Пошаговое руководство по использованию диспетчера настройки безопасности

Пошаговое управление по использованию диспетчера опции безопасности

Данное управление обрисовывает, каким образом просматривать, изменять и рассматривать локальную политику безопасности и ее опции с внедрением разных компонент Диспетчера опции безопасности (Security Configuration Tool Set), включенного в поставку операционной системы Windows® 2000.

На этой страничке

Введение

Просмотр и изменение локальной политики безопасности

Внедрение шаблонов безопасности

Анализ безопасности системы

Настройка безопасности системы

Настройка и анализ при помощи командной строчки

Готовые шаблоны безопасности

Введение

Диспетчер опции безопасности позволяет изменять последующие области безопасности:

Область безопасности

Настраиваемые характеристики

Политики учетных записей

Политика паролей, блокировки учетной записи и политика Kerberos.

Локальные политики

Политика аудита, предназначения прав юзера и характеристики безопасности. (Характеристики безопасности приемущественно содержат ключи реестра, связанные с безопасностью)

Журнальчик событий

Характеристики журналов событий приложений, системных событий, событий безопасности и событий службы каталогов.

Группы с ограниченным доступом

Состав групп с особенными требованиями к безопасности.

Системные службы

Характеристики пуска и разрешений для системных служб.

Реестр

Разрешения для разделов реестра.

Файловая система

Разрешения для файлов и папок.

Админы могут использовать перечисленные ниже составляющие диспетчера опции безопасности для конфигурирования неких либо всех областей безопасности.

• Оснастка Шаблоны безопасности (Security Templates). Изолированная оснастка консоли управления Microsoft (MMC) Шаблоны безопасности позволяет создавать текстовые файлы шаблонов, содержащие опции для всех областей безопасности.

• Оснастка Анализ и настройка безопасности (Security Configuration and Analysis). Изолированная оснастка MMC, позволяющая изменять и рассматривать безопасность операционной системы Windows® 2000. Она работает на базе содержания шаблонов безопасности, сделанных с помощью оснастки Шаблоны безопасности.

• Secedit.exe. Версия оснастки Анализ и настройка безопасности для командной строчки. Позволяет делать анализ и настройку безопасности без использования графического интерфейса юзера (GUI).

• Расширение Характеристики безопасности (Security Settings) для групповой политики. Диспетчер опции безопасности также содержит в себе расширяющую редактор групповых политик оснастку, созданную для опции локальных политик безопасности, также политик безопасности доменов и подразделений. Локальные политики безопасности содержат в себе только описанные ниже Политики учетных записей (Account Policy) и Локальные политики безопасности (Local Policy). Политики безопасности, определенные для доменов и подразделений (OU), могут включать в себя все области безопасности.

В данном руководстве описано, как использовать оснастки, утилиту командной строчки и расширение Характеристики безопасности (Security Settings) для просмотра, опции и анализа локальной политики безопасности и локальных характеристик безопасности.

Подготовительные требования и условия

Истинное управление подразумевает, что Вы выполнили процедуры, описанные в состоящем из 2-ух частей Пошаговом руководстве по развертыванию базисной инфраструктуры Windows 2000 Server Step by Step Guide to A Common Infrastructure for Windows 2000 Server Deployment (EN). Описывающие базисную инфраструктуру документы предъявляют определенные требования к конфигурации аппаратного и программного обеспечения. Если Вы не используете базисную инфраструктуру, нужно внести надлежащие конфигурации в этот документ. Текущая информация об аппаратных требованиях и сопоставимости для серверов, клиентов и устройств перифирии доступна на веб-узле Product Compatibility Web site.

Наверх странички

Просмотр и изменение локальной политики безопасности

Локальная политика безопасности применяется при помощи расширения характеристики безопасности для групповой политики. Локальная политика безопасности содержит в себе только две области: политики учетных записей и локальные политики. Политика учетных записей содержит информацию о политике паролей и политике блокировки учетных записей. Область локальные политики содержит информацию о политике аудита, предназначении прав юзеров и параметрах безопасности.

