Групповая политика безопасности: Настройка групповых политик для настройки безопасности — Windows Server

Настройка групповых политик для настройки безопасности — Windows Server

• 10/09/2020
• Чтение занимает 2 мин

В этой статье

В этой статье описывается настройка групповых политик для настройки безопасности системных служб.

Применяется к:   Windows Server 2003
Исходный номер КБ:   324802

Сводка

В этой статье описывается использование групповой политики для установки безопасности системных служб для организационного подразделения Windows Server 2003.

При внедрении безопасности в системных службах можно управлять, кто может управлять службами на рабочей станции, сервере участника или контроллере домена. В настоящее время единственным способом изменить системную службу является настройка компьютера групповой политики.

Если вы реализуете групповую политику в качестве политики домена по умолчанию, политика применяется к всем компьютерам в домене. При реализации групповой политики в качестве политики контроллеров доменов по умолчанию политика применяется только к серверам в организационном подразделении контроллера домена. Можно создать организационные подразделения, содержащие компьютеры рабочих станций, к которым можно применять политики. В этой статье описываются действия по реализации групповой политики в организационном подразделении для изменения разрешений на системные службы.

Назначение разрешений системной службы

1. Нажмите кнопку Начните, указать на административные средства и нажмите кнопку Active Directory Users and Computers

   .

2. Щелкните правой кнопкой мыши домен, в который необходимо добавить организационное подразделение, указать на Новый, а затем нажмите кнопку Организационный блок.

3. Введите имя организационного подразделения в поле Имя и нажмите кнопку ОК.

   Новое организационное подразделение перечислены в дереве консоли.

4. Щелкните правой кнопкой мыши новое созданное организационное подразделение и нажмите кнопку Свойства.

5. Щелкните вкладку Групповой политики и нажмите кнопку New. Введите имя нового объекта групповой политики (например, используйте имя организационного подразделения, для которого оно реализовано), а затем нажмите кнопку ENTER.

6. Щелкните новый объект групповой политики в списке ссылок на объекты групповой политики (если он еще не выбран), а затем нажмите кнопку Изменить.

7. Расширь конфигурацию компьютера, Windows Параметры, Параметры безопасности и нажмите кнопку System Services.

8. В правой области дважды щелкните службу, к которой необходимо применить разрешения.

   Отображается параметр политики безопасности для этой конкретной службы.

9. Щелкните, чтобы выбрать контрольный окне Определение этого параметра политики.

10. Нажмите кнопку Изменить безопасность.

11. Предоставление соответствующих разрешений учетным записям и группам пользователей, которые вам нужны, а затем нажмите кнопку ОК.

12. В режиме Выбор запуска службы щелкните параметр режим запуска, который вы хотите, а затем нажмите кнопку ОК.

13. Закрой объектный редактор групповой политики, нажмите кнопку ОК и закрой средство Active Directory Users and Computers.

Примечание

Необходимо переместить учетные записи компьютера, которые необходимо управлять, в подразделение организации. После того как учетные записи компьютера будут содержаться в организационном подразделении, авторизованный пользователь или группы смогут управлять службой.

разбираемся почему это важно и как ими управлять в GPOAdmin / Блог компании Gals Software / Хабр

Групповая политика — важный элемент любой среды Microsoft Active Directory (AD). Её основная цель — дать ИТ-администраторам возможность централизованно управлять пользователями и компьютерами в домене. Групповая политика, в свою очередь, состоит из набора политик, называемых объектами групповой политики (GPO). У Microsoft реализованы тысячи разных политик и настроек, в которых можно утонуть и потом не всплыть. Все они подробно описаны

в справочной таблице

.

В этой статье мы расскажем о работах по настройке групповых политик и удобном инструменте для упрощения управления ими — Quest GPOAdmin. Подробности под катом.

Как устроены групповые политики

При создании домена AD автоматически создаются два объекта групповой политики:

Политика домена по умолчанию устанавливает базовые параметры для всех пользователей и компьютеров в домене в трех плоскостях: политика паролей, политика блокировки учетных записей и политика Kerberos.

Политика контроллеров домена по умолчанию устанавливает базовые параметры безопасности и аудита для всех контроллеров домена в рамках домена.

Для вступления настроек в силу, объект групповой политики необходимо применить (связать) с одним или несколькими контейнерами Active Directory: сайт, домен или подразделение (OU). Например, можно использовать групповую политику, чтобы потребовать от всех пользователей в определённом домене использовать более сложные пароли или запретить использование съемных носителей на всех компьютерах только в финансовом подразделении данного домена.

Объект групповой политики не действует, пока не будет связан с контейнером Active Directory, например, сайтом, доменом или подразделением. Любой объект групповой политики может быть связан с несколькими контейнерами, и, наоборот, с конкретным контейнером может быть связано несколько объектов групповой политики. Кроме того, контейнеры наследуют объекты групповой политики, например, объект групповой политики, связанный с подразделением, применяется ко всем пользователям и компьютерам в его дочерних подразделениях. Аналогичным образом, объект групповой политики, применяемый к OU, применяется не только ко всем пользователям и компьютерам в этом OU, но и наследуется всем пользователям и компьютерам в дочерних OU.

Настройки различных объектов групповой политики могут перекрываться или конфликтовать. По умолчанию объекты групповой политики обрабатываются в следующем порядке (причем созданные позднее имеют приоритет над созданными ранее):

• Локальный (индивидуальный компьютер)
• Сайт
• Домен
• Организационная единица

В эту последовательность можно и нужно вмешиваться, выполнив любое из следующих действий:

Изменение последовательности GPO

. Объект групповой политики, созданный позднее, обрабатывается последним и имеет наивысший приоритет, перезаписывая настройки в созданных ранее объектах. Это работает в случае возникновения конфликтов.

Блокирование наследования. По умолчанию дочерние объекты наследуют все объекты групповой политики от родительского, но вы можете заблокировать это наследование.

Принудительное игнорирование связи GPO. По умолчанию параметры родительских политик перезаписываются любыми конфликтующими политиками дочерних объектов. Вы можете переопределить это поведение.

Отключение связей GPO. По умолчанию, обработка включена для всех связей GPO. Вы можете предотвратить применение объекта групповой политики для конкретного контейнера, отключив связь с объектом групповой политики этого контейнера.

Иногда сложно понять, какие политики фактически применяются к конкретному пользователю или компьютеру, определить т.н. результирующий набор политик (Resultant Set of Policy, RSoP). Microsoft предлагает утилиту командной строки GPResult, который умеет генерировать отчет RSoP.

Для управления групповыми политиками Microsoft предоставляет консоль управления групповыми политиками (GPMC). Используя этот бесплатный редактор групповой политики, ИТ-администраторы могут создавать, копировать, импортировать, создавать резервные копии и восстанавливать объекты групповой политики, а также составлять отчеты по ним. Microsoft также предлагает целый набор интерфейсов GPMC, которые можно использовать для программного доступа ко многим операциям, поддерживаемым консолью.

По умолчанию любой член группы администраторов домена может создавать объекты групповой политики и управлять ими. Кроме того, существует глобальная группа под названием «Владельцы-создатели групповых политик»; его члены могут создавать объекты групповой политики, но они могут изменять только созданные ими политики, если им специально не предоставлены разрешения на редактирование других объектов групповой политики.

В этой же консоли можно делегировать вспомогательным ИТ-администраторам разрешения для различных действий: создание, редактирование и создание связей для определенных объектов групповой политики. Делегирование — ценный инструмент; например, можно предоставить группе, ответственной за управление Microsoft Office, возможность редактировать объекты групповой политики, используемые для управления настройками Office на рабочем столе пользователей.

Управление групповой политикой и делегирование

Делегирование— та вещь, которая быстро выходит из-под контроля. Права делегируются то так то эдак и, в конце концов, не те люди могут получить не те права.

Ценность групповой политики заключается в ее силе. Одним махом вы можете применить политики в домене или подразделении, которые значительно укрепят безопасность или улучшат производительность бизнеса. Или наоборот.

Но этой властью также можно злоупотребить, намеренно или случайно. Одно неправильное изменение объекта групповой политики может привести к нарушению безопасности. Взломщик или злонамеренный администратор могут легко изменить объекты групповой политики, чтобы, например:

• Разрешить неограниченное количество попыток угадать пароль учетной записи.
• Включить возможность подключения съемных носителей для упрощения кражи данных.
• Развернуть вредоносное ПО на всех машинах в домене.
• Заменить сайты, сохранённые в закладках браузеров пользователей, вредоносными URL-адресами.
• Запустить вредоносный сценарий при запуске или завершении работы компьютера.

Интересно, что хакерам даже не нужно много навыков, чтобы взломать объекты групповой политики. Все, что им нужно сделать, это получить данные учетной записи, имеющую необходимые права для нужного объекта групповой политики. Есть инструмент с открытым исходным кодом BloodHound (прямо как известная группа, только без Gang), который предоставит им список этих учетных записей. Несколько целевых фишинговых атак и хакер контролирует объект групповой политики. Политика домена по умолчанию (Default Domain Policy) и политика контроллеров домена по умолчанию (Default Domain Controllers Policy) — наиболее популярные цели, т.к. они создаются автоматически для каждого домена и контролируют важные параметры.

Почему встроенные инструменты работы с GPO недостаточно удобны

К сожалению, встроенные инструменты не всегда позволяют в удобном формате поддерживать безопасность и контроль групповой политики. Изменения, внесенные в объекты групповой политики, по умолчанию вступают в силу, как только окно закрывается — отсутствует кнопка «Применить», которая могла бы дать администраторам шанс остановиться, одуматься и выявить ошибки, прежде чем организация подвергнется атаке.

Из-за того, что разрешения безопасности основаны на объектах групповой политики, любой администратор домена может изменять любой параметр безопасности объекта групповой политики. И даже параметры, которые должны препятствовать злонамеренным действиям этого человека. Например, администратор может отключить объект групповой политики, который отвечает за разрешение входа в систему на определенном сервере, на котором размещены конфиденциальные данные. Ну, а дальше скопировать часть или весь ценный контент на свой компьютер и продать в даркнете.

Но самое ужасное во всей этой истории с безопасностью GPO — изменения настроек не отслеживаются в собственных журналах безопасности, нет предупреждений, следовательно, невозможно отслеживать такие нарушения, даже если использовать SIEM-систему.

Как обезопасить GPO (объекты групповой политики)

Лучший способ минимизировать риск неправильной настройки объектов групповой политики — это создать многоуровневую структуру безопасности, которая дополняет собственные инструменты. Для надёжной защиты групповой политики нужны решения, которые позволят:

• Понять, кто и к каким объектам групповой политики имеет доступ.
• Внедрить воркфлоу с опцией согласования и разделением обязанностей для управления изменениями в GPO.
• Отслеживать, выполнять мониторинг и оповещать об изменениях в GPO.
• Предотвратить изменение наиболее важных настроек GPO.
• Быстро откатывать нежелательные изменения в GPO.

Для выполнения перечисленных выше задач (и не только их) предлагаем присмотреться к специальному прокси-решению GPOAdmin. Ниже мы приведём несколько скриншотов интерфейса этого продукта и расскажем о его возможностях.

Консолидация GPO

В интерфейсе можно выбрать избыточные или конфликтующие параметры групповой политики и объединить их в один объект групповой политики или создать новый.

Откат. Можно легко откатиться к предыдущим версиям объектов групповой политики и устранить негативные последствия.

Настраиваемый воркфлоу. В интерфейсе GPOADmin можно заранее определить автоматические действия для различных сценариев.

Политики защищенных настроек. Определите список параметров, по которым проверяются разрешенные настройки для политик.

Управление объектами. В интерфейсе легко определить, кто отвечает за управление определенными политиками.

