Групповая политика
Лекция 6. Групповая политика
Групповая политика (group policy) представляет собой набор конфигурационных параметров компьютера и пользовательских параметров. Она позволяет определить программы, доступные пользователям, приложения, значки которых отображаются на рабочем столе, элементы меню Start (Пуск), а также функциональность компьютера.
Объекты групповой политики
Чтобы создать конфигурацию рабочего стола для некоторой группы пользователей, вы создаете объекты групповой политики (ОГП) — наборы параметров политики. На каждом компьютере с Windows 2000 имеется один локальный (local) ОГП; кроме того, на компьютер может распространяться действие неограниченного числа нелокальных (nonlocal) ОГП, основанных на службе каталогов Active Directory. Локальный ОГП хранится на компьютере независимо от того, работает ли последний в сети и есть ли сведения о нем в Active Directory.
Тем не менее, поскольку нелокальные ОГП могут перекрывать пара метры локального ОГП, в среде Active Directory эти параметры меньше всего влияют на конфигурацию рабочего стола. В изолированной среде (или в сети без контроллера домена Windows 2000) параметр локального ОГП приоритетнее, поскольку нелокальные ОГП не могут их перекрыть.
Нелокальные ОГП связаны с объектами Active Directory (сайтами доменами или ОП), и их действие может распространяться на компьютеры или пользователей. Для работы с нелокальными ОГП вам потребуется контроллер домена Windows 2000. В Active Directory правила из нелокальных ОГП суммируются и применяются в соответствии с иерархией: от более крупных группировок (от сайта) к малым (к подразделению).
Параметры групповой политики
Хранятся в ОГП и определяют конфигурацию рабочего стола Пользователя. Существует два вида параметров групповой политики: конфигурационные параметры компьютера и пользовательские параметры.
Конфигурационные параметры компьютера (computer configuration settings) служат для настройки политик, действие которых распространяется на компьютеры независимо от того, какой пользователь входит в систему; они применяются при инициализации системы.
Рекомендуемые материалы
Пользовательские параметры служат для настройки политик, распространяющихся на пользователей, независимо от компьютеров, на которых те регистрируются; они применяются при регистрации пользователя на компьютере.
Для настройки конфигурационных и пользовательских параметров используются узлы Software Settings (Конфигурация программ) Windows Settings (Конфигурация Windows) и Administrative Templates (Административные шаблоны) оснастки Group Policy.
Узел Software Settings
При настройке конфигурационных параметров компьютера и пользовательских параметров по умолчанию этот узел содержит лишь подузел Software Installation (Установка программ), который позволяет определить порядок установки и поддержки приложений в вашей организации. Кроме того, в этот подузел независимые разработчики ПО могут добавлять собственные параметры.
Вы управляете приложением из ОГП, который, в свою очередь, связан с определенным контейнером Active Directory — сайтом, доменом или ОП. Для управления приложением его можно назначить или опубликовать. Назначьте приложение компьютеру, если хотите, чтобы оно было доступно всем пользователям или компьютерам, управляемым данным ОГП. Если вам необходимо предоставлять пользователям, управляемым ОГП, какое-либо приложение по запросу, опубликуйте его. Опубликовать приложение для компьютеров нельзя.
Узел Windows Settings
При настройке конфигурационных параметров компьютера и пользовательских параметров этот узел содержит подузлы Scripts (Сценарии) и Security Settings (Параметры безопасности)
Узел Scripts позволяет определить сценарии запуска/выключения компьютера и сценарии входа в систему/завершения сеанса работы. Если компьютеру назначено несколько сценариев запуска/выключения и входа в систему/завершения сеанса работы, Windows 2000 выполняет их по порядку. При выключении компьютера Windows 2000 обрабатывает сценарии завершения сеанса работы и затем — сценарии выключения системы.
Администраторы могут использовать любой удобный для них язык сценариев ActiveX, в том числе VBScript, JScript, Perl и пакетные файлы MS-DOS (с расширениями .bat и .cmd).
Узел Security Settings (Параметры безопасности) позволяет администратору вручную настроить уровни безопасности для локальных и нелокальных ОГП. Это делается после или вместо настройки системы защиты компьютера с применением шаблона безопасности.