Для просмотра локальной политики безопасности:

1. Войдите на компьютер под управлением операционной системы Windows 2000 в качестве юзера с административными льготами. В нашем примере, мы вошли как Админ на сервер HQ-RES-SRV-01.

2. Чтоб открыть консоль Групповая политика (Group Policy) щелкните Запуск (Start), изберите команду Выполнить (Run), введите Gpedit.msc и нажмите кнопку OK.

3. В дереве консоли раскройте раздел Конфигурация компьютера (Computer Configuration), потом Конфигурация Windows (Windows Settings), дальше Характеристики безопасности (Security Settings), после этого Локальные политики (Local Policies).

4. В ветке Локальные политики (Local Policies) щелкните папку Характеристики безопасности (Security Options). Окно, которое Вы увидите, должно смотреться примерно так, как показано ниже на Рисунке 1.

Пошаговое управление по использованию диспетчера опции безопасности
Прирастить набросок

Набросок 1 – Характеристики безопасности

Направьте внимание, что для каждой опции безопасности расширение Характеристики безопасности (Security Settings) показывает локальную и результирующую политики. Локальная политика обрисовывает опции, определенные на локальном компьютере. Действенная политика указывает результирующую локальную, доменную, и политику подразделения для каждого параметра. Такое разделение вызвано тем, что характеристики локальной политики могут быть перезаписаны политиками домена либо подразделения. Порядок внедрения политик в порядке возрастания приоритета:

• Локальная политика

• Политика веб-сайта

• Политика домена

• Политика подразделения

Локальная политика имеет низший ценность, наивысший – политика Подразделения, к которому относится данный компьютер. Колонка с результирующей политикой показывает политику безопасности, соответственно данному порядку их внедрения.

Изменение Локальной политики безопасности

Чтоб поменять характеристики Локальной политики безопасности, два раза щелкните интересующий Вас параметр безопасности и просмотрите политику. Так, чтоб поменять малый срок деяния пароля, определенный локальной политикой, следуйте шагам, описанным ниже:

1. В дереве консоли щелкните узел Политики учетных записей (Account Policies) на панели слева (в ветке Характеристики безопасности (Security Settings)), чтоб раскрыть его.

2. Щелкните узел Политика паролей (Password Policy).

3. Два раза щелкните Мин. срок деяния пароля (Minimum Password Age) на панели справа.

4. Установите Мин. срок деяния пароля (Minimum Password Age) равным одному деньку и нажмите OK.

После того, как Вы нажмете OK, политика поменяется. Это приведет к вычислению результирующей политики (на базе всех, имеющих более высочайший ценность, политиках домена либо подразделений) и применению ее к системе. Статус внедрения данной политики можно просмотреть в журнальчике событий приложений.

5. Щелкните правой кнопкой мыши узел Характеристики безопасности (Security Settings) в левой панели, а потом нажмите кнопку Обновить (Reload).

Данное действие обновит результирующую политику в пользовательском интерфейсе. Политика, используемая к Вашему компу, может поменяться либо остаться прежней зависимо от действующих политик пароля домена либо подразделения.

6. Закройте консоль групповой политики.

Наверх странички

Внедрение шаблонов безопасности

Оснастка Шаблоны безопасности (Security Templates) позволяет Вам создавать текстовые файлы шаблонов, содержащие опции для всех областей безопасности, поддерживаемых диспетчером опции безопасности. В предстоящем Вы сможете использовать эти шаблоны для анализа и конфигурирования безопасности систем с помощью других инструментов.

• Вы сможете импортировать файл шаблона в расширение Настройка безопасности (Security Settings), чтоб изменить политики безопасности локального компьютера, домена либо подразделения.

• Вы сможете использовать оснастку Анализ и настройка безопасности (Security Configuration and Analysis) для конфигурации либо анализа безопасности системы, основанной на текстовом шаблоне безопасности.

