Групповая политика в системе Windows. Политики учетных записей

Групповая политика — это набор правил или настроек, в соответствии с которыми производится настройка рабочей среды Windows. Групповые политики создаются в домене и реплицируются в рамках домена. Объект групповой политики (Group Policy Object, GPO) состоит из двух физически раздельных составляющих: контейнера групповой политики (Group Policy Container, GPC) и шаблона групповой политики (Group Policy Template, GPT). Эти два компонента содержат в себе всю информацию о параметрах рабочей среды, которая включается в состав объекта групповой политики. Продуманное применение объектов GPO к объектам каталога Active Directory позволяет создавать эффективную и легко управляемую компьютерную рабочую среду на базе ОС Windows. Политики применяются сверху вниз по иерархии каталога Active Directory.

Создание групповых политик

По умолчанию в иерархии каталога Active Directory создаются две групповые политики: Default Domain Policy (политика домена по умолчанию) и Default Domain Controller’s Policy (политика контроллера домена по умолчанию). Первая из них назначается домену, а вторая — контейнеру, в состав которого входит контроллер домена. Если вы хотите создать свой собственный объект GPO, вы должны обладать необходимыми полномочиями. По умолчанию правом создания новых GPO обладают группы Enterprise Administrators (Администратор предприятия) и Domain Administrators (Администраторы домена). Чтобы создать новый объект групповой политики, необходимо выполнить следующие действия:

1. Убедитесь в том, что вы подключились к системе с использованием учетной записи, принадлежащей к одной из групп: Domain Administrators (Администраторы домена) или Enterprise Administrators (Администраторы предприятия).
2. Убедитесь в том, что в системе, к которой вы подключились, установлены средства администрирования, необходимые для работы с групповыми политиками. В частности, вам потребуется оснастка Active Directory Users and Computers (Active Directory — пользователи и компьютеры). Этой оснастке соответствует файл dsa.msc.
3. Откройте консоль Active Directory Users and Computers (Active Directory — пользователи и компьютеры) и перейдите к контейнеру OU (Organizational Unit, подразделение или организационная единица), в отношении которого вы намерены применить политику.
4. Правой кнопкой мыши щелкните на контейнере OU, в появившемся меню выберите пункт Properties (Свойства) и перейдите на вкладку GPO.
5. Чтобы создать новый объект GPO и назначить его текущему контейнеру, щелкните на кнопке New (Новый).
6. В списке ссылок на объекты GPO появится новая позиция, строка имени которой будет находиться в режиме редактирования. Присвойте новому объекту GPO содержательное имя.

Созданная вами политика является лишь заготовкой. Ее содержимое формируется на основе административных шаблонов, содержащихся в папке SysVol контроллера домена, на котором был создан GPO. Эти шаблоны можно расширить и модифицировать в соответствии с нуждами вашей организации. В дополнение к существующим компонентам объекта GPO можно добавить созданные вами расширения. Например, при помощи групповой политики можно управлять настройками прикладных программ. Информация о том, как создавать свои собственные расширения GPO, содержится в Windows 2000 SDK (Software Development Kit). После создания GPO следует модифицировать содержащиеся в этом объекте значения параметров таким образом, чтобы настроить определяемую групповой политикой конфигурацию рабочей среды. На вкладке Group Policy (Групповая политика) щелкните на кнопке Edit (Редактировать). При этом запустится редактор групповой политики, при помощи которого вы сможете модифицировать конфигурацию компьютера и пользователя, определяемую политикой. Список ссылок на объекты GPO, отображаемый на странице свойств контейнера OU, содержит ссылки на объекты GPO, расположенные в каталоге Active Directory. Изменения, вносимые в любой из объектов GPO, могут повлиять на поведение многих объектов каталога Active Directory. Чтобы определить, в отношении каких именно контейнеров OU будут применены сделанные вами изменения, откройте диалоговое окно свойств интересующего вас GPO и перейдите на вкладку Links (ссылки). Чтобы получить список контейнеров, с которыми связана данная политика, воспользуйтесь кнопкой Find

Политики учетных записей

Политики учётных записей делятся на две группы: политика паролей и политика блокировки учётных записей. В каждой из групп находится список политик, которые, собственно, и поддаются редактированию. Первым параметром является максимальный срок действия пароля, который определяет время в днях, в течение которого пароль можно использовать, пока система не потребует от пользователя смены пароля. Это очень удобно, т.к. время для взлома ограничивается, соответственно, и злоумышленнику придётся попотеть, чтобы уложиться и успеть что-либо сделать с документами пользователя. По умолчанию значение равно 42, я бы советовал оставить его, т.к. для локальной машины конечного пользователя политика не является критичной. Следующая на очереди политика носит название "Минимальная длина пароля". Для локальной машины она будет актуальна в редких случаях. Задача политики сводится к ограничению минимального размера пароля. Если вы работаете на компьютере один, то политика, как говорилось выше, не имеет смыла. Другой вопрос, если локальный компьютер используется разными пользователями. В таком случае стоит настроить политику, чтобы не использовались пароли, скажем, в два символа.

Минимальный срок действия пароля - политика, которая определяет, через сколько пользователь сможет сменить пароль на другой, как и первая политика, время считается днями. Стандартное значение равно 0 и означает, что пользователь может поменять пароль в любое удобное ему время. Политика "Пароль должен отвечать требованиям сложности" во включённом режиме требует от пользователя пароль, который будет отвечать следующим требованиям:

• Пароль не должен содержать имя учётной записи пользователя или фрагменты имени пользователя длиной больше двух символов.
• Пароль должен состоять не менее чем из шести символов.
• Пароль должен содержать символы, относящиеся к трём из следующих четырёх категорий: латинские заглавные буквы (A - Z); латинские строчные буквы (a - z); цифры (0 - 9); отличные от букв и цифр символы (например,!, $, #, %).
• Проверка соблюдения этих требований выполняется при изменении или создании паролей.

