Групповая политика

Лекция 6. Групповая политика

Групповая политика (group policy) представляет собой набор конфи­гурационных параметров компьютера и пользовательских параметров. Она позволяет определить программы, доступные пользователям, приложения, значки которых отображаются на рабочем столе, эле­менты меню Start (Пуск), а также функциональность компьютера.

Объекты групповой политики

Чтобы создать конфигурацию рабочего стола для некоторой группы пользователей, вы создаете объекты групповой политики (ОГП) — наборы параметров политики. На каждом компьютере с Windows 2000 имеется один локальный (local) ОГП; кроме того, на компьютер может распространяться действие неограниченного числа нелокальных (nonlocal) ОГП, основанных на службе каталогов Active Directory. Локальный ОГП хранится на компьютере независимо от того, работает ли последний в сети и есть ли сведения о нем в Active Directory.

Тем не менее, поскольку нелокальные ОГП могут перекрывать пара метры локального ОГП, в среде Active Directory эти параметры меньше всего влияют на конфигурацию рабочего стола. В изолированной среде (или в сети без контроллера домена Windows 2000) параметр локального ОГП приоритетнее, поскольку нелокальные ОГП не могут их перекрыть.

Нелокальные ОГП связаны с объектами Active Directory (сайтами доменами или ОП), и их действие может распространяться на компьютеры или пользователей. Для работы с нелокальными ОГП вам по­требуется контроллер домена Windows 2000. В Active Directory правила из нелокальных ОГП суммируются и применяются в соответствии с иерархией: от более крупных группировок (от сайта) к малым (к под­разделению).

Параметры групповой политики

Хранятся в ОГП и определяют конфигурацию рабочего стола Пользователя. Существует два вида параметров групповой политики: конфигурационные параметры компьютера и пользовательские параметры.

Конфигурационные параметры компьютера (computer configuration settings) служат для настройки политик, действие которых распространяется на компьютеры независимо от того, какой пользователь входит в систему; они применяются при инициализации системы.

Рекомендуемые материалы

Пользовательские параметры служат для настройки политик, распространяющихся на пользователей, независимо от компьютеров, на которых те регистрируются; они применяются при регистрации пользователя на компьютере.

Для настройки конфигурационных и пользовательских парамет­ров используются узлы Software Settings (Конфигурация программ) Windows Settings (Конфигурация Windows) и Administrative Templates (Административные шаблоны) оснастки Group Policy.

Узел Software Settings

При настройке конфигурационных параметров компьютера и пользо­вательских параметров по умолчанию этот узел содержит лишь подузел Software Installation (Установка программ), который позволяет определить порядок установки и поддержки приложений в вашей организации. Кроме того, в этот подузел независимые раз­работчики ПО могут добавлять собственные параметры.

Вы управляете приложением из ОГП, который, в свою очередь, связан с определенным контейнером Active Directory — сайтом, до­меном или ОП. Для управления приложением его можно назначить или опубликовать. Назначьте приложение компьютеру, если хотите, чтобы оно было доступно всем пользователям или компьютерам, управляемым данным ОГП. Если вам необходимо предоставлять пользователям, управляемым ОГП, какое-либо приложение по зап­росу, опубликуйте его. Опубликовать приложение для компьютеров нельзя.

Узел Windows Settings

При настройке конфигурационных параметров компьютера и пользовательских параметров этот узел содержит подузлы Scripts (Сценарии) и Security Settings (Параметры безопасности)

Узел Scripts позволяет определить сценарии запуска/выключения компьютера и сценарии входа в систему/завершения сеанса работы. Если компьютеру назначено несколько сценариев запуска/выключения и входа в систему/завершения сеанса работы, Windows 2000 вы­полняет их по порядку. При выключении компь­ютера Windows 2000 обрабатывает сценарии завершения сеанса рабо­ты и затем — сценарии выключения системы.

Администраторы могут использовать любой удобный для них язык сценариев ActiveX, в том числе VBScript, JScript, Perl и пакетные фай­лы MS-DOS (с расширениями .bat и .cmd).

Узел Security Settings (Параметры безопасности) позволяет адми­нистратору вручную настроить уровни безопасности для локальных и нелокальных ОГП. Это делается после или вместо настройки систе­мы защиты компьютера с применением шаблона безопасности.

