Управление политикой безопасности
Настраиваем локальную политику безопасности в Windows 7
Политика безопасности представляет собой набор параметров для регулирования безопасности ПК, путем их применения к конкретному объекту или к группе объектов одного класса. Большинство пользователей редко производят изменения данных настроек, но бывают ситуации, когда это нужно сделать. Давайте разберемся, как выполнить данные действия на компьютерах с Виндовс 7.
Варианты настройки политики безопасности
Прежде всего, нужно отметить, что по умолчанию политика безопасности настроена оптимально для выполнения повседневных задач рядового юзера. Производить манипуляции в ней нужно только в случае возникновения необходимости решить конкретный вопрос, требующий корректировки данных параметров.
Изучаемые нами настройки безопасности регулируются с помощью GPO. В Виндовс 7 сделать это можно, используя инструменты «Локальная политика безопасности» либо «Редактор локальных групповых политик». Обязательным условием является вход в профиль системы с полномочиями администратора. Далее мы рассмотрим оба этих варианта действий.
Способ 1: Применение инструмента «Локальная политика безопасности»
Прежде всего, изучим, как решить поставленную задачу с помощью инструмента «Локальная политика безопасности».
- Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления».
Далее откройте раздел «Система и безопасности».
Из предложенного набора системных инструментов выберите вариант «Локальная политика безопасности».
Также оснастку можно запустить и через окно «Выполнить». Для этого наберите Win+R и введите следующую команду:
Затем щелкните «OK».
Указанные выше действия приведут к запуску графического интерфейса искомого инструмента. В подавляющем большинстве случаев возникает необходимость откорректировать параметры в папке «Локальные политики». Тогда нужно щелкнуть по элементу с этим наименованием.
В данном каталоге располагается три папки.
В директории «Назначение прав пользователя» определяются полномочия отдельных пользователей или групп юзеров. Например, можно указать, запрет или разрешение для отдельных лиц или категорий пользователей на выполнение конкретных задач; определить, кому разрешен локальный доступ к ПК, а кому только по сети и т.д.
В каталоге «Политика аудита» указываются события, предназначенные для записи в журнале безопасности.
В папке «Параметры безопасности» указываются разнообразные административные настройки, которые определяют поведение ОС при входе в неё как локально, так и через сеть, а также взаимодействие с различными устройствами. Без особой необходимости данные параметры изменять не стоит, так как большинство соответствующих задач можно решить через стандартную настройку учетных записей, родительский контроль и разрешения NTFS.
Читайте также: Родительский контроль в Windows 7
Для дальнейших действий по решаемой нами задаче щелкните по наименованию одного из указанных выше каталогов.
Откроется перечень политик выбранного каталога. Кликните по той из них, которую желаете изменить.
После этого откроется окошко редактирования политики. Его вид и действия, которые необходимо произвести, существенно отличаются от того, к какой именно категории она принадлежит. Например, для объектов из папки «Назначение прав пользователя» в открывшемся окне необходимо добавить или удалить имя конкретного пользователя либо группы юзеров. Добавление производится путем нажатия кнопки «Добавить пользователя или группу…».
Если же необходимо произвести удаление элемента из выбранной политики, то выделите его и нажмите «Удалить».
Мы описали изменение настроек безопасности на примере действий в папке «Локальные политики», но по такой же аналогии можно производить действия и в других каталогах оснастки, например в директории «Политики учетных записей».
Способ 2: Использование инструмента «Редактор локальной групповой политики»
Настроить локальную политику можно также при помощи оснастки «Редактор локальной групповой политики». Правда, данный вариант доступен не во всех редакциях Windows 7, а только в Ultimate, Professional и Enterprise.
- В отличие от предыдущей оснастки, данный инструмент нельзя запустить через «Панель управления». Его можно активировать только путем введения команды в окно «Выполнить» или в «Командную строку». Наберите Win+R и введите в поле такое выражение:
Затем щелкните «OK».
Читайте также: Как исправить ошибку «gpedit.msc не найден» в Windows 7
Откроется интерфейс оснастки. Перейдите в раздел «Конфигурация компьютера».
Далее щелкните по папке «Конфигурация Windows».
Теперь щелкните по элементу «Параметры безопасности».
Откроется директория с уже знакомыми нам по предыдущему методу папками: «Политики учетных записей», «Локальные политики» и т.д. Все дальнейшие действия проводятся по точно такому же алгоритму, который указан при описании Способа 1, начиная с пункта 5. Единственное отличие состоит в том, что манипуляции будут выполняться в оболочке другого инструмента.
