Thursday, October 18th, 2018

Пять главных параметров безопасности в групповой политике для Windows Server 2008

Published on Февраль 4, 2009 by   ·   Комментариев нет

Имея пять тысяч параметров в улучшенной и обновленной групповой политике, которая идет с Windows Server 2008, можно немного запутаться, думая над тем, какие параметры наиболее важны для вас и вашей сети. Компания Microsoft действительно проделала отличную работу над некоторыми параметрами, поскольку они избавляют от проблем и защищают компьютеры именно таким образом, какого мы всегда хотели, но для реализации которого у нас не было инструментов. Использование этих параметров безопасности на ваших компьютерах повысит общую безопасность, снижая потенциальную возможность атак. Некоторые параметры поддерживаются только в Windows Vista, другие же являются обратно совместимыми с Windows XP SP2.

Контролирование принадлежности к группе локальных администраторов

Одним из самых небезопасных параметров безопасности, который может быть предоставлен конечному пользователю, является доступ к локальному администрированию. Добавление пользователя в локальную группу администраторов предоставляет этому пользователю практически полный контроль над компьютером. Пользователь может осуществлять практически любые действия, даже если сеть настроена на запрещение такого доступа. Действия, которые пользователь может выполнять, имея доступ локального администратора, включают, но не ограничиваются, следующим:

  • Удаление компьютера из домена
  • Изменение любых параметров системного реестра
  • Изменение разрешений для любой папки или файла
  • Изменение любых системных параметров, включая параметры, которые находятся в файлах в системной папке
  • Установка любых приложений
  • Удаление приложений, патчей безопасности или пакетов обновления
  • Доступ к любым веб сайтам, разрешенным брандмауэром
  • Загрузка и установка элементов управления ActiveX, веб приложений или других вредоносных приложений, скачанных из интернета

Хотя существует потребность в пользователях с правами администраторов, чтобы обеспечить работу некоторых приложений, такой тип доступа очень опасен и подвергает машину и всю сеть потенциальным прорехам в безопасности и атакам.

Благодаря групповой политике сервера Windows 2008, текущего пользователя можно удалить из группы локальных администраторов с помощью одной политики. Этот параметр управляет Windows XP SP2 и более новыми ОС. Этот параметр относится к новым параметрам привилегий групповой политики (Group Policy Preferences). Чтобы получить доступ к этому параметру, откройте объект групповой политики и разверните ветвь:

Конфигурация пользователя\Привилегии\Панель управления

Далее правой клавишей нажмите «Локальные пользователи или группы». Из меню выберите «Новый – Локальная группа». У вас откроется диалоговое окно, как показано на рисунке 1.

Групповая политика паролей в server 2008

Рисунок 1: Привилегия групповой политики для локальной группы

Чтобы настроить политику, впишите «Администратор» в текстовое окно «Группа», затем отметьте флажком опцию ‘Удалить текущего пользователя’. После обновления групповой политики, все учетные записи пользователей, входящих в рамки управления GPO, в котором настроен этот параметр, будут удалены из локальной группы администраторов на том компьютере, на котором они зарегистрированы.

Восстановление пароля локального администратора

Совместно с первым параметром групповой политики необходимо восстановить пароль локального администратора. Это необходимо потому, что пользователь имел привилегии администратора, прежде чем был удален из группы администраторов, и поэтому мог переустановить пароль учетной записи администратора, на известный для него пароль.

Таким образом, после удаления пользовательской учетной записи из локальной группы администраторов, пароль учетной записи локального администратора необходимо восстановить (вернуть в исходное состояние). Если эту настройку осуществить одновременно с удалением пользовательской учетной записи, у пользователя не будет возможности узнать или изменить новый пароль учетной записи администратора.

Этот параметр управляет Windows XP SP2 и более новыми ОС. Он относится к новым параметрам привилегий групповой политики. Чтобы воспользоваться этим параметром, откройте объект групповой политики и разверните:

Конфигурация компьютера\Привилегии\Панель управления

Затем правой клавишей нажмите «Локальные пользователи или группы». Из меню выберите «Новый – Локальный пользователь». У вас откроется диалоговое окно, как показано на рисунке 2.

Локальная политика Windows server 2008

Рисунок 2: Привилегия групповой политики для локального пользователя

Чтобы настроить политику, впишите «Администратор» в текстовом окне «Имя пользователя», затем введите новый пароль в текстовом окне «Пароль», подтвердив его в текстовом окне «Подтверждение пароля». После следующего обновления групповой политики для всех учетных записей компьютеров, входящих в рамки управления GPO, в котором настраивается этот параметр, будут обновлены пароли учетной записи администратора.

