Навигация
Системное Администрирование Решения на открытых кодах Структура сети Компьютерные сети малых предприятий Сеть с централизованным управлением Управление с помощью групповых политик Организация почтового обслуживания Взаимодействие с глобальной сетью Безопасность Виртуализация Парядок настройки и определения неисправностей Средства управления системами Автоматизация установки программного обестичения Решение проблем с компьютером Разное
 
 
Избранное
Pathping. Traceroute на стероидах.
FreeNAS: создаём сетевое хранилище (NAS)
Iperf - утилита для тестирования пропускной способности сети.
Средство против «сетевой слепоты»
Преимущества и недостатки RAID 6
Дисковые массивы RAID
Надежнее, чем RAID 5
Унификация корпоративных коммуникаций
Exchange и SAN: не все так просто
Cisco против Meru
 
 
Управление с помощью групповых политик » Групповые политики - Пять главных параметров безопасности в групповой политике для Windows Server 2008

Имея пять тысяч параметров в улучшенной и обновленной групповой политике, которая идет с Windows Server 2008, можно немного запутаться, думая над тем, какие параметры наиболее важны для вас и вашей сети. Компания Microsoft действительно проделала отличную работу над некоторыми параметрами, поскольку они избавляют от проблем и защищают компьютеры именно таким образом, какого мы всегда хотели, но для реализации которого у нас не было инструментов. Использование этих параметров безопасности на ваших компьютерах повысит общую безопасность, снижая потенциальную возможность атак. Некоторые параметры поддерживаются только в Windows Vista, другие же являются обратно совместимыми с Windows XP SP2.

Контролирование принадлежности к группе локальных администраторов

Одним из самых небезопасных параметров безопасности, который может быть предоставлен конечному пользователю, является доступ к локальному администрированию. Добавление пользователя в локальную группу администраторов предоставляет этому пользователю практически полный контроль над компьютером. Пользователь может осуществлять практически любые действия, даже если сеть настроена на запрещение такого доступа. Действия, которые пользователь может выполнять, имея доступ локального администратора, включают, но не ограничиваются, следующим:

  • Удаление компьютера из домена
  • Изменение любых параметров системного реестра
  • Изменение разрешений для любой папки или файла
  • Изменение любых системных параметров, включая параметры, которые находятся в файлах в системной папке
  • Установка любых приложений
  • Удаление приложений, патчей безопасности или пакетов обновления
  • Доступ к любым веб сайтам, разрешенным брандмауэром
  • Загрузка и установка элементов управления ActiveX, веб приложений или других вредоносных приложений, скачанных из интернета

Хотя существует потребность в пользователях с правами администраторов, чтобы обеспечить работу некоторых приложений, такой тип доступа очень опасен и подвергает машину и всю сеть потенциальным прорехам в безопасности и атакам.

Благодаря групповой политике сервера Windows 2008, текущего пользователя можно удалить из группы локальных администраторов с помощью одной политики. Этот параметр управляет Windows XP SP2 и более новыми ОС. Этот параметр относится к новым параметрам привилегий групповой политики (Group Policy Preferences). Чтобы получить доступ к этому параметру, откройте объект групповой политики и разверните ветвь:

Конфигурация пользователя\Привилегии\Панель управления

Далее правой клавишей нажмите «Локальные пользователи или группы». Из меню выберите «Новый – Локальная группа». У вас откроется диалоговое окно, как показано на рисунке 1.

 

Пять главных параметров безопасности в групповой политике для Windows Server 2008

Рисунок 1: Привилегия групповой политики для локальной группы

Чтобы настроить политику, впишите «Администратор» в текстовое окно «Группа», затем отметьте флажком опцию 'Удалить текущего пользователя'. После обновления групповой политики, все учетные записи пользователей, входящих в рамки управления GPO, в котором настроен этот параметр, будут удалены из локальной группы администраторов на том компьютере, на котором они зарегистрированы.

Восстановление пароля локального администратора

Совместно с первым параметром групповой политики необходимо восстановить пароль локального администратора. Это необходимо потому, что пользователь имел привилегии администратора, прежде чем был удален из группы администраторов, и поэтому мог переустановить пароль учетной записи администратора, на известный для него пароль.

Таким образом, после удаления пользовательской учетной записи из локальной группы администраторов, пароль учетной записи локального администратора необходимо восстановить (вернуть в исходное состояние). Если эту настройку осуществить одновременно с удалением пользовательской учетной записи, у пользователя не будет возможности узнать или изменить новый пароль учетной записи администратора.

Этот параметр управляет Windows XP SP2 и более новыми ОС. Он относится к новым параметрам привилегий групповой политики. Чтобы воспользоваться этим параметром, откройте объект групповой политики и разверните:

Конфигурация компьютера\Привилегии\Панель управления

Затем правой клавишей нажмите «Локальные пользователи или группы». Из меню выберите «Новый – Локальный пользователь». У вас откроется диалоговое окно, как показано на рисунке 2.

