , а н е р е ж и м ы з а п у с к а с л у ж б . Н а р и с . 7 – 1 0

показано правило, р а з р е ш а ю щ е е в х о д я щ и е з а п р о с ы p i n g к о н т р о л л е р а до-

мена. Вы можете р е д а к т и р о в а т ь с у щ е с т в у ю щ и е п р а в и л а , а т а к ж е д о б а в л я т ь

и удалять н а с т р а и в а е м ы е п р а в и л а .

*1

Прайма сетевой безопасности

На этой стра»** перечклегы грааила 6рэндкау»рв, иеобхсд*** для аыбрвх-шх

ролей и йруг*х параметров. Выбранные правила еклсмемы, не выбрамш отключены.

(Ъвовтреть: |Правила и] omfcurrtu ро/ей

d

Коитроллоэ £<ие»та Actr.e Directory – SAMA-SA р*>-ТОЧп)

Контроллер гочеиа АсЬ.е Directory – SAM/ISA p*>4X»*-In)

9 > Кситроплер дочепа AcO.t Qredory – YV32Tane

О т ш ж Г^ааило входящего трафдеа дл* служба «итролпера дэче»

и> AcUve

Carertery, раэоеииюшее мпрось гроверк» CBSJH.

Используете*: Коитрэлпер допела (Active Directory)

Действие Paipeuwrb все подключения

Направление Входящие

Протоми КМРу4

Яобмчть... j Ижеиктв... | £ |

йопотлнлгьл жльмя о поосивп* И fMCit-rtl ГИММГУ.-

< Намд Далее

> 1 От»&« |

Рис. 7-10. Страница сетевой безопасности мастера настройки безопасности

Брандмауэр W i n d o w s в р е ж и м е п о в ы ш е н н о й б е з о п а с н о с т и ( W i n d o w s Fire-

wall with Advanced S e c u r i t y ) к о м б и н и р у е т б е з о п а с н о с т ь п р о т о к о л а И н т е р -

нета ( I P s e c ) и межсетевого э к р а н а с д и н а м и ч е с к и и з м е н я ю щ и м и с я пара-

- Занятие 2

Управление параметрами безопасности 3Q7

м е т р а м и б е з о п а с н о с т и , к о т о р ы й а н а л и з и р у е т и фильтрует все пакеты IP

в е р с и и 4 ( I P v 4 ) и в е р с и и 6 ( I P v 6 ) , с б р а с ы в а я незапрашиваемые пакеты,

. если не с о з д а н о п р а в и л о , я в н ы м о б р а з о м р а з р е ш а ю щ е е т р а ф и к к порту с

о п р е д е л е н н ы м н о м е р о м , п р и л о ж е н и ю и л и службе. П о л и т и к а безопасности,

г е н е р и р у е м а я м а с т е р о м н а с т р о й к и б е з о п а с н о с т и , у п р а в л я е т правилами

б р а н д м а у э р а , о д н а к о м а с т е р н а с т р о й к и безопасности не обеспечивает кон-

ф и г у р а ц и ю IPsec.

• П а р а м е т р ы р е е с т р а ( R e g i s t r y S e t t i n g s ) К о н ф и г у р и р у ю т с я протоколы,

и с п о л ь з у е м ы е д л я с в я з и с д р у г и м и к о м п ь ю т е р а м и . Эти страницы мастера

о п р е д е л я ю т ц и ф р о в у ю п о д п и с ь б л о к о в с о о б щ е н и й сервера S M B (Server

M e s s a g e B l o c k ) , ц и ф р о в у ю п о д п и с ь L D A P ( L i g h t w e i g h t Directory Access

P r o t o c o l ) , у р о в н и п р о в е р к и п о д л и н н о с т и LAN M a n a g e r ( L M ) и хранение

х э ш – з н а ч е н и й п а р о л е й L M . К а ж д ы й из этих параметров описан на соответс-

т в у ю щ е й с т р а н и ц е , а с с ы л к а на к а ж д о й странице открывает раздел справки

м а с т е р а н а с т р о й к и б е з о п а с н о с т и с о п и с а н и е м параметра.

• П о л и т и к а а у д и т а ( A u d i t P o l i c y ) Генерируются параметры, которые управ-

л я ю т а у д и т о м у с п е ш н ы х и н е у с п е ш н ы х д е й с т в и й и определяют объекты

ф а й л о в о й с и с т е м ы д л я него. К р о м е того, с п о м о щ ь ю этой секции в поли-

т и к у б е з о п а с н о с т и м о ж н о в н е д р и т ь ш а б л о н безопасности SCWAudit.inf.