Брандмауэр Firewall с расширенной безопасностью

В прошлом, как пользователи так и администраторы предпочитали не использовать брандмауэр Windows в силу его ограниченных возможностей по сравнению с возможностями других продуктов. Теперь брандмауэр Windows идет с новыми расширенными параметрами безопасности, способными удивить многих.

Новые расширенные возможности безопасности брандмауэра Windows включают не только фильтрацию входящего и исходящего трафика, но и IPSec.

Эти параметры можно использовать только в Windows Vista, которая является единственной ОС, включающей данные опции. Этот параметр относится к области безопасности в групповой политике. Чтобы воспользоваться этим параметром, откройте объект групповой политики и разверните ветвь:

Конфигурация компьютера \ Политики \ Параметры Windows\Параметры безопасности\Брандмауэр Windows с расширенной безопасностью

Когда вы развернете ветвь политики, вы увидите три вкладки:

  • Входящие правила (Inbound rules)
  • Исходящие правила (Outbound rules)
  • Правила безопасности подключений (Connection Security Rules)

Если вы нажмете правой клавишей на любой из этих опций, вы сможете выбрать опцию «Новое правило», пример для входящих правил показан на рисунке 3.

Новые групповые политики win 2008

Рисунок 3: Одна из многих страниц мастера настройки входящих правил

UAC

Управление пользовательскими учетными записями (User Account Control – UAC) помогает защитить компьютер, на котором зарегистрирован пользователь и администратор. В моих исследованиях и тестировании UAC идеально подходит для всех администраторов и может быть отличным решением для обычных пользователей. Поскольку UAC в принудительном порядке делает пользователей стандартными пользователями для всех задач, оно помогает защититься от любого приложения или вируса, которые пытаются вписаться в защищенную область компьютера. Это осуществляется путем вывода диалогового окна предупреждения всякий раз, когда к защищенной области компьютера пытается получить доступ какой-либо процесс. Это может быть доступ к приложению, установка приложения, изменение системного реестра, запись в системный файл и т.д.

Это отлично подходит для администраторов, поскольку теперь они могут использовать одну учетную запись пользователя для осуществления своих повседневных задач для ИТ и личного пользования. Для стандартных пользователей единственным способом, когда UAC будет хорошо работать, это ситуация, в которой все приложения на машине могут запускаться без запроса администраторского мандата. В этом случае, пользователь сможет выполнять любые функции и запускать все приложения в качестве стандартного пользователя. Затем, если требуется запустить задачу, запрашивающую администраторский уровень доступа, пользователи могут получить помощь от стола помощи или администратора.

Параметр, управляющий UAC, можно найти в Компьютер Конфигурация\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Опции безопасности, которые показаны на рисунке 4.

Параметры политики безопасности

Рисунок 4: Опции групповой политики для управления UAC

Политика паролей

Хотя пароли не столь популярны, как параметры безопасности, возможность управления паролем с помощью групповой политики нельзя исключать из списка пяти главных параметров. Windows Server 2008 также использует групповую политику для определения начальных параметров политики учетной записи, что не изменилось со времен Windows 2000. Параметры изначально задаются политикой домена по умолчанию (Default Domain Policy), но их можно также задать в любом GPO, который связан с доменом. Единственное, о чем нужно помнить, это то, что GPO, содержащий параметры политики учетных записей, должен иметь наиболее высокий приоритет среди всех GPO, связанных с доменом.

Параметры, которые можно задавать, включают параметры, показанные на рисунке 5 и приведенные в таблице 1.

Сбросить групповые политики

Рисунок 5: Параметры политики паролей в стандартной политике домена

Вот некоторые советы по настройке этих политик:

Таблица 1
Параметр политики Минимальное значение Безопасное значение
Минимальный срок действия пароля 1 1
Максимальный срок действия пароля 180 45
Минимальная длина пароля 8 14+
Сложность пароля Включено Включено

Резюме

Опции групповой политики Windows Server 2008 впечатляют. Имея более 5000 параметров, вы устанете от того потенциала, который у вас будет в управлении компьютерами в вашей среде. Из всех этих 5000+ параметров обеспечение должного уровня безопасности для всех компьютеров и пользователей является необходимым. Если вы воспользуетесь параметрами, рассмотренными в этой статье, у вас будет более защищенная компьютерная среда и сеть.

Источник www.windowsecurity.com


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]