При конфигурировании пользовательских параметров узел Windows Settings также включает подузлы Internet Explorer Maintenance (Поддержка Internet Explorer), Remote Installation Services (Службы Удаленной установки) и Folder Redirection (Перенаправление папки).
Узел Internet Explorer Maintenance позволяет администрировать и настраивать Microsoft Internet Explorer на компьютерах с Windows 2000.
Службы Remote Installation Services управляют процессом удаленной Установки ОС. Кроме того, эти службы можно использовать для предоставления заказных пакетов клиентам Active Directory с операционными системами, отличными от Windows 2000
Узел Folder Redirection позволяет перенаправлять специальные папки Windows 2000 — My Documents (Мои документы), Application Data, Desktop (Рабочий стол) и меню Start (Главное меню) - из исходной папки, заданной в профиле пользователя, в альтернативное место в сети, откуда этими папками можно управлять централизованно.
Узел Administrative Templates
При настройке конфигурационных параметров компьютера и пользовательских параметров этот узел содержит все параметры политики, хранящиеся в реестре, в том числе параметры из подузлов Windows Components (Компоненты Windows), System (Система) и Network (Сеть).
Узел Windows Components позволяет администрировать компоненты Windows 2000, включая NetMeeting, Internet Explorer, Windows Explorer (Проводник), Microsoft Management Console (Консоль управления Microsoft), Task Scheduler (Планировщик заданий) и Windows Installer (Установщик Windows).
Узел System применяется для управления функциями входа в систему и завершения сеанса работы, а также для управления самой групповой политикой.
Узел Network содержит подузлы Offline Files (Автономные файлы) и Network and Dial-Up Connections (Сеть и удаленный доступ к сети).
При настройке конфигурационных параметров компьютера узел Administrative Templates содержит также подузел Printers (Принтеры)-Кроме того, узел System содержит подузлы Disk Quotas (Дисковые квоты), Domain Name System (DNS) Client (DNS-клиент) и Windows File Protection (Защита файлов Windows).
При конфигурировании пользовательских параметров узел Administrative Templates также содержит дополнительные параметры групповой политики, хранимые в реестре, включая подузлы Start Menu & Taskbar (Панель задач и меню «Пуск»), Desktop (Рабочий стол) и Control Panel (Панель управления).
В узле Administrative Templates более 450 параметров предназначены ддя конфигурирования среды пользователя. Конфигурационные параметры компьютера сохраняются в разделе реестра HKEY_LOCAL_MA-CH1NE (HKLM), а пользовательские - в разделе HKEY_CURRENT_ USER(HKCU).
Влияние групповой политики на загрузку компьютера и регистрацию пользователя в системе
1. Восстанавливаются сетевые подключения. Загружаются службы Remote Procedure Call System Service (RPCSS) и Multiple Universal Naming Convention Provider (MUP).
2. Для компьютера загружается упорядоченный список ОГП, содержимое которого зависит от следующих факторов:
• состоит ли компьютер в домене Windows 2000 и распространяется ли на него действие групповой политики через службу Active Directory;
• от местоположения компьютера в службе каталогов Active Directory;
• если список ОГП не изменился, он не обрабатывается. Для изменения этого поведения настройте соответствующим образом параметры групповой политики.
3. Обрабатываются конфигурационные параметры компьютера. По-умолчанию это выполняется синхронно и в следующем порядке:
локальный ОГП, ОГП сайта, ОГП домена, ОГП подразделения и т. д. До завершения обработки интерфейс пользователя не отображается.
4. Выполняются сценарии загрузки. По умолчанию это происходит в скрытом режиме и синхронно; перед выполнением следующего сценария должен завершиться текущий сценарий, или должен наступить тайм-аут для текущего сценария.
5 Пользователь нажимает Ctrl+Alt+Del для входа в систему.
6 После проверки имени и пароля загружается профиль пользователя, на который распространяются параметры локальной групповой политики.
7 Для пользователя загружается упорядоченный список ОГП, содержимое которого зависит от следующих факторов:
• является ли пользователь членом домена Windows 2000 и распространяется ли на него действие групповой политики через службы Active Directory;
• включено ли замыкание на себя, а также в каком режиме (Merge или Replace).