При конфигурировании пользовательских параметров узел Win­dows Settings также включает подузлы Internet Explorer Maintenance (Поддержка Internet Explorer), Remote Installation Services (Службы Удаленной установки) и Folder Redirection (Перенаправление папки).

Узел Internet Explorer Maintenance позволяет администрировать и на­страивать Microsoft Internet Explorer на компьютерах с Windows 2000.

Службы Remote Installation Services управляют процессом удаленной Установки ОС. Кроме того, эти службы можно использовать для пре­доставления заказных пакетов клиентам Active Directory с операци­онными системами, отличными от Windows 2000

Узел Folder Redirection позволяет перенаправлять спе­циальные папки Windows 2000 — My Documents (Мои документы), Application Data, Desktop (Рабочий стол) и меню Start (Главное меню) - из исходной папки, заданной в профиле пользователя, в альтернативное место в сети, откуда этими папками можно управлять централизованно.

Узел Administrative Templates

При настройке конфигурационных параметров компьютера и пользо­вательских параметров этот узел содержит все параметры политики, хранящиеся в реестре, в том числе параметры из подузлов Windows Components (Компоненты Windows), System (Система) и Network (Сеть).

Узел Windows Components позволяет администри­ровать компоненты Windows 2000, включая NetMeeting, Internet Ex­plorer, Windows Explorer (Проводник), Microsoft Management Console (Консоль управления Microsoft), Task Scheduler (Планировщик зада­ний) и Windows Installer (Установщик Windows).

Узел System приме­няется для управления функциями входа в систему и завершения се­анса работы, а также для управления самой групповой политикой.

Узел Network содержит подузлы Offline Files (Автономные файлы) и Network and Dial-Up Connections (Сеть и удаленный доступ к сети).

При настройке конфигурационных параметров компьютера узел Administrative Templates содержит также подузел Printers (Принтеры)-Кроме того, узел System содержит подузлы Disk Quotas (Дисковые квоты), Domain Name System (DNS) Client (DNS-клиент) и Windows File Protection (Защита файлов Windows).

При конфигурировании пользовательских параметров узел Administrative Templates также содержит дополнительные параметры груп­повой политики, хранимые в реестре, включая подузлы Start Menu & Taskbar (Панель задач и меню «Пуск»), Desktop (Рабочий стол) и Control Panel (Панель управления).

В узле Administrative Templates более 450 параметров предназначены ддя конфигурирования среды пользователя. Конфигурационные пара­метры компьютера сохраняются в разделе реестра HKEY_LOCAL_MA-CH1NE (HKLM), а пользовательские - в разделе HKEY_CURRENT_ USER(HKCU).

Влияние групповой политики на загрузку компьютера и регистрацию пользователя в системе

1. Восстанавливаются сетевые подключения. Загружаются службы Remote Procedure Call System Service (RPCSS) и Multiple Universal Naming Convention Provider (MUP).

2. Для компьютера загружается упорядоченный список ОГП, содер­жимое которого зависит от следующих факторов:

• состоит ли компьютер в домене Windows 2000 и распространяется ли на него действие групповой политики через службу Active Directory;

• от местоположения компьютера в службе каталогов Active Di­rectory;

• если список ОГП не изменился, он не обрабатывается. Для изменения этого поведения настройте соответствующим обра­зом параметры групповой политики.

3. Обрабатываются конфигурационные параметры компьютера. По-умолчанию это выполняется синхронно и в следующем порядке:

локальный ОГП, ОГП сайта, ОГП домена, ОГП подразделения и т. д. До завершения обработки интерфейс пользователя не отобра­жается.

4. Выполняются сценарии загрузки. По умолчанию это происходит в скрытом режиме и синхронно; перед выполнением следующего сценария должен завершиться текущий сценарий, или должен наступить тайм-аут для текущего сценария.

5 Пользователь нажимает Ctrl+Alt+Del для входа в систему.

6 После проверки имени и пароля загружается профиль пользова­теля, на который распространяются параметры локальной груп­повой политики.

7 Для пользователя загружается упорядоченный список ОГП, содер­жимое которого зависит от следующих факторов:

• является ли пользователь членом домена Windows 2000 и рас­пространяется ли на него действие групповой политики через службы Active Directory;

• включено ли замыкание на себя, а также в каком режиме (Merge или Replace).

• от местоположения пользователя в службе каталогов Active Directory;

• если список ОГП не изменился, он не обрабатывается. Для изменения этой ситуации настройте соответствующим образом параметры групповой политики.

