Читайте также:
|
|
Оснастка «Управление групповой политикой» устанавливается на сервер вместе с ролью «Доменные службы Active Directory» (AD DS). Если не удается ее найти, то данную оснастку можно установить заново. Для того чтобы повторно установить текущую оснастку, в «Диспетчере сервера», в узле «Сводка компонентов» нужно перейти по ссылке «Добавить компонент». Выбрать компонент «Управление групповой политикой» в диалоговом окне «Мастер добавления компонентов» и следовать инструкциям мастера.
Также есть альтернативный способ установки данного компонента – использование командной строки и утилиты управления конфигурацией сервера. В командной строке, запущенной с правами администратора ввести ServerManagerCmd -install gpmc. При желании можно вывести результат установки в xml файл, используя параметр –resultPath.
Для того чтобы открыть оснастку «Управление групповой политикой», можно выполнить любое из следующих действий:
· Нажать на кнопку «Пуск», выбрать меню «Администрирование», а затем открыть «Управление групповой политикой»;
· Использовать комбинацию клавиш WIN+R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» ввести gpmc.msc и нажать на кнопку «ОК»;
· Нажать на кнопку «Пуск» для открытия меню, в поле поиска ввести «Управление групповой политикой» и открыть приложение в найденных результатах;
· Открыть «Консоль управления MMC». Для этого нажать на кнопку «Пуск», в поле поиска ввести mmc, а затем нажать на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выбрать команду «Добавить или удалить оснастку» или использовать комбинацию клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выбрать оснастку «Управление групповой политикой» и нажать на кнопку «Добавить», а затем «ОК».
Используя оснастку «Управление групповой политикой» можно создавать и редактировать объекты групповой политики, а также комментарии к ним для упрощения их мониторинга, удалять объекты групповых политик и проводить поиск среди существующих объектов.
Один или несколько параметров групповой политики, который применяется к одному или нескольким пользователям или компьютерам, обеспечивая конкретную конфигурацию, называется объектом групповой политики. Для того чтобы создать новый объект групповой политики:
1. В оснастке «Управление групповой политикой» нужно развернуть узел, лес или домен и выбрать контейнер «Объекты групповой политики». Именно в этом контейнере хранятся все объекты групповой политики;
2. Щелкнув правой кнопкой мыши на данном контейнере и из контекстного меню выбрать команду «Создать»;
3. В диалоговом окне «Новый объект групповой политики» нужно ввести название объекта в поле «Имя» и нажать кнопку «ОК».
7.1. Создание GPO.
Во-первых, нужно создать групповую политику, которая задаст требования к сложности паролей пользователей, количество попыток ввода неверных паролей и время блокировки пользователей при вводе неверных паролей. Для этого создадим объект групповой политики в нашем OU (например, это будет OU с названием Office). Для этого нужно правой кнопкой мыши ткнуть по OU Office и выбрать из контекстного меню пункт «Создать объект групповой политики и связать его». Можно создать и в контейнере «Объекты групповой политики», но потом все равно надо будет связать его с контейнером, поэтому, проще и быстрее создавать и связывать GPO сразу в нужном контейнере.
Итак, создадим новый объект групповой политики, привязанный к нашему OU Office, в поле «Имя» зададим название объекта, например, «Users and passwords» (Пользователи и пароли). Т.к. нам надо, чтобы на всех компьютерах в контейнере Office, независимо от вошедшего пользователя, действовала эта политика, воспользуемся деревом «Конфигурация компьютера». Выберем из контекстного меню вновь созданного объекта групповой политики «Изменить» - откроется «Редактор управления групповыми политиками». По адресу «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики учетных записей» как раз находятся интересующие нас пункты: «Политика паролей» и «Политика блокировки учетных записей».
В первом пункте «Политика паролей» выставляем требования по безопасности, как указано в Таблице 1.
В пункте «Политика блокировки учетных записей» выставляем настройки, согласно Таблице 2.
Таблица 1. Политика паролей.
Параметр GPO | Значение | Комментарий |
Вести журнал паролей | Позволяет улучшать безопасность, гарантируя, что старые пароли не будут повторно использоваться постоянно. | |
Максимальный срок действия пароля | Через какое время пользователю надо сменить пароль. | |
Минимальная длина пароля | Количество знаков в пароле. | |
Минимальный срок действия пароля | Чтобы пользователи не меняли сразу же новые пароли на привычные старые. | |
Пароль должен отвечать требованиям сложности | Да | Использование строчных, прописных букв, цифр и спецсимволов. |
Хранить пароли, используя обратимое шифрование | Нет | Снижает безопасность, поэтому выключить. |
Таблица 2. Блокировка пользователей.
