Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 36 (всего у книги 91 страниц)
2. О т к р о й т е окно свойств п а п к и С : К о н ф и д е н ц и а л ь н ы е данные и перейдите
на в к л а д к у Б е з о п а с н о с т ь (Security).
3. Щ е л к н и т е к н о п к у И з м е н и т ь ( E d i t ) , а затем Добавить (Add).
5. Введите и м я г р у п п ы Консультанты и щелкните ОК.
6. Установите ф л а ж о к Запретить ( D e n y ) напротив разрешения Полный доступ
(Full C o n t r o l ) .
7. Последовательно щ е л к н и т е к н о п к и Применить (Apply) и Да (Yes), чтобы
подтвердить з а п р е т р а з р е ш е н и я .
8. Д л я того чтобы з а к р ы т ь диалоговое окно Разрешения (Permissions), щелк-
ните О К .
9. Щ е л к н и т е Д о п о л н и т е л ь н о (Advanced).
10. Перейдите на в к л а д к у Аудит (Auditing).
11. Щ е л к н и т е И з м е н и т ь ( E d i t ) , а затем Добавить (Add).
13. Введите и м я Консультанты и щелкните ОК.
14. В д и а л о г о в о м о к н е Э л е м е н т ы аудита (Auditing Entry) установите флажок
Отказ (Failed) н а п р о т и в р а з р е ш е н и я Полный доступ (Full Control).
15. З а к р о й т е все д и а л о г о в ы е окна.
У п р а ж н е н и е 2. В к л ю ч е н и е п о л и т и к и аудита
Поскольку машина S E R V E R 0 1 я в л я е т с я контроллером домена, для включения
аудита используется ранее созданный объект групповой политики Политика
безопасности DC. На автономном сервере применяется оснастка Локальная
политика безопасности (Local Security Policy) или объект GPO, под область
действия которого подпадает сервер.
1. О т к р о й т е к о н с о л ь У п р а в л е н и е г р у п п о в о й политикой (Group Policy
M a n a g e m e n t ) и выберите контейнер Объекты групповой политики (Group
Policy Objects).
2. Щелкните правой кнопкой м ы ш и объект Политики безопасности DC и вы-
полните команду И з м е н и т ь ( E d i t ) .
3. Р а з в е р н и т е у з е л К о н ф и г у р а ц и я компыотераПолитикиКонфигурация
WindowsnapaMeTpbi безопасностиЛокальные политикиПолитика аудита
(Computer ConfigurationPoliciesWindows SettingsSecurity SettingsLocal
PoliciesAudit Policy).
4. Дважды щ е л к н и т е параметр политики Аудит доступа к объектам (Audit
Object Access).
5. Установите ф л а ж о к Определить следующие параметры политики (Define
These Policy Settings).
f 35 2 Параметры групповой политики
Глава 7
6. Установите флажок Отказ (Failure).
7. Щелкните О К, а затем закройте консоль.
8. Для обновления политики и применения всех параметров откройте окно
командной строки и введите команду gpupdate.
Упражнение 3. Генерирование событий аудита
Теперь следует попытаться получить доступ к папке К о н ф и д е н ц и а л ь н ы е дан-
ные как член группы Консультанты.
1. Войдите на машину SERVER01 как пользователь Д ж е й м с Ф а й н .
2. Откройте окно Мой компьютер ( M y C o m p u t e r ) и п о п ы т а й т е с ь о т к р ы т ь
папку С:Конфиденциальные данные.
3. Создайте текстовый файл на рабочем столе и попытайтесь вырезать и вста-
вить его в папку Конфиденциальные данные.
Упражнение 4. Анализ журнала безопасности
Теперь нужно просмотреть и н ф о р м а ц и ю о п о п ы т к а х консультантов получить
доступ к папке Конфиденциальные данные.
1. Войдите на машину S E R V E R 0 1 как администратор.
2. В группе Администрирование ( A d m i n i s t r a t i v e Tools) о т к р о й т е оснастку
Просмотр событий (Event Viewer).
3. Разверните узел Журналы WindowsBe3onacnocTb ( W i n d o w s LogsSecurity).
Какие типы событий отображаются в ж у р н а л е Б е з о п а с н о с т ь ( S e c u r i t y ) ?
Помните, что политики позволяют выполнять аудит многочисленных дейс-
твий, связанных с безопасностью, в к л ю ч а я аудит доступа к службе катало-
гов, управление учетными записями, входа и т. д. И с т о ч н и к о м событий в
столбце Источник (Source) является аудит безопасности Microsoft Windows.