Подтверждение по электронной почте. Утверждать или отклонять запросы на изменение объекта групповой политики можно прямо из письма в почте.

Пользовательские шаблоны писем. Для определенных ролей шаблоны писем можно кастомизировать.

Синхронизация GPO. Доступна возможность синхронизации настроек между несколькими GPO.

Сравнение GPO. Обеспечьте целостность настроек GPO и снизьте риск нарушения политики.

С GPOAdmin можно навести порядок в работе десятка администраторов, которые могут намеренно или случайно вносить неправильные изменения в объекты групповой политики. Теперь о каждом изменении будут знать все.

Мы готовы провести для вас демонстрацию или развернуть решение в вашей инфраструктуре, чтобы вы могли убедиться в ценности GPOAdmin для вашей организации. Решение, действительно, поможет уберечься от фатальных ошибок и навести порядок в домене. Свяжитесь с нами удобным для вас способом.

---

А еще у нас есть:

Групповая политика для защиты настольных компьютеров Windows | Windows IT Pro/RE

Управление безопасностью настольных компьютеров Windows — задача сложная, для ее решения существует множество подходов и инструментов. Но в операционных системах Windows есть встроенный инструментарий, наделенный всей функциональностью, необходимой большинству компаний для надежной защиты настольных компьютеров в информационной среде любого размера. Это групповая политика.

Многие администраторы рассматривают групповую политику как средство для выполнения таких задач управления настольными компьютерами, как развертывание программных продуктов, перенаправление папок или запрет доступа пользователя к редактору реестра (regedit.exe). Но помимо этого, групповая политика — важный инструмент для управления настройками безопасности Windows. Действительно, у групповой политики есть довольно много малоизвестных возможностей. В данной статье рассматриваются некоторые функции безопасности групповой политики, объясняются принципы работы и даются советы по их использованию.

Безопасность базовой системы

Возможности групповой политики по управлению настройками безопасности можно разделить на три категории: безопасность базовой системы, ограничения для приложений и устройств и безопасность Microsoft Internet Explorer (IE). Настройки безопасности первой из этих категорий обычно можно найти с помощью редактора групповой политики в разделе Computer Configuration Windows SettingsSecurity Settings, как показано на экране 1, полученном на компьютере с Windows Vista. Ниже перечислены некоторые возможности групповой политики по защите базовой системы.

Политики учетной записи

Этот раздел групповой политики широко известен, потому что именно в нем задаются политики пароля и блокировки учетной записи. Например, можно установить минимальную длину пароля или потребовать, чтобы пароль содержал небуквенные символы. Если определить эти политики в объекте групповой политики (GPO), связанном с доменом (например, в политике Default Domain), политика пароля обрабатывается всеми контроллерами домена (DC) в домене, и объект GPO управляет политикой паролей для учетных записей пользователей домена. Политика паролей, определенная в GPO, привязанном к домену, обрабатывается всеми рабочими станциями и серверами, членами домена и устанавливает политику учетных записей для любых локальных учетных записей, определенных в этих компьютерах.

Как известно, через групповую политику можно определить только одну политику паролей в домене. Но в Windows Server 2008 появился новый набор объектов политики паролей, определенных в Active Directory (AD), который обеспечивает более полный контроль политики паролей внутри одного домена.

Локальные политики

Три категории политик безопасности в разделе локальных политик позволяют управлять разнообразными настройками безопасности на компьютерах Windows. Например, они обеспечивают применение политики аудита для выбора событий, вносимых в журналы событий безопасности Windows на серверах; использование процедуры назначения прав пользователя при определении пользователей, имеющих право доступа к определенному набору серверов и рабочих станций через удаленный рабочий стол; запрет или разрешение активности и переименования учетной записи администратора на определенном наборе компьютеров.

Применять политику аудита достаточно просто; с ее помощью можно определить типы событий, записываемых в журнал событий безопасности Windows. Здесь можно указать успешные и/или ошибочные события для аудита различных типов, от доступа к AD до доступа к системному объекту (например, файлу или разделу реестра). В зависимости от места привязки объекта GPO, определяющего события аудита, можно включить аудит на контроллерах домена или членах-серверах и рабочих станциях. Например, если привязать GPO, содержащий политику аудита, которая разрешает аудит доступа к службе каталогов, к организационной единице Domain Controllers, то объект будет обрабатываться всеми контроллерами в домене и, таким образом, весь доступ к AD будет регистрироваться на DC, который обслужил запрос доступа.

Назначение прав пользователя — еще один мощный инструмент безопасности в арсенале групповой политики. С его помощью можно определять, какие пользователи могут совершать те или иные действия на конкретном компьютере. Пример прав пользователя: право Logon Locally позволяет определить, кто может выполнить интерактивную регистрацию с консоли сервера или рабочей станции; право Load and Unload Device предоставляет группе или пользователю возможность устанавливать драйверы устройств, в частности драйверы принтеров и дисплея. Создавая объект GPO, привязанный на уровень домена, и назначая право Deny Log on Locally группе Authenticated Users, администратор фактически запрещает всем пользователям домена AD регистрироваться на рабочих станциях. Конечно, цель данного примера — не научиться нарушать работоспособность, а показать, насколько широки возможности назначения прав пользователей и как осторожно следует их использовать. Как и при работе с другими настройками политики, необходимо убедиться, что объект GPO, в котором устанавливаются права пользователя, применяется только к нужным компьютерам, а права назначаются правильно выбранным группам пользователей.

Еще одна особенность назначения прав пользователей заключается в том, что список прав, отображаемых в редакторе групповой политики, зависит от версии Windows, в которой редактируется групповая политика (то есть версии Windows, в которой запущен редактор). В новых версиях Windows, таких как Server 2008 и Vista, больше прав пользователей, чем в старых версиях, в частности Windows XP. Поэтому, если право пользователя определено в объекте GPO в Vista и этот GPO применяется на компьютере XP, на котором не реализовано данное право пользователя, XP обработает политику, но затем игнорирует ее.

Можно быстро сравнить различия в настройках безопасности между версиями Windows, загрузив таблицы Group Policy Settings Reference, опубликованные компанией Microsoft для каждой версии Windows по адресу download.microsoft.com. Запустите поиск по ключевым словам «Group Policy Settings Reference», чтобы найти таблицы для каждой версии. В таблицах содержится список всех стандартных административных шаблонов для данной версии, а также настройки безопасности.

Назначение прав пользователя, как и некоторые другие области безопасности Windows, можно применять для настройки ролей, определяющих круг действий, выполняемых различными пользователями. Встроенные группы, такие как операторы сервера и операторы архива, — просто группы, которым предоставлены права и разрешения для использования других ресурсов компьютера. Безусловно, можно создать группу администраторов настольных компьютеров и предоставить ей право выполнять любые задачи на компьютерах Windows, не включая членов этой группы в группу администраторов на каждом компьютере.

Последняя область в разделе локальных политик редактора групповой политики — параметры безопасности, которые находятся ниже параметров безопасности локальных политик. Я называю эти настройки элементами управления уязвимостью, так как они определяют настройки безопасности, управляющие способами определения мер безопасности компьютера. Например, в этом разделе можно задать требования к подписи пакета SMB на клиентах и серверах. Подписывание SMB — форма защиты соединения, при которой затрудняется доступ взломщиков к сетевым каналам между компьютерами с целью перехвата трафика. В этом разделе также можно управлять поведением функции контроля учетных записей UAC в Vista, как показано на экране 2.

Вероятно, самая интересная особенность раздела параметров безопасности заключается в том, что список параметров безопасности, представленный в этом разделе, хотя и зависит от версии Windows, из которой запущен редактор групповой политики, может быть изменен вручную. Список настраивается с помощью базового файла, sceregvl.inf, который находится в папке%windir%inf на настраиваемом компьютере. Внутри этого файла определены все политики, представленные в параметрах безопасности, и файл можно изменить, добавив в него дополнительные настройки, которыми нужно управлять через групповую политику. Дополнительные сведения об этом файле можно получить по адресу support.microsoft.com/kb/214752.

Политика групп с ограниченным доступом

Цель политики групп с ограниченным доступом — предоставить механизм для управления локальным членством на рабочих станциях и автономных серверах, членах домена.

Например, можно использовать политику групп с ограниченным доступом, чтобы только сотрудники службы поддержки были членами группы пользователей удаленного рабочего стола на всех рабочих станциях. Существует два режима применения групп с ограниченным доступом — Members и Member Of. Режим Members — более строгий. Членами локальной группы на наборе рабочих станций являются только перечисленные пользователи и группы, а все остальные группы и пользователи удаляются (за исключением локальной учетной записи администратора, к которой политика групп с ограниченным доступом не применяется). Однако в режиме Members Of можно неэксклюзивно добавлять пользователей и группы в другие группы. Другими словами, можно создать политику, чтобы всегда вводить группу администраторов настольных компьютеров в состав группы локальных администраторов на каждом компьютере, который обрабатывает политику. В этом случае администраторы настольных компьютеров добавляются в группу локальных администраторов, но члены всех остальных групп остаются незатронутыми.

Новые предпочтения групповой политики, которые появились в Server 2008, но могут применяться в XP и более поздних версиях операционной системы, также обеспечивают управление группами внутри области политик Computer (и User) Configuration PreferencesControl Panel SettingsLocal Users and Groups. С помощью этой функции можно выполнять такие задачи, как переименование групп и выборочное добавление и удаление конкретных пользователей и групп. Предпочтения групповой политики — гораздо более гибкий вариант политики групп с ограниченным доступом, их рекомендуется использовать в качестве альтернативы в случаях, когда группы с ограниченным доступом полезны, но нужно избежать имеющихся у них ограничений.

И последнее об использовании групп с ограниченным доступом и предпочтений групповой политики. Возникает соблазн использовать эти политики для управления членством в группах AD. Но в действительности эти политики не предназначены для использования в среде AD со многими хозяевами, и могут возникать неприятные ситуации, если групповая политика в различные моменты времени применяет изменения членства в группах с разных контроллеров домена DC. Это может привести к осложнениям, так как членство в группах реплицируется из DC, который инициировал изменение. Поскольку групповая политика обрабатывается одинаково всеми DC в домене, каждый DC обработает идентичные изменения членства в группах AD, как указано политикой групп с ограниченным доступом, и, в сущности, начинается «пинг-понг» идентичных репликационных изменений членства в группах по всем контроллерам домена, в зависимости от времени обработки политики каждым DC.

Политика системных служб

Политика системных служб позволяет управлять службами Windows, запускаемыми на данном компьютере. Кроме того, с ее помощью можно управлять разрешениями службы. Например, можно использовать эту область политики, чтобы предоставить только администраторам сервера возможность останавливать и запускать службу Print Spooler на всех серверах Windows, функционирующих как серверы печати. Политику системных служб можно применить, чтобы предоставить избранной группе возможность выполнить определенную задачу, хотя члены этой группы и не будут являться администраторами соответствующих компьютеров.

Предпочтения групповой политики, расположенные в разделе Computer ConfigurationPreferencesServices, также предоставляют политику для управления системными службами. Эта функция обеспечивает дополнительный контроль настроек, в том числе возможность изменять учетную запись службы и пароль учетной записи службы на нескольких компьютерах. Последняя возможность чрезвычайно полезна, так как в прошлом, если служба выполнялась на нескольких компьютерах в контексте учетной записи пользователя, приходилось посещать каждый компьютер, на котором требовалось изменить пароль учетной записи пользователя. В результате многие компании старались не менять пароль учетной записи службы, что представляло большой риск для безопасности, потому что многие учетные записи служб — привилегированные по сравнению с учетными записями пользователей. Кроме того, предпочтения групповой политики обеспечивают механизм «проталкивания» изменения на все компьютеры, что позволяет регулярно менять пароль учетной записи службы.

