Имея пять тысяч параметров в улучшенной и обновленной групповой политике, которая идет с Windows Server 2008, можно немного запутаться, думая над тем, какие параметры наиболее важны для вас и вашей сети. Компания Microsoft действительно проделала отличную работу над некоторыми параметрами, поскольку они избавляют от проблем и защищают компьютеры именно таким образом, какого мы всегда хотели, но для реализации которого у нас не было инструментов. Использование этих параметров безопасности на ваших компьютерах повысит общую безопасность, снижая потенциальную возможность атак. Некоторые параметры поддерживаются только в Windows Vista, другие же являются обратно совместимыми с Windows XP SP2.
Одним из самых небезопасных параметров безопасности, который может быть предоставлен конечному пользователю, является доступ к локальному администрированию. Добавление пользователя в локальную группу администраторов предоставляет этому пользователю практически полный контроль над компьютером. Пользователь может осуществлять практически любые действия, даже если сеть настроена на запрещение такого доступа. Действия, которые пользователь может выполнять, имея доступ локального администратора, включают, но не ограничиваются, следующим:
Хотя существует потребность в пользователях с правами администраторов, чтобы обеспечить работу некоторых приложений, такой тип доступа очень опасен и подвергает машину и всю сеть потенциальным прорехам в безопасности и атакам.
Благодаря групповой политике сервера Windows 2008, текущего пользователя можно удалить из группы локальных администраторов с помощью одной политики. Этот параметр управляет Windows XP SP2 и более новыми ОС. Этот параметр относится к новым параметрам привилегий групповой политики (Group Policy Preferences). Чтобы получить доступ к этому параметру, откройте объект групповой политики и разверните ветвь:
Конфигурация пользователя\Привилегии\Панель управления
Далее правой клавишей нажмите «Локальные пользователи или группы». Из меню выберите «Новый – Локальная группа». У вас откроется диалоговое окно, как показано на рисунке 1.
Рисунок 1: Привилегия групповой политики для локальной группы
Чтобы настроить политику, впишите «Администратор» в текстовое окно «Группа», затем отметьте флажком опцию ‘Удалить текущего пользователя’. После обновления групповой политики, все учетные записи пользователей, входящих в рамки управления GPO, в котором настроен этот параметр, будут удалены из локальной группы администраторов на том компьютере, на котором они зарегистрированы.
Совместно с первым параметром групповой политики необходимо восстановить пароль локального администратора. Это необходимо потому, что пользователь имел привилегии администратора, прежде чем был удален из группы администраторов, и поэтому мог переустановить пароль учетной записи администратора, на известный для него пароль.
Таким образом, после удаления пользовательской учетной записи из локальной группы администраторов, пароль учетной записи локального администратора необходимо восстановить (вернуть в исходное состояние). Если эту настройку осуществить одновременно с удалением пользовательской учетной записи, у пользователя не будет возможности узнать или изменить новый пароль учетной записи администратора.
Этот параметр управляет Windows XP SP2 и более новыми ОС. Он относится к новым параметрам привилегий групповой политики. Чтобы воспользоваться этим параметром, откройте объект групповой политики и разверните:
Конфигурация компьютера\Привилегии\Панель управления
Затем правой клавишей нажмите «Локальные пользователи или группы». Из меню выберите «Новый – Локальный пользователь». У вас откроется диалоговое окно, как показано на рисунке 2.
Рисунок 2: Привилегия групповой политики для локального пользователя
Чтобы настроить политику, впишите «Администратор» в текстовом окне «Имя пользователя», затем введите новый пароль в текстовом окне «Пароль», подтвердив его в текстовом окне «Подтверждение пароля». После следующего обновления групповой политики для всех учетных записей компьютеров, входящих в рамки управления GPO, в котором настраивается этот параметр, будут обновлены пароли учетной записи администратора.
