Занятие 25. Групповые политики

План занятия:

• Понятие групповых политик
• Виды групповых политик
• Понятие групповых политик

Понятие групповых политик

Групповая политика — это инфраструктура, позволяющая реализовывать определенные конфигурации для пользователей и компьютеров. Параметры групповой политики содержатся в объектах групповой политики (GPO), которые связаны со следующими контейнерами службы каталогов Active Directory: сайты, домены и организационные единицы. Затем настройки GPO оцениваются затрагиваемыми целевыми объектами, используя иерархическую сущность Active Directory. Следовательно, групповая политика — это одна из основных причин развертывания Active Directory, поскольку она позволяет управлять пользователями и объектами-компьютерами.

Администраторы создают групповые политики либо для запрещения пользователям выполнять определенные операции, либо для автоматического назначения определенных функциональных возможностей.

Например, можно задать групповую политику для вывода всем пытающимся войти в систему пользователям предупреждения о юридических последствиях или для ограничения их доступа к окну командной строки. Групповые политики можно применять к сайтам, доменам и организационным единицам AD DS, но их можно ориентировать и на конкретные группы. Это увеличивает возможности проектировщика домена в плане применении групповых политик.

Виды групповых политик

Групповые политики разделяются на 2 основные категории:

• Локальные групповые политики
• Глобальные групповые политики

Локальные групповые политики, предназначены для распределения, прав в пределах локальной сети. Являются одним из основным способов управления в системе Windows Server. Для вызова, необходимо перейти в Server Manager, и в меню Tools и перейти во вкладку Local Security Policy. После открытия, утилита предоставит возможности конфигурировать возможности и права для каждой группы пользователей локальной сети. Все эти действия осуществляются во вкладке Security Settings.

Глобальные групповые политики, по своей структуре и логике работы не отличаются от локальных, но их главным отличием является, область их действия. Они предназначены для администрирования в пределах глобальной сети домена, или доменов. Вызываются из меню Tools и там необходимо перейти во вкладку Group Policy Manager.

Упражнение

1) Для создания групповой политики, необходимо перейти в Group Policy Manager.

2) Перейти в необходимую организационную единицу или ресурс

3) Нажав правой кнопкой мыши по ней выбрать Create GPO in this domain

4) После создания, необходимо правой кнопкой нажать на созданную политику и выбрать Edit.

5) После чего откроется Group Policy Management Editor, который позволяет конфигурировать групповые политики.

6) Для перехода к конфигурированию, необходимо перейти в Computer Configuration

7) После чего перейти в Policies и выбрать Windows Settings

8) После чего перейти в Security Settingsи выбрать Local Policies

9) Тут находится 3 популярных и чаще всего используемых раздела администрирования.

10) Наибольший список находится в User Rights Assigment.

Пример наиболее популярных прав:

Access this compiter from the network	Доступ к компьютеру из сети
Logon Localy	Локальный вход на компьютер
Add Workstation to domain	Добавлять рабочие станции к домену
Backup Files and Directories	Разрешает выполнять резервное копирование файлов и каталогов
Bypass traverse checking	Позволяет пользователю проходить через деревья каталогов, даже если он не имеет прав доступа к этим каталогам
Change the system Time	Позволяет изменять системное время
Create a Pagefile	Создавать и менять файл подкачки
Enable computer and user accounts to be trusted for delegation	Позволяет пользователю задавать для объекта параметр Trusted for delegation (доверяется делегирование
Force shutdown from remoute system	Позволяет отключать компьютер из удаленного хоста сети
Increase scheduling priority	Позволяет использовать менеджер задач (Task Manager) для изменеия приоритетов процессов
Load and unload device drivers	Установка и удаление драйверов устройств
Manage auditing and security log	Управление параметрами аудита и работа с журналами безопасности
Modify firmware environment variables	Позволяет конфигурировать информацию в энергонезависимой памяти
Profile a single process	Позволяет получать характеристику работы процесса
Profile system performance	Позволяет получать характеристики работы системы
Remove computer from docking station	Позволяет удалять лэптоп из стыковочного узла с помощью интерфейса
Restore files and directories	Позволяет восстанавливать папки и файлы из архива с замещением прав к определенным папкам и файлам
Shutdown the system	Выключение системы
Synchronize directory service data	Позволяет синхронизировать Active Directory
Take ownership files or other objects	Позволяет брать владение на себя любым файлом, каталогом. Принтером, процессом, ключом реестра

 

 

Занятие 26. Политика учетных записей

План занятия:

• Политика учетных записей

Политика учетных записей

Все политики безопасности являются политиками безопасности для компьютера. Политики учетных записей определяются на компьютерах и определяют взаимодействие учетных записей с компьютером и доменом. Существуют три политики учетных записей:

• Политика паролей
• Политика блокировки учетных записей
• Политика Kerberos

Для учетных записей домена политика учетных записей должна быть определена в объекте групповой политики (GPO) домена по умолчанию или в новом объекте GPO, связанном с корнем домена и имеющем приоритет над объектом GPO по умолчанию. Последний применяется контроллерами домена, составляющими домен. Если с уровнем домена связано более одного объекта групповой политики, содержащего настройки политики учетных записей, то политика учетных записей домена состоит из объединения настроек политики всех объектов GPO, связанных с доменом.