• Используйте утилиту командной строчки Secedit.exe раздельно либо в связке с другими системами управления, такими, как Microsoft Systems Management Server либо Планировщик заданий (Task Scheduler), для выполнения развертывания шаблона безопасности либо инициирования выполнения анализа безопасности.

Чтоб загрузить оснастку Шаблоны безопасности:

1. Щелкните Запуск (Start), изберите Выполнить (Run) и потом в текстовой строке введите MMC /s. Нажмите OK. (Примечание. Меж знаками C и /s находится пробел).

2. Щелкните Консоль (Console) (под заголовком Консоль1 в левой высшей части окна), изберите Добавить либо Удалить оснастку (AddRemove Snap-in), и нажмите кнопку Добавить (Add).

3. Из перечня доступных изолированных оснасток изберите Шаблоны безопасности (Security Templates), как показано ниже на Рисунке 2.

Пошаговое управление по использованию диспетчера опции безопасности
Прирастить набросок

Набросок 2 – Добавление оснастки Шаблоны безопасности

4. Нажмите кнопку Добавить (Add), после этого нажмите Закрыть (Close).

5. Нажмите OK.

6. На панели слева щелкните + рядом с разделом Шаблоны безопасности (Security Templates), чтоб раскрыть его.

7. Щелкните + рядом с разделом C:WINNTsecuritytemplates чтоб раскрыть его. (Примечание: если Windows 2000 установлена на другой диск либо каталог, отображаемый путь будет отличаться от C:WINNT).

Windows 2000 поставляется с некими готовыми шаблонами безопасности. Для получения дополнительной инфы обратитесь к разделу «Готовые Шаблоны безопасности» дальше в этой статье.

Изменение шаблона безопасности

Вы сможете сделать Ваш свой шаблон безопасности. Для этого правой кнопкой мыши щелкните папку с предустановленными шаблонами (C:WINNTsecuritytemplates) в ветке Шаблоны безопасности и выберете пункт Новый шаблон (New Template). (Примечание: Если Windows 2000 установлена на другой диск либо в другой каталог, отображаемый путь будет отличаться от C:WINNT). Все же, в этом руководстве будет показано, как поменять включенный в поставку Windows 2000 шаблон неопасной рабочей станции либо сервера (Securews.inf).

Чтоб показать характеристики, определенные в шаблоне Securews.inf:

1. Воспользуйтесь полосой прокрутки в левой панели, а потом щелкните + рядом с пт Securews чтоб раскрыть его. Направьте внимание, что ниже на Рисунке 3 (в отличие от локальной политики безопасности, рассмотренной в прошлых 2-ух параграфах) все области безопасности становятся настраиваемыми после того, как Вы обусловьте шаблон безопасности.

Пошаговое управление по использованию диспетчера опции безопасности

Набросок 3 – Просмотр опций, определенных в шаблоне Securews.inf

2. Просмотрите Политики учетных записей (Account Policies) и Локальные политики (Local Policies), определенные в шаблоне Securews, раскрывая эти папки, выбирая разные области, и просматривая характеристики Сохраненного шаблона (Stored Template) в панели справа.

Сообщение для юзеров при входе в систему

Вы сможете поменять Securews, чтоб показать определенное сообщение для всех юзеров, осуществляющих вход в систему.

1. Щелкните элемент Характеристики безопасности (Security Options) под пт Локальные политики (Local Policies).

2. Прокрутите вниз панель справа и два раза щелкните Заголовок сообщения для юзеров при входе в систему (Message Text for Users Attempting to log on).

3. Введите сообщение, которое будет отображаться для всех юзеров осуществляющих вход в систему, и нажмите OK.