 

Пять главных параметров безопасности в групповой политике для Windows Server 2008

Рисунок 2: Привилегия групповой политики для локального пользователя

Чтобы настроить политику, впишите «Администратор» в текстовом окне «Имя пользователя», затем введите новый пароль в текстовом окне «Пароль», подтвердив его в текстовом окне «Подтверждение пароля». После следующего обновления групповой политики для всех учетных записей компьютеров, входящих в рамки управления GPO, в котором настраивается этот параметр, будут обновлены пароли учетной записи администратора.

Брандмауэр Firewall с расширенной безопасностью

В прошлом, как пользователи так и администраторы предпочитали не использовать брандмауэр Windows в силу его ограниченных возможностей по сравнению с возможностями других продуктов. Теперь брандмауэр Windows идет с новыми расширенными параметрами безопасности, способными удивить многих.

Новые расширенные возможности безопасности брандмауэра Windows включают не только фильтрацию входящего и исходящего трафика, но и IPSec.

Эти параметры можно использовать только в Windows Vista, которая является единственной ОС, включающей данные опции. Этот параметр относится к области безопасности в групповой политике. Чтобы воспользоваться этим параметром, откройте объект групповой политики и разверните ветвь:

Конфигурация компьютера \ Политики \ Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенной безопасностью

Когда вы развернете ветвь политики, вы увидите три вкладки:

  • Входящие правила (Inbound rules)
  • Исходящие правила (Outbound rules)
  • Правила безопасности подключений (Connection Security Rules)

Если вы нажмете правой клавишей на любой из этих опций, вы сможете выбрать опцию «Новое правило», пример для входящих правил показан на рисунке 3.

Пять главных параметров безопасности в групповой политике для Windows Server 2008

Рисунок 3: Одна из многих страниц мастера настройки входящих правил

UAC

Управление пользовательскими учетными записями (User Account Control – UAC) помогает защитить компьютер, на котором зарегистрирован пользователь и администратор. В моих исследованиях и тестировании UAC идеально подходит для всех администраторов и может быть отличным решением для обычных пользователей. Поскольку UAC в принудительном порядке делает пользователей стандартными пользователями для всех задач, оно помогает защититься от любого приложения или вируса, которые пытаются вписаться в защищенную область компьютера. Это осуществляется путем вывода диалогового окна предупреждения всякий раз, когда к защищенной области компьютера пытается получить доступ какой-либо процесс. Это может быть доступ к приложению, установка приложения, изменение системного реестра, запись в системный файл и т.д.

Это отлично подходит для администраторов, поскольку теперь они могут использовать одну учетную запись пользователя для осуществления своих повседневных задач для ИТ и личного пользования. Для стандартных пользователей единственным способом, когда UAC будет хорошо работать, это ситуация, в которой все приложения на машине могут запускаться без запроса администраторского мандата. В этом случае, пользователь сможет выполнять любые функции и запускать все приложения в качестве стандартного пользователя. Затем, если требуется запустить задачу, запрашивающую администраторский уровень доступа, пользователи могут получить помощь от стола помощи или администратора.

Параметр, управляющий UAC, можно найти в Компьютер Конфигурация\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Опции безопасности, которые показаны на рисунке 4.

Пять главных параметров безопасности в групповой политике для Windows Server 2008

Рисунок 4: Опции групповой политики для управления UAC

Политика паролей

Хотя пароли не столь популярны, как параметры безопасности, возможность управления паролем с помощью групповой политики нельзя исключать из списка пяти главных параметров. Windows Server 2008 также использует групповую политику для определения начальных параметров политики учетной записи, что не изменилось со времен Windows 2000. Параметры изначально задаются политикой домена по умолчанию (Default Domain Policy), но их можно также задать в любом GPO, который связан с доменом. Единственное, о чем нужно помнить, это то, что GPO, содержащий параметры политики учетных записей, должен иметь наиболее высокий приоритет среди всех GPO, связанных с доменом.

Параметры, которые можно задавать, включают параметры, показанные на рисунке 5 и приведенные в таблице 1.

 

Пять главных параметров безопасности в групповой политике для Windows Server 2008

Рисунок 5: Параметры политики паролей в стандартной политике домена

Вот некоторые советы по настройке этих политик:

Параметр политики Минимальное значение Безопасное значение
Минимальный срок действия пароля 1 1
Максимальный срок действия пароля 180 45
Минимальная длина пароля 8 14+
Сложность пароля Включено Включено

Резюме

Опции групповой политики Windows Server 2008 впечатляют. Имея более 5000 параметров, вы устанете от того потенциала, который у вас будет в управлении компьютерами в вашей среде. Из всех этих 5000+ параметров обеспечение должного уровня безопасности для всех компьютеров и пользователей является необходимым. Если вы воспользуетесь параметрами, рассмотренными в этой статье, у вас будет более защищенная компьютерная среда и сеть.

Автор: Дерек Мелбер (Derek Melber)

Оригинал 




 
 
 
 
Поиск по сайту
Google Поиск


Яндекс поиск
 
 
Полезное
 
 
 
 
 
systemzone.ru 2014