Настроить локальную политику в Виндовс 7 можно путем использования одной из двух системных оснасток. Порядок действий в них довольно схожий, отличие заключается в алгоритме доступа к открытию данных инструментов. Но изменять указанные настройки рекомендуем только тогда, когда вы полностью уверены, что это нужно сделать для выполнения определенной задачи. Если же таковой нет, эти параметры лучше не корректировать, так как они отрегулированы на оптимальный вариант повседневного использования.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Управление политикой безопасности.
Управление политикой безопасности осуществляется администраторами системы с использованием соответствующих средств, встроенных в операционную систему.
Под политикой безопасности понимается набор правил, обеспечивающий избирательную защиту для защищаемых объектов различных классов информации для каждого типа пользователя.
Все объекты, связанные с политикой безопасности хранят информацию:
1. Политику пароля (например, максимальный срок действия, через какой период разрешается его менять, минимальная длина паролей, разрешение пустого пароля, история паролей, duration —minutes.
2. Политику учетных записей ( account policy в окне user manager – счетчик попыток регистрации, блокировка учетных записей, принудительное отключение удаленного пользователя по истечении времени регистрации ).
Дескриптор безопасности.
4. Политику регистрации.
Политику восстановления данных.
Политику привилегий.
При формировании политики безопасности надо знать:
2. От кого защищать.
4. Что представляет угрозу.
5. Какой ущерб (риск) может быть от злоумышленника.
6. Какие средства защиты использовать.
Политика безопасности может рассматриваться с разных точек зрения:
В отдельном компьютере.
В вычислительных сетях.
В офисах.
В организациях различных уровней.
Вообще.
Сетевые средства системы безопасности W2000
Механизм защиты W2000 в сетяхориентирован на защиту между компъютерами сети в доменах и доверенных доменах.
Система безопасности W2000 позволяет выполнять следующие задачи защиты:
1. Управление политикой безопасности.
Паролей, пользователей, групп, доменов, конфигурирование системы безопасности, блокировки учетных записей, … .
2. Администрирование.
Управление правами доступа.
3. Аутентификация.
Аутентификация на основе хеша.
— NTLM ( netlanmanager – для совместимости с ранними версиями Windows ).
— Kerberos.
Seasame.
— Radius ( remote autentification dial-up user service ).
— Аутентификация на основе сертификатов Х.509.
Аудит.
5. Active directory.
6. IPsecurity.
SHTTP и SSL/ TLS.
IIS v5 ( internet information service ).
Служба сертификации.
Электронная подпись.
CryptoAPI 2.0.
Бранмауэры.
Среди основных средств W2000 в сетях можно назвать:
Элементы настройки и конфигурирования системы безопасности.
Установка системы безопасности.
Начальная система безопасности Setup security поставляется с W2000 с исходной БД и называется локальной системой безопасности (LSA).
1. Служба конфигурирования системыSCS – security configurate service.
Настройка системы безопасности.
Это ядро Security configuration tool set есть на каждой ПК.
Позволяет импортировать из БД хранимые конфигурации системы безопасности.
2. Редактор системы безопасностиSCE – security configuration editor.
Позволяет:
— редактировать конфигурацию системы безопасности,
— редактировать политику безопасности,
— устанавливать ограничения на пароли,
— редактировать политику ведения групп ( Restricted group ),
— редактировать локальную политику ( Local policy ),
— редактировать журнал событий,
Редактировать параметры защиты.
3. Диспетчер системы безопасностиSCM – security configuration manager.
Варианты конфигурации системы безопасности
Basic.
Базовая – это набор настроек, генерируемых по умолчаниюна рабочих станциях, контроллерах доменов.
Устанавливается при инсталляции W2000.
2. Compatible — улучшенная.
3. Secure – защищенная.
4. High secure – усиленная система безопасности.
В систему безопасности Windows NT/2000 входят следующие модули:
1. В операционной системе Windows NT/2000 всеми вопросами безопасности занимается защищенная подсистема LSA Local Security Authority (LSA) – называемая локальным администратором безопасности.
LSA интегрируется с Аctive Directory.
В ее функции входит:
* Управление базой данных учетных записей (это доверенные объекты ОС).
* Управление правами и привилегиями пользователей.
* Формирование политики аудита с помощью монитора безопасности (SRM).
* Создание для каждого пользователя маркера доступа (access token ).
* Получение списка процессов, загруженных в память, которые отображаются на панели задач.
Для их просмотра открывается Task Manager.
