Sunday, July 22nd, 2018

Создание базового уровня безопасности с помощью AGPM шаблонов

Published on Февраль 4, 2009 by   ·   Комментариев нет

Компания Microsoft обеспечила множество различных решений для оптимизации процесса создания объектов политики групп (Group Policy Objects — GPO) и их настройки, чтобы помочь администраторам создавать быстрые, надежные и эффективные параметры для серверов и компьютеров. История этих решений довольно длинная, включая такие возможности как шаблоны безопасности, мастер настройки конфигурации безопасности и последнюю опцию, которой является программа Starter GPO в Windows Server 2008. К сожалению, эти решения создают лишь частичную базу параметров, которая не предоставляет всеобъемлющего решения. Однако теперь, когда у нас есть управление расширенной политикой групп (Advanced Group Policy Management (AGPM)), появилась новая опция, которая выводит всю концепцию по оптимизации GPO на качественно новый уровень. Шаблоны GPO, которые интегрированы в AGPM, имеют множество замечательных возможностей и включают гораздо больше различных параметров, чем вы могли себе представить.

Шаблоны безопасности (Security Templates)

Шаблоны безопасности используются на протяжении вот уже многих лет. Они впервые были представлены на Windows NT и с тех пор не сильно изменились. Предпосылкой этих шаблонов является то, что вы можете предопределять и настраивать параметры безопасности для различных типов компьютеров в вашей сети. Как только эти параметры определены, вы можете использовать их с помощью политики групп (Group Policy).

Преимущество шаблонов безопасности не только неоспоримо, это просто фантастическая идея. К сожалению, эта концепция оказалась не совсем соответствующей, поскольку шаблоны безопасности включают не все параметры безопасности, как и не включают остальные ключевые параметры, используемые в большинстве GPOs.

Чтобы дать вам обзор того, что делают эти шаблоны безопасности, нам для начала важно понять, как получить их. Доступ к шаблонам безопасности вы получаете, используя консоль MMC, затем добавляя оснастку Шаблоны безопасности. В итоге у вас появится список сгенерированных Microsoft шаблонов безопасности, как показано на рисунке 1.

Шаблоны безопасности Windows server 2003

Рисунок 1: Оснастку шаблонов безопасности можно посмотреть в консоли MMC

Когда вы разворачиваете вкладку шаблонов безопасности, чтобы посмотреть те области, которые можно настроить, вы видите, что список параметров близок к полному списку в GPO, но в нем недостает некоторых ключевых областей настройки, как показано на рисунке 2.

Startergpos

Рисунок 2: Шаблоны безопасности охватывают почти все параметры безопасности, но не все

Шаблоны безопасности не предоставляют достаточно широкого спектра функций для недавно обновленных параметров GPO, включенных в Windows XP, Windows Vista и Windows Server 2008.

Мастер настройки безопасности

Мастер настройки безопасности был замечательной идеей, которая разрабатывалась во времена Windows Server 2003. Его целью было обеспечение администраторов решением, которое позволило бы окружению на базе мастера устанавливать трудные для понимания и достижения параметры. Мастер был очень понятным, предоставлял пояснения, лучшие методы, и предлагал параметры для определенных ролей, которые компьютер выполнял.

Мастер SCW имеет некоторые мощные возможности, но, как и шаблоны безопасности, он охватывает лишь часть параметров безопасности в GPO, а не все. Мастер SCW позволит вам настроить параметры в следующих областях:

  • Безопасность сети
  • Параметры регистрации
  • Политика аудита
  • IIS

Когда SCW был запущен, результаты могут быть переданы в GPO. Если вы объедините эти параметры с параметрами шаблонов безопасности, вы приблизитесь к базису параметров безопасности, но все же некоторые параметры будут отсутствовать.

Пусковая программа Starter GPO

В качестве последней возможности для создания базиса параметров, которые можно использовать в GPO, Windows Server 2008 включает пусковую программу Starter GPOs. Starter GPO создана по сходной технологии с шаблонами безопасности, но она отвечает за настройку абсолютно другой области GPO. Starter GPOs включает лишь параметры административных шаблонов (Administrative Template), которые расположены во вкладках конфигурации пользователя (User Configuration) и конфигурации компьютера (Computer Configuration) в GPO, как показано на рисунке 3.