• от местоположения пользователя в службе каталогов Active Directory;
• если список ОГП не изменился, он не обрабатывается. Для изменения этой ситуации настройте соответствующим образом параметры групповой политики.
8. Обрабатываются пользовательские параметры. По умолчанию это выполняется синхронно и в следующем порядке: локальный ОГП, ОГП сайта, ОГП домена, ОГП подразделения и т. д. До завершения обработки интерфейс пользователя не отображается.
9. Выполняются сценарии входа в систему. Сценарии входа, основанные на групповой политике, по умолчанию выполняются в скрытом режиме и асинхронно. Сценарий объекта пользователя выполняется последним.
10. Отображается пользовательский интерфейс ОС, соответствующий групповой политике.
Порядок обработки групповой политики
Настройки групповой политики обрабатываются в порядке, описанном ниже.
1 Локальный ОГП — на каждом компьютере с Windows 2000 имеется один ОГП, хранящийся локально.
2 ОГП сайта — следующими обрабатываются любые ОГП, настроенные для сайта. Обработка осуществляется синхронно; порядок обработки определяется администратором.
3 ОГП домена — обработка всех ОГП, настроенных для домена, осуществляется синхронно; порядок обработки определяется администратором.
4 ОГП организационной единицы — первыми обрабатываются ОГП связанные с ОП, расположенными выше всех в иерархии Active Directory. Затем обрабатываются ОГП ОП более низкого уровня и т. д. Последними обрабатываются ОГП, связанные с ОП, куда входят пользователи или компьютеры.
Исключения в порядке обработки по умолчанию
· Компьютер, состоящий в рабочей группе, обрабатывает только локальный ОГП.
· No Override (He перекрывать). Для любого ОГП, связанного с сайтом, доменом или подразделением (но не локальным ОГП), разрешается задать параметр No Override по отношению к сайту, домену или подразделению так, что, ни один из параметров политики не будет перезаписан. При назначении более чем одному ОГП параметра No Override приоритет имеет наивысший в иерархии Active Directory параметр (или наивысший в иерархии, заданной администратором на каждом определенном уровне в Active Directory).
· Block Policy Inheritance (Блокировать наследование политики). Для наследования групповой политики любого сайта, домена или подразделения достаточно выборочно пометить флажок Block Policy Inheritance. Впрочем, параметры ОГП, для которых задан параметр No Override, применяются всегда, их нельзя блокировать. Параметр Block Policy Inheritance применяется непосредственно к сайту, домену или подразделению. Он неприменим ни к ОГП, ни к ссылкам на ОГП. Таким образом, Block Policy Inheritance предотвращает все попытки распространения параметров групповой политики на сайт, домен или подразделение от высшего иерархического уровня (по ссылке на родительский объект в иерархии Active Directory), вне зависимости от того, где в иерархии были заданы эти параметры.
· Loopback (Замыкание на себя) — дополнительный параметр групповой политики, который необходим на компьютерах в среде, требующей нестандартной организации управления. Замыкание на себя — альтернативный способ получения упорядоченного списка ОГП, параметры пользовательской конфигурации которых влияют на среду пользователя. По умолчанию пользовательские параметры берутся из списка ОГП, зависящего от расположения объекта пользователя в иерархии Active Directory. Параметр замыкания на себя, как и любой другой параметр политики, может иметь одно из трех состояний: Not Configured (На задана), Enabled (Включена) или Disabled (Отключена). В состоянии Enabled действуют параметры Merge (Слияние) или Replace (Замена).
• Замыкание на себя с заменой. В этом случае список ОГП для данного пользователя полностью заменяется списком ОГП полученным для компьютера при его загрузке. ОГП компьютера заменяют пользовательские ОГП, которые обычно применяются к данному пользователю.
• Замыкание на себя со слиянием. В этом случае список ОГП объединяется. Список ОГП, полученный для компьютера при его загрузке (см. пункт 2 в разделе «Влияние групповой политики на загрузку компьютера и регистрацию пользователя в системе») добавляется к списку ОГП, полученному для пользователя при его регистрации (пункт 7). Список ОГП для компьютера применяется позже и поэтому при возникновении конфликтов с параметрами, указанными в пользовательском списке, имеет приоритет.