По используемым структурам данных програмный интерфейс LSA больше похож на внутренний API Windows NT (native API) чем на Win32.
Для выполнения задач подсистема безопасности LSA использует вызовы.
2. Монитор безопасности SRM – security reference monitor.
Функционирует на уровне ядра и выполняет:
*Контроль безопасности с учетом прав.
* Аудит событий ( в журнал безопасности ).
3. Диспетчер (менеджер) безопасности или менеджер учетных записей SAM – security account manager.
Организует работу с учетными записями с помощью интерфейса ADSI.
Дата добавления: 2018-08-06 ; просмотров: 140 ;
Политики безопасности. Реализация политик безопасности. Изменение параметров безопасности
Политики безопасности используются для обеспечения безопасности корпоративной сети. Эти политики безопасности определяют требования организации к использованию компьютеров, а также процедуры предотвращения нарушений безопасности и меры, принимаемые в случае таких нарушений. Таким образом, важно, чтобы администраторы сети обеспечивали безопасность настольных компьютеров и приложений на рабочих станциях. Применение политик безопасности позволяет предотвратить повреждение пользователями конфигурации компьютера, а также защитить уязвимые области сети. Наиболее эффективным способом реализации политик безопасности является использование шаблонов безопасности. Шаблон безопасности представляет собой текстовый файл, содержащий параметры безопасности, который можно использовать для согласованной настройки компьютеров. Операционная система Windows 2000 также предлагает средства настройки безопасности, которые помогают анализировать и настраивать параметры безопасности для компьютеров и пользователей.
Реализация политик безопасности:
Реализовывать политики безопасности можно двумя способами: используя локальные политики безопасности для одного компьютера или групповую политику домена для нескольких компьютеров. Используемый метод зависит от размера организации и требований защиты. В небольших организациях или в организациях, где не используется служба каталогов Active Directory., можно вручную настроить параметры безопасность для каждого компьютера. В крупных организациях или в организациях, предъявляющих высокие требования к уровню защиты, имеет смысл использовать групповую политику для реализации системы безопасности.
1) Реализация системы безопасности на локальном компьютере
Безопасность локального компьютера, не являющегося частью домена, обеспечивается посредством настройки локальной политики безопасности. Настроить локальную политику безопасности можно из меню Administrative Tools (Администрирование). Для настройки локальных политик безопасности на компьютерах, работающих под управлением операционной системы Windows 2000, необходимо выполнить следующие действия:
а) В меню Administrative Tools (Администрирование) выберите команду Local Security Policy (Локальная политика безопасности).
б) Разверните элемент дерева консоли, чтобы открыть подобласть параметров безопасности, например, выберите Account Policy (Политика учетных записей), а затем Password Policy (Политика паролей), чтобы отобразить доступные настройки политики для паролей.
в) Выберите элемент подобласти, чтобы отобразить доступные политики в области сведений.
г) Для настройки политики дважды щелкните ее в области сведений. Каждая политика имеет собственные параметры конфигурации. Укажите необходимые параметры конфигурации.
д) Нажмите кнопку OK для сохранения новых настроек.
2) Реализация системы безопасности на нескольких компьютерах
Администраторы сетей, в которых используется служба каталогов Active Directory, могут значительно сэкономить время, осуществляя развертывание политики безопасности с помощью групповой политики. Параметры безопасности для любого сайта, домена или подразделения можно редактировать с помощью объекта групповой политики. Чтобы найти настройки политики безопасности при редактировании объекта групповой политики, разверните элемент Computer Configuration (Конфигурация компьютера) или User Configuration (Конфигурация пользователя), а затем элемент Windows Settings (Конфигурация Windows).
Изменение параметров безопасности:
В следующем списке перечислены параметры безопасности компьютеров, настраиваемые либо с помощью средства Local Security Policy (Локальная политика безопасности), либо с помощью расширения Security Settings (Параметры безопасности) оснастки Group Policy (Групповая политика).
- Account policies (Политики учетных записей). Настройка политик паролей, политик блокировки учетных записей и политик протокола Kerberos версии 5 для домена. Kerberos V5 является основным протоколом безопасности для проверки подлинности в домене.
- Local policies (Локальные политики). Как следует из названия, параметры локальных политик являются локальными для компьютера. К локальным политикам относятся политики аудита, политики назначения прав и разрешений пользователям, а также дополнительные параметры безопасности, которые можно настраивать локально.