4. Для фильтрации журнала и ограничения области п о и с к а на п а н е л и Дейс-
твия (Actions) щелкните ссылку Ф и л ь т р текущего ж у р н а л а ( F i l t e r Current
Log).
5. Отконфигурируйте фильтр д л я ограничения поиска.
Чтобы указать событие для локализации, используйте следующие парамет-
ры: события за последний час с источником с о б ы т и й M i c r o s o f t Windows
security auditing и категорией задачи Ф а й л о в а я система (File System).
6. Отконфигурируйте фильтр (рис. 7-18).
7. Щелкните ОК.
Можете ли вы быстро локализовать события, генерируемые при попытках
пользователя Джеймса Файна получить доступ к папке Конфиденциальные
данные?
Вы не выполните фильтрацию по и м е н и п а п к и С : К о н ф и д е н ц и а л ь н ы е
данные в диалоговом окне фильтра (см. рис. 7-16). Зато вы можете лока-
лизовать события этой папки, экспортировав журнал в инструмент анализа
журналов или даже текстовый файл. I
Занятие 4
Аудит 353
Фн
Фл
нь
лтр
ь |>
рМ
> 1
М |
Да
Дт
аа:
а
J Последний час •» |
Ур«8«Мк
<0бь>т«№
Г Критическое Г Прадуг1>е*дакие Г Подробности
:,Г Ошибка Г" СмДОни*
ff '.
С-
С )..
–
,
)..
Журналы !;1->«*еп»с»онп Ща
событий —1
1 Г V; i-4'Ч'.-х г? Источкио» (Microsoft Windows security auditng. _ )
событий 1 —'
Включение или ио
.лючеиие кода собегтий: Введите событий «ли лиагчюкы
кодо». рлиелдя и*
»ч»ты*.«и. Дтв нсклкгчеии* yoosns «ведите sm< минус. Например
г ;|<Есе коды событий*
Категория задачи: |®айло«а« система .у jf4
слоек
1 zl
j-Bce по.штсвате/м.
Ксыпьютеры:
{«'Все компьютеры'
Очлсгить !
1 ОК | Отмен, j
Рис. 7-18. Фильтрация журнала безопасности для извлечения последних событий
файловой системы
8. На панели Д е й с т в и я (Actions) щелкните ссылку Сохранить файл отфиль-
трованного ж у р н а л а (Save Filter Log As).
9. На панели И з б р а н н ы е ссылки (Favorite Links) диалогового окна Сохранить
как (Save As) щ е л к н и т е ссылку Рабочий стол (Desktop).
10. Щ е л к н и т е р а с к р ы в а ю щ и й с я список Тип файла (Save As Туре) и выберите
т и п Текст (Text).
И. В текстовое п о л е И м я ф а й л а (File Name) введите имя Экспорт журнала
аудита.
12. Щ е л к н и т е к н о п к у Сохранить (Save).
13. В п р о г р а м м е Б л о к н о т ( N o t e p a d ) откройте полученный текстовый файл
и выполните поиск по к л ю ч е в ы м словам С:Конфиденциальные данные.
У п р а ж н е н и е 5. Аудит и з м е н е н и й службы каталогов
В этом у п р а ж н е н и и используется аудит доступа к службе каталогов, которая
по умолчанию включена в Windows Server 2008 и Windows Server 2003. Затем
необходимо реализовать н о в ы й аудит изменений службы каталогов Windows
Server 2008, чтобы отслеживать изменения группы администраторов домена.
1. Откройте оснастку Active Directory – пользователи и компьютеры (Active
Directory Users And Computers).
2. Щ е л к н и т е меню Вид (View) и установите флажок Дополнительные пара-
метры (Advanced Features).
3. Выберите контейнер Users.
4. Щелкните правой кнопкой мыши группу Администраторы домена (Domain
Admins) и выполните команду Свойства (Properties).
[ 354 Параметры групповой политики
Глава 7
5. Перейдите на вкладку Безопасность ( S e c u r i t y ) и щ е л к н и т е к н о п к у Д о п о л -
нительно (Advanced).
6. Перейдите на вкладку Аудит (Auditing) и щ е л к н и т е к н о п к у Д о б а в и т ь (Add).
7. Введите имя группы Все (Everyone) и щ е л к н и т е О К .
8. В диалоговом окно Элемент аудита ( A u d i t i n g E n t r y ) п е р е й д и т е на в к л а д к у
Свойства (Properties).
9. Установите флажок Успех (Successful) н а п р о т и в р а з р е ш е н и я Запись: Ч л е н ы
группы (Write Members). Щ е л к н и т е О К .
10. Закройте диалоговое окно Д о п о л н и т е л ь н ы е п а р а м е т р ы б е з о п а с н о с т и (Ad-
vanced Security Settings), щ е л к н у в О К .