И с п о л ь з у я о с н а с т к у Ш а б л о н ы б е з о п а с н о с т и ( S e c u r i t y Templates), мож-

но п р о а н а л и з и р о в а т ь п а р а м е т р ы в этом шаблоне, расположенном в папке

% S y s t e m R o o t % S e c u r i t y M s s c w K b s .

Вы м о ж е т е п р о п у с т и т ь л ю б у ю из трех последних секций, если не хотите

включать их в п о л и т и к у б е з о п а с н о с т и . П о с л е з а в е р ш е н и я или пропуска всех

секций к о н ф и г у р а ц и и М а с т е р н а с т р о й к и безопасности (Security Configuration

Wizard) о т о б р а з и т с е к ц и ю С о х р а н е н и е п о л и т и к и безопасности (Saving Security

Policy). На с т р а н и ц е И м я ф а й л а п о л и т и к и безопасности (Security Policy File

Name), п о к а з а н н о й на рис. 7-11, следует указать путь, и м я и описание политики

безопасности.

Ими файла политика безопасности Д

©а.л полгомч безолаоютм будет ссирлкеп под m » i >wene>i и с ухамг*ьи отксанчеп.

Щ ®

Цчя файле политикибеюгво-оам («ел»рвешире»** опуше*о, иело*«,етгя'JM."):

C:VrtxJo«fcecutty Y"s^V*>k!Mfta/VTv«4a бекпосчэсти контроллеров Cor Ц 5 * р . „ I

Отекание (нео6ювтел«но;

12 11.2003. Копфгурц>ует службы, сетевую безопасность, параметры реестра и J

noremtai аудит» контроллеров домена contoio.com

–• < d

[>(Кчотррол*п«о»$ех1Пае>«эстм j аключе^ииСлоловбемоаоюгп».-. j

–

"

< Ьвмд J fla w > | Отпет* |

Рис. 7-11. Имя файла политики безопасности мастера настройки безопасности

'318 Параметры групповой политики

Глава 7

Щелкните кнопку Просмотр п о л и т и к и безопасности ( V i e w Security Po-

licy), чтобы проанализировать параметры п о л и т и к и безопасности, к о т о р ы е

очень подробно документированы мастером н а с т р о й к и безопасности. В по-

литику безопасности также можно импортировать шаблон безопасности. Уже

описанные на этом занятии шаблоны безопасности содержат параметры, не

обеспечиваемые управлением настройкой безопасности с п о м о щ ь ю шабло-

нов, включая группы с ограниченным доступом, п о л и т и к и ж у р н а л а событий,

а также политики безопасности файловой системы и реестра. Включив– шаблон

безопасности, вы сможете внедрить в политику безопасности более богатую

коллекцию параметров конфигурации. Если к а к и е – л и б о п а р а м е т р ы в шабло-

не-безопасности конфликтуют с Мастером настройки безопасности (Security

Configuration Wizard), приоритет получают параметры мастера н а с т р о й к и бе-

зопасности. Щелкните Далее (Next), чтобы н е м е д л е н н о п р и м е н и т ь ш а б л о н

безопасности к серверу или применить эту п о л и т и к у позже.

Редактирование политики безопасности

Для редактирования сохраненной политики безопасности запустите Мастер

настройки безопасности (Security Configuration Wizard) и на странице Действие

настройки (Configuration Action) выберите действие И з м е н и т ь существующую

политику безопасности (Edit An Existing Security Policy). Щ е л к н и т е кнопку

Обзор (Browse), чтобы локализовать ф а й л п о л и т и к и .xml. Выберите сервер,

который использовался для создания политики безопасности.

Применение политики безопасности

Чтобы применить политику безопасности к серверу, откройте Мастер настрой-

ки безопасности (Security Configuration Wizard) и на странице Д е й с т в и е на-

стройки (Configuration Action) выберите действие Применить существующую

политику безопасности (Apply An Existing Security Policy). Щ е л к н и т е кнопку

Обзор (Browse), чтобы локализовать файл политики .xml. На странице Выбор

сервера (Select Server) укажите сервер, к которому будет применена политика.

Многие изменения, указанные в политике безопасности, в к л ю ч а я добавление

правил брандмауэра для уже запущенных п р и л о ж е н и й и отключение служб,

требуют перезагрузки сервера, поэтому рекомендуется перезагружать сервер

после каждого применения политики безопасности.