Создание ограниченной групповой политики

Ограниченная групповая политика (Restricted Group Policy) позволяет Вам найти, кто будет принадлежать к определенной группе безопасности. Когда шаблон (либо политика), определяющая ограниченные группы использована к системе, Диспетчер опции безопасности добавит членов в группу и удалит членов из нее, что гарантирует животрепещущее членство в группах согласно характеристикам, определенным в шаблоне безопасности либо политике. В этом упражнении Вы обусловьте ограниченную групповую политику для локальной группы Админы в дополнение к ограниченной Групповой политике, которая уже определена для локальной группы Бывалые юзеры (Power Users) в Securews.inf.

Для сотворения ограниченной Групповой политики

1. На панели слева щелкните правой кнопкой мыши элемент Группы с ограниченным доступом (Restricted Groups) и изберите Добавить группу (Add Group).

2. В качестве имени группы введите NewAdmins и нажмите OK. Сейчас локальная группа Админы (Administrators) добавлена в ограниченную группу в правой панели оснастки Шаблоны безопасности.

3. Два раза щелкните NewAdmins на панели справа.

Сейчас вы сможете найти, кто будет членом локальной группы Админы, также найти другие группы, членом которых может быть группа Админы.

4. Щелкните Добавить (Add), а потом щелкните Обзор (Browse). Появится диалоговое окно Выбор: Юзеры либо Группы (Select Users or Groups), показанное ниже на Рисунке 4.

5. Изберите юзера Админ (Administrator) в диалоговом окне Выбор: Юзеры либо Группы (Select Users or Groups). Щелкните кнопку Добавить (Add).

Пошаговое управление по использованию диспетчера опции безопасности
Прирастить набросок

Набросок 4 – Выбор Админа

6. Щелкните OK и потом еще два раза щелкните OK.

Когда шаблон безопасности Securews будет применен для опции системы Windows 2000, ограниченная групповая политика установит, что только локальный юзер Админ может принадлежать к локальной группе Админы. В процессе конфигурирования диспетчер опции безопасности удалит всех иных юзеров, принадлежащих к группе Админы на момент конфигурирования. Схожим образом, если на момент опции юзер Админ не является участником группы Админы, Диспетчер опции безопасности добавит юзера Админ в группу Админы.

• Перечень «Члены этой группы» пуст (If the Members list is empty) – Если в качестве членов определенной ограниченной группы никакие юзеры не определены (верхнее окно пустое), то когда шаблон будет применен для опции систем, Диспетчер опции безопасности удалит всех текущих членов этой группы.

• Перечень «Эта группа является членом в» пуст (If the Member of list is empty) – если в качестве члена ограниченной группы никакая группа не определена (нижнее окно пустое), деяния для регулирования членства в других группах производиться не будут.

Настройка разрешений для файловой системы

Securews также можно использовать для опции разрешений доступа к каталогам файловой системы.

1. Щелкните правой кнопкой мыши элемент Файловая система (File System) в панели слева и нажмите Добавить файл (Add File).

2. Изберите каталог %systemroot%repair, как показано ниже на Рисунке 5. Нажмите OK.

Пошаговое управление по использованию диспетчера опции безопасности

Набросок 5 – Настройка разрешений файловой системы (Выбор каталога repair)

Появится редактор Перечня контроля доступа (Access Control List, ACL), показанный ниже на Рисунке 6. Это позволит Вам в шаблоне Securews.inf задать разрешения для каталога %systemroot%repair.

Пошаговое управление по использованию диспетчера опции безопасности
Прирастить набросок

Набросок 6 – Внедрение Редактора ACL для определения разрешений

3. Изберите группу Все (Everyone) в верхней панели и нажмите кнопку Удалить (Remove).

4. Щелкните кнопку Добавить (Add) и изберите группу Админы (Administrators). Щелкните Добавить (Add), потом OK.

5. Установите флаг Полный доступ (Full Control) в нижней панели, чтоб дать группе Админы разрешения полного доступа.

6. Снимите флаг Переносить наследуемые от родительского объекта разрешения на этот объект (Allow inheritable permissions from parent to propagate to this object).

7. Щелкните OK, чтоб разрешить доступ к каталогу только членам группы Админы.