Создание шаблонов безопасности

Рисунок 3: Starter GPOs позволяет вам задавать параметры во вкладках административных шаблонов в GPO

Как вы видите, это решение не помогает исправить недостатки двух предыдущих решений, которыми является отсутствие определенных параметров. Однако Starter GPOs все же помогает улучшить общую ситуацию, в которой администраторам требуется метод создания начальных параметров в GPO, которые затем можно копировать в другие объекты GPO.

AGPM GPO шаблоны

В качестве последней возможности для создания базиса параметров, способных охватить всю гамму параметров, существующих в рутине GPO, инструмент AGPM приходит на помощь. AGPM – это инструмент, созданный для лучшего управления объектами GPO, особенно их следующими параметрами:

  • Редактирование в автономном режиме (Offline editing)
  • Делегирование на основе ролей (Role based delegation)
  • Автоматическое архивирование изменений в GPO (Automatic archiving of GPO changes)
  • Возвращение к обратной и последующей точке в истории GPO (Roll back and Roll forward to any GPO in the history)
  • Потоковая обработка задач управления GPO (Workflow for GPO management tasks)

Различие между AGPM GPO шаблонами и другими решениями заключается в том, что вы можете настраивать каждый отдельный параметр, который может входить в GPO в рамках GPO шаблона. Это решение не имеет абсолютно никаких ограничений по параметрам, которые могут быть в него включены.

Вот краткая пошаговая процедура, которой нужно следовать для эффективного использования AGPM GPO шаблонов.

  1. Создаем GPO в AGPM, который охватывает большинство параметров, присущих всем объектам GPO определенного типа (для десктопов, серверов определенных учетных записей пользователей, определенных отделов и т.д.).
  2. Настраиваем параметры в GPO так, чтобы они соответствовали нашим потребностям.
  3. Используем AGPM для создания шаблона из GPO и его параметров, которые мы только что создали, как показано на рисунке 4
  4. Теперь, когда у нас есть новый AGPM GPO шаблон, можем создавать новые объекты GPO в AGPM с его помощью

    Шаблоны безопасности Windows server 2008

    Рисунок 4: Вы можете создавать GPO шаблоны на основе существующих объектов GPO в AGPM

Вашим решением может стать один, два или десятки GPO шаблонов, которые вы можете использовать при создании новых объектов GPO. Ключевым моментом является то, что вы можете включать каждый параметр, который возможен для GPO, в GPO шаблон. Сюда могут входить даже параметры из PolicyMaker (стандартная версия) или новые привилегии политики групп (Group Policy Preferences), которые компания Microsoft включила в Windows Server 2008.

Заключение

Было множество попыток способствовать созданию объектов GPO, когда для них требуются различные параметры. Сначала, нам были предоставлены шаблоны безопасности, которые зарекомендовали себя как стандартные и стабильные решения, но вы не получали всех параметров безопасности, которые могли потребоваться в GPO для создания базиса. Затем появился мастер SCW, который представлял собой более сложное и надежное решение, но он тоже не включал всех параметров безопасности для GPO, даже если использовался совместно с шаблонами безопасности. Теперь на сцене появились Starter GPO для Windows Server 2008. Это решение даже не является инструментом настройки параметров безопасности, а скорее отвечает за административные шаблоны. В качестве решения для всех этих решений по частичному созданию базиса, AGPM GPO шаблоны решают все эти ограничения. AGPM GPO шаблоны могут настраивать любой параметр, включая новую технологию привилегий политики групп (а также параметры унаследованные от предыдущих версий, например, PolicyMaker). Как только эти параметры были заданы, а объект GPO создан на их основе, начальное создание и настройку параметров в следующих GPO можно свести к минимуму или вообще исключить необходимость в них с помощью этой новой характеристики.

Источник www.windowsecurity.com


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]