Откат примененной политики безопасности

Если политика безопасности привела к нежелательным результатам, можно вы-

полнить откат изменений, запустив Мастер настройки безопасности (Security

Configuration Wizard) и выбрав действие настройки Откатить последнюю при-

мененную политику безопасности (Rollback T h e Last Applied Security Policy).

Если политика безопасности применяется с помощью мастера настройки бе-

зопасности, то генерируется файл отката, в котором хранятся начальные па-

раметры системы. Процесс отката использует этот ф а й л отката.

Модификация параметров примененной политики безопасности

Если примененный шаблон безопасности не обеспечивает идеальную конфи-

гурацию, изменения можно внести вручную с помощью консоли Локальная

- Занятие 2

Управление параметрами безопасности 3Q7

политика безопасности (Local Security Policy), о которой шла речь в начале

этого з а н я т и я . Таким образом, мы получаем полную картину конфигурации

безопасности, начиная с вручную заданных параметров и генерирования шабло-

нов безопасности с ц е л ы о создания политик безопасности с помощью Мастера

настройки безопасности (Security Configuration Wizard), который может внед-

рять ш а б л о н ы безопасности, и заканчивая применением политик безопасности

и возвратом к в р у ч н у ю настроенной конфигурации.

Развертывание п о л и т и к и б е з о п а с н о с т и с помощью групповой политики

Политика безопасности, созданная Мастером настройки безопасности (Security

Configuration W i z a r d ) , п р и м е н я е т с я к серверу посредством того же мастера

настройки безопасности, к о м а н д ы Scwcmcl.exe, или преобразования политики

безопасности в объект г р у п п о в о й п о л и т и к и G P O . Чтобы преобразовать по-

литику безопасности в объект G P O , войдите в сеть как администратор доме-

на и в ы п о л н и т е команду Scwcmd.exe вместе с командой transform. Например,

команда scwcmd transform /p:"Contoso DC Securi.ty.xml"/g:"Contoso DC Security

GPO" создает объект G P O с именем Contoso DC Security GPO и параметрами,

и м п о р т и р о в а н н ы м и из ф а й л а п о л и т и к и безопасности Contoso DC Security.xml.

П о л у ч е н н ы й о б ъ е к т G P O з а т е м будет связан с соответствующей областью

действия (сайт, д о м е н и л и подразделение) с помощью консоли Управление

групповой п о л и т и к о й ( G r o u p Policy Management). Чтобы получить справочную

и н ф о р м а ц и ю и и н с т р у к ц и и относительно данного процесса, введите команду

scwcmd.exe transform /?.

Параметры, шаблоны, политики и объекты GPO

Как мы у ж е г о в о р и л и в начале этого занятия, существует много механизмов,

с помощью которых м о ж н о у п р а в л я т ь параметрами безопасности. Для моди-

фикации параметров отдельной системы используются такие инструменты, как

консоли Л о к а л ь н а я п о л и т и к а безопасности (Local Security Policy). Для управ-

ления параметрами одной и л и нескольких систем и сравнения текущего состоя-

ния конфигурации системы с требуемой конфигурацией применяются шаблоны

безопасности, существующие еще с Windows-2000. Последним дополнением к

набору средств у п р а в л е н и я к о н ф и г у р а ц и е й безопасности являются политики

безопасности, генерируемые Мастером настройки безопасности (Security Con-

figuration Wizard). Ф а й л ы .xml на основе ролей определяют режимы запуска

служб, правила брандмауэра, политики аудита и некоторые параметры реестра.

Шаблоны безопасности внедряются политиками безопасности; шаблоны и по-

литики безопасности развертываются с помощью групповой политики.

Изобилие доступных средств нередко затрудняет выбор оптимального ме-

тода управления безопасностью одной или нескольких систем. По возможности

старайтесь использовать групповую политику для развертывания конфигура-

ции безопасности. Объект G P O можно генерировать из политики безопасности

на основе роли, генерируемой мастером настройки безопасности, который сам

внедряет дополнительные параметры из шаблона безопасности. В созданный

объект G P O можно вносить дополнительные изменения с помощью оснастки Ре-

дактор управления групповыми политиками (Group Policy Management Editor).

' 3 2 0 Параметры групповой политики

Глава 7

Параметры, не контролируемые групповой политикой, к о н ф и г у р и р у ю т с я на

каждом сервере с помощью параметров безопасности локальных объектов G P O .