- Public key policies (Политики открытого ключа). Настройка агентов восстановления шифрованных данных и выбор доверенных центров сертификации. Сертификаты представляют собой программные службы, обеспечивающие проверку подлинности, в том числе при использовании безопасной электронной почты, Веба и смарт-карт. Политики открытого ключа являются единственными параметрами для элемента User Configuration (Конфигурация пользователя).
- IP security policies (Политики безопасности IP). Настройка IP-безопасности (Internet Protocol Security- IPSec). IPSec . это отраслевой стандарт для кодирования данных, передаваемых по протоколу TCP/IP (Transmission Control Protocol/Internet Protocol), и обеспечения безопасной связи в интрасетях и виртуальных частных сетях (VPN) на основе Интернета.
Следующие политики безопасности можно настраивать только с помощью расширения Security Settings (Параметры безопасности) оснастки Group Policy (Групповая политика):
- Event log (Журнал событий). Настройка размера журналов приложений, журналов системы и журналов безопасности, а также времени хранения информации в этих журналах и параметров доступа к ним.
- Restricted groups (Группы с ограниченным доступом). Управление членством во встроенных группах, имеющих определенные, заранее заданные возможности, например, в группах Administrators (Администраторы) или Power Users (Опытные пользователи), в дополнение к доменным группам, таким как Domain Admins (Администраторы домена). К группам с ограниченным доступом можно добавлять другие группы, а также информацию о членстве в них. Это позволяет управлять членами таких групп и осуществлять доступ к информации о них в рамках существующей политики безопасности.
Вы можете не только управлять членами групп с ограниченным доступом, но также определять принадлежность каждой из них к другим группам и контролировать это членство в столбце Members Of (Членство в группах). В этом столбце перечислены другие группы, к которым должна принадлежать группа с ограниченным доступом.
- System services (Системныe службы). Настройка параметров безопасности и запуска служб, работающих на компьютере. В том числе можно задавать параметры служб, имеющих критическое значение, таких как сетевые службы, службы файлов и печати, телефонии и факсов, Интернета и интрасетей. К общим для всех служб установкам относится режим запуска . automatic (автоматический), manual (вручную) или disabled (запрещен), . а также параметры безопасности.
- Registry (Реестр). Настройка параметров безопасности для ключей реестра. Реестр представляет собой центральную иерархическую базу данных операционной системы Windows 2000, в которой хранится информация, необходимая для настройки системы для пользователей, приложений и устройств.
- File system (Файловая система). Настройка параметров безопасности для отдельных папок и файлов.
Отказоустойчивость. Варианты реализации технологии RAID.
Отказоустойчивость — это способность компьютера или операционной системы реагировать на аварийное событие (например, сбой питания или отказ оборудования) без потери данных и без ущерба для текущей работы. Полная отказоустойчивость предполагает использование резервных контроллеров дисков и источников питания наряду с отказоустойчивыми дисковыми подсистемами. Кроме того, в состав отказоустойчивой системы часто входит источник бесперебойного питания (Uninterruptible power supply, UPS), который предохраняет систему от локальных сбоев питания.
Варианты реализации технологии RAID:
В системе Windows 2000 возможны два варианта реализации отказоустойчивости: программная реализация технологии RAID или аппаратное решение RAID. Система Windows 2000 поддерживает три вида программной реализации технологии RAID.
Учетные записи, аутентификация и политика безопасности
Средства управления локальной безопасностью
Управление локальными параметрами и политикой не зависит от того, работаете вы с отдельным сервером или с сервером, являющимся частью домена интранет-сети или использующим технологию Active Directory . Локальные настройки и политика применяются к тому компьютеру, на котором они установлены. Даже если компьютер является частью домена, другим системам в домене неизвестны локальные настройки отдельных компьютеров и на них не распространяются.
Windows 2000 и IIS используют три основных набора инструментов для конфигурирования и управления локальными настройками безопасности сервера.
- Пакет средств Microsoft Management Console (MMC).
- IIS Lockdown (IIS Lock).
- Анализ и настройка безопасности MMC и шаблоны.
Набор средств MMC представляет собой пакет инструментов, предназначенных для конфигурирования безопасности и ее поддержки, включая настройку параметров аутентификации, создание пользователей и групп, управление ACL и т.д. Компоненты IIS Lockdown и Security Configuration and Analysis ( Анализ и настройка безопасности) являются специализированными средствами. IIS Lock используется для автоматизации настройки параметров безопасности при начальной установке или при изменении конфигурации сервера. Оснастка Security Configuration and Analysis и связанные с ней шаблоны безопасности используются для построения и применения особых локальных политик безопасности.