Параметр GPO | Значение | Комментарий |
Время до сброса счетчика блокировки | 15 минут | Время до сброса счетчика блокировки |
Пороговое значение блокировки | Количество ошибочных вводов пароля до блокирования учетной записи. | |
Продолжительность блокировки учетной записи | 15 минут | Продолжительность блокировки учетной записи |
Если объект групповой политики был создан не сразу с привязкой к какому-либо контейнеру, то привязать его можно следующим образом: правой кнопкой ткнуть на нужный контейнер и выбрать из контекстного меню «Связать существующий объект групповой политики». В открывшемся окне можно выбрать домен и в нем объект, который нужно привязать к контейнеру.
7.2. Редактирование GPO.
А теперь можно отредактировать созданный объект групповой политики. Для этого, либо в контейнере «Объекты групповой политики», либо в нашем OU выбираем наш объект «Users and passwords», тыкаем на него правой кнопкой и выбираем пункт в контекстном меню «Редактировать». Отредактируем минимальную длину пароля, установив минимальное значение в 8 знаков.
Итак, у нас есть политика, которая приводит используемые пользователями пароли к необходимым требованиям безопасности. Теперь, во избежание использования недоброжелателями компьютеров наших пользователей, нужно сделать так, чтобы при отсутствии пользователя в течение 10 минут на рабочем месте, включалась экранная заставка, а после того, как компьютер выйдет из режима заставки, пользователь должен будет снова ввести свой пароль. Делается это все так же, с помощью групповых политик следующим образом:
7.3. Настройка корпоративного внешнего вида ОС у пользователей.
Создадим новый объект групповой политики сразу в нашем контейнере (Office) и назовем его «User Interface». Зададим значения в пункте «Конфигурация пользователя \ Политики \ Административные шаблоны \ Панель управления \ Персонализация» как показано в Таблице 3. Заодно, сделаем так, чтобы у всех пользователей был классический стиль Windows, т.к. на современных версиях Windows 7 по умолчанию используется стиль Aero, что использует много ресурсов компьютера. В Windows XP по умолчанию используется «стиль Windows XP», который не столь требователен к компьютеру. Но так же, как и в Windows 7, тема, отличная от классической, использует больше ресурсов компьютера, хотя и не так сильно. Но нужно учесть, что и сама Windows XP устанавливается (или устанавливалась) на компьютерах, которые уже морально устарели и не являются очень мощными. Итак, мы поставим всем одинаковую тему классической Windows, оставим всем одинаковую заставку и запретим ее изменять, пусть это будет неким «корпоративным стилем». Напомню: все настройки политики User Interface приведены в Таблице 3.
7.4. Настройка автоматического обновления через сервер WSUS.
Итак, у нас в домене настроены некоторые параметры безопасности, но чтобы поддерживать постоянно безопасность на высоком уровне, нужно, конечно же, постоянно обновлять ПО MS Windows, для этого настроим обновление через WSUS (сервер которого уже установлен и настроен в нашей сети).
Для этого создадим объект групповой политики и назовем его, например, «WSUS Update Setup». Как обычно, привяжем его к контейнеру Office. Настроим политики, для этого по пути «Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Центр обновления Windows» зададим параметры, как указано в Таблице 4.
Теперь все компьютеры будут обновляться с сервера WSUS внутри сети, что сократит внешний траффик (будет просто огромный объем траффика, если вдруг все компьютеры начнут обновляться через интернет) и улучшит безопасность компьютеров внутри сети.
Таблица 3. Редактирование политики «User Interface».