Политики реестра и файловой системы

Эти политики обеспечивают возможность централизованно назначать разрешения для файловой системы и разделов реестра. Например, требуется обезопасить определенный файл или папку, которая существует на всех настольных компьютерах, таких как файл HOSTS рабочей станции, чтобы вредные программы, проникшие в компьютер, не могли легко изменить этот файл. В таком случае политика файловой системы позволяет централизованно задать разрешения и наследование разрешений, которые должны существовать для этого файла на всех компьютерах, обрабатывающих политику. Но в целом политики безопасности файловой системы и реестра нечасто используются для централизованного управления безопасностью файловой системы и реестра, а их неправильное применение порождает проблемы. Эти политики не могут эффективно применяться для смены разрешений для больших деревьев файлов и папок или разделов реестра. Они просто непригодны для решения этой задачи при обработке групповой политики; известно, что иногда быстродействие компьютера при обработке политики резко снижается. Проблема усугубляется, так как по умолчанию политика безопасности автоматически обновляется через каждые 16 часов, даже если политика не изменялась.

Если нужно несколько ограничить разрешения файловой системы или реестра, рекомендуется использовать какой-нибудь иной метод, без групповых политик, например сценарии, шаблоны безопасности или инструменты безопасности независимых поставщиков. Но эти политики можно использовать, если назначаются разрешения лишь небольшому числу файлов, папок или разделов реестра. Данный способ может оказаться наиболее удачным для защиты ключевых ресурсов, учитывая цикличный метод обработки групповой политики.

Ограничения для приложений

В идеальном случае администратор указывает каждый процесс, который может запустить пользователь, и исключает все лишние процессы. Таким образом удается избежать запуска нежелательных программ, неосмотрительно установленных пользователями. Таков общий подход политик ограниченного применения программ Software Restriction Policies (SRP), которые находятся в каталоге Computer and User ConfigurationWindows Settings Security SettingsSoftware Restriction Policies. В сущности, через разнообразные механизмы правил можно определять программы, которые разрешено выполнять.

SRP можно настроить для работы в трех режимах. В режиме по умолчанию можно выполнять любые программы, и администратор явно запрещает конкретные приложения и сценарии. Этот процесс называют внесением в черный список (blacklisting), и, хотя организовать его просто, надежность этого метода невысока из-за слишком большого элемента неизвестности и невозможности указать каждую программу, которую могут попытаться запустить пользователи.

Второй режим предполагает составление белого списка (whitelisting) и представляет собой самый надежный вариант SRP, но требует больших усилий от администратора. В этом режиме можно установить по умолчанию уровень выполнения Disallowed, то есть запретить выполнение любых программ, кроме программ ядра Windows и явно указанных приложений и сценариев. Режим по умолчанию можно назначить в папке Security Levels, вложенной в Software Restriction Policies, как показано на экране 3.

Включая этот режим, необходимо создать правила, указывающие разрешенные программы. Для этого нужно знать, какие процессы будут запускать пользователи, и своевременно удовлетворять их потребности в новых приложениях. Задача управления белыми списками очень трудоемка, но обеспечивает высокую безопасность среды, если пользователи работают с ограниченным количеством приложений. Например, при внесении в белый список приложений, которые разрешено выполнять, пользователи не могут запустить неосмотрительно загруженные вредные программы, так как их нет в списке одобренных приложений. Разрешенные и запрещенные приложения задаются с использованием правил SRP, описанных ниже.

Последний режим, называемый Basic user, впервые появился в Vista, но поддерживается и в XP. В случаях когда пользователи работают как администраторы и администратор устанавливает уровень по умолчанию Basic user, из всех процессов, запускаемых администратором, удаляются административные маркеры, что, в сущности, приводит к выполнению процесса от лица пользователя без административных привилегий. Такой подход полезен, если нужно добиться, чтобы администраторы не запускали определенные процессы от имени административных учетных записей.

Основа подхода к использованию SRP состоит в том, чтобы сначала установить уровни безопасности по умолчанию в значение Unrestricted, Disallowed или Basic user. Затем можно подготовить правила, используя папку Additional Rules в Software Restriction Policy, как показано на экране 4. Эти дополнительные правила вводят исключения, чтобы разрешить или запретить запуск конкретных процессов. В SRP существует четыре типа правил: хеша, пути, сертификатов и сетевой зоны.

Правила хеша. Правила хеша используются, чтобы уникально идентифицировать выполняемый фрагмент программного кода. При использовании правила хеша выбирается определенная версия программы или сценария, и только эта конкретная версия обозначается как разрешенная (Unrestricted) или запрещенная (Disallowed). Если пользователь переименовывает исполняемый файл, хеш остается действительным, а пользователь блокируется, если установлено значение Disallowed. Но при каждом изменении версии приложения необходимо подготовить новое правило хеша, чтобы отразить это изменение. Если существуют различные версии приложения для разных выпусков Windows, то для каждой версии необходимо собственное хеш-правило. Правила такого типа неудобно обслуживать при большом количестве приложений, но они очень надежны, если требуется запретить или разрешить конкретное приложение. Хеш-правило составляется в редакторе групповой политики во время добавления исполняемого файла в политику.

Правила пути. Правила пути более гибкие, чем правила хеша. С их помощью можно указать путь в файловой системе, где хранится исполняемый код, и разрешить или запретить все программы, содержащиеся на этом пути (и в дочерних папках). Определяя правила, можно использовать подстановочные символы и переменные среды, чтобы сделать правила еще более гибкими. Недостаток правил пути заключается в том, что они хороши лишь настолько, насколько удачны разрешения в локальной файловой системе. Правило пути окажется бесполезным, если пользователи могут обойти его, просто скопировав нужную им программу в другую папку. Например, места хранения временных файлов обычно открыты для записи со стороны пользователей, поэтому нужно подготовить правило пути, которое запрещает выполнять любой программный код из папок временных файлов в Windows. Таким образом, оптимальным решением может оказаться комбинация правил пути, правил хеша и строгие разрешения файловой системы.

Правила сертификатов и сетевой зоны. Эти правила используются реже остальных. Правило сертификатов позволяет указать программу, которая может запускаться в зависимости от лица, подписавшего программный код с использованием сертификатов открытого ключа. Недостаток этих правил — в необходимости подписывать все запускаемые программы, что не всегда возможно. Правила сетевых зон позволяют управлять способами установки файлов в зависимости от их происхождения, но почти бесполезны, так как применяются только к файлам Windows Installer (.msi). Кроме того, правило игнорируется, если пользователь загружает файл setup.exe.

Ограничения для устройств

Контроль действий, совершаемых пользователями над важными бизнес-данными, столь же необходим, как и контроль выполнения программ. Защита данных предполагает не только обеспечение безопасности хранилища, но и контроль действий пользователей, которые могут физически изъять данные из компьютеров. Стоимость миниатюрного USB-накопителя емкостью в несколько гигабайтов — всего 20 долл., и злоумышленник может просто незаметно унести корпоративные данные в кармане. Решить проблему помогут накладываемые на устройства ограничения на основе групповой политики. Эти ограничения для устройств появились в Server 2008 и Vista и задаются в Computer (или User Configuration)Administrative TemplatesSystemRemovable Storage Access. Можно запретить доступ для чтения или записи (или и то и другое) для любого класса сменных носителей, в том числе USB-накопителей, записываемых CD- и DVD-дисков, и сменных жестких дисков, как показано на экране 5.

В прошлом ввести ограничения для устройств, подключаемых к настольным компьютерам с операционными системами, предшествующими Vista, можно было только с помощью продуктов независимых производителей. Но с появлением предпочтений групповой политики ограничения для устройств распространены и на Windows Server 2003 и XP. Можно разрешить или запретить определенные классы устройств по их уникальному идентификатору в Computer (User) ConfigurationPreferencesControl Panel SettingsDevices. Эта функция не обеспечивает достаточной детализации, чтобы управлять возможностью чтения, но не записи, как рассмотренная ранее политика для устройств Vista, но, по крайней мере, можно создать набор политик, которые ограничивают, например, все сменные устройства хранения, как показано на экране 6.

Безопасность IE

Вероятно, сложнее всего настроить с помощью групповой политики браузер IE. Причина заключается в том, что существует по крайней мере три различных способа настроить IE через групповую политику. Первый способ настроить IE — задействовать политику настройки IE (в User ConfigurationWindows SettingsIE Maintenance Policy). Второй способ — применить административный шаблон политик (в Computer — или User — ConfigurationAdministrative TemplatesWindows ComponentsInternet Explorer). Третий метод — настроить IE с использованием предпочтений групповой политики (в User ConfigurationPreferencesControl Panel SettingsInternet Settings).

У каждого из перечисленных вариантов есть свои достоинства и недостатки. Например, если нужно настроить такие параметры, как proxy-сервер или домашняя страница IE, можно применить политику настройки IE или предпочтения групповой политики. По возможности рекомендуется использовать предпочтения групповой политики, так как политика настройки IE давно известна как не очень надежное средство доставки параметров политики клиентам. Конечно, в большинстве случаев предпочтения групповой политики — всего лишь предпочтения. Они не запрещают пользователям изменять, например, настройки proxy-серверов, как политика настройки IE. Так что, если для управления, например, настройками proxy-сервера применяются предпочтения групповой политики, необходимо использовать административный шаблон политик для отключения страницы в IE, которая позволяет пользователям обращаться к этим настройкам. Цель политики безопасности IE — не позволять посетителям Web-узлов загружать сомнительные материалы. Используя такие возможности, как принудительное назначение proxy-сервера, можно сделать так, чтобы пользователи обращались в Internet только через контролируемый proxy-сервер. Блокируя элементы IE в административном шаблоне политик, можно предотвратить изменение конфигурации IE пользователем, который пытается обойти установленные ограничения.

Если требуется настроить зональную безопасность IE (чтобы централизованно определять безопасные Web-узлы) или внести адреса Web-узлов в списки блокировки всплывающих окон или зоны безопасности, то для управления этими параметрами можно использовать все три метода. Каждый метод имеет свои особенности и располагает различными наборами параметров. Например, можно задействовать политики в Computer (или User) Configuration Administrative TemplatesWindows ComponentsInternet ExplorerInternet Control PanelSecurity Page для настройки безопасности каждой зоны IE (надежные узлы, местная, Internet), а также списка сопоставления узлов и зон, с помощью которого можно указать, какие Web-узлы вносятся в каждую зону безопасности для пользователей. Если применяется данный метод, пользователи не смогут добавлять узлы или изменять эти параметры в IE — они будут полностью блокированы. Но если используется политика настройки IE, то можно настроить зональную безопасность и сопоставить узлы зонам, но пользователи все же смогут добавлять Web-узлы в зону. Наконец, если используются предпочтения групповой политики, то можно настроить зонную безопасность, но нельзя добавлять Web-узлы к зонам. Однако предпочтения групповой политики обеспечивают полный доступ ко всем настройкам на вкладке Advanced в свойствах IE (см. экран 7), чего не обеспечивают два других метода.

Полезные ресурсы для начинающих

Для настройки одного и того же набора параметров нередко существует несколько методов, но некоторые задачи по обеспечению безопасности настольного компьютера нельзя выполнить с помощью групповой политики. Начать работу рекомендуется с изучения руководств по безопасности для Vista и XP, опубликованных Microsoft. Загрузить их можно с сайта download.microsoft.com, выполнив поиск по ключевым словам Security Guide. В этих документах приведены оптимальные методы настройки безопасности настольных компьютеров, а также шаблоны безопасности и таблицы параметров, в которых определены надежные конфигурации. Кроме того, компания Microsoft предоставляет программу GPO Accelerator (www.microsoft.com/downloads/details.aspx?FamilyID=a46f1dbe-760c-4807-a82f-4f02ae3c97b0) с заранее подготовленными объектами GPO, которые можно импортировать и использовать для реализации оптимальных методов, указанных в руководствах по безопасности. Готовые объекты GPO не всегда точно соответствуют потребностям администратора, но могут служить отправной точкой для реализации и тестирования безопасной конфигурации сети.