На локальных машинах по умолчанию политика отключена, однако на контролёрах домена работает.

Следующая политика позволяет контролировать неповторяемость паролей, при этом она может запоминать прежние пароли от 1 до 24 включительно. На локальной машине отключена (значение хранимых паролей равно 0) по умолчанию, но на контролёрах домена, опять же, включена и значение равно 24-м. "Хранить пароли, используя обратимое шифрование" - этот параметр безопасности определяет, используется ли в операционной системе обратимое шифрование для хранения паролей. Эта политика обеспечивает поддержку приложений, использующих протоколы, которым для проверки подлинности необходимо знать пароль пользователя. Хранение паролей, зашифрованных обратимыми методами, аналогично хранению их в текстовом виде. Поэтому данную политику следует использовать лишь в исключительных случаях, если потребности приложения оказываются важнее, чем защита пароля. Эта политика является обязательной при использовании протокола проверки подлинности CHAP (Challenge-Handshake Authentication Protocol) в средствах удалённого доступа или службах IAS (Internet Authentication Services). Она также необходима при использовании краткой проверки подлинности в службах IIS (Internet Information Services).

Название следующей политики, которая уже находится в группе политик блокировки учётных записей, говорит само за себя - "Блокировка учётной записи на". Естественно, политикой определяется время блокировки учётной записи при определённом количестве неверно введённых паролей. Значение можно выставлять от 0 (учётная запись не блокируется) и до 99 999 минут. Она имеет смысл только при работающей следующей политике, которая называется "Пороговое значение блокировки". Это количество неудачных попыток входа в систему перед блокировкой учётной записи. Значение принимается в диапазоне от 0 (как обычно, значение при котором политика пассивна) и до 999. После блокировки, если не активирована политика блокировки учётной записи, восстановить экаунт может только администратор. Неудачные попытки ввода паролей на рабочих станциях или рядовых серверах, заблокированных с помощью сочетания клавиш Ctrl+Alt+Del или с помощью защищённых паролем заставок, считаются неудачными попытками входа в систему.

"Сброс счётчика блокировки через" - параметр, который позволяет сбрасывать счётчик неудачных входов в систему через определённое время (от 1 до 99 999 минут), удобная вещь, чтобы не получилось, что за месяц вы наберёте-таки "чёрное" число, равное пороговому значению блокировки. Параметр напрямую зависит от политики "Блокировка учётной записи на".

На этом закончу. Как я уже говорил, имеется ещё много настроек, не вошедших в эту статью. Если вы заинтересовались, то без проблем сможете найти описание каждой политики в соседней с редактированием вкладке.

Напоследок позволю себе дать небольшой совет по поводу редактирования политик. Это является очень важным моментом в налаживании защиты локальной машины, но не стоит редактировать настройки, которые вам непонятны, т.к. результат после перезагрузки может вас шокировать. Удачи в нелёгком поддерживании безопасности вашего компьютера.

 

 

Групповые адреса IPv6

IPv6 (также называемый IPng "IP next generation" - следующее поколение IP) является новой версией широко известного протокола IP (называемого также IPv4). Как и другие современные системы *BSD, FreeBSD включает эталонную реализацию IPv6 от KAME. Так что система FreeBSD поставляется со всем, что вам нужно для экспериментирования с IPv6. Этот раздел посвящёен настройке и запуску в работу IPv6.

В начале 1990-х люди стали беспокоиться о быстро иссякающем адресном пространстве IPv4. Принимая во внимание темпы роста Интернет, имелись основные проблемы:

· Нехватка адресов. Сегодня это не такая большая проблема, так как стали применяться адресные пространства для частных сетей (10.0.0.0/8, 192.168.0.0/24 и так далее) и преобразование адресов natd.

· Таблицы маршрутов становятся всё больше. Это всё ещё является проблемой сегодня.

IPv6 решает эти и многие другие вопросы:

· 128-битное адресное пространство. Другими словами, теоретически доступны 340,282,366,920,938,463,463,374,607,431,768,211,456 адреса. Это означает плотность примерно в 6.67 * 10^27 адресов IPv6 на квадратный метр нашей планеты.

· Маршрутизаторы будут хранить в своих талицах только агрегированные адреса сетей, что уменьшает средний размер таблицы маршрутизации до 8192 записей.

Имеется также множество других полезных особенностей IPv6, таких, как:

· Автоматическая настройка адреса (RFC2462)

· Групповые адреса ("один к нескольким из многих")

· Обязательные адреса множественной рассылки

· IPSec (IP Security - безопасный IP)

· Упрощённая структура заголовка

· Мобильный IP

· Механизмы преобразования IPv4-в-IPv6

Основы адресации IPv6

Существуют различные типы адресов IPv6: одноадресные (Unicast), групповые (Anycast) и многоадресные (Multicast).

Адреса типа Unicast хорошо всем известны. Пакет, посланный на такой адрес, достигает в точности интерфейса, который этому адресу соответствует.

Адреса типа Anycast синтаксически неотличимы от адресов Unicast, но они адресуют группу интерфейсов. Пакет, направленный такому адресу, попадёт в ближайший (согласно метрике маршрутизатора) интерфейс. Адреса Anycast могут использоваться только маршрутизаторами.

Адреса типа Multicast идентифицируют группу интерфейсов. Пакет, посланный на такой адрес, достигнет всех интерфейсов, привязанных к группе многоадресного вещания.

Note: Широковещательные адреса IPv4 (обычно xxx.xxx.xxx.255) выражаются адресами многоадресного вещания IPv6.