8. Обрабатываются пользовательские параметры. По умолчанию это выполняется синхронно и в следующем порядке: локальный ОГП, ОГП сайта, ОГП домена, ОГП подразделения и т. д. До заверше­ния обработки интерфейс пользователя не отображается.

9. Выполняются сценарии входа в систему. Сценарии входа, основанные на групповой поли­тике, по умолчанию выполняются в скрытом режиме и асинхрон­но. Сценарий объекта пользователя выполняется последним.

10. Отображается пользовательский интерфейс ОС, соответствующий групповой политике.

Порядок обработки групповой политики

Настройки групповой политики обрабатываются в порядке, описан­ном ниже.

1 Локальный ОГП — на каждом компьютере с Windows 2000 имеет­ся один ОГП, хранящийся локально.

2 ОГП сайта — следующими обрабатываются любые ОГП, настро­енные для сайта. Обработка осуществляется синхронно; порядок обработки определяется администратором.

3 ОГП домена — обработка всех ОГП, настроенных для домена, осу­ществляется синхронно; порядок обработки определяется админи­стратором.

4 ОГП организационной единицы — первыми обрабатываются ОГП связанные с ОП, расположенными выше всех в иерархии Active Directory. Затем обрабатываются ОГП ОП более низкого уровня и т. д. Последними обрабатываются ОГП, связанные с ОП, куда входят пользователи или компьютеры.

Исключения в порядке обработки по умолчанию

· Компьютер, состоящий в рабочей группе, обрабатывает только ло­кальный ОГП.

· No Override (He перекрывать). Для любого ОГП, связанного с сай­том, доменом или подразделением (но не локальным ОГП), раз­решается задать параметр No Override по отношению к сайту, до­мену или подразделению так, что, ни один из параметров полити­ки не будет перезаписан. При назначении более чем одному ОГП параметра No Override приоритет имеет наивысший в иерархии Active Directory параметр (или наивысший в иерархии, заданной ад­министратором на каждом определенном уровне в Active Directory).

· Block Policy Inheritance (Блокировать наследование политики). Для наследования групповой политики любого сайта, домена или под­разделения достаточно выборочно пометить флажок Block Policy Inheritance. Впрочем, параметры ОГП, для которых задан параметр No Override, применяются всегда, их нельзя блокировать. Параметр Block Policy Inheritance применяется непосредственно к сайту, домену или подразделению. Он неприменим ни к ОГП, ни к ссылкам на ОГП. Таким образом, Block Policy Inheritance пре­дотвращает все попытки распространения параметров групповой политики на сайт, домен или подразделение от высшего иерархи­ческого уровня (по ссылке на родительский объект в иерархии Active Directory), вне зависимости от того, где в иерархии были заданы эти параметры.

· Loopback (Замыкание на себя) — дополнительный параметр груп­повой политики, который необходим на компьютерах в среде, тре­бующей нестандартной организации управления. Замыкание на себя — альтерна­тивный способ получения упорядоченного списка ОГП, парамет­ры пользовательской конфигурации которых влияют на среду пользователя. По умолчанию пользовательские параметры берут­ся из списка ОГП, зависящего от расположения объекта пользо­вателя в иерархии Active Directory. Параметр замыкания на себя, как и любой другой параметр полити­ки, может иметь одно из трех состояний: Not Configured (На задана), Enabled (Включена) или Disabled (Отключена). В состоянии Enabled действуют параметры Merge (Слияние) или Replace (Замена).

• Замыкание на себя с заменой. В этом случае список ОГП для данного пользователя полностью заменяется списком ОГП полученным для компьютера при его загрузке. ОГП компьютера заменяют пользовательские ОГП, которые обычно применяют­ся к данному пользователю.

• Замыкание на себя со слиянием. В этом случае список ОГП объединяется. Список ОГП, полученный для компьютера при его загрузке (см. пункт 2 в разделе «Влияние групповой поли­тики на загрузку компьютера и регистрацию пользователя в системе») добавляется к списку ОГП, полученному для пользо­вателя при его регистрации (пункт 7). Список ОГП для компь­ютера применяется позже и поэтому при возникновении кон­фликтов с параметрами, указанными в пользовательском спис­ке, имеет приоритет.