Даррен Мар-Элиа ([email protected]) — редактор Windows IT Pro, технический директор и учредитель компании SDM Software

---

Настройки безопасности системы в разделе реестра Computer Configuration Windows Settings/Security Settings в Vista

Просмотр настроек UAC в параметрах безопасности

Задание уровня ограничения по умолчанию для программ

Подготовка правил Software Restriction Policy

Групповая политика для защиты настольных компьютеров Windows

Поделитесь материалом с коллегами и друзьями

Как настраивать групповые политики Windows Server 2016

Групповые политики являются одним из самых эффективных способов управления компьютерной сетью, построенной на базе Windows-сетей. Групповые политики используют для упрощения администрирования, предоставляя администраторам централизованное управление привилегиями, правами и возможностями как пользователей, так и компьютеров сети.

При помощи политики возможно:

• назначать сценарии пользователя и сценарии компьютера, запускающиеся в конкретно указанное время;
• определять политики параметров пароля учетных записей, блокировку пользователей;
• распространять программное обеспечение на компьютеры сети при помощи публикации или назначения;
• выполнять набор настроек безопасности для удаленных машин;
• ввести контроль над доступом к windows-компонентам, системным ресурсам, сетевым ресурсам, утилитам панели управления, рабочему столу и экрану;
• проводить настройку по распределению прав на доступ к файлам и папкам;
• настраивать перенаправление определенных папок из профиля пользователя.

Групповые политики возможно применять сразу на нескольких доменах, на отдельных доменах, на подгруппах в домене, на отдельных системах.

Политики, применяемые к отдельным системам, называются локальными групповыми политиками. Такие политики хранятся только на локальном компьютере. Остальные групповые политики соединены в объекты и хранятся в хранилище данных Active Directory.

Управление групповых политик имеется только в профессиональных и серверных версиях Windows.

Для каждой новой версии Windows вносились новые изменения в групповую политику. В некоторых случаях старые политики не применяются на новые версии Windows.

Обычно большинство политик прямо совместимы. Это означает, что, как правило, политики, предоставленные в Windows Server 2003, могут использоваться на Windows 7 и более поздних, а также на Windows Server 2008 и более поздних. Однако, политики для Windows 8/10 и Windows Server 2012/2016 обычно не применимы к более ранним версиям Windows. Для того, чтобы узнать какие версии поддерживает политика, можно открыть окно ее свойств – там посмотреть на поле Требование к версии или поддерживается. В нем указаны версии ОС, на которых эта политика будет работать:

Редактирование групповых политик

Консоль редактирования групповой политики входит в состав сервера, ее требуется установить в диспетчере сервера как дополнительный компонент управления групповыми политиками:

После этого в составе программ меню Администрирование появляется задача Управление групповыми политиками.

В оснастке Управление групповой политикой назначаются политики к подразделениям, а благодаря иерархической структуре можно визуально понять к какой группе относятся какая-либо политика:

Групповая политика изменяется в редакторе управления групповыми политиками – для этого требуется выбрать команду Изменить в меню Действия. Так же новую групповую политику можно создать либо «с нуля», для этого выбираем Объекты групповой политики выбираем команду Создать в меню Действие. Записываем новое имя объекта групповой политики после этого нажимаем ОК. Можно скопировать в нее параметры уже существующей политики в зависимости от требуемой задачи.

Чтобы применить созданную политику, требуется установить для нее связь с соответствующим объектом службы каталогов в оснастке Управление групповой политикой:

Примененную политику можно настроить по фильтру безопасности. Таким способом параметры данного объекта групповой политики возможно разделить только для заданных групп, пользователей и компьютеров, входящих в домен:

Рекомендации по применению политик

Главное заключается в том, чтобы не изменять политику по умолчанию. Потому как если в политике возникнет какая-либо серьезная ошибка, то возврат к начальному состоянию приведет к удалению не только последних настроек, но и всех других параметров. Поэтому для административных действий по управлению системой создавайте новые политики, тогда для изменения настроек вам потребуется только отключать/включать привязку политик к организационной структуре.

Обработка одной политики с наибольшим числом назначенных параметров, не отличается по времени от обработки нескольких политик, в каждой из которых назначается только часть этих параметров. Поэтому удобнее создавать несколько политик, чем включать все изменения в одну.

Не стоит удалять ранее созданные групповые политики – желательно просто отключить привязку их от объекта службы каталогов. Они могут потребоваться в дальнейшем для анализа в случае каких-либо проблем.

В рамках нашей услуги ИТ-обслуживание мы не только настраиваем групповые политики, но и берем на себя обслуживание всей ИТ-структуры клиента, включая все настройки, обновления ПО и поддержку в режиме 24/7.

Настройка GPO через RDP для ВМ в домене MS AD — Документация

Для настройки необходимо выполнить 3 шага: 1. Создать группу безопасности 1. Создать групповую политику 1. Проверка применения групповой политики

Создание группы безопасности

Создадим группу VDI_RDP и добавим пользователей, которым будет разрешено входить на ВМ через протокол RDP. Для это заходим в оснастку Active Directory — пользователи и компьютеры → Имя домена → Users, щелкаем по нему правой кнопкой мыши и выбираем из доступных свойств Создать → Группа, вводим имя группы и нажимаем ОК

Пример

Создание групповой политики

Открываем оснастку управления групповыми политиками: Пуск→ Средства администрирование Windows → Управление групповой политикой. Создаём организационный контейнер VDI. Контейнер можно создать через оснастку Управление групповой политикой либо Active Directory — пользователи и компьютеры

Политика применяется на организационный контейнер VDI в котором располагаются подконтрольные ВМ, поэтому раскрываем домен, находим контейнер VDI, щелкаем по нему правой кнопкой мыши и выбираем из доступных свойств Создать объект групповой политики в этом домене и связать его…. Назовём его Enable RDP. Открываем политику на редактирование и переходим в элементы конфигурирования настроек на компьютер: Enable RDP → Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Группы с ограниченным доступом. Щелкаем правой кнопкой мыши вызываем свойства и выбираем Добавить группу → Обзор, далее через Обзор находим созданную группу: VDI_RDP. По окончании нажимаем кнопку Применить и OK

В окне Свойства группы настраиваем членства к другой группе. Нажимаем Добавить находим группу Пользователи удалённого рабочего стола и добавляем. Нажимаем ОК.

Пример

Теперь активируем галочку разрешить подключение к удалённому рабочему столу в свойства системы ВМ. Для этого внесём изменения в групповую политику Enable RDP.

Enable RDP → Конфигурация компьютера → Настройка → Конфигурация Windows → Реестр, создаем новый ключ, Создать – Элемент реестра.

Значения настроек

1. Действие:Обновить
2. Куст: HKEY_LOCAL_MACHINE
3. Путь раздела:System\CurrentControlSet\Control\Terminal Server
4. Имя параметра: fDenyTSConnections
5. Тип параметра: REG_DWORD
6. Значение: 00000000

По окончании настроек нажимаем кнопку Применить и OK для принятия изменений. Теперь чтобы политика применилась на рабочие станции в организационном контейнере VDI они должны быть перезагружены.

Пример

Проверка применения групповой политики

Что бы проверить применилась ли групповая политика Enable RDP, необходимо зайти на ВМ в оснастку Управление компьютером → Локальные пользователи → Группы → Пользователи удалённого рабочего стола. В свойствах группы должна быть указана группа VDI_RDP

Пример

Установка Kaspersky Security для Windows Server через групповые политики Active Directory

Установка Kaspersky Security для Windows Server через групповые политики Active Directory Пожалуйста, включите JavaScript в браузере!

Установка Kaspersky Security для Windows Server через групповые политики Active Directory

Вы можете установить Kaspersky Security для Windows Server на несколько защищаемых устройств с помощью групповой политики Active Directory. Консоль программы можно установить аналогичным образом.

Защищаемые устройства, на которые требуется установить Kaspersky Security для Windows Server или Консоль программы, должны быть в одном домене и в одной организационной единице.

Операционные системы защищаемых устройств, на которые требуется установить Kaspersky Security для Windows Server с помощью политики, должны быть одной разрядности (32-разрядные или 64-разрядные).

Вы должны обладать правами администратора домена.

Чтобы установить Kaspersky Security для Windows Server, используйте пакет установки ks4ws_x86.msi или ks4ws_x64.msi. Чтобы установить Консоль программы, используйте пакет установки ks4wstools.msi.

Подробная информация об использовании групповых политик Active Directory содержится в документации, предоставляемой корпорацией Microsoft.

Чтобы установить Kaspersky Security для Windows Server (или Консоль программы), выполните следующие действия:

1. Сохраните msi-файл, соответствующий разрядности установленной версии операционной системы Microsoft Windows, в папку общего доступа на контроллере домена.
2. Сохраните файл ключа в эту же общую папку на контроллере домена.
3. В этой же папке общего доступа на контроллере домена создайте файл install_props.json, содержащий приведенные ниже строки. Это означает, что вы соглашаетесь с условиями Лицензионного соглашения и Политики конфиденциальности.

   {

   "EULA": "1",

   "PRIVACYPOLICY": "1"

   }

4. На контроллере домена создайте новую политику для группы, в которую объединены защищаемые устройства.
5. С помощью Редактора объектов групповых политик создайте новый инсталляционный пакет в узле Конфигурация компьютеров. Укажите путь к msi-файлу Kaspersky Security для Windows Server или Консоли программы в формате UNC (Universal Naming Convention).
6. Установите флажок установщика Windows Всегда устанавливать с повышенными правами как в узле Конфигурация компьютеров, так и в узле Конфигурация пользователей выбранной группы.
7. Примените изменения с помощью команды gpupdate / force.

Программа Kaspersky Security для Windows Server будет установлена на защищаемые устройства группы после их перезагрузки.

В начало

Иллюстрированный самоучитель по Microsoft Windows 2000 › Групповые политики [страница — 801] | Самоучители по операционным системам

Эффективное функционирование ни одной многопользовательской операционной системы невозможно без четкого разграничения доступа к ресурсам. Одним из средств, позволяющих настраивать параметры безопасной работы пользователей в сети в операционных системах Windows, являются политики безопасности.

При создании, настройке и хранении параметров групповых политик применяется подход, позволяющий работать с GPO как с документами. | После создания GPO ассоциируется с определенным контейнером Active Directory, и в результате групповые политики, хранящиеся в данном GPO, будут выполняться для всех компьютеров и пользователей, находящихся в этом контейнере.

При запуске оснастка Групповая политика загружает корневой узел, представляющий собой GPO, присоединенный к определенному контейнеру.

Ниже родительских узлов Конфигурация компьютера и Конфигурация пользователя находятся дочерние узлы, каждый из которых является полноценным расширением оснастки Групповая политика. Они могут находиться в обоих родительских узлах, хотя и с различными параметрами, или индивидуально расширять узлы Конфигурация компьютера или Конфигурация пользователя.

С помощью расширения Административные шаблоны администратор системы может настроить целый набор параметров реестра, задающих режим функционирования компонентов операционной системы и приложений. | Задать конкретные параметры, доступные для модификации с помощью интерфейса пользователя оснастки Групповая политика, можно с помощью специальных административных шаблонов.

С помощью расширения Параметры безопасности в GPO можно определить параметры политики безопасности, определяющие различные аспекты работы системы безопасности Windows 2000. Созданная в объекте групповой политики конфигурация воздействует на все компьютеры, находящиеся в контейнере, к которому присоединен данный GPO.