Наследование групповой политики
В общем, групповая политика передается от родительских к дочерним контейнерам. Если определенная групповая политика назначена на верхнем уровне родительского контейнера, то она применяется для всех контейнеров ниже родительского, включая объекты пользователей и компьютеров в каждом контейнере. Однако при применении определенной групповой политики к дочернему контейнеру эта политика будет более приоритетной, чем наследуемая от родительского контейнера.
Ненастроенные параметры политики для родительского подразделения не наследуются дочерним подразделением. Отключенные параметры политики наследуются как отключенные. Если политика настроена для родительского подразделения, но не настроена для дочернего, то дочернее подразделение наследует ее от родительского.
Если родительская и дочерняя политики совместимы, то помимо параметров родительской политики применяются и параметры дочерней. Политики наследуются до тех пор, пока они совместимы. Например, если родительская политика помещает определенную папку на рабочий стол, а дочерняя политика помещает на рабочий стол еще одну папку, то пользователь увидит обе папки.
Конфигурация безопасности
Расширение Security Settings (Параметры безопасности) оснастки Group Policy (Групповая политика) применяется для настройки конфигурации безопасности компьютеров и групп. На этом занятии усматриваются параметры конфигурации безопасности.
Параметры конфигурации безопасности
Конфигурация безопасности (security configuration) содержит параметры для всех областей безопасности (security area) Windows 2000. В расширении Security Settings оснастки Group Policy можно настроить параметры безопасности для нелокальных ОГП из следующих узлов:
• Account policies (Политики учетных записей);
• Local policies (Локальные политики);
• Event log (Журнал событий);
• Restricted groups (Группы с ограниченным доступом);
• System services (Системные службы);
• Registry (Реестр);
• File system (Файловая система);
• Public key policies (Политики открытого ключа);
' IP security policies (Политики безопасности IP).
Узел Account Policies
Политики из этого узла распространяются на учетные записи пользователей. К атрибутам этого узла относятся:
· Password Policy (Политика паролей) — определяет параметры парольной защиты для доменных или локальных учетных записей, например обязательный ввод пароля или срок его действия;
· Account Lockout Policy (Политика блокировки учетной записи) — определяет, когда и какие доменные или локальные учетные записи будут заблокированы;
· Kerberos Policy (Политика Kerberos) — определяет параметры протокола Kerberos для доменных учетных записей, например срок жизни билета или принудительные ограничения на вход пользователей.
Узел Local Policies
Содержит параметры безопасности компьютера, на котором работает приложение или пользователь. Локальные политики определяются компьютером, на котором регистрируется пользователь, и разрешениями, которые ему предоставлены на данном компьютере. Данная область безопасности содержит следующие атрибуты:
• Audit Policy (Политика аудита) — определяет события, которые регистрируются в журнале безопасности (успешные, неудачные и теи другие). Журнал безопасности является частью оснастки EventViewer (Просмотр событий);
• User Rights Assignment (Назначение прав пользователя) — определяет, какие пользователи и группы обладают правами на вход в систему и выполнение задач;
• Security Options (Параметры безопасности) — включают или отключают такие параметры безопасности для компьютера, как цифровая подпись данных, имена учетных записей Administrator (Администратор) и Guest (Гость), доступ к флоппи-дисководам и при
водам CD-ROM, установка драйверов и приглашения на вход в систему.
Локальные политики, по определению, применяются к локальному компьютеру. Локальные параметры, импортированные в ОГП Active Directory, влияют на локальные параметры безопасности каждого компьютера, к которому применяется данный ОГП.
Узел Event Log
В этой области безопасности определяются атрибуты, относящиеся К журналам Application (Журнал приложений), Security (Журнал безопасности) и System (Журнал системы): максимальный размер, права доступа к каждому журналу, а также способы их хранения.
Узел Restricted Groups
Данная возможность является новым важным средством безопасности, распространяющимся на членов группы. Группы с ограниченным доступом автоматически обеспечивают безопасность на основе членства в стандартных группах Windows 2000, таких, как Administrators (Администраторы), Power Users (Опытные пользователи), Print Operators (Операторы печати), Server Operators (Операторы сервера) и Domain Admins (Администраторы домена), автоматически включены в состав Restricted Groups. Позже в список безопасности групп с ограниченным доступом можно добавить другие требуемые группы или Разрешения.