В «Подготовка и укрепление веб-сервера» вы познакомились с MMC и с IIS Lock и даже использовали эти компоненты для укрепления своего сервера. IIS Lock вновь потребуется при установке новых сервис-пакетов, служб FTP , NNTP и SMTP . MMC используется постоянно, причем не только для защиты, но и для поддержки сервера IIS .
Консоль Microsoft Management Console
Инструменты пакета MMC находятся в папке Administrative Tools (Администрирование) в меню Start (Пуск). На отдельном сервере все локальные учетные записи пользователей, группы, пароли и другие настройки управляются посредством MMC и хранятся локально в файле диспетчера безопасности учетных записей (SAM).
Некоторые средства управления безопасностью в Active Directory MMC несколько отличаются от аналогичных инструментов отдельного сервера. Например, для управления пользователями и группами на отдельном сервере используются папки Local Users (Локальные пользователи) и Groups (Группы) в компоненте MMC Computer Management (Управление компьютером). В среде домена/Active Directory используется компонент Active Drectory Users and Computers (Пользователи и компьютеры Active Directory). Active Directory хранит информацию о домене в отдельном файле, который называется NTDS . DIT и имеется на других контроллерах доменов.
Те читатели, чьи веб-сайты соединены только с интернетом, при выполнении рекомендаций (см. «Подготовка и укрепление веб-сервера» ) не должны были включать свои веб-серверы в домен и, следовательно, использовали локальные средства управления MMC для Windows 2000 и IIS. Обратите внимание, что большая часть параметров локальной безопасности веб-сайта, находящегося в домене, настраивается с помощью локальных инструментов управления MMC. Исключением является управление пользователями и группами интранет-сети, осуществляемое инструментами MMC Active Tools. Причина заключается в том, что пользователи и группы могут быть общими для всех серверов сети интранет. Однако в этой лекции мы не будем рассказывать о средствах Active Directory. В дальнейшем речь пойдет только об управлении локальной политикой безопасности сервера. Таблица 4.2 содержит перечень средств MMC, предназначенных для управления локальной безопасностью Windows 2000/IIS.
Управление групповой политикой безопасности компьютера
Каждый компьютер обладает своим собственным локальным объектом групповой политики (Local Group Policy Object, LGPO), который можно редактировать.
Если компьютер Windows 2000 не присоединен к домену, то на нем активна только локальная групповая политика. После присоединения к домену групповые политики применяются в соответствии с их иерархией. Следует обратить внимание, что локальная групповая политика применяется даже при включенной блокировке наследования политики от контейнеров более высокого уровня.
Для редактирования локального объекта групповой политики загрузите его в оснастку Групповая политика (при присоединении оснастки в поле ввода Объект групповой политики нужно указать опцию Локальный компьютер).
Group Policy Management Console. Утилита Group Policy Management Console (Консоль управления групповой политикой) представляет собой оснастку MMC и набор сценариев, предоставляющих единый интерфейс управления групповой политикой на предприятии.
Group Policy Results. Консоль управления групповой политикой предоставляет средство для определения результирующей политики для данного пользователя и/или системы. (Этот метод отличается от средства Resultant Set of Policy, обсуждаемого ниже.) Чтобы сгенерировать запрос Group Policy Results (Результаты групповой политики) для пользователя/компьютера, нужно открыть лес, щелкнуть правой кнопкой мыши на пункте Group Policy Results (Результаты групповой политики) и затем выбрать Group Policy Results Wizard (Мастер результатов групповой политики). Выполните предписания мастера и введите соответствующую информацию в окнах ввода данных.
Resultant Set of Policy (RSoP). Утилита предназначена для облегчения процессов применения политик и устранения неполадок в них. Она предоставляет детальные сведения обо всех сконфигурированных параметрах политики и может помочь определить набор примененных политик и порядок, в котором они применяются. Это очень полезно, когда несколько политик применяются на различных уровнях, таких как сайт, домен и организационное подразделение (единица).
Эта утилита используется для симуляции результатов применения параметров политики, которые вы собираетесь применить к компьютеру или пользователю, а также для определения параметров текущей политики для пользователя, находящегося в данный момент в системе компьютера.
Ниже приведен пример RSoP для политики аудита системы IHS. RSoP находится в оснастке MMC и открывается в консоли управления Microsoft (MMC), оснастке Aсtive Directory Users and Computers (Пользователи и компьютеры Aсtive Directory) или оснастке Aсtive Directory Sites and Services (Сайты и службы Aсtive Directory).