Параметр GPO | Значение | Комментарий |
Включить заставку | Включена | Включение использования экранной заставки. |
Запретить изменение заставки | Включена | Запрет на изменение заставки пользователями. |
Парольная защита заставки | Включена | Чтобы пользователь ввел пароль после пробуждения компьютера. |
Таймаут заставки | Указывается в секундах, время бездействия пользователя, после которого включается заставка. | |
Применить указанную заставку | scrnsave.scr | Стандартная заставка в Windows. |
Применить конкретный файл стиля оформления или классический стиль Windows | Включено | Тут можно ввести путь к стилю оформления, но при оставлении поля незаполненным, используется классический стиль Windows. |
Таблица 4. Настройка автоматического обновления через WSUS
Параметр GPO | Значение | Комментарий |
Настройка автоматического обновления | Загружать обновления автоматически и выводить уведомление, когда они готовы к установке. Так же поставить параметр «ежедневно» и время, например в 11:00. | |
Указать размещение службы обновлений Майкрософт в интрасети | Включена | Здесь нужно указать адрес сервера WSUS в обоих полях. Например, если WSUS находится на сервере с именем SRV-WSUS, нужно в обоих полях указать http://srv-wsus. |
Повторный запрос для перезагрузки при запланированных установках | Выдает предупреждение о необходимости перезагрузки через указанный интервал времени. | |
Разрешать пользователям, не являющимся администраторами, получать уведомления об обновлениях | Включена | Все пользователи компьютера, даже без прав администратора, будут получать уведомления об обновлении. |
Частота поиска автоматических обновлений | Через этот промежуток времени компьютер будет связываться с сервером обновлений для проверки. |
7.5. Группы с ограниченным доступом.
Зададимся целью: никто кроме ограниченного круга людей, определенного администратором, не должен иметь доступа к реестру, к настройкам, к системным файлам и папкам на компьютере в домене. Т.е. нам нужно исключить всех пользователей из администраторов и добавить в администраторы только тех, кто там должен быть. С помощью GPO это можно сделать следующим образом: все группы пользователей и сами доменные учетные записи будут в локальной группе «Пользователи», которой запрещены изменения системных файлов и папок, реестра, установка программ и т.д. А так же нужно будет добавить в локальную группу администраторов все те учетные записи, которые и должны быть администраторами.
Допустим, в нашем домене есть группы безопасности «Admins» и «NoAdmins», с входящими в них пользователями. Во вторую включены, например, сотрудники отдела IT, которым нужны администраторские права. В первую же группу, соответственно, входят все остальные пользователи, например из отдела маркетинга, из отдела продаж, из бухгалтерии, экономисты и т.д. Этим всем пользователям права администратора не просто не нужны, но и вредны, т.к. они не в полной мере всегда осознают, к чему могут привести те или иные действия с параметрами компьютера.
Создадим объект групповой политики и назовем его «NoAdmins». В этом объекте мы поместим всех пользователей из доменной группы безопасности «NoAdmins» в локальную группу «Пользователи».
Для этого, во вновь созданном объекте пройдем по пути «Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Группы с ограниченным доступом». Там создадим новую группу (кликнуть правой кнопкой мыши на «Группы с ограниченным доступом» и выбрать пункт «Добавить группу»). Откроется окно «Добавление группы», в котором можно вручную вписать название, либо, нажав на кнопку «Обзор» перейти к выбору из всех существующих групп. Нажмем на «Обзор» и в появившемся окне «Выбор группы» нажмем снизу на «Дополнительно». Выберем тип объекта «Встроенные субъекты безопасности» и нажмем на кнопку «Поиск». Из списка выберем встроенную группу безопасности «Пользователи» и нажмем ОК. После этого появится окно с настройкой членства для группы «Пользователи». Добавим в члены группы группу безопасности «NoAdmins». Теперь у нас все, кто входит в доменную группу безопасности «NoAdmins», входит в локальную группу безопасности «Пользователи» на всех компьютерах домена, к которым применяется данный объект групповой политики.
Аналогично добавим доменную группу безопасности «IT» (куда входят все учетные записи ИТ-отдела нашей организации) в группу локальных администраторов. Для этого создадим новый объект групповой политики и назовем его «IT Local Admins». По тому же пути: «Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Группы с ограниченным доступом» добавляем локальную группу «Администраторы», в нее добавляем группу безопасности «IT», а так же учетную запись доменного администратора.
7.6. Отключение гостевой учетной записи (Guest).
Чтобы еще больше обезопасить компьютеры, можно отключить гостевую учетную запись (Guest). Для этого по пути «Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Локальные политики \ Учетные записи: состояние учетной записи ‘Гость’» сделаем параметр «Отключено». Теперь на все компьютеры могут зайти либо локальные пользователи, либо доменные учетные записи, никаких непрошенных гостей.
Итак, теперь у нас в домене на компьютер может зайти только зарегистрированная учетная запись, при этом, все, кроме отдела ИТ и доменного администратора не будут иметь прав администратора, что должно положительно сказаться на безопасности внутри предприятия.
Дата добавления: 2015-07-19; просмотров: 116 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Результирующая политика - RSoP. | | | Group Policy Preferences. |