Вы назначили аудит всех и з м е н е н и й а т р и б у т а member труппы Администра-
торы домена (Domain Admins). Теперь в н е с и т е д в а и з м е н е н и я в ч л е н с т в о
группы.
11. Перейдите на вкладку Ч л е н ы г р у п п ы ( M e m b e r s ) .
12. Добавьте пользователя Д ж е й м с а Ф а й н а и щ е л к н и т е П р и м е н и т ь (Apply).
13. Выберите п о л ь з о в а т е л я Д ж е й м с а Ф а й н а , щ е л к н и т е У д а л и т ь ( R e m o v e ) ,
а затем Применить (Apply).
14. Щ е ж н и т е ОК, чтобы закрыть диалоговое о к н о С в о й с т в а : А д м и н и с т р а т о р ы
домена (Domain Admins Properties).
15. Откройте журнал Безопасность ( S e c u r i t y ) и л о к а л и з у й т е события, сгенери-
рованные при добавлении и у д а л е н и и п о л ь з о в а т е л я Д ж е й м с а Ф а й н а . Код
события 4662. Просмотрите и н ф о р м а ц и ю н а в к л а д к е О б щ и е ( G e n e r a l ) .
В журнале указано, что п о л ь з о в а т е л ь ( а д м и н и с т р а т о р ) п о л у ч и л доступ
к объекту Администраторы домена ( D o m a i n A d m i n s ) и п р и м е н и л операцию
доступа Записать свойство ( W r i t e P r o p e r t y ) . С а м о с в о й с т в о о т о б р а ж е н о
как глобальный у н и к а л ь н ы й и д е н т и ф и к а т о р ( G U I D ) , с п о м о щ ь ю которого
нельзя сразу определить и з м е н е н и е а т р и б у т а member. Это с о б ы т и е также
не содержит данных об и з м е н е н и и , в н е с е н н о м в с в о й с т в о .
Теперь следует включить н о в ы й а у д и т и з м е н е н и й с л у ж б ы к а т а л о г о в Win-
dows Server 2008.
16. Откройте окно командной строки и в в е д и т е с л е д у ю щ у ю к о м а н д у :
auditpol /set /5иЬса1едогу:"изменения службы каталогов" /success:епаЫе
17. Откройте окно свойств группы А д м и н и с т р а т о р ы д о м е н а ( D o m a i n Admins)
и добавьте в группу пользователя Д ж е й м с а Ф а й н а . .
18. Вернитесь к оснастке Просмотр событий ( E v e n t Viewer) и обновите журнал
Безопасность (Security). Д о л ж н ы о т о б р а з и т ь с я с о б ы т и я Д о с т у п к службе
каталогов (Directory Service Access) с к о д о м 4662 и И з м е н е н и я с л у ж б ы ка-
талогов (Directory Service Changes) с к о д о м 5136. Е с л и событие изменения
службы каталогов не отображается, п о д о ж д и т е н е с к о л ь к о секунд и вновь
обновите представление журнала.
19. Проанализируйте и н ф о р м а ц и ю в с о б ы т и и И з м е н е н и я с л у ж б ы каталогов
(Directory Service Changes).
Занятие 1
Н а с т р о й к а п о л и т и к и п а р о л е й и б л о к и р о в к и у ч е т н ы х з а п и с е й 3 5 5
И н ф о р м а ц и я на в к л а д к е О б щ и е (General) четко указывает, что пользователь
( а д м и н и с т р а т о р ) внес и з м е н е н и е в объект Администраторы домена (Do-
main A d m i n s ) каталога, а и м е н н о : д о б а в и л пользователя Джеймса Файна.
Резюме
• П о л и т и к а а у д и т а о п р е д е л я е т в е д е н и е аудита успешных и неуспешных со-
бытий. С у щ е с т в у е т много п о л и т и к аудита, связанных со специфическими
т и п а м и о п е р а ц и й , т а к и х к а к вход, доступ к объекту и изменения службы
каталогов.
а Д л я а у д и т а д о с т у п а к ф а й л о в о й системе н у ж н о добавить элементы аудита
в с п и с о к S A C L ф а й л а и л и п а п к и , о п р е д е л и т ь параметр политики Аудит
доступа к о б ъ е к т а м ( A u d i t O b j e c t Access) и оценить полученные записи
аудита в ж у р н а л е Б е з о п а с н о с т ь ( S e c u r i t y ) .