узел Public Key Policies
Эта область безопасности предназначена для настройки агентов восстановления шифрованных данных, доменных корней и доверенных центров сертификации.
Узел IP Security Policies
Эта область безопасности предназначена для настройки безопасного обмена данными в IP-сетях.
Аудит
Под аудитом (auditing) в Windows 2000 подразумевается процесс контроля действий пользователей и операционной системы, которые называются событиями (events). Посредством аудита определяются события, которые необходимо записать в журнал безопасности, например попытки законного и незаконного входа в систему, события, связанные с созданием, открытием или удалением файлов, и др. Каждая запись в журнале безопасности содержит следующую информацию:
• описание действия;
• имя пользователя, который его совершил;
• время и результат (успех или неудача) события.
Использование политики аудита
Политика аудита (audit policy) определяет категории событий, которые записываются в журнал безопасности каждого компьютера. Журнал безопасности позволяет регистрировать любые события, которые вы укажете.
Событие записывается в журнал безопасности того компьютера, где оно произошло. Например, неудачная попытка войти в компьютер домена фиксируется в журнале безопасности контроллера домена, так как именно он не смог удостовериться в личности пользователя-Политика аудита позволяет:
• выявить успешные и неудачные события, например попытки войти в систему, доступ к определенным файлам, изменение учетных записей пользователей, членство групп и другие параметры безопасности;
• устранить или минимизировать риск непредусмотренного использования ресурсов.
Рекомендации по настройке политики аудита
при планировании политики аудита необходимо определить компьютеры, подлежащие аудиту, и события, которые требуется на них регистрировать. По умолчанию аудит выключен.
После определения подлежащих аудиту событий необходимо выбрать, какие события стоит регистрировать: успешные, неудачные или и те, и другие. Регистрация успешных событий покажет, как часто пользователи и операционная система обращаются к файлам, принтерам и другим объектам. Эта информация пригодится при планировании использования ресурсов. Регистрация неудачных событий выявит нарушения безопасности. Например, при обнаружении нескольких неудачных попыток доступа, особенно в нерабочее время, можно сделать вывод, что кто-то пытается проникнуть в систему.
Правила, которыми следует руководствоваться при настройке политики аудита:
• Определите, собираетесь ли вы контролировать тенденции использования системы. В этом случае надо архивировать журналы событий. Это позволит проследить изменение использования системных ресурсов во времени и нарастить их до того, как выявится их нехватка.
• Регулярно просматривайте журнал безопасности. Для этого составьте расписание и следуйте ему. Ведь одного аудита недостаточно Для обнаружения нарушений режима безопасности.
• Политика аудита должна быть полезна и управляема. Всегда выполняйте аудит уязвимых и конфиденциальных данных. Регистрируйте только те события, которые содержат существенную информацию.
• Настройте аудит доступа к ресурсам для группы Everyone, а не для группы Users. Таким образом, вы проведете аудит доступа, всех, кто подключается по сети, а не только пользователей, для которых созданы учетные записи. Настройте также аудит неудачных попыток доступа для группы Everyone.
• Настройте аудит всех действий администраторов. Это позволит выявить все дополнения или изменения, сделанные администратором.
рами.
События, аудит которых рекомендован
Событие, подлежащее аудиту - Потенциальная угроза
Неудачные попытки входа/выхода из системы - Взлом путем подбора пароля
Рекомендация для Вас - 4. Воспроизводство населения, рождаемость.
Успешные попытки входа/выхода из системы - Взлом с помощью украденного пароля
Применение пользователем своих прав, управление пользователями и группами, изменение политики безопасности, включение и выключение компьютера, системные события - Злоупотребление привилегиями
События, связанные с доступом - доступ к файлам и другим объектам
Аудит доступа на чтение или запись секретных файлов из Диспетчера файлов подозрительными пользователями или группами - Несанкционированный доступ к файлам
Аудит успешного и неуспешного доступа к файловым принтерам а также аудит событий доступа к объектам. Аудит доступа к принтерам через Диспетчер печати подозрительными пользователями или группами - Несанкционированный доступ
События, связанные с записью программных файлов (.ехе или dll). События, генерируемые процессами. Запуск определенных программ. Попытки изменения программных файлов и создания непредусмотренных процессов - Заражение данных вирусом