Пошаговое управление по использованию диспетчера опции безопасности
Прирастить набросок

Набросок 7 – Параметр шаблона политики безопасности

8. Изберите Подменять имеющиеся разрешения для всех подпапок и файлов на наследуемые разрешения (Replace existing permission on all subfolders and file with inheritable permissions) и щелкните OK.

Наследование, замещение и отклонение конфигураций политики

После того, как Вы обусловили права доступа к объектам файловой системы либо реестра, Диспетчер опции безопасности спросит Вас, каким образом должны быть сконфигурированы дочерние объекты.

Если Вы изберите Распространить наследуемые разрешения на все подпапки и файлы (Propagate inheritable permissions to all subfolders and files), стандартный перечень ACL в Windows 2000 наследует действующие разрешения. Другими словами, любые наследуемые разрешения для дочерних объектов будут приведены в соответствие с новыми разрешениями, определенными для родительского объекта. Любые очевидно данные элементы перечня контроля доступа (ACE), определенные для дочерних объектов, останутся прежними.

Если Вы изберите Подменять имеющиеся разрешения для всех подпапок и файлов на наследуемые разрешения (Replace existing permission on all subfolders and files with inheritable permissions), все очевидно данные в ACE разрешения для всех дочерних объектов (не считая перечисленных в шаблоне) будут удалены, и к ним будут использованы процедуры наследования разрешений, определенных для родительского объекта.

Чтоб предупредить перезапись разрешений дочернего объекта родительским, дочерний объект должен быть добавлен в шаблон и проигнорирован. В данном случае очевидно данные в записях ACE разрешения дочернего объекта останутся прежними. Выбор в шаблоне функции Запретить подмену разрешений для этого файла либо папки (Do not allow permissions on this file or folder to be replaced) для определенного объекта имеет смысл только в этом случае, если разрешения родительского объекта настроены на перезапись разрешений для всех дочерних объектов. Если в шаблоне родительский объект отсутствует, игнорирование объекта в данном случае воздействия не окажет. Если родительский объект существует, но не настроен на наследование разрешений для дочерних объектов, игнорирование дочернего объекта воздействия не окажет.

В этом примере в шаблоне Securews.inf опции ACL для каталога %systemroot%repair определены, как описано ниже:

• Админам предоставлен полный контроль над каталогом %systemroot%repair. По дефлоту эти разрешения использованы к данному каталогу, всем его подкаталогам и файлам. Вы обусловили это, задав разрешения админа в редакторе ACL. (Степень, с которой ACE наследует разрешения, определена на вкладке Дополнительно (Advanced) редактора ACL в столбце Использовать (Apply to). В реальном руководстве при определении разрешений для Админа вкладку Дополнительно (Advanced) мы не рассматривали.

• Каталог %systemroot%repair не наследует никакие разрешения от родительского объекта. Вы обусловили это, сняв флаг Переносить наследуемые от родительского объекта разрешения на этот объект (Allow inheritable permissions from parent to propagate to this object) в редакторе ACL.

• Для подкаталогов и файлов каталога repair, все списки ACL Админов настроены на наследование разрешений полного контроля от собственного родительского объекта. При всем этом текущие опции значения не имеют. Вы обусловили это, когда избрали режим Подменять имеющиеся разрешения для всех подпапок и файлов на наследуемые разрешения (Replace existing permission on all subfolders and files with inheritable permissions).

Чтоб сохранить Ваш модифицированный файл Securews.inf:

1. Щелкните правой кнопкой мыши по шаблону Securews.inf, изберите Сохранить как (Save As) и введите Mysecurews. Нажмите Сохранить (Save).

2. Нажмите кнопку Закрыть (Close) в правом верхнем углу окна, чтоб выйти из оснастки Шаблоны безопасности.

3. Нажмите Да (Yes), чтоб сохранить характеристики консоли.

4. Чтоб при последующем запуске оснастки не добавлять шаблоны, сохраните ее под заглавием Шаблоны безопасности (Security Templates).

Наверх странички

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.