Наследование групповой политики

В общем, групповая политика передается от родительских к дочер­ним контейнерам. Если определенная групповая политика назначена на верхнем уровне родительского контейнера, то она применяется для всех контейнеров ниже родительского, включая объекты пользовате­лей и компьютеров в каждом контейнере. Однако при применении определенной групповой политики к дочернему контейнеру эта по­литика будет более приоритетной, чем наследуемая от родительского контейнера.

Ненастроенные параметры политики для родительского подраз­деления не наследуются дочерним подразделением. Отключенные параметры политики наследуются как отключенные. Если политика настроена для родительского подразделения, но не настроена для до­чернего, то дочернее подразделение наследует ее от родительского.

Если родительская и дочерняя политики совместимы, то помимо параметров родительской политики применяются и параметры дочер­ней. Политики наследуются до тех пор, пока они совместимы. На­пример, если родительская политика помещает определенную папку на рабочий стол, а дочерняя политика помещает на рабочий стол еще одну папку, то пользователь увидит обе папки.

Конфигурация безопасности

Расширение Security Settings (Параметры безопасности) оснастки Group Policy (Групповая политика) применяется для настройки конфигурации безопасности компьютеров и групп. На этом занятии усматриваются параметры конфигурации безопасности.

Параметры конфигурации безопасности

Конфигурация безопасности (security configuration) содержит парамет­ры для всех областей безопасности (security area) Windows 2000. В рас­ширении Security Settings оснастки Group Policy можно настроить параметры безопасности для нелокальных ОГП из следующих узлов:

• Account policies (Политики учетных записей);

• Local policies (Локальные политики);

• Event log (Журнал событий);

• Restricted groups (Группы с ограниченным доступом);

• System services (Системные службы);

• Registry (Реестр);

• File system (Файловая система);

• Public key policies (Политики открытого ключа);

' IP security policies (Политики безопасности IP).

Узел Account Policies

Политики из этого узла распространяются на учетные записи пользо­вателей. К атрибутам этого узла относятся:

· Password Policy (Политика паролей) — определяет параметры па­рольной защиты для доменных или локальных учетных записей, например обязательный ввод пароля или срок его действия;

· Account Lockout Policy (Политика блокировки учетной записи) — определяет, когда и какие доменные или локальные учетные за­писи будут заблокированы;

· Kerberos Policy (Политика Kerberos) — определяет параметры про­токола Kerberos для доменных учетных записей, например срок жизни билета или принудительные ограничения на вход пользо­вателей.

Узел Local Policies

Содержит параметры безопасности компьютера, на котором работает приложение или пользователь. Локальные политики определяются компьютером, на котором регистрируется пользователь, и разреше­ниями, которые ему предоставлены на данном компьютере. Данная область безопасности содержит следующие атрибуты:

• Audit Policy (Политика аудита) — определяет события, которые ре­гистрируются в журнале безопасности (успешные, неудачные и теи другие). Журнал безопасности является частью оснастки EventViewer (Просмотр событий);

• User Rights Assignment (Назначение прав пользователя) — опреде­ляет, какие пользователи и группы обладают правами на вход в систему и выполнение задач;

• Security Options (Параметры безопасности) — включают или отклю­чают такие параметры безопасности для компьютера, как цифро­вая подпись данных, имена учетных записей Administrator (Адми­нистратор) и Guest (Гость), доступ к флоппи-дисководам и при­

водам CD-ROM, установка драйверов и приглашения на вход в систему.

Локальные политики, по определению, применяются к локально­му компьютеру. Локальные параметры, импортированные в ОГП Active Directory, влияют на локальные параметры безопасности каж­дого компьютера, к которому применяется данный ОГП.

Узел Event Log

В этой области безопасности определяются атрибуты, относящиеся К журналам Application (Журнал приложений), Security (Журнал безопасности) и System (Журнал системы): максимальный размер, права доступа к каждому журналу, а также способы их хранения.

Узел Restricted Groups

Данная возможность является новым важным средством безопаснос­ти, распространяющимся на членов группы. Группы с ограниченным доступом автоматически обеспечивают безопасность на основе член­ства в стандартных группах Windows 2000, таких, как Administrators (Администраторы), Power Users (Опытные пользователи), Print Ope­rators (Операторы печати), Server Operators (Операторы сервера) и Domain Admins (Администраторы домена), автоматически включены в состав Restricted Groups. Позже в список безопасности групп с ог­раниченным доступом можно добавить другие требуемые группы или Разрешения.