• В W i n d o w s Server 2 0 0 8 в ы п о л н и т ь более подробный аудит изменений объ-
ектов Active D i r e c t o r y с п о м о щ ь ю к о м а н д ы Auditpol.exe. События содержат
сведения об и з м е н е н н о м а т р и б у т е , четко указывают тип внесенного изме-
нения, а т а к ж е п р е д ы д у щ е е и т е к у щ е е значения атрибута.
Закрепление материала
Приведенные далее в о п р о с ы п р е д н а з н а ч е н ы д л я проверки знаний, полученных
на з а н я т и и 4 ( э т и в о п р о с ы с о д е р ж а т с я и на сопроводительном компакт-диске).
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант является
правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Вы о б е с п о к о е н ы тем, что н е к а я персона пытается получить доступ к ком-
пьютерам, и с п о л ь з у я п о д л и н н ы е имена доменных пользователей и подбирая
различные пароли. К а к у ю п о л и т и к у аудита необходимо отконфигурировать
д л я о т с л е ж и в а н и я т а к и х д е й с т в и й ?
A. О т к а з ы в с о б ы т и я х входа.
Б. О т к а з ы в д о с т у п е к с л у ж б е каталогов.
B. Успех и с п о л ь з о в а н и я п р и в и л е г и й .
Г. О т к а з ы в с о б ы т и я х входа учетной записи.
Д. О т к а з ы в у п р а в л е н и и у ч е т н ы м и записями.
2. Вам нужно в ы п о л н и т ь аудит изменений атрибутов пользовательских учет-
ных записей, п р и м е н я е м ы х администраторами в организации. Как узнать
п р е д ы д у щ и е и н о в ы е з н а ч е н и я и з м е н я е м ы х атрибутов?
A. Определить п о л и т и к у Аудит управления учетными записями (Account
M a n a g e m e n t A u d i t ) .
Б. Использовать команду Auditpol.exe.
B. Включить п о л и т и к у Аудит использования привилегий (Privilege Use
Auditing).
[ 356 Параметры групповой политики Глава 7
Г. Определить политику Аудит д о с т у п а к с л у ж б е к а т а л о г о в ( D i r e c t o r y
Service Access).
3. Ваша организация имеет 10 ф а й л о в ы х серверов, к о м п ь ю т е р н ы е у ч е т н ы е
записи которых находятся в доменном п о д р а з д е л е н и и Серверы. С э т и м под-
разделением связан объект г р у п п о в о й п о л и т и к и К о н ф и г у р а ц и я серверов.
На пяти серверах имеется папка К о н ф и д е н ц и а л ь н ы е д а н н ы е . Вы н а н я л и
команду консультантов д л я участия в проекте, а ч т о б ы з а п р е т и т ь им доступ
к папке Конфиденциальные данные, о т к о н ф и г у р и р о в а л и р а з р е ш е н и я папки
для предотвращения доступа и т е п е р ь х о т и т е в ы п о л н я т ь аудит всех попы-
ток открыть папку и л и м а н и п у л и р о в а т ь ею. К а к и е д е й с т в и я необходимо
предпринять? (Укажите три операции. К а ж д ы й п р а в и л ь н ы й ответ я в л я е т с я
частью полного решения.)
A. Добавить элементы аудита в п а п к у К о н ф и д е н ц и а л ь н ы е д а н н ы е д л я ау-
дита успешного получения р а з р е ш е н и я П о л н ы й д о с т у п ( F u l l C o n t r o l ) .
Б. Просмотреть записи в ж у р н а л а х Б е з о п а с н о с т ь ( S e c u r i t y ) на контрол-
лерах домена.
B. Определить п о л и т и к у Аудит д о с т у п а к с л у ж б е к а т а л о г о в ( D i r e c t o r y
Service Access) в G P O К о н ф и г у р а ц и я сервера.
Г. Определить политику Аудит д о с т у п а к о б ъ е к т а м ( A u d i t O b j e c t Access)
в объекте групповой п о л и т и к и D e f a u l t D o m a i n C o n t r o l l e r s .
Д. Определить политику Аудит доступа к о б ъ е к т а м ( A u d i t O b j e c t Access)
в G P O Конфигурация сервера.
Е. Просмотреть з а п и с и в ж у р н а л а х Б е з о п а с н о с т ь ( S e c u r i t y ) на каждом
сервере.
Ж. Добавить элементы аудита в п а п к у К о н ф и д е н ц и а л ь н ы е д а н н ы е д л я
аудита отказа Полный доступ ( F u l l C o n t r o l ) .