Оснастка Установка программ предназначена для организации централизованного управления установкой программного обеспечения на компьютеры сети Windows 2000. Она позволяет настроить два режима установки ПО на группу компьютеров, или для группы пользователей – назначение (assignment) и публикация (publishing).

С помощью этого расширения можно задать сценарии, которые должны выполняться на компьютере при загрузке и завершении работы операционной системы, а также при регистрации пользователя в системе и окончании сеанса работы.

Оснастка Перенаправление папки позволяет перенаправить некоторые папки профиля пользователя в другое место (как правило, на общий ресурс сети). Перенаправление возможно для следующих папок: | Application Data | Мои рисунки (My Pictures) | Рабочий стол (Desktop) | Главное меню (Start Menu)

Некоторым расширениям оснастки Групповая политика, находящимся на сервере, соответствуют расширения, работающие у клиента. Они предназначены, для отработки настроек групповых политик на клиентских компьютерах. Расширения, работающие на стороне клиента, представляют собой модули DLL (табл.

GPO хранит информацию о настройках групповых политик в двух структурах – контейнере групповых политик (Group Policy Container, GPC) и шаблоне групповых политик (Group Policy Template, GPT).

Внутри папки шаблона групповых политик имеются следующие подкаталоги. | Adm (если компьютер входит в домен). | Здесь находятся все файлы *.adm для данного шаблона групповых политик. | Machine. | Здесь хранится файл Registry.pol со значениями параметров реестра, устанавливаемыми для компьютера.

Применение групповых политик происходит в последовательности, соответствующей иерархии GPO: сначала объект групповой политики сайта, затем домена, затем GPO, связанные с подразделениями в соответствии с их вложенностью, Порядок выполнения групповых политик можно изменить с помощью настроек, блокирующих определенные групповые политики или заставляющих их выполняться принудительно.

Периодичность применения групповых политик на клиентской стороне во многом определяется пропускной способностью канала, по которому клиент обменивается информацией с серверами сети. При работе по медленному каналу администратор может увеличить период применения групповых политик.

После нескольких неудачных попыток регистрации в системе учетная запись пользователя должна быть заблокирована. Вы можете установить допустимое максимальное количество неудачных попыток. Следует заметить, что разблокировать учетную запись может только администратор.

Ниже показано, как можно настроить безопасность для раздела реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT. Администраторы получат полный контроль, а все остальные аутентифицированные пользователи будут иметь доступ только на чтение.

С помощью политик безопасности вы можете установить различные права доступа к устройству для разных пользователей (например, полный контроль для администраторов и права на чтение и создание подкаталогов, а также полный контроль над создаваемыми файлами – для пользователей)!

Каждый домен по умолчанию обладает ассоциированной с ним групповой политикой. Объект групповой политики (Group Policy Object, GPO) автоматически создается при создании домена. Впоследствии этот объект можно отредактировать.

Ниже приведен ряд примеров, демонстрирующих работу с групповыми политиками домена. | Создание объекта групповой политики | Для создания самостоятельного, изолированного GPO: | Запустите консоль управления Microsoft (MMC).

Определить, какой контроллер домена (Domain Controller, DC) выбирается по умолчанию оснасткой Групповая политика при работе с GPO, можно двумя способами: указать это в самой оснастке Групповая политика или установить политику выбора контроллера домена (см. следующий раздел).

Можно сконфигурировать групповую политику, определяющую, какой контроллер домена будет выбираться по умолчанию при запуске оснастки Групповая политика. | Для этого: | Запустите оснастку Групповая политика для групповой политики контроллера домена или для политики всего домена.

Как уже говорилось, все компьютеры и пользователи, находящиеся в определенном контейнере, подпадают под влияние групповых политик, настройки которых находятся в GPO, связанном с данным контейнером. | Для более тонкой настройки влияния определенного объекта груп повой политики на группы пользователей и компьютеров применяют группы безопасности.

С помощью инструментов управления Active Directory администратор может делегировать другим пользователям и группам право управления частью каталога. | Это в полной мере относится и к объектам групповой политики, в отношении которых могут быть, в частности, делегированы следующие права.

Обеспечение эффективной безопасности системы имеет несколько аспектов. | Во-первых, операционная система должна соответствовать базовым требованиям к безопасности. Например, требования к системе, соответствующей уровню безопасности С2, включают защиту памяти, дискреционное управление доступом и наличие средств аудита.

Редактор шаблонов безопасности реализован в виде оснастки ММС. Он предназначен для создания и редактирования текстовых файлов конфигурации безопасности операционной системы Windows 2000. Такие файлы значительно легче переносятся с одной системы на другую, чем соответствующие им базы данных безопасности.

Для работы с оснасткой Шаблоны безопасности необходимо запустить консоль управления Microsoft и подключить к ней оснастку. Для знакомства с шаблонами в окне оснастки откройте, например, узел Шаблоны безопасности, щелчком выберите шаблон безопасности securews и просмотрите его папку Политика паролей (рис. 27.8). | Как показано на рис.

Щелкните на одном из стандартных шаблонов безопасности, которые вы видите в окне оснастки Шаблоны безопасности. Если вы хотите модифицировать какую-либо настройку безопасности, дважды щелкните на ней и отредактируйте значения параметров.

Утилиту secedit.exe можно использовать из командной строки или с Диспетчером задач для активизации и анализа некоторой конфигурации безопасности. Secedit.exe загружает в локальную базу данных настройки безопасности, определенные в шаблоне.

Здесь мы поговорим об использовании оснастки Анализ и настройка безопасности для анализа различных аспектов безопасности систем Windows 2000. | Эту оснастку, как и утилиту командной строки secedit, можно применять для интерактивного сбора анализируемых данных в системе или для выполнения периодического сбора информации с помощью сценария, запускаемого в соответствии с заданным расписанием.

База данных, с помощью которой выполняется анализ безопасности системы, задается следующим образом: | Запустите оснастку Анализ и настройка безопасности и нажмите правую кнопку мыши на корне структуры. | В появившемся контекстном меню выберите команду Открыть базу данных (Open Database).

Процесс установки новой политики безопасности состоит из нескольких описанных ниже этапов. | Импорт конфигурации безопасности в базу данных системной политики безопасности. Чтобы импортировать некоторую конфигурацию: | Выберите папку Анализ и настройка безопасности и нажмите правую кнопку мыши.

Пусть политика безопасности системы предполагает, что в группу Администраторы могут быть включены только администраторы системы, а в группу Опытные пользователи – только определенные пользователи. Если членом этих групп станет другой пользователь, произойдет нарушение политики безопасности.

Что такое групповая политика (GPO) и какую роль она играет в защите данных

Прежде всего, что такое групповая политика? Групповая политика — это функция Windows, которая обеспечивает широкий спектр дополнительных настроек, которые сетевые администраторы могут использовать для управления рабочей средой пользователей и учетных записей компьютеров в Active Directory. По сути, он предоставляет администраторам централизованное место для управления и настройки операционных систем, приложений и пользовательских настроек.

Групповые политики

при правильном использовании могут позволить вам повысить безопасность компьютеров пользователей и помочь защитить себя как от внутренних угроз, так и от внешних атак.

В этом блоге мы подробно объясним, что такое групповые политики и объекты групповой политики, и как системные администраторы могут использовать их для предотвращения утечки данных.

Получите бесплатное руководство по обеспечению безопасности Active Directory

Размер компании1 — 250251 — 500501 — 10001,001 — 2,5002,501 — 10,00010,000+ Выберите CountryAfghanistanAlbaniaAlgeriaAmerican SamoaAndorraAngolaAnguillaAntarcticaAntigua и BarbudaArgentinaArmeniaArubaAustraliaAustriaAzerbaijanBahamasBahrainBangladeshBarbadosBelarusBelgiumBelizeBeninBermudaBhutanBoliviaBonaireBosniaBotswanaBouvet IslandBrazilBritish Индийского океана TerritoryBruneiBulgariaBurkina FasoBurundiCambodiaCameroonCanadaCape VerdeCayman IslandsCentral Африканского RepublicChadChileChinaChristmas IslandCocos IslandsColombiaComorosCongoCongo, Dem.Rep.Cook IslandsCosta RicaCroatiaCubaCuraçaoCyprusCzech RepublicDenmarkDjiboutiDominicaDominican RepublicEcuadorEgyptEl SalvadorEquatorial GuineaEritreaEstoniaEthiopiaFalkland (Мальвинские) острова Фарерские IslandsFijiFinlandFranceFrench GuianaFrench PolynesiaFrench Южный TerritoriesGabonGambiaGeorgiaGermanyGhanaGibraltarGreeceGreenlandGrenadaGuadeloupeGuamGuatemalaGuernseyGuineaGuinea-BissauGuyanaHaitiHeard IslandHondurasHong KongHungaryIcelandIndiaIndonesiaIranIraqIrelandIsle из ManIsraelItalyIvory CoastJamaicaJapanJerseyJordanKazakhstanKenyaKiribatiKoreaKorea, DPRKKuwaitKyrgyzstanLaosLatviaLebanonLesothoLiberiaLibyaLiechtensteinLithuaniaLuxembourgMacaoMacedoniaMadagascarMalawiMalaysiaMaldivesMaliMaltaMarshall IslandsMartiniqueMauritaniaMauritiusMayotteMexicoMicronesia, Fed.MoldovaMonacoMongoliaMontenegroMontserratMoroccoMozambiqueMyanmarNamibiaNauruNepalNetherlandsNew CaledoniaNew ZealandNicaraguaNigerNigeriaNiueNorfolk IslandNorthern MarianasNorwayOmanPakistanPalauPalestinian Terr.PanamaPapua Новый GuineaParaguayPeruPhilippinesPitcairnPolandPortugalPuerto RicoQatarRomaniaRussiaRwandaRéunionSaint BarthélemySaint HelenaSaint Киттс и NevisSaint LuciaSaint Мартин (французский) Сен-Пьер и MiquelonSaint VincentSamoaSan MarinoSao Tome & PrincipeSaudi ArabiaSenegalSerbiaSeychellesSierra Леоне Сингапур Синт-Маартен (нидерландский) Словакия Словения Соломоновы Острова Сомали Южная Африка Южная Джорджия и Южная Сандвичевы острова Южный Судан Испания Шри-Ланка Судан Суринам Шпицберген Свазиленд Швеция Швейцария Сирия Тайвань Таджикистан Танзания Таиланд Тимор-Лешти Того Токелау Тонга Тринидад и Тобаго Тунис Турция Туркменистан Теркс и Кайкос Тувалу U.A.E. Уганда Украина Соединенное Королевство США Малые отдаленные острова США Уругвай Узбекистан Вануату Ватикан Венесуэла Вьетнамские Виргинские острова, Британские Виргинские острова, США Уоллис и Футуна Западная Сахара Йемен Замбия Зимбабве Аландские острова

Выберите StateAlaskaAlabamaArkansasArizonaCaliforniaColoradoConnecticutDistrict из ColumbiaDelawareFloridaGeorgiaHawaiiIowaIdahoIllinoisIndianaKansasKentuckyLouisianaMassachusettsMarylandMaineMichiganMinnesotaMissouriMississippiMontanaNorth CarolinaNorth DakotaNebraskaNew HampshireNew JerseyNew MexicoNevadaNew YorkOhioOklahomaOregonPennsylvaniaRhode IslandSouth CarolinaSouth DakotaTennesseeTexasUtahVirginiaVermontWashingtonWisconsinWest VirginiaWyoming

Выберите провинцию или территориюАльбертаБританская КолумбияМанитобаНью-БрансуикНьюфаундленд и Лабрадор Новая ШотландияСеверо-западные территории НунавутОнтариоОстров принца ЭдуардаКвебекСаскачеванЮкон

Загружая, вы соглашаетесь с условиями нашей политики конфиденциальности.