Практические занятия. Управление параметрами безопасности

В приведенных далее упражнениях предлагается осуществить у п р а в л е н и е па-

раметрами безопасности посредством всех инструментов, о которых говорилось

выше. Предварительно в службе каталогов домена contoso.com необходимо

создать следующие объекты:

• подразделение первого уровня Администраторы;

• дочернее подразделение Группы администраторов в п о д р а з д е л е н и и Адми-

нистраторы;

• глобальная группа безопасности Удаленный рабочий стол S Y S _ D C в под-

разделении АдминистраторыГруппы администраторов (эта группа должна

быть членом группы Пользователи удаленного р а б о ч е г о стола ( R e m o t e

Desktop Users), чтобы воспользоваться р а з р е ш е н и я м и доступа, необходи-

мыми для подключения RDP-Tcp).

В качестве альтернативы группу Удаленный р а б о ч и й стол S Y S _ D C можно

добавить в список контроля доступа (ACL) п о д к л ю ч е н и я R D P – T c p с помощью

консоли Конфигурация служб терминалов (Terminal Services Configuration).

Щелкните правой кнопкой мыши подключение R D P – T c p , в ы п о л н и т е команду

Свойства (Properties), перейдите на вкладку Безопасность. ( S e c u r i t y ) , щелк-

ните кнопку Добавить (Add) и введите и м я Удаленный рабочий cmon.SYS^DC.

Дважды щелкните ОК, чтобы закрыть диалоговые окна.

Упражнение 1. Настройка локальной политики б е з о п а с н о с т и

В этом упражнении используется л о к а л ь н а я п о л и т и к а безопасности, чтобы

разрешить группе входить на контроллер домена S E R V E R 0 1 с п о м о щ ь ю Уда-

ленного рабочего стола (Remote Desktop). Л о к а л ь н а я п о л и т и к а безопасности

контроллера домена влияет только на отдельный к о н т р о л л е р домена и не реп-

лицируется на другие контроллеры в домене.

1. Войдите на машину SERVER01 как администратор.

2. В группе Администрирование (Administrative Tools) откройте консоль Ло-

кальная политика безопасности (Local Security Policy).

3. Разверните узел Параметры б е з о п а с н о с т и Л о к а л ь н ы е п о л и т и к и Н а з н а ч е -

иие прав пользователя (Security SettingsLocal PoliciesUser Rights Assign-

ment).

4. На панели сведений дважды щелкните параметр Разрешать вход в систему

через службу терминалов (Allow Log On T h r o u g h Terminal Services).

5. Щелкните кнопку Добавить п о л ь з о в а т е л я и л и г р у п п у (Add User Or

Group).

6. Введите имя группы С0ЫТ030Удаленный рабочий стол SYS_DC и щелк-

ните О К .

7. Вновь щелкните ОК.

- Занятие 2

Управление параметрами безопасности 3Q7

' Если вы х о т и т е п р о т е с т и р о в а т ь результат у п р а ж н е н и я путем входа на кон-

т р о л л е р д о м е н а к а к ч л е н г р у п п ы У д а л е н н ы й рабочий стол S Y S _ D C с по-

м о щ ь ю п о д к л ю ч е н и я у д а л е н н о г о рабочего стола, создайте учетную запись

• п о л ь з о в а т е л я и добавьте ее в группу. Убедитесь, что группа является членом

г р у п п ы П о л ь з о в а т е л и у д а л е н н о г о рабочего стола (Remote Desktop Users)

,или хотя бы и м е ю т р а з р е ш е н и е на подключение RDP-Tcp, как описано ранее.

Теперь у д а л и т е э т о т п а р а м е т р , п о с к о л ь к у в последующих упражнениях вы

будете у п р а в л я т ь им с п о м о щ ь ю д р у г и х инструментов.

8. Д в а ж д ы щ е л к н и т е п а р а м е т р Р а з р е ш а т ь вход в систему через службу тер-

м и н а л о в ( A l l o w Log O n T h r o u g h Terminal Services).

9. Выберите г р у п п у С 0 М Т 0 5 0 У д а л е н н ы й рабочий стол SYS_DC.

10. Щ е л к н и т е У д а л и т ь ( R e m o v e ) и О К .

Упражнение 2. Создание шаблона безопасности

Создайте ш а б л о н б е з о п а с н о с т и , п р е д о с т а в л я ю щ и й группе Удаленный рабочий

стол S Y S _ D C п р а в о в х о д а , с п о м о щ ь ю удаленного рабочего стола (Remote

Desktop).

1. В о й д и т е на м а ш и н у S E R V E R 0 1 как администратор.

2. В м е н ю П у с к ( S t a r t ) щ е л к н и т е к о м а н д у Выполнить (Run).

3. Введите и м я ттс и н а ж м и т е к л а в и ш у Enter.