Контроллер домена всегда получает параметры политики учетных записей из объекта групповой политики, связанного с доменом, который по умолчанию является GPO домена по умолчанию. Так происходит и в том случае, если к подразделению, содержащему данный контроллер домена, применяется другая политика учетных записей. Присоединенные к домену рабочие станции и серверы (такие как рядовые компьютеры) получают для локальных учетных записей ту же политику учетных записей. Однако политики локальных учетных записей рядовых компьютеров могут отличаться от политики учетных записей домена, если они принадлежат подразделению, в котором определена своя политика учетных записей.

Упражнение

1) Перейти в Tools и выбрать Group Policy Manager

2) Перейти в созданную групповую политику и открыть ее для редактирования

3) Перейти в Computer Configuration

4) Выбрать Policies

5) Перейти в Windows Settings

6) Выбрать Security Settings и перейти в Account Policy

7) После перехода доступно все три политики учетных записей

В качестве примера рассматриваются политики пароля учетных записей:

Maximum Password Age	Максимальный срок службы пароля
Minimum Password Age	Минимальный срок службы пароля
Minimum Password Length	Минимальная длина пароля
Enforce password history	Сохраняет историю паролей
Password must meet the complexity requirements of installed Password filter	Отслеживание содержимого паролей
Store Passwords Using Reversible Encryption	Режим использования низкоуровневого шифрования при авторизации со старых систем

 

 

 

Занятие 27. Аудит

План занятия:

• Введение в аудит
• Глобальные политики аудита

Введение в аудит

В Windows Server 2012 система аудита была существенно переработана, увеличено на 53 количество параметров. Стали отслеживаться все попытки создания, изменения, перемещения и восстановление объектов. В журнал записывается предыдущее и текущее значения измененного атрибута и учетная запись пользователя выполнившего операцию. Правда если при создании объектов для атрибутов использовались параметры по умолчанию, их значения в журнал не заносятся. Аудит внедряется при помощи: глобальной политики аудита (Global Audit Policy, GAP), списка управления доступом (SACL, System access control list) и схемы. Управлять аудитом стало возможным на уровне категорий. Например, политики аудита Active Directory разделены на 4 категории в каждой из которых настраиваются специфические параметры:

• Directory Service Access — доступ к службе каталогов;
• Directory Service Changes — изменения службы каталогов;
• Directory Service Replication — репликация службы каталогов;
• Detailed Directory Service Replication — подробная репликация службы каталогов.

Для просмотра записей в журнале безопасности предложена консоль Просмотр событий (Event Viewer) в Windows Server 2012 умеющая фильтровать события по дате при помощи настраиваемого представления: по уровню (критическое, предупреждение, ошибка и т.д.), источнику, коду, пользователю или компьютеру и ключевым словам.

Упражнение

1. Перейти в меню Tools
2. Открыть программу Event Viewer
3. Просмотреть встроенные журналы и события
4. Очистить журналы
5. Глобальные политики аудита

Для задания глобальных политик аудита, необходимо перейти в Group Policy Manager, Computer Configuration, перейти в Windows Settings, затем Security Settings, оттуда перейти в Local Policy и там Audit Policy. Пример стандартных политик аудита:

Account Logon Events	запись событий по получению контроллером домена запросов на вход в систему. Например, попытка входа для гостей.
Account managment	запись всех событий по корректировке базы учетных записей пользователей и групп. Например, создание или удаление пользователя или группы.
Directory service access	Доступ к объектам Active Directory. Например, доступ к OU
Logon Events	запись событий по входу пользователей. Например, вошел пользователь.
Object Access	запись событий по доступу к каталогам, файлам и принтерам для которых заданы события аудита. Для каждого объекта они задаются отдельно и дополнительно.
Privilege Use	запись всех событий, которые соответствуют использованию своих прав пользователями (из списка прав в User Rights). Например, право изменять системное время
Process Tracking	отслеживание работы процессов, для которых запущено отслеживание.
System Events	запись событий запуска и завершения работы системы и всевозможные действия по нарушению безопасности системы

Упражнение

1. Установить политики Account Logon Events и System Events
2. Перезайти под любым другим пользователем в системе
3. Проверить журнал Security
4. Перезайти под администратором и проверить журнал