Спасибо за загрузку.

Пожалуйста, проверьте свою электронную почту (включая папку со спамом) на предмет ссылки на технический документ!

Что такое объект групповой политики (GPO)?

Объект групповой политики (GPO) — это группа параметров, которые создаются с помощью редактора групповой политики консоли управления Microsoft (MMC).Объекты групповой политики могут быть связаны с одним или несколькими контейнерами Active Directory, включая сайты, домены или организационные единицы (OU). MMC позволяет пользователям создавать GPO, которые определяют политики на основе реестра, параметры безопасности, установку программного обеспечения и многое другое.

Active Directory применяет объекты групповой политики в том же логическом порядке; локальные политики, политики сайта, политики домена и политики подразделений.

Примечание. GPO, которые находятся во вложенных OU, сначала работают из OU, ближайшего к корню, и далее оттуда.

Примеры объектов групповой политики

Объекты групповой политики

могут использоваться различными способами, повышающими безопасность, многие из которых будут упомянуты в этой статье. Ниже приведены еще несколько конкретных примеров:

• Объект групповой политики может использоваться для определения домашней страницы, которую видит пользователь при запуске своего интернет-браузера после входа в домен.
• Администраторы могут использовать объекты групповой политики, чтобы определить, какие принтеры, подключенные к сети, появятся в списке доступных принтеров после того, как пользователь в определенном подразделении Active Directory войдет в домен.
Администраторы
• также могут использовать объекты групповой политики для настройки ряда протоколов и методов безопасности, таких как ограничение параметров подключения к Интернету, программ и даже времени экрана.

Как обрабатываются объекты групповой политики?

Порядок обработки объектов групповой политики влияет на то, какие параметры применяются к компьютеру и пользователю. Порядок обработки объектов групповой политики известен как LSDOU, что означает локальный, сайт, домен, организационная единица. Сначала обрабатывается политика локального компьютера, затем уровень сайта — политики домена AD, а затем, наконец, подразделения организации.Если в LSDOU есть конфликтующие политики, побеждает последняя примененная политика.

Следует ли использовать групповую политику?

Короткий ответ — да. Если вы хотите, чтобы ваши данные и основная ИТ-инфраструктура были настроены безопасным образом, вам, вероятно, необходимо понять, как правильно использовать групповую политику.

Вы можете удивиться, узнав, что Windows прямо из коробки не совсем безопасна. В безопасности существует множество пробелов, большинство из которых можно устранить с помощью объектов групповой политики.Не восполняя эти пробелы, вы подвергаетесь множеству угроз безопасности.

Объекты групповой политики

, например, могут помочь вам реализовать политику наименьших привилегий, при которой ваши пользователи имеют только те разрешения, которые им необходимы для выполнения своей работы. Они могут сделать это, отключив права локального администратора глобально в вашей сети и предоставив права администратора отдельным лицам или группам в зависимости от их ролей.

Групповые политики

можно использовать различными способами для повышения безопасности, включая отключение устаревших протоколов, предотвращение внесения пользователями определенных изменений и многое другое.Давайте посмотрим на некоторые преимущества групповой политики.

Преимущества групповой политики для безопасности данных

Преимущества групповой политики не ограничиваются только безопасностью, есть ряд других преимуществ, о которых стоит упомянуть.

• Политика паролей: Многие организации работают с упрощенными политиками паролей, при этом у многих пользователей часто устанавливаются пароли бессрочно. Пароли, которые не меняются регулярно, слишком просты или содержат общие парольные фразы, могут быть взломаны с помощью грубой силы.Объекты групповой политики могут использоваться для определения длины, сложности пароля и других требований.
• Управление системами: объекты групповой политики могут использоваться для упрощения задач, которые в лучшем случае являются рутинными, а в худшем — критически трудоемкими. Вы можете сэкономить часы и часы времени, настраивая среду для новых пользователей и компьютеров, присоединяющихся к вашему домену, используя объекты групповой политики для применения стандартизированного универсального объекта.
• Проверка работоспособности: объекты групповой политики могут использоваться для развертывания обновлений программного обеспечения и системных исправлений, чтобы гарантировать работоспособность вашей среды и ее соответствие последним угрозам безопасности.

Если вам это нравится, вам понравится это:

Ограничения групповой политики

Я бы солгал, если бы сказал вам, что GPO были волшебной пулей для защиты ваших данных. Есть ряд ограничений, о которых вам нужно знать, прежде чем начинать их реализовывать.

Во-первых, редактор GPO — не самая удобная консоль, с которой вы, вероятно, столкнетесь. Глубокое понимание PowerShell поможет упростить выполнение всех обновлений GPO.

Говоря об обновлениях GPO, они выполняются случайным образом каждые 90–120 минут при каждой перезагрузке компьютера. Вы можете указать частоту обновления от 0 минут до 45 дней. Однако, если вы укажете 0 минут, то по умолчанию объекты групповой политики будут пытаться обновляться каждые 7 секунд, что может загромождать вашу сеть трафиком.

GPO также не защищены от кибератак. Если злоумышленник хотел изменить локальные объекты групповой политики на компьютере, чтобы перемещаться по сети, было бы очень сложно обнаружить это без решения для аудита и мониторинга групповой политики.

Как помогает лепид

Решение для аудита групповой политики Lepide (часть платформы Lepide Data Security Platform) поможет вам получить больше информации об изменениях, вносимых в ваши объекты групповой политики. Каждый раз, когда вносятся критические изменения, Lepide отправляет администратору предупреждение в реальном времени и предоставляет возможность откатить нежелательные изменения к их предыдущему состоянию; позволяя администраторам поддерживать политику наименьших привилегий и обеспечивать неизменность политик безопасности организации.

Хотите узнать, как Lepide может помочь вам контролировать изменения, вносимые в объекты групповой политики, и автоматически отключать украденную учетную запись, чтобы остановить атаку? Запланируйте демонстрацию с одним из инженеров или загрузите 15-дневную бесплатную пробную версию, чтобы увидеть принцип в действии.

Скачать

Аудитор групповой политики Руководство редактора групповой политики

: параметры доступа и использование

Редактор групповой политики — это инструмент администрирования Windows, который позволяет пользователям настраивать многие важные параметры на своих компьютерах или в сетях.Администраторы могут настраивать требования к паролям, запускать программы и определять, какие приложения или настройки пользователи могут изменять.

Эти параметры называются объектами групповой политики (GPO). Злоумышленники используют GPO для отключения Защитника Windows. Системные администраторы используют GPO для работы с заблокированными пользователями.

Получите бесплатное тестирование на проникновение в средах Active Directory EBook

«Это действительно открыло мне глаза на безопасность AD, чего никогда не делала защитная работа.”

Этот блог будет посвящен версии редактора групповой политики для Windows 10 (также известной как gpedit), но вы можете найти его в Windows 7, 8 и Windows Server 2003 и более поздних версиях.

В этой статье рассказывается, как открыть и использовать редактор групповой политики, некоторые важные параметры безопасности в объектах групповой политики и некоторые альтернативы gpedit.

Как получить доступ к редактору групповой политики Windows 10: 5 параметров

Есть несколько способов открыть редактор групповой политики. Выбери свой любимый!

Вариант 1. Откройте редактор локальной групповой политики при запуске

• Откройте «Поиск» на панели инструментов и введите «Выполнить» или выберите «Выполнить» в меню «Пуск».
• Введите «gpedit.msc» в команде «Выполнить» и нажмите «ОК».

Вариант 2: Открыть редактор локальной групповой политики в поиске

• Открыть поиск на панели инструментов
• Введите «gpedit» и нажмите «Изменить групповую политику».

Вариант 3. Откройте редактор локальной групповой политики в командной строке

• В командной строке введите «gpedit.msc» и нажмите «Enter».

Вариант 4. Откройте редактор локальной групповой политики в PowerShell

Вариант 5. Откройте редактор локальной групповой политики в панели управления меню «Пуск»

• Откройте панель управления в меню «Пуск».
• Щелкните значок Windows на панели инструментов, а затем щелкните значок виджета для настройки.
• Начните вводить «групповую политику» или «gpedit» и щелкните опцию «Изменить групповую политику».

Что можно делать с редактором групповой политики

Лучше спросить, чего нельзя делать с редактором групповой политики! Вы можете сделать что угодно, от установки обоев рабочего стола до отключения служб и удаления проводника из меню «Пуск» по умолчанию. Групповые политики контролируют, какие версии сетевых протоколов доступны, и обеспечивают соблюдение правил паролей.Группа корпоративной ИТ-безопасности значительно выиграет, установив и поддерживая строгую групповую политику. Вот несколько примеров хороших групповых политик ИТ-безопасности:

• Ограничьте количество приложений, которые пользователи могут устанавливать или получать к ним доступ на своих управляемых корпоративных устройствах.
• Отключите съемные устройства, такие как USB-накопители или DVD-приводы.
• Отключите сетевые протоколы, такие как TLS 1.0, чтобы принудительно использовать более безопасные протоколы.
• Ограничьте параметры, которые пользователь может изменить с помощью Панели управления.Например, разрешите им изменять разрешение экрана, но не настройки VPN.
• Укажите отличные обои, одобренные компанией, и отключите возможность изменять их.
• Запретить пользователям доступ к gpedit для изменения любых из вышеперечисленных настроек.

Это всего лишь несколько примеров того, как группа ИТ-безопасности может использовать групповые политики. Если целью является создание более безопасной и надежной среды для вашей организации, используйте групповые политики, чтобы обеспечить соблюдение правил безопасности.

Компоненты редактора групповой политики

Окно редактора групповой политики представляет собой список слева и контекстный вид справа. Когда вы щелкаете элемент слева, он меняет фокус справа, чтобы показать вам подробную информацию об этом элементе, который вы щелкнули.

Узлы верхнего уровня слева — это «Конфигурация компьютера» и «Конфигурация пользователя». Если вы откроете дерево «Конфигурация компьютера», вы сможете изучить варианты управления различными аспектами поведения системы.

Например, в разделе «Конфигурация компьютера» -> «Административные шаблоны» -> «Панель управления» -> «Персонализация» вы увидите справа такие вещи, как «Не отображать экран блокировки».

Вы можете изменить настройку двойным щелчком.

В редакторе групповой политики есть сотни различных подобных настроек. Щелкните или просмотрите документацию Microsoft, чтобы просмотреть их все.

Компоненты редактора локальной групповой политики

• Конфигурация компьютера: Эти политики применяются к локальному компьютеру и не меняются для каждого пользователя.
• Конфигурация пользователя: Эти политики применяются к пользователям на локальном компьютере и будут применяться ко всем новым пользователям на этом локальном компьютере в будущем.
• Эти две основные категории далее разбиты на подкатегории:
• Параметры программного обеспечения: Параметры программного обеспечения содержат групповые политики для конкретных программ: по умолчанию этот параметр пуст.

Как настроить параметр политики безопасности с помощью консоли редактора локальной групповой политики

Когда у вас есть представление о том, какие объекты групповой политики вы хотите установить, использовать редактор групповой политики для внесения изменений довольно просто.

Давайте посмотрим, как можно быстро изменить пароль:

1. В gpedit щелкните Параметры Windows, затем Параметры учетной записи, затем Политика паролей.
2. Выберите вариант «Пароль должен соответствовать требованиям сложности».
3. Нажмите «Включено», а затем «Применить», и ваши изменения произойдут на этом локальном компьютере. Применение изменений к объектам групповой политики на уровне предприятия выходит за рамки этого блога.