4. В м е н ю К о н с о л ь ( F i l e ) в ы б е р и т е команду Добавить или удалить оснастку

( A d d / R e m o v e S n a p – i n ) .

5. В с п и с к е Д о с т у п н ы е о с н а с т к и (Available Snap-ins) выберите оснастку

Ш а б л о н ы б е з о п а с н о с т и ( S e c u r i t y Templates) и щелкните Добавить (Add)

и О К .

6. В м е н ю К о н с о л ь ( F i l e ) в ы б е р и т е команду Сохранить (Save) и сохраните

к о н с о л ь на р а б о ч е м столе п о д и м е н е м Управление безопасностью.

7 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л C : U s e r s A f l M H H H c r p a T o p D o c u -

m e n t s S e c u r i t y T e m p l a t e s и в ы п о л н и т е команду Создать шаблон (New Tem-

plate).

8. Введите и м я Удаленный рабочий стол DC и щелкните ОК.

9. В узле Р а б о ч и й стол DC р а з в е р н и т е узел Локальные политикиНазначение

прав п о л ь з о в а т е л я ( L o c a l P o l i c i e s U s e r Rights Assignment).

10. На п а н е л и с в е д е н и й д в а ж д ы щ е л к н и т е параметр Разрешать вход в систему

через с л у ж б у т е р м и н а л о в (Allow Log On Through Terminal Services).

11. Установите ф л а ж о к О п р е д е л и т ь следующие параметры политики в шаблоне

(Define These Policy S e t t i n g s In The Template).

12. Щ е л к н и т е к н о п к у Д о б а в и т ь п о л ь з о в а т е л я и л и группу (Add User Or

Group).

13. Введите и м я г р у п п ы CONTOSOydaneHHbtiрабочий стол SYS_DC и щелк-

ните О К .

14. Щ е л к н и т е О К .

' 3 2 2 Параметры групповой политики

Глава 7

15. Щелкните правой кнопкой мыши шаблон Удаленный р а б о ч и й стол DC

и выполните команду Сохранить (Save).

Упражнение 3. Использование оснастки Анализ и н а с т р о й к а б е з о п а с н о с т и

Проанализируйте конфигурацию машины S E R V E R 0 1 с п о м о щ ь ю шаблона бе-

зопасности Удаленный рабочий стол DC, определите о т л и ч и я между текущей

конфигурацией сервера и конфигурацией, определенной в шаблоне, и создайте

новый шаблон безопасности.

1. Войдите на машину S E R V E R 0 1 как а д м и н и с т р а т о р . О т к р о й т е к о н с о л ь

Управление безопасностью, созданную и сохраненную в у п р а ж н е н и и 2.

2. В меню Консоль (File) выберите команду Д о б а в и т ь или у д а л и т ь оснастку

(Add/Remove Snap-in).

3. Затем в списке Доступные оснастки (Available Snap-ins) выберите оснастку

Анализ и настройка безопасности (Security C o n f i g u r a t i o n And Analysis)

и щелкните кнопку Добавить (Add). Щ е л к н и т е О К .

4. Выберите в меню Консоль (File) команду Сохранить (Save), чтобы сохра-

нить модифицированную консоль.

5. В дереве консоли выберите узел Анализ и настройка безопасности (Security

Configuration And Analysis).

6. Щелкните правой кнопкой мыши этот узел и в ы п о л н и т е команду О т к р ы т ь

базу данных (Open Database), с помощью которой будет создана новая база

данных безопасности.

7. Введите имя SERVEROITest и щелкните кнопку О т к р ы т ь ( O p e n ) . Откроется

диалоговое окно Импорт шаблона ( I m p o r t Template).

8. Выберите шаблон Удаленный рабочий стол D C , с о з д а н н ы й в упражнении

2, и щелкните кнопку Открыть ( O p e n ) .

9. Щелкните правой кнопкой мыши узел Анализ и настройка безопасности

(Security Configuration And Analysis) и в ы п о л н и т е к о м а н д у Анализ ком-

пьютера (Analyze Computer Now).

10. Щелкните ОК, чтобы подтаердить путь к ж у р н а л у о ш и б о к по умолчанию.

И. Разверните узел Локальные политики (Local Policies) и выберите папку

Назначение прав пользователя (User Rights Assignment).

12. Политика Разрешать вход в систему через службу т е р м и н а л о в (Allow Log

On Through Terminal Services) будет помечена ф л а ж к о м в виде крестика в

красном кружке. Этот флажок указывает на наличие о т л и ч и я между пара-

метром базы данных и параметром компьютера.

13. Дважды щелкните параметр Разрешать вход в систему через службу тер-