узел Public Key Policies

Эта область безопасности предназначена для настройки агентов восстановления шифрованных данных, доменных корней и доверенных центров сертификации.

Узел IP Security Policies

Эта область безопасности предназначена для настройки безопасного обмена данными в IP-сетях.

Аудит

Под аудитом (auditing) в Windows 2000 подразумевается процесс кон­троля действий пользователей и операционной системы, которые на­зываются событиями (events). Посредством аудита определяются со­бытия, которые необходимо записать в журнал безопасности, напри­мер попытки законного и незаконного входа в систему, события, свя­занные с созданием, открытием или удалением файлов, и др. Каждая запись в журнале безопасности содержит следующую информацию:

• описание действия;

• имя пользователя, который его совершил;

• время и результат (успех или неудача) события.

Использование политики аудита

Политика аудита (audit policy) определяет категории событий, кото­рые записываются в журнал безопасности каждого компьютера. Журнал безопасности позволяет регистрировать любые события, которые вы укажете.

Событие записывается в журнал безопасности того компьютера, где оно произошло. Например, неудачная попытка войти в компьютер домена фиксируется в журнале безопасности контроллера домена, так как именно он не смог удостовериться в личности пользователя-Политика аудита позволяет:

• выявить успешные и неудачные события, например попытки войти в систему, доступ к определенным файлам, изменение учетных записей пользователей, членство групп и другие параметры безо­пасности;

• устранить или минимизировать риск непредусмотренного исполь­зования ресурсов.

Рекомендации по настройке политики аудита

при планировании политики аудита необходимо определить компь­ютеры, подлежащие аудиту, и события, которые требуется на них ре­гистрировать. По умолчанию аудит выключен.

После определения подлежащих аудиту событий необходимо выб­рать, какие события стоит регистрировать: успешные, неудачные или и те, и другие. Регистрация успешных событий покажет, как часто пользователи и операционная система обращаются к файлам, прин­терам и другим объектам. Эта информация пригодится при планиро­вании использования ресурсов. Регистрация неудачных событий вы­явит нарушения безопасности. Например, при обнаружении несколь­ких неудачных попыток доступа, особенно в нерабочее время, можно сделать вывод, что кто-то пытается проникнуть в систему.

Правила, которыми следует руководствоваться при настройке политики аудита:

• Определите, собираетесь ли вы контролировать тенденции исполь­зования системы. В этом случае надо архивировать журналы собы­тий. Это позволит проследить изменение использования систем­ных ресурсов во времени и нарастить их до того, как выявится их нехватка.

• Регулярно просматривайте журнал безопасности. Для этого составь­те расписание и следуйте ему. Ведь одного аудита недостаточно Для обнаружения нарушений режима безопасности.

• Политика аудита должна быть полезна и управляема. Всегда выпол­няйте аудит уязвимых и конфиденциальных данных. Регистрируй­те только те события, которые содержат существенную информа­цию.

• Настройте аудит доступа к ресурсам для группы Everyone, а не для группы Users. Таким образом, вы проведете аудит доступа, всех, кто подключается по сети, а не только пользователей, для которых созданы учетные записи. Настройте также аудит неудачных попыток доступа для группы Everyone.

• Настройте аудит всех действий администраторов. Это позволит выявить все дополнения или изменения, сделанные администратором.

рами.

События, аудит которых рекомендован

Событие, подлежащее аудиту - Потенциальная угроза

Неудачные попытки входа/выхода из системы - Взлом путем подбора пароля

Рекомендация для Вас - 4. Воспроизводство населения, рождаемость.

Успешные попытки входа/выхода из системы - Взлом с помощью украденного пароля

Применение пользователем своих прав, управление пользо­вателями и группами, измене­ние политики безопасности, включение и выключение компьютера, системные события - Злоупотребление привилегиями

События, связанные с доступом - доступ к файлам и другим объектам

Аудит доступа на чтение или запись секретных файлов из Диспетчера файлов подозритель­ными пользователями или группами - Несанкционированный доступ к файлам

Аудит успешного и неуспешного доступа к файловым принтерам а также аудит событий доступа к объектам. Аудит доступа к принтерам через Диспетчер печати подозрительными пользователями или группами - Несанкционированный доступ

События, связанные с записью программных файлов (.ехе или dll). События, генерируемые процессами. Запуск определен­ных программ. Попытки изменения программных файлов и создания непредусмотренных процессов - Заражение данных вирусом