Закрепление материала главы
Для того чтобы попрактиковаться и з а к р е п и т ь з н а н и я , п о л у ч е н н ы е п р и изуче-
нии представленного в этой главе материала, в а м н е о б х о д и м о :
• ознакомиться с резюме главы;
• повторить используемые в главе о с н о в н ы е т е р м и н ы ;
• изучить сценарий, в котором описана р е а л ь н а я с и т у а ц и я , т р е б у ю щ а я при-
менения полученных знаний, и п р е д л о ж и т ь свое решение;
• выполнить рекомендуемые у п р а ж н е н и я ;
• сдать пробный экзамен с помощью тестов.
Резюме главы
• С помощью групповой п о л и т и к и к о н ф и г у р и р у е т с я членство групп, пара-
метры безопасности, управление п р о г р а м м н ы м обеспечением и аудит.
• Помимо консоли Управление групповой п о л и т и к о й ( G r o u p Policy Mana-
gement) и Редактора управления г р у п п о в ы м и п о л и т и к а м и ( G r o u p Policyl
Основные термины 357
M a n a g e m e n t E d i t o r ) и с п о л ь з у е т с я множество других инструментов, вклю-
ч а я ш а б л о н ы безопасности, М а с т е р н а с т р о й к и безопасности (Security Con-
f i g u r a t i o n W i z a r d ) , а т а к ж е у т и л и т ы Scwcmd.exe и Auditpol.exe.
• На с е р т и ф и к а ц и о н н о м э к з а м е н е 7 0 – 6 4 0 и в реальной среде д л я успешного
р а з в е р т ы в а н и я г р у п п о в о й п о л и т и к и на п р е д п р и я т и и очень важно хорошо
у м е т ь о п р е д е л я т ь о б л а с т ь д е й с т в и я G P O .
• П о л и т и к и групп с о г р а н и ч е н н ы м доступом могут добавлять членов в группу
как к у м у л я т и в н о , так и п у т е м авторитарного установления членства одной
г р у п п ы .
• Н о в ы й М а с т е р н а с т р о й к и б е з о п а с н о с т и ( S e c u r i t y Configuration Wizard)
создает п о л и т и к и б е з о п а с н о с т и на основе ролей, которые могут внедрять
ш а б л о н ы б е з о п а с н о с т и , у п р а в л я е м ы е оснастками из предыдущих версий
W i n d o w s . К о м а н д а Scwcmd.exe может преобразовать политику безопасности
в о б ъ е к т G P O .
• П р о г р а м м н о е о б е с п е ч е н и е м о ж н о назначать пользователям и компьютерам
и л и п у б л и к о в а т ь д л я пользователей, чтобы те могли установить программу
из п а н е л и у п р а в л е н и я . Р а с ш и р е н и е групповой политики Установка про-
г р а м м ( S o f t w a r e I n s t a l l a t i o n ) т а к ж е может управлять повторным разверты-
в а н и е м , о б н о в л е н и е м и у д а л е н и е м приложения.
• Д л я а у д и т а д о с т у п а к ф а й л о в о й системе, доступа к службе каталогов и из-
м е н е н и й с л у ж б ы каталогов необходимо определить политику аудита и эле-
м е н т ы а у д и т а в с п и с к а х S A C L объектов.
Основные термины
З а п о м н и т е п е р е ч и с л е н н ы е д а л е е термины, чтобы лучше понять описываемые
к о н ц е п ц и и .
• П о л и т и к а а у д и т а П а р а м е т р , к о н ф и г у р и р у ю щ и й запись в журнал опера-
ций, с в я з а н н ы х с безопасностью.
• Д е л е г и р о в а н и е Н а з н а ч е н и е администратора. Передача привилегий для
в ы п о л н е н и я а д м и н и с т р а т и в н ы х задач.
• Р а с ш и р я е м ы й я з ы к р а з м е т к и X M L ( E x t e n s i b l e M a r k u p L a n g u a g e )
А б б р е в и а т у р а от S t a n d a r d Generalized M a r k u p Language ( S G M L ) . Язык
X M L п о з в о л я е т в ы п о л н я т ь гибкое развертывание определяемых пользо-
вателем т и п о в документов, а т а к ж е обеспечивает общедоступный неизмен-
н ы й и к о н т р о л и р у е м ы й ф а й л о в ы й ф о р м а т д л я хранения и передачи текста
и д а н н ы х в И н т е р н е т е .
• Б р а н д м а у э р П р о г р а м м н ы й и л и аппаратный продукт, предназначенный
д л я и з о л и р о в а н и я с и с т е м ы и л и сети от еще одной сети. Эта технология
т р а д и ц и о н н о и с п о л ь з у е т с я д л я з а щ и т ы частной сети от вторжения из Ин-
тернета и теперь включена в Windows в виде оснастки Брандмауэр Windows
в р е ж и м е п о в ы ш е н н о й б е з о п а с н о с т и ( W i n d o w s Firewall With Advanced
Security). Б р а н д м а у э р и н с п е к т и р у е т входящие и исходящие пакеты и на
основе п р а в и л определяет, к а к и м пакетам разрешено проходить периметр
брандмауэра.