Как использовать PowerShell для администрирования групповых политик

Многие системные администраторы переходят на PowerShell вместо пользовательского интерфейса для управления групповыми политиками.Вот несколько командлетов PowerShell GroupPolicy, с которых можно начать.

• New-GPO : этот командлет создает новый неназначенный объект групповой политики. Вы можете передать новому объекту групповой политики имя, владельца, домен и другие параметры.
• Get-GPOReport : этот командлет возвращает все или указанные объекты групповой политики, существующие в домене, в файле XML или HTML. Очень полезно для устранения неполадок и документации.
• Get-GPResultantSetOfPolicy : этот командлет возвращает весь результирующий набор политик (RsoP) для пользователя или компьютера или обоих и создает XML-файл с результатами.Это отличный командлет для исследования проблем с объектами групповой политики. Вы можете подумать, что для политики задано определенное значение, но эта политика может быть перезаписана другим GPO, и единственный способ выяснить это — узнать фактические значения, применяемые к пользователю или компьютеру.
• Invoke-GPUpdate: Этот командлет позволяет обновлять объекты групповой политики на компьютере, аналогично запуску gpupdate.exe. Вы можете запланировать обновление в определенное время на удаленном компьютере с помощью командлета, что также означает, что вы можете написать сценарий, который будет выполнять множество обновлений, если возникнет необходимость.

Ограничения редактора групповой политики

Приложение gpedit очень упрощено для инструмента, который должен помочь защитить все ваше предприятие. Обновления GPO происходят через определенный интервал времени на компьютерах в сети по-разному или при перезагрузке. Таким образом, время между вашими изменениями и всеми компьютерами в сети, получившими это изменение, неизвестно.

Злоумышленники могут изменять локальные групповые политики с помощью того же gpedit или PowerShell, что может отменить любые меры защиты, которые вы включили в этой системе.

Несколько компаний предоставляют альтернативные инструменты редактирования групповой политики, и вы можете узнать, как внести все изменения с помощью PowerShell, чтобы упростить вашу работу. Однако в gpedit нет встроенного встроенного аудита, поэтому вам необходимо иметь надежный план управления изменениями и независимо проверять все изменения GPO, чтобы гарантировать безопасность вашего предприятия.

Очень важно отслеживать в Active Directory любые изменения, внесенные в групповую политику — часто эти изменения являются первыми сигналами APT-атак, когда хакеры намереваются какое-то время находиться в вашей сети и хотят оставаться скрытыми.Varonis обнаруживает угрозы путем мониторинга и сопоставления текущей активности с нормализованным поведением и расширенными моделями угроз безопасности данных для обнаружения APT-атак, заражений вредоносными программами, атак методом грубой силы, включая попытки изменить объекты групповой политики.

Посмотрите этот курс PowerShell Адама Бертрама, где он научит вас использовать PowerShell для управления Active Directory. Изучив основы, вы сможете начать управлять объектами групповой политики с помощью PowerShell, и это принесет 3 кредита CPE!

Настройка политик безопасности Active Directory для Windows Server 2016

Политики аудита

Раздел «Политика аудита» объекта групповой политики (GPO) позволяет регистрировать успешные и неудачные события безопасности, такие как события входа в систему, доступ к учетной записи и доступ к объектам.

Руководство по планированию

• Проверяйте только соответствующие элементы — Определите события, которые вы хотите проверять, и подумайте, что важнее отслеживать успехи или неудачи этих событий.
• Архивируйте журналы безопасности для обеспечения документированной истории — ведение журнала событий может предоставить вам сопроводительную документацию, когда это необходимо.
• Тщательно настройте размер журналов безопасности — вам необходимо спланировать размер журналов безопасности на основе количества событий, которые вы ожидаете регистрировать.

Пример конфигурации

В этом уроке мы настроим политику аудита событий входа в учетную запись, которая определяет, будет ли ОС записывать запись аудита каждый раз, когда этот компьютер проверяет учетные данные учетной записи, выполнив следующие действия:

1. В диспетчере сервера нажмите Инструменты и выберите Управление групповой политикой.
2. В разделе «Управление групповой политикой» выберите папку «Объекты групповой политики». Щелкните правой кнопкой мыши элемент «Политика домена по умолчанию» и выберите «Изменить».
3. В редакторе управления групповой политикой выберите Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Локальные политики> Политика аудита.
4. Щелкните правой кнопкой мыши События входа в учетную запись и выберите Свойства.
5. В окне «Свойства» выберите «Определить эти параметры политики». Затем выберите «Успех», «Неудача» или оба варианта по желанию.
6. По завершении нажмите OK.

Рисунок 1: Политики аудита.

Права пользователя

Права пользователя определяются как набор возможностей по умолчанию, назначенных встроенным локальным группам домена, которые определяют, что члены этих групп могут и не могут делать в сети.

Пример назначения

Например, мы настроим право «Разрешить локальный вход», назначенное группе ITUsers, чтобы пользователи этой группы могли локально входить в систему на контроллере домена, выполнив следующие действия:

1. Доступ к групповой политике Редактор управления, используя те же первые два шага, что и в предыдущем примере.
2. В редакторе управления групповыми политиками выберите Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Локальные политики> Управление правами пользователей.
3. Щелкните правой кнопкой мыши «Разрешить локальный вход» и выберите «Свойства».
4. Щелкните Добавить пользователя или группу …. Затем введите ITUser и щелкните OK.
5. По завершении нажмите OK.

Рисунок 2: Назначение прав пользователя.

Параметры безопасности

Параметры безопасности важны для контроля аспектов безопасности компьютеров, связанных с интерактивным входом в систему, цифровой подписью данных, ограничениями доступа к дисководам для гибких дисков и компакт-дисков, поведением при установке неподписанного драйвера и поведением диалогового окна входа в систему.

Пример конфигурации

Например, мы настроим параметр безопасности для переименования учетной записи администратора в новую, чтобы неавторизованным лицам было сложно угадать комбинацию имени пользователя и пароля, используя следующие шаги:

1. Доступ к групповой политике Редактор управления, используя те же первые два шага, что и в предыдущем примере.
2. В редакторе управления групповой политикой выберите Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Локальные политики> Параметры безопасности.
3. Дважды щелкните Учетные записи: переименовать учетную запись администратора.
4. Введите новое имя, например SysAdmin, и нажмите OK.

Рисунок 3: Параметры безопасности.

Шаблоны безопасности

Шаблон безопасности — это набор параметров конфигурации, хранящихся в виде текстового файла с расширением INF, который позволяет сохранять конфигурации в виде файлов и упрощает процесс их развертывания, когда и где они необходимы.

Создание шаблона безопасности

Вы можете создать шаблон безопасности для настройки минимальной длины пароля для учетных записей пользователей с помощью консоли управления Microsoft, выполнив следующие действия:

1. На рабочем столе нажмите Пуск. Затем найдите и выберите «Выполнить».
2. Введите mmc и нажмите OK.
3. В консоли управления Microsoft щелкните Файл и выберите Добавить / удалить оснастку ….
4. Выберите «Шаблоны безопасности» в списке «Доступные оснастки» и нажмите «Добавить».Когда закончите, нажмите ОК.
5. Дважды щелкните шаблон безопасности, чтобы развернуть его. Затем щелкните правой кнопкой мыши путь и выберите Новый шаблон ….
6. Введите имя MyTemplate для шаблона и нажмите OK.
7. Выберите MyTemplate> Политики учетных записей> Политика паролей и дважды щелкните Минимальная длина пароля.
8. В окне «Свойства» выберите «Определить эти параметры политики». Затем введите 7, чтобы установить минимальную длину пароля в семь символов. После этого нажмите ОК.
9. Щелкните правой кнопкой мыши MyTemplate и выберите «Сохранить», чтобы сохранить шаблон.

Рисунок 4: Шаблоны безопасности.

Импорт шаблона безопасности в групповую политику

Чтобы импортировать шаблон безопасности в объект групповой политики (GPO), выполните следующие действия:

1. В диспетчере сервера нажмите «Инструменты» и выберите «Управление групповой политикой».
2. В разделе «Управление групповой политикой» выберите папку «Объекты групповой политики».Щелкните правой кнопкой мыши элемент «Политика домена по умолчанию» и выберите «Изменить».
3. В редакторе управления групповой политикой выберите Конфигурация компьютера> Политики> Параметры Windows.
4. Щелкните правой кнопкой мыши Параметры безопасности и выберите Импорт политики ….
5. Выберите шаблон безопасности MyTemplate и нажмите «Открыть».

Сводка урока

• Политики безопасности используются для управления тем, как пользователи проходят аутентификацию в сети, ресурсы, которые им разрешено использовать, политики членства в группах и связанные с ними события.
• В этом уроке мы научились настраивать политику безопасности, выполнив следующие действия:
  • Планирование и настройка политики аудита , назначение прав пользователя и настройка параметров безопасности с помощью редактора управления групповой политикой.
  • Настройка шаблонов безопасности с помощью консоли управления Microsoft и их импорт с помощью редактора управления групповой политикой.

Локальная политика безопасности — обзор

Усовершенствуйте методы проверки подлинности локальной политики безопасности, чтобы предотвратить атаки подбора пароля.Это включает в себя разумные методы управления учетной записью.

Используйте брандмауэры и другие технологии сдерживания (даже NAT!), Чтобы ограничить масштаб атак.

Необходимо обновить системы Windows. Все остальные системы тоже нуждаются в обновлении. Остерегайтесь отключения автообновлений. Помните, что от вторника исправлений Microsoft до первого эксплойта по состоянию на декабрь 2006 г. осталось всего три дня. Не забудьте проверить, все ли системы приняли и установили исправления.

Каждому хосту Windows требуется программа проверки на вирусы и, возможно, программа проверки шпионского или рекламного ПО.

Каждый хост должен иметь брандмауэр. Брандмауэры пользовательского хоста, которые могут активно предупреждать вас о нарушениях периметра сети хоста, действительно кажутся очень хорошей идеей.

Очевидно, вредоносные программы должны быть удалены из сети и очищены. Однако вы можете сначала подумать о том, чтобы поместить на него tcpview или сниффер и узнать, задействованы ли другие локальные хосты.Вы также можете узнать об удаленных хостах, которые могут быть C&C ботнета. Отправьте копию вредоносного ПО, обнаруженного в зараженных системах, на один из сайтов CWSandbox, чтобы узнать, что оно делает и с кем разговаривает после установки.

Отправлять сообщения электронной почты о нарушениях, касающихся удаленных атак. Возможно, вы окажете бедному удаленному пользователю большую услугу (или вас могут проигнорировать).

Правоохранительные органы могут быть задействованы, особенно если инцидент считается очень серьезным по юридическим или финансовым причинам.

Темные сети, медовые сети, инструменты приманки и песочницы — все это полезно для определения того, что происходит в ботнете.

Shadowserver (www.shadowserver.org) — это группа добровольцев, которая отслеживает ботнеты и другие вредоносные программы и сообщает о них. Они рекомендуют Nepenthes для сбора вредоносных программ (см. Http://nepenthes.mwcollect.org).

Требовать, чтобы вся исходящая почта проходила через официальные почтовые серверы, чтобы предотвратить рассылку спама бот-клиентами напрямую в Интернет.

Используйте сетевое оборудование, поддерживающее безопасность порта, для обнаружения DHCP, IP-адреса и спуфинга ARP.

Развивайте свои источники внутренней информации. Работайте с операциями, чтобы у вас было время собрать информацию о зараженных машинах, прежде чем они будут повторно отображены и снова введены в эксплуатацию.

Сообщайте о найденных ботнетах.

Спланируйте шаги, которые вы предпримете, если злоумышленник решит нацелить вашу компанию на возмездие за все вышеперечисленные действия.Помните Синюю Лягушку!

