Административные шаблоны и шаблоны безопасности

Административные шаблоны -готовые наборы конфигурационных параметров рабочих станций для импорта в объекты Групповых политик.

n Административные шаблоны WindowsXPSP1 содержат более 850 параметров

n «WindowsXPSecurityGuide» содержит
10 административных шаблонов

n Дополнительные административные шаблоны могут поставляться в комплекте с программными продуктами

Шаблоны безопасности -Готовые наборы параметров безопасности для импорта
в объекты Групповых политик.

Каждый шаблон представлен в 2 версиях:

n Стандартный уровень защиты

n Высокий уровень защиты

При помощи оснастки «Шаблоны безопасности» можно создать политику безопасности для компьютера или сети. Используя эту единственную оснастку, можно управлять всей безопасностью системы. Оснастка «Шаблон безопасности» не предоставляет новых параметров безопасности, а упорядочивает и создает удобный доступ ко всем имеющимся атрибутам безопасности, упрощая администрирования. При импорте шаблона безопасности в объект групповой политики облегчается администрирование домена, так как безопасность настраивается для домена или подразделения только один раз.

Шаблоны безопасности можно использовать, чтобы определить представленные далее элементы.

n Политики учетных записей

 

o Политика паролей

 

o Политика блокировки учетной записи

 

o Политика Kerberos

 

n Локальные политики

 

o Политика аудита

 

o Назначениеправпользователя

o Параметры безопасности

 

n Журнал событий. Параметры журналов событий приложений, системных событий и событий безопасности

 

n Группы с ограниченным доступом. Состав групп с особыми требованиями к безопасности

 

n Параметры безопасности системных служб. Параметры запуска и разрешения для системных служб

 

n Параметры безопасности реестра. Разрешения для разделов реестра

 

n Параметры безопасности файловой системы. Разрешения для файлов и папок

Примерыстандартных шаблонов вWindows:

n Шаблон с базовыми настройками для всех пользователей и
компьютеров домена

n Шаблон с настройками для стационарных рабочих станций

n Шаблон со специальными настройками для портативных компьютеров

Иерархия подразделений и применение шаблонов

Смотри вопрос 80 и 81

Параметры безопасности

Параметры безопасности

Политика паролей- правила и ограничения для создания и смены паролей.

Политика блокировки учетной записи -критерии для отключения учетной записи при многократных неуспешных попытках регистрации

Политика аудита -параметры, определяющие ведение аудита для различных типов событий

Журнал регистрации -растройки журнала регистрации: максимальный размер журнала, права доступа к журналам

Файловая система -разрешения и аудит доступа к файловым объектам

Политики IPSec -настройки фильтров IPSecurity

Настройки реестра -разрешения и аудит доступа к ключам реестра

Ограниченные группы -указания, какие учетные записи могут являться членами групп

Параметры безопасности -Набор настроек, определяющих безопасность компьютеров

Политика ограничений на исполнение программ -правила, разрешающие или запрещающие исполнение определенных программ

Системные службы -режим запуска и права доступа для сервисов

Права пользователей -указания, каким учетным записям разрешены определенные операции

 

Локальные политики безопасности рабочих станций

Для рабочих станций, которые не включены в домен ActiveDirectory,управлениенастройками безопасности происходит через Локальную политику.

Примеры

Доступ к данному компьютеру из сети- определяет пользователей и группы, которым разрешено подключаться к компьютеру через сеть. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. Группами по умолчанию, у которых есть это право на каждой платформе, являются следующие: рабочие станции и серверы; администраторы; операторы резервного копирования; опытные пользователи; пользователи; все; контроллеры домена; аутентифицированные пользователи.

Резервные файлы и каталоги- определяет пользователей, которые могут игнорировать разрешения файлов и каталогов в целях резервного копирования данных системы. Действие этой привилегии аналогично предоставлению пользователю или группе следующих разрешений для всех файлов и папок системы: проход по папкам/выполнение файла; просмотр папки/чтение данных; чтение атрибутов; чтение расширенных атрибутов; чтение разрешений. Это право определяется в политике группы контроллера домена по умолчанию, а также в локальной политике безопасности рабочих станций и серверов. Группами по умолчанию, у которых есть это право на каждой платформе, являются: рабочие станции и серверы; администраторы; операторы резервного копирования; контроллеры домена.

Создание файла подкачки- определяет пользователей и группы, которые могут создавать и изменять размер файла подкачки. Размер файла подкачки для данного диска указывается в параметрах производительности в окне свойств системы. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию возможность создания файлов подкачки имеется у администраторов.

Принудительное отключение с удаленной системы -определяет пользователям, которым разрешено отключать удаленный компьютер сети. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере это право по умолчанию имеется у следующих групп: рабочие станции и серверы; администраторы; контроллеры домена; операторы сервера.

Лучшие практики защиты приложений. Примеры

· Обучить пользователей правилам безопасной загрузки файлов изИнтернет и правилам обращения c почтовыми вложениями

· Устанавливать на рабочие станции только те приложения, которые необходимы для работы и проверены

· Своевременно обновлять приложения