[ 358 Параметры групповой политики
Глава 7
• Протокол облегченного доступа к каталогам L D A P ( L i g h t w e i g h t D i r e c t o r y
Access P r o t o c o l ) Н а ч а л ь н ы й протокол д о с т у п а в Active Directory. Про-
токол L D A P версии 3 определен набором д о к у м е н т о в P r o p o s e d S t a n d a r d
в документации R F C 2251 с п е ц и а л ь н о й к о м и с с и и и н т е р н е т – р а з р а б о т о к
IETF (Engineering Task Force).
• Л о к а л ь н ы й о б ъ е к т г р у п п о в о й п о л и т и к и О б ъ е к т г р у п п о в о й п о л и т и к и
( G P O ) , который есть на к а ж д о м к о м п ь ю т е р е W i n d o w s . П а р а м е т р ы в ло-
кальном объекте G P O з а м е н я ю т с я п а р а м е т р а м и о б ъ е к т о в G P O с л у ж б ы
каталогов Active Directory.
• Шаблон безопасности К о л л е к ц и я п а р а м е т р о в н а с т р о й к и безопасности,
которая хранится в текстовом ф а й л е с р а с ш и р е н и е м .inf. Д л я с о з д а н и я
базы данных на основе шаблона безопасности и а н а л и з а с о о т в е т с т в и я ком-
пьютера параметрам в этом ш а б л о н е , а т а к ж е д л я п р и м е н е н и я ш а б л о н а
к компьютеру можно использовать оснастку А н а л и з и н а с т р о й к а безопас-
ности (Security Configuration And Analysis).
а Служба Процесс, который в ы п о л н я е т к о н к р е т н у ю с и с т е м н у ю ф у н к ц и ю
для поддержки приложений или других служб. В к а ч е с т в е п р и м е р о в служб
можно привести Доменные с л у ж б ы Active D i r e c t o r y ( A c t i v e D i r e c t o r y Do-
main Services), Р е п л и к а ц и я D F S ( D F S R e p l i c a t i o n ) , С е т е в о й в х о д (Net-
logon), Сервер (Server), П л а н и р о в щ и к з а д а н и й (Task S c h e d u l e r ) и Ж у р н а л I
событий Windows (Windows E v e n t Log).
• Пакет установщика W i n d o w s I n s t a l l e r ( ф а й л . m s i ) Б а з а д а н н ы х , содер-
жащая инструкции по установке и у д а л е н и ю о д н о г о и л и н е с к о л ь к и х при-
ложений.
• Трансформация у с т а н о в щ и к а W i n d o w s I n s t a l l e r ( ф а й л . m s t ) Ф а й л , ко-
торый настраивает пакет установщика W i n d o w s Installer. Н е к о т о р ы е прило-
жения поддерживают трансформации, п о з в о л я ю щ и е а в т о м а т и з и р о в а т ь или
конфигурировать установку п р и л о ж е н и й (см. п а к е т у с т а н о в щ и к а Windows
Installer).
Сценарии
В следующих сценариях предполагается, что вы с м о ж е т е п р и м е н и т ь полу-
ченные знания в области у п р а в л е н и я п а р а м е т р а м и б е з о п а с н о с т и и установки
программного обеспечения с п о м о щ ь ю г р у п п о в о й п о л и т и к и и аудита. Ответы
на вопросы можно найти в разделе « О т в е т ы » в к о н ц е к н и г и .
Сценарий 1. Установка программного обеспечения
с помощью групповой политики
Будучи администратором в компании Contoso, Ltd, вы собираетесь развернуть
новое приложение для пользователей в м о б и л ь н о м отделе п р о д а ж и хотите ис-
пользовать для установки программы групповую политику. В Active Directory
все пользователи расположены в подразделении С л у ж а щ и е , а учетные записи
всех клиентских компьютеров – в п о д р а з д е л е н и и К л и е н т ы . П р и л о ж е н и е ли-
цензировано для машины. Когда персонал отдела п р о д а ж находится в офисе,
сотрудники входят в другие системы, такие как к о м п ь ю т е р ы в конференц-зале.
Сценарии 3 5 9
Поскольку н у ж н о установить п р и л о ж е н и е только на настольных компьютерах и
ноутбуках отдела продаж, вы создали трансформацию, которая автоматизирует
у с т а н о в к у п а к е т а у с т а н о в щ и к а W i n d o w s Installer приложения.
