Sunday, July 22nd, 2018

Уникальные настройки безопасности групповой политики

Published on Февраль 4, 2009 by   ·   Комментариев нет

Существует множество установок безопасности, которые могут быть сконфигурированы в одном Объекте Групповой Политики (Group Policy Object). Эти установки ранжируются от контроля аккаунта Администратора для контроля LDAP подписания требований клиента. При таком большом количестве защитных установок очень важно понимать функционирование и режим работы, который не так очевиден, как можно было бы себе представить. В декабре 2004 года я написал статью про “Осуществление групповой политики защитных установок ”, которая даст вам некоторый детальный взгляд изнутри на то, как защитные установки могут применяться в обычной среде. В этой статье я раскрою суть концепции (включая некоторые регистровые “хаки”), а также некоторые наиболее общие сценарии, в которых установки безопасности ведут себя не так как положено.

Настройки безопасности групповой политики, обновление

В декабре 2004 я написал статью о том, как вы можете быть уверены, что ваши настройки безопасности были применены. В статье рассказывалось то, как вы можете проверить, какие настройки являются «политиками» и какие настройки были «предпочтительными», так что вы могли ясно понимать, как каждая настройка была применена на компьютере. С каждым типом настроек вы можете использовать эти настройки в стандартном интервале обновления групповой политики, который приблизительно равен 90 минутам.

Все те методики, о которых я тогда рассказывал, действительны и сегодня. Однако есть другая «встроенная» технология, о которой вы должны знать. Эта технология позволяет вам контролировать, как часто будут обновляться в GPO настройки безопасности, без каких-либо изменений в самих GPO. Да, это правда! Вы можете применять все настройки безопасности автоматически после X минут, даже если не было изменений в GPO. Значение Реестра которое вам нужно будет поменять это — MaxNoGPOListChangesInterval, как показанона рисунке1.

Выход из Windows в пзщ настроить

Рисунок 1: Вы можете менять частоту обновлений настроек безопасности в GPO

Эти настройки вы можете найти в Реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

Значение по умолчанию для этих настроек – 960 минут (или 0x3c0 в шестнадцатиричном значении.).

Эти настройки очень важны, так как они позволяют администратору удостовериться, что настройки безопасности снижены и применены для пользователей, так что теперь не приходится делать это при каждом обновлении. Пользователи теперь будут иметь защищенный ПК без обновляемых каждые 90 минут настроек безопасности.

Настройки безопасности для контроллеров домена

Я написал много статей, описывающих, как Политики Учетных записей (Account Policies) в GPO воздействуют на контроллеры домена и локальный Security Accounts Manager (SAM) на серверах и ПК по всему домену. Эти настройки уникальны для контроллеров домена из-за самой природы всех контроллеров домена, нуждающихся в синхронизации с некоторыми настройками, которые являются расширением домена.

Политики Учетных записей не единственные настройки, которые затрагивают контроллеры домена таким образом. Есть другие настройки безопасности, которые могут быть применены только к корневому узлу домена, чтобы вступить в силу на контроллерах домена. Опять же эти настройки должны работать таким образом, чтобы все контроллеры домена в домене имели объединенный и синхронизированный фронт, когда представляют домен. Если один ПК пройдет на контроллер домена А и получит настройки Х, и другой ПК пройдет на контроллер домена В и получит настройки У, то это может привести к существенным и негативным последствиям на всем предприятии.

Настройки, которые применимы ко всем контроллерам домена через GPO, связанные только с доменом включают:

  • Политику Учетных записей
  • Сетевую безопасность: принудительный выход из системы по истечению времени регистрации
  • Учетные записи: статус учетной записи «Администратор»
  • Учетные записи: статус учетной записи «Гость»
  • Учетные записи: переименование учетной записи «Администратор»
  • Учетные записи: переименование учетной записи «Гость»

«The Grim Reaper» настроек безопасности.

Многие вопросы и технологии зациклены. В последнее время много обсуждаются настройки файловой системы и установок реестра в GPO. Эти настройки размещены под узлом Computer Configuration (Конфигурация компьютера), как показано на рисунке 2.

Выход из Windows в пзщ настроить

Рисунок 2: Узлы Реестра и Файловой системы в GPO могут контролировать права доступа практически для любого Регистрационного ключа или Файла

Эти настройки в GPO контролируют права доступа Регистрационного ключа, Файла или Папки. Эти настройки очень легко изменить и сделать работу весьма приятной. Однако их минус в том, что можно потратить очень много времени на их применение.

Во время загрузки компьютера эти настройки могут занять дополнительное время, вызывая существенные задержки в доступе пользователей к их ПК.

Предполагается, что эти настройки будут использоваться мало. Вместо использования этих настроек будет лучше настроить права доступа безопасности в образе рабочего стола. Используйте эти настройки политики только тогда, когда вы не можете поместить права доступа в оригинальный образ или когда у вас редкая ситуация когда несколько настроек будут распределены через групповую политику.

Безопасность во время миграции.

Используя GPMC, вы можете переместить GPO с одного домена на другой. Это очень полезная возможность и часто используемая при переводе объектов с тестируемого домена на работающий или даже между двумя работающими. Почти во всех случаях параметры установки в GPO нейтральны, это значит, что параметры установки только включают или выключают функции. Однако когда дело доходит до настроек безопасности, то тут уже не все так просто. Существует множество настроек безопасности, которые зависят от аккаунтов пользователя и/или групп, где они применяются. Эти настройки требуют особого внимания при перемещении с одного домена на другой, так как у каждого домена есть свои уникальные пользовательские и групповые аккаунты, которые должны передаваться между ними. Упомянутые настройки включают в себя:

  • Назначение прав пользователя
  • Группы ограничений
  • Службы
  • Файловую систему
  • Реестр
  • GPO DACL, если выберете сохранять во время копирования

Решение этого состоит в том, чтобы использовать Таблицы Перемещения в GPMC, как показано на рисунке 3.

Перевод групповой политики security options

Рисунок 3

Заключение

Не все настройки GPO равносильны, особенно когда дело касается настроек безопасности. Просмотрите и протестируйте все настройки безопасности, прежде чем внедрять их в продукцию. Теперь настройки безопасности применяются каждые 16 часов, даже без изменений в настройках политики. Это гарантирует надежную и устойчивую безопасность ваших ПК и серверов. Для контроллеров домена вы должны четко представлять, где могут быть настройки и где они могли применяться, доменные контроллеры действуют не так, как большинство компьютеров. Наконец, когда устанавливаете пользовательские и групповые аккаунты в настройках, они должны быть переведены с одного домена на другой с использованием таблиц перемещения. Как только вы овладеете уникальными настройками безопасности, ваша сеть станет более безопасной и устойчивой.

Источник www.windowsecurity.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]