В прошлом, как пользователи так и администраторы предпочитали не использовать брандмауэр Windows в силу его ограниченных возможностей по сравнению с возможностями других продуктов. Теперь брандмауэр Windows идет с новыми расширенными параметрами безопасности, способными удивить многих.
Новые расширенные возможности безопасности брандмауэра Windows включают не только фильтрацию входящего и исходящего трафика, но и IPSec.
Эти параметры можно использовать только в Windows Vista, которая является единственной ОС, включающей данные опции. Этот параметр относится к области безопасности в групповой политике. Чтобы воспользоваться этим параметром, откройте объект групповой политики и разверните ветвь:
Конфигурация компьютера \ Политики \ Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенной безопасностью
Когда вы развернете ветвь политики, вы увидите три вкладки:
Если вы нажмете правой клавишей на любой из этих опций, вы сможете выбрать опцию «Новое правило», пример для входящих правил показан на рисунке 3.
Рисунок 3: Одна из многих страниц мастера настройки входящих правил
Управление пользовательскими учетными записями (User Account Control – UAC) помогает защитить компьютер, на котором зарегистрирован пользователь и администратор. В моих исследованиях и тестировании UAC идеально подходит для всех администраторов и может быть отличным решением для обычных пользователей. Поскольку UAC в принудительном порядке делает пользователей стандартными пользователями для всех задач, оно помогает защититься от любого приложения или вируса, которые пытаются вписаться в защищенную область компьютера. Это осуществляется путем вывода диалогового окна предупреждения всякий раз, когда к защищенной области компьютера пытается получить доступ какой-либо процесс. Это может быть доступ к приложению, установка приложения, изменение системного реестра, запись в системный файл и т.д.
Это отлично подходит для администраторов, поскольку теперь они могут использовать одну учетную запись пользователя для осуществления своих повседневных задач для ИТ и личного пользования. Для стандартных пользователей единственным способом, когда UAC будет хорошо работать, это ситуация, в которой все приложения на машине могут запускаться без запроса администраторского мандата. В этом случае, пользователь сможет выполнять любые функции и запускать все приложения в качестве стандартного пользователя. Затем, если требуется запустить задачу, запрашивающую администраторский уровень доступа, пользователи могут получить помощь от стола помощи или администратора.
Параметр, управляющий UAC, можно найти в Компьютер Конфигурация\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Опции безопасности, которые показаны на рисунке 4.
Рисунок 4: Опции групповой политики для управления UAC
Хотя пароли не столь популярны, как параметры безопасности, возможность управления паролем с помощью групповой политики нельзя исключать из списка пяти главных параметров. Windows Server 2008 также использует групповую политику для определения начальных параметров политики учетной записи, что не изменилось со времен Windows 2000. Параметры изначально задаются политикой домена по умолчанию (Default Domain Policy), но их можно также задать в любом GPO, который связан с доменом. Единственное, о чем нужно помнить, это то, что GPO, содержащий параметры политики учетных записей, должен иметь наиболее высокий приоритет среди всех GPO, связанных с доменом.
Параметры, которые можно задавать, включают параметры, показанные на рисунке 5 и приведенные в таблице 1.
Рисунок 5: Параметры политики паролей в стандартной политике домена
Вот некоторые советы по настройке этих политик:
| Параметр политики | Минимальное значение | Безопасное значение |
|---|---|---|
| Минимальный срок действия пароля | 1 | 1 |
| Максимальный срок действия пароля | 180 | 45 |
| Минимальная длина пароля | 8 | 14+ |
| Сложность пароля | Включено | Включено |
Опции групповой политики Windows Server 2008 впечатляют. Имея более 5000 параметров, вы устанете от того потенциала, который у вас будет в управлении компьютерами в вашей среде. Из всех этих 5000+ параметров обеспечение должного уровня безопасности для всех компьютеров и пользователей является необходимым. Если вы воспользуетесь параметрами, рассмотренными в этой статье, у вас будет более защищенная компьютерная среда и сеть.
Источник www.windowsecurity.com
Tags: domain, Windows 2008, Windows Vista, Windows XP