Что такое редактор локальной политики безопасности Windows 10?

• Локальная политика безопасности — это набор правил, которые компания использует для защиты своей локальной сети.
• Локальной политикой безопасности можно управлять с помощью редактора групповой политики или редактора локальной политики безопасности, которым является Secpol.msc в Windows 10.
• Вы можете импортировать и экспортировать политики безопасности в четыре простых шага.
• Эта статья предназначена для предпринимателей и ИТ-специалистов, которые хотят узнать об управлении локальными политиками безопасности.

Если ваш компьютер с Windows 10 является членом домена, возможно, вы знакомы с редактором групповой политики Gpedit.msc. Редактор групповой политики позволяет вам управлять настройками на многих компьютерах Windows из центра. Однако, если у вас есть автономный компьютер, вы можете добиться того же результата с помощью редактора локальной политики безопасности или Secpol.msc.

Secpol — это способ управления различными политиками и настройками безопасности, которые определяют различное поведение на вашем компьютере с Windows 10.Это также отличный способ обеспечить стандартную конфигурацию политики безопасности на нескольких компьютерах, если у вас нет домена.

Что такое локальная политика безопасности?

Локальная политика безопасности включает стандарты, которые организация использует для обеспечения безопасности сети на рабочем месте. От того, как пользователи просматривают Интернет до файлов, которые они загружают и скачивают, локальная политика безопасности может устанавливать требования для обеспечения защиты сети вашего бизнеса. Особенности этих стандартов могут незначительно отличаться между компаниями, учитывая разные приоритеты между организациями, но каждая политика безопасности имеет некоторые общие элементы управления и функции, в том числе следующие:

• Аутентификация при входе в систему
• Полномочия пользователей
• Аудиты безопасности

Безопасность Политика может также включать требования к паролю и такие меры, как двухфакторная аутентификация.

Знаете ли вы? Большинство утечек данных происходит из-за человеческой ошибки. Эффективная политика безопасности может уменьшить количество ошибок пользователей, которые ставят под угрозу безопасность сети.

Чтобы перейти к редактору локальной политики безопасности, введите «secpol» в строке поиска Windows 10 и щелкните получившийся апплет.

Затем вам будут представлены категории и параметры для изменения различных настроек.

Давайте рассмотрим несколько наиболее распространенных сценариев, в которых вам потребуется использовать редактор локальной политики безопасности, например создание политик безопасности и их импорт на другие машины с Windows 10.

Совет: Максимально используйте возможности безопасности Windows 10 с такими настройками, как контроль конфиденциальности, обновления Windows и резервное копирование.

Как мне установить политику паролей с Secpol?

Установка политики паролей — отличный первый шаг к повышению безопасности вашего компьютера с Windows 10. Выполните следующие действия, чтобы установить политику паролей:

1. Доступ к настройкам пароля.
2. Измените длину пароля.
3. При необходимости просмотрите вкладку «Объяснение».
4. Измените срок действия пароля.
5. Включить требования к сложности пароля.

1. Войдите в настройки требования пароля.

Чтобы установить политику паролей с помощью локального редактора политик безопасности, вам нужно дважды щелкнуть Политики учетных записей слева, а затем нажать Политика паролей . Это покажет вам различные варианты настройки политики паролей на вашем компьютере с Windows 10.

2. Измените длину пароля.

Если ничего другого, вам следует изменить минимальный срок действия пароля и длину пароля. Для этого дважды щелкните настройку « Минимальная длина пароля » и измените ее на любую желаемую длину.

3. При необходимости просмотрите вкладку «Объяснение».

Если вы хотите узнать больше о длине пароля или другом конкретном параметре, щелкните правой кнопкой мыши параметр, который вы хотите объяснить, и выберите Свойства , затем Объяснить . Это расскажет вам, что именно делает этот конкретный параметр и как он может повлиять на ваш компьютер с Windows 10.

4. Измените срок действия пароля.

Затем давайте изменим минимальный и максимальный срок действия пароля, который касается того, как долго пользователь может иметь пароль, прежде чем он сможет его сбросить (минимум) или должен сбросить его (максимум). Это тот же процесс, что и изменение минимальной длины пароля.

5. Включите требования к сложности пароля.

Наконец, чтобы ваша политика паролей имела какой-либо эффект, ее необходимо включить. Для этого выберите Включено под опцией « Пароль должен соответствовать требованиям сложности .»

После включения будут установлены требования к сложности пароля для пользователей этого компьютера.

Как экспортировать и импортировать политики безопасности

Теперь, что, если вы хотите перенести эти настройки на другой компьютер? Вы можете сделать это путем экспорта конфигурации и импорта ее на другой компьютер

1. Выберите «Экспорт политики».

После того, как вы настроили все необходимые параметры, вы можете щелкнуть Security Settings в главном окне, а затем в меню Action .Это дает вам возможность экспортировать политику.

2. Сохраните файл INF.

После того, как вы нажмете на это, вам будет предложено сохранить настройки безопасности в виде файла с информацией о настройке (INF) в любом месте по вашему выбору. Этот INF — текстовый файл, содержащий все только что настроенные вами параметры.

3. Импортируйте файл INF на другие устройства.

Переместите этот INF-файл на другой компьютер, параметры безопасности которого вы хотите изменить. Откройте приложение Local Security Policy, как вы делали раньше, и выберите узел Security Settings.Затем снова нажмите Action и на этот раз выберите Import Policy .

4. Сохраните файл INF на компьютер для импорта.

Вам будет предложено ввести только что экспортированный файл INF. Когда вы импортировали его, этот новый компьютер будет иметь все настройки, которые вы определили на другом компьютере.

Редактор локальной политики безопасности — отличный инструмент для настройки множества политик безопасности на вашем компьютере с Windows 10. С помощью функции экспорта / импорта вы даже можете реплицировать функцию групповой политики, применив стандартную конфигурацию безопасности на компьютерах вашей рабочей группы.

Эдуардо Васконселлос способствовал написанию и исследованию этой статьи.

Политика информационной безопасности группы | TIS Inc.

Группа компаний ТИС ИНТЕК ведет себя в соответствии с «НАШЕЙ ФИЛОСОФией» как основным принципом. Для достижения целей НАШЕЙ ФИЛОСОФИИ для участников Группы TIS INTEC очень важно поддерживать наивысшие стандарты корпоративной морали по сравнению с информационной безопасностью и защищать информационные активы клиентов, включая системы и данные, а также ресурсы Группы. информационные активы как ресурсы управления от любых угроз.
Настоящим мы устанавливаем нашу Политику информационной безопасности с целью обеспечения надлежащей защиты таких информационных активов. Поэтому мы будем стремиться придерживаться этой Политики.

Для достижения Миссии НАШЕЙ ФИЛОСОФИИ: «Ярко раскрасить будущее в качестве движущей силы, использующей цифровые технологии», участникам группы TIS INTEC необходимо активно использовать информационные активы.
В связи с этим наша социальная ответственность — правильно и безопасно обращаться с информацией; и информационная безопасность — это средство, которое должно быть реализовано для этой цели.

Мы будем продвигать информационную безопасность, применяя эти 3 важные концепции для достижения Миссии:

• Быть «честным» как стиль, основа, на которой корпорация может вести себя. Другими словами, честность и искренность.
• «Выйти за пределы общества» как Политика (одна из основных политик управления Группы), что означает выход за рамки социальных норм и ожиданий общества.
• «Как хороший член общества» как членство, что является руководством для деятельности, проводимой участниками группы TIS INTEC.

Структура управления информационной безопасностью

Группа компаний TIS INTEC создала и поддерживает систему управления для устранения всех видов рисков информационной безопасности на уровне всей группы.
Все компании, входящие в группу TIS INTEC, следуют Политике информационной безопасности Группы и внедряют указанную структуру управления информационной безопасностью как свою собственную.

Соблюдение законов и договорных требований

Группа TIS INTEC соблюдает законы, связанные с информационной безопасностью, особенно Закон Японии о защите личной информации, а также нормативные акты, руководящие принципы и договорные требования, связанные с информационной безопасностью.

Установление правил управления информационной безопасностью

Группа TIS INTEC занимается установлением правил информационной безопасности и стандартов управления для Группы, четко описывает контент для компаний Группы и регулярно проверяет контент, чтобы обеспечить его соответствие времени.

Профилактические меры

Группа TIS INTEC формулирует подходящие меры для Группы на основе результатов оценки рисков для защиты всех информационных активов, доверенных компаниям Группы клиентами, а также собственных информационных активов Группы, управленческих ресурсов, от таких угроз, как убытки, аварии, катастрофы. и преступная деятельность.Если случайно, пусть даже и отдаленно, проблема все же возникает, причина будет выявлена, и меры будут приняты быстро, чтобы минимизировать ущерб, и будут предприняты усилия, чтобы предотвратить повторение проблемы.

Образование и обучение

Все руководители и сотрудники компаний Группы посещают учебные занятия и тренинги, предназначенные для повышения осведомленности о важности информационной безопасности и обеспечения надлежащего обращения с информационными активами в каждой компании Группы.

Непрерывное совершенствование

Чтобы подтвердить, что политика соблюдается, наша система управления информационной безопасностью проходит регулярную оценку и постоянное совершенствование для обеспечения соответствия этой политике

1 апреля 2021 г.
Ясуси Окамото
Президент
TIS Inc.

Политика введена 1 апреля 2008 г. и пересмотрена 1 апреля 2019 г.

Настройка параметров безопасности локальных политик в редакторе локальной групповой политики

Настройка параметров безопасности локальных политик в редакторе локальной групповой политики Пожалуйста, включите поддержку джаваскрипта в вашем браузере!

Настройка параметров безопасности локальных политик в редакторе локальных групповых политик

Названия настроек могут отличаться в зависимости от операционной системы Windows.

Для определения параметров безопасности локальных политик в редакторе локальной групповой политики:

1. Откройте редактор локальной групповой политики одним из следующих способов:
   • Если вы определяете параметры локально, нажмите кнопку «Пуск», введите в строке поиска команду gpedit.msc и нажмите клавишу ВВОД.
   • Если вы определяете настройки с другого компьютера:
     1. Нажмите кнопку «Пуск», введите в строке поиска команду mmc и нажмите ENTER.

        Откроется окно консоли управления.

     2. В открывшемся окне выберите Файл> Добавить или удалить оснастку.

        Откроется окно «Добавить или удалить оснастки».

     3. В списке доступных оснасток выберите оснастку «Редактор объектов групповой политики» и нажмите кнопку «Добавить».

        Запустится мастер групповой политики.

     4. В окне мастера нажмите кнопку «Обзор».

        Откроется окно объекта групповой политики «Поиск».

     5. В открывшемся окне на закладке Компьютеры выберите Другой компьютер и укажите сервер с установленным Kaspersky Security для Windows Server одним из следующих способов:
        • В поле ввода укажите доменное имя сервера с Установлен Kaspersky Security для Windows Server.
        • Нажмите кнопку Обзор и в открывшемся окне выбора компьютера выберите сервер с установленным Kaspersky Security для Windows Server, используя поиск по домену или по рабочей группе.
     6. Нажмите ОК.

        Изменения будут сохранены.

2. Выберите Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Параметры безопасности.
3. Укажите следующие значения для параметров доступа к сети:
   • Доступ к сети: Разрешить для всех разрешения применять к анонимным пользователям — Включено
   • Доступ к сети: Не разрешать анонимное перечисление учетных записей SAM — Отключено
   • Доступ к сети: Ограничить анонимный доступ к именованные каналы и общие ресурсы — отключено
4. Перезагрузите сервер с установленным Kaspersky Security для Windows Server.

Внесенные изменения вступают в силу.

Верх страницы .