Настройка политики безопасности системы.

 

Групповая политика (GPO) - это инструмент контроля всех действий Windows 2000 Server. Она применима ко всем объектам сети и обладает огромными возможностями. Групповая политика включает огромное количество параметров, на изучение которых необходимо много времени, которого у нас нет. Далее будут рассмотрены лишь основные компоненты групповой политики. Чтобы профессионально работать с групповой политикой пользователю необходимо прочитать не одну книгу и поэкспериментировать не с одной системой. Цены Вам как системному администратору не будет, если Вы всё-таки сможете овладеть необходимыми знаниями.

Основные параметры групповой политики задаются в следующих программах:

1 Политика безопасности домена. (Пуск – Программы - Администрирование)

Данная программа позволяет задать политику безопасности во всём домене.

2 Политика безопасности контроллера домена. (Пуск – Программы - Администрирование)

Данная программа позволяет задать политику безопасности только на контроллере домена, то есть на сервере.

3 Локальная политика безопасности. (Пуск – Программы - Администрирование)

Эта программа позволяет задать политику безопасности только в тех случаях, когда используется операционная система Windows 2000 Professional на локальном компьютере, то есть не в сети.

Эти программы представлены в списке по уровню приоритета, то есть настройки, сделанные в программе Политика безопасности домена поглощают Политика безопасности контроллера домена, которые в свою очередь поглощают параметры из программы Локальная политика безопасности. Но (!) некоторые параметры, установленные в одной из этих программ, могут повлиять на ВСЕ политики. Например: параметры аудита, заданные в Локальной политике безопасности повлияют на всех пользователей из любых доменов.

Интерфейсы и способы настроек параметров безопасности в этих программах совершенно одинаковы, поэтому далее будем рассматривать программу, дающую максимальные возможности по заданию и изменению политик безопасности.

Предупреждение: перед изменение политик безопасности следует хорошо продумать значение некоторых параметров, так как излишние возможности некоторых пользователей могут вызвать сбой в работе, который обычно выражается в том, что система просто напросто “выкидывает” Администратора из системы без права дальнейшей работы. Это называется конфликт прав. Исправить такой сбой практически невозможно, что влечёт за собой прекращение функционирования сети и,впоследствии, штрафные санкции для Администратора. Обычно это происходит при назначении прав, которыми может обладать только Администратор, простым пользователем; либо лишении Администратора тех прав, которыми он обязан обладать.

Для изменения политики запускаем программу Политика безопасности домена.

Рис. 152. Окно программы Политика безопасности домена

В левой части окна располагается вся конфигурация политик безопасности, в правой конкретные параметры выбранной политики из левой.

 

Существуют следующие групповые политики:

 

Политики учётных записей.

 

Эти политики отвечают за настройку паролей, блокирование учётных записей, проверку подлинности, поддержку протокола Kerberos.

Протокол Kerberos – самый мощный стандарт протокола, обеспечивающего безопасность системы и данных. У него сложнейшая структура, поэтому мы сравним его работу со следующим примером.

Предположим, Вы служащий фирмы. Каждый раз, приходя на работу, Вы должны предъявлять сотруднику безопасности (Kerberos) пропуск, позволяющий пройти Вам в здание и сесть за рабочий стол. Разрешение находиться за рабочим столом вам придётся предъявлять каждые последующие 50 минут. Кроме того, чтобы отойти от своего рабочего стола вам также придётся предъявить разрешение. Ну а для того, чтобы открыть ящик своего рабочего стола, как Вы уже догадались, тоже необходимо разрешение. Так и работает Kerberos. Думается, что в данной ситуации можно сойти с ума. Однако нет, протокол Kerberos так замаскировал свою работу, что его практически незаметно.

 

Политика учётных записей включает в себя следующие группы:

 

1.1. Политика паролей.

 

 

 

Рис. 153. Группа Политика паролей.

 

В этой группе настраивается параметры пароля: максимальный срок действия, длина, требования, параметры хранения.

 

 

1.2. Политика блокировки учётной записи.

 

Рис. 154. Группа Политика блокировки учётной записи.

Задаём рабочие станции для блокировки учётной записи через определённое количество неудачных попыток входа в систему, количество некорректных попыток (неправильное имя или пароль), а также время хранения счётчика блокировки.

 

Рис. 155.Окно назначения параметра политики безопасности:

время блокировки учётной записи.

 

 

 

Рис. 156.Окно назначения параметра политики безопасности:

количество ошибок учётной записи.

 

 

Рис. 157.Окно назначения параметра политики безопасности: время, через которое счётчик блокировки будет очищен.

 

 

1.3. Политика Kerberos.

 

Рис. 158.Группа Политика Kerberos.

 

Протокол Kerberos базируется на системе билетов, которые представляют собой пакеты зашифрованных данных, определяющих работу безопасности системы. Билет выступает в роли паспорта, который содержит всю секретную информацию для конкретного пользователя.

 

 

 

Рис. 159. Определение максимального срока действия билета Kerberos.

Локальные политики.

В данной ветви можно настроить параметры безопасности, касающиеся политики аудита, прав пользователей и индивидуальных параметров безопасности конкретной машины Windows 2000. Локальные политики включают в себя следующие группы:

2.1. Политика аудита

 

 

Рис. 160. Группа Политика аудита.

В этой группе необходимо задать параметры политик аудита: слежение за успехом события или отказом в его выполнении.

2.2. Назначение прав пользователей.

 

 

Рис. 161. Группа Назначение прав пользователей.

Именно эта группа позволяет назначить конкретные права конкретным пользователям. Для этого активизируем конкретное право и добавляем с список обладателей данного права своего пользователя. При назначении прав необходимо быть наиболее осторожным и заранее ознакомиться со списком тех прав, которыми может обладать только Администратор и чисто системных прав. Иначе может произойти конфликт прав, в результате которого Администратор будет “выкинут” из системы без права дальнейшего входа, что аналогично полному прекращению функционирования сервера.

2.3. Параметры безопасности.

 

Рис. 162. Группа Параметры безопасности.

В данной группе приводится список всевозможных политик безопасности системы, изменять которые не рекомендуется.

Журнал событий.

 

Рис. 163. Группа Журнал событий – Настройка протоколирования.

В этой группе необходимо настроить параметры, определяющие работу журналов: системы, приложений и безопасности.