1. В к а к о й с е к ц и и G P O следует создать пакет д л я п р и л о ж е н и я – Конфигура-
ц и я к о м п ь ю т е р а ( C o m p u t e r Configuration) и л и Конфигурация пользователя
( U s e r C o n f i g u r a t i o n ) ? П о ч е м у ?
2. К а к о й т и п р а з в е р т ы в а н и я с л е д у е т в ы б р а т ь при создании пакета – Пуб-
л и ч н ы й ( P u b l i s h e d ) , Н а з н а ч е н н ы й ( A s s i g n e d ) и л и О с о б ы й (Advanced)?
П о ч е м у ?
3. Как н а з н а ч и т ь область д е й с т в и я объекта G P O , чтобы он применялся только
к м о б и л ь н ы м п о л ь з о в а т е л я м отдела п р о д а ж ?
Сценарий 2. Настройка безопасности
Вы я в л я е т е с ь а д м и н и с т р а т о р о м в к о м п а н и и Contoso, Ltd и обеспечиваете тех-
н и ч е с к у ю п о д д е р ж к у д в а д ц а т и с е р в е р о в отдела Кадры, которые распределены
в семи г л о б а л ь н ы х узлах. П а п к а Ж а л о в а н и е реплицируется на сервер в каждом
узле. П о с к о л ь к у она с о д е р ж и т у я з в и м у ю и н ф о р м а ц и ю о компенсации служа-
щим, н е о б х о д и м о о б е с п е ч и т ь ее безопасность и выполнять аудит несанкциони-
р о в а н н ы х п о п ы т о к п о л у ч и т ь к ней доступ. Вы применили разрешения NTFS,
которые р а з р е ш а ю т д о с т у п к п а п к а м Ж а л о в а н и е л и ш ь соответствующему пер-
соналу отдела кадров, п р и ч е м д о с т у п запрещен даже группе Администраторы
( A d m i n i s t r a t o r s ) на с е р в е р а х . Е с т е с т в е н н о , ч л е н ы группы администраторов
серверов всегда могут и з м е н и т ь владельца ресурса и назначить себе разрешения
доступа, о д н а к о вы без т р у д а м о ж е т е в ы п о л н я т ь аудит таких операций. Для
п о в ы ш е н и я безопасности этих серверов и их уязвимых данных требуется, чтобы
т о л ь к о в а ш а у ч е т н а я з а п и с ь и у ч е т н а я запись вице-президента отдела кадров
б ы л и в к л ю ч е н ы в г р у п п у а д м и н и с т р а т о р о в сервера. Учетная запись вице-пре-
з и д е н т а будет и с п о л ь з о в а т ь с я к а к р е з е р в н а я на случай вашего отсутствия.
Необходимо р а з в е р н у т ь э т у к о н ф и г у р а ц и ю на всех семи серверах, не выполняя
к а ж д у ю о п е р а ц и ю в р у ч н у ю . П р и э т о м вам не делегированы разрешения созда-
вать и л и м о д и ф и ц и р о в а т ь о б ъ е к т ы групповой политики в организации.
1. Вы д о л ж н ы в ы п о л н я т ь а у д и т н е с а н к ц и о н и р о в а н н ы х попыток доступа
к папке Ж а л о в а н и е . Вам т а к ж е необходимо выполнять аудит всех попыток
доступа к э т о й п а п к е ч л е н а м и г р у п п ы Администраторы (Administrators)
сервера, в к л ю ч а я с м е н у в л а д е л ь ц а э т о й папки. Какие элементы аудита
н у ж н о о т к о н ф и г у р и р о в а т ь д л я папки Ж а л о в а н и е ?
2 . К а к о й п а р а м е т р п о л и т и к и н у ж н о о т к о н ф и г у р и р о в а т ь д л я ограничения
членства г р у п п ы А д м и н и с т р а т о р ы (Administrators)? Можно ли с помощью
этой п о л и т и к и у д а л и т ь у ч е т н у ю запись Администратор (Administrator)?
3. Какие п о л и т и к и аудита н у ж н о отконфигурировать?
4. Как развернуть эту к о н ф и г у р а ц и ю на семи серверах без использования
групповой п о л и т и к и ?
5. Могут ли п а р а м е т р ы в объектах групповой политики Active Directory за-
менить в а ш и п а р а м е т р ы ? Если да, то как время от времени отслеживать
серверы, чтобы их к о н ф и г у р а ц и я не изменялась?
[ 360 Параметры групповой политики
Глава 7
Практические задания
Д л я успешной сдачи с е р т и ф и к а ц и о н н о г о э к з а м е н а в ы п о л н и т е у п р а ж н е н и я ,
предложенные ниже.
Группы с ограниченным доступом
Для выполнения упражнений в домене Active D i r e c t o r y д о л ж н ы б ы т ь созданы
следующие объекты:
• подразделение первого у р о в н я А д м и н и с т р а т о р ы ;
• два дочерних подразделения О б ъ е к т ы и д е н т и ф и к а ц и и и Группы в подраз-
делении Администраторы;
• глобальная группа безопасности С п р а в к а в п о д р а з д е л е н и и А д м и н и с т р а т о -
рыГруппы администраторов;
• глобальная группа безопасности П о д д е р ж к а N Y C в п о д р а з д е л е н и и Адми-
нистраторыГруппы администраторов;
• одна или несколько у ч е т н ы х з а п и с е й п о л ь з о в а т е л е й в п о д р а з д е л е н и и
АдминистраторыОбъекты и д е н т и ф и к а ц и и , п р е д с т а в л я ю щ и е сотрудников
корпоративного отдела справки ( э т и п о л ь з о в а т е л и д о л ж н ы б ы т ь членами
группы Справка);
• один или несколько пользователей в п о д р а з д е л е н и и А д м и н и с т р а т о р ы О б ъ -
екты идентификации, которые п р е д с т а в л я ю т ч л е н о в к о м а н д ы п о д д е р ж к и
настольных систем в Н ы о – Й о р к е (эти п о л ь з о в а т е л и д о л ж н ы б ы т ь членами
группы Поддержка NYC);
• подразделение первого у р о в н я К л и е н т ы ;
• дочернее подразделение NYC в п о д р а з д е л е н и и К л и е н т ы ;
• объект компьютера D E S K T O P l O l в п о д р а з д е л е н и и К л и е н т ы Н У С .
В этих упражнениях предлагается создать о п т и м а л ь н у ю с т р у к т у р у д л я де-
легирования и поддержки клиентских компьютеров, о т к о н ф и г у р и р о в а т ь группу
Администраторы (Administrators) на к л и е н т с к и х к о м п ь ю т е р а х и включить в нее
корпоративную группу Справка, а т а к ж е г р у п п у п о д д е р ж к и в соответствии
с географическим р а с п о л о ж е н и е м сайта. Группа А д м и н и с т р а т о р ы не будет
включена в группу Администраторы д о м е н а ( D o m a i n A d m i n s ) .
• Упражнение i В этом у п р а ж н е н и и вы с о з д а д и т е п р о м е ж у т о ч н ы е группы
для управления делегированием а д м и н и с т р а т и в н ы х задач. В подразделении
АдминистраторыГруппы администраторов создайте две л о к а л ь н ы е группы
безопасности домена: S Y S _ C l i e n t s _ A d m i n s и S Y S _ N Y C _ A d m i n s . Добавьте
группу Справка в группу SYS_Clients_Admins, а г р у п п у Поддержка NYC —
в группу SYS_NYC_Admins.
• Упражнение 2 Создайте объект G P O , к о т о р ы й определяет в качестве чле-
нов группы Администраторы ( A d m i n i s t r a t o r s ) только группу SYS_Clients__
Admins. Инструкции можно н а й т и в у п р а ж н е н и и 2 з а н я т и я 1. В этом уп-
ражнении необходимо создать п о л и т и к у г р у п п с о г р а н и ч е н н ы м доступом,
для группы Администраторы ( A d m i n i s t r a t o r s ) , и с п о л ь з у ю щ е й параметр
Практические задания 3 6 1
Ч л е н ы э т о й г р у п п ы ( M e m b e r s Of This G r o u p ) и указывающей группу SYS_
C l i e n t s _ A d m i n s . З а д а й т е область д е й с т в и я д л я применения G P O к о всем
к о м п ь ю т е р а м в п о д р а з д е л е н и и К л и е н т ы .
• У п р а ж н е н и е 3 Э т о у п р а ж н е н и е похоже на упражнение 3 занятия 1. Со-
з д а й т е о б ъ е к т G P O , к о т о р ы й назначает группу SYS_NYC_Admins членом
г р у п п ы А д м и н и с т р а т о р ы (Administrators), а затем – политику групп с огра-
н и ч е н н ы м д о с т у п о м д л я г р у п п ы S Y S _ N Y C _ A d m i n s , которая использует
п а р а м е т р Эта группа я в л я е т с я ч л е н о м в (This Group Is A Member Of) и ука-
з ы в а е т группу А д м и н и с т р а т о р ы (Administrators). Задайте область действия
