Главная » Linux

Диспетчер сети для windows

Содержание
  1. Локальная политика безопасности. Часть 8: политики диспетчера списка сетей
  2. Введение
  3. Настройка политики диспетчера списка сетей
  4. Принудительное изменение названия сетей для пользователей, находящихся в домене
  5. Принудительное изменение значка сети для пользователей, находящихся в домене
  6. Принудительное изменение профиля брандмауэра Windows в неопознанных сетях
  7. Заключение
  8. Политики диспетчера списка сетей Network List Manager policies
  9. Параметры политики для политик диспетчера списков сетей Policy settings for Network List Manager Policies
  10. Неопознанных сетей Unidentified Networks
  11. Определение сетей Identifying Networks
  12. Все сети All Networks

Локальная политика безопасности. Часть 8: политики диспетчера списка сетей

Посетителей: 13830 | Просмотров: 18871 (сегодня 0) Шрифт:

Введение

Из предыдущих семи статей данного цикла вы узнали о том, как можно рационально использовать такие локальные политики безопасности, как:

Политики учетных записей, которые имеют отношение к паролям ваших учетных записей, блокировке учетной записи при попытке подбора пароля, а также политикам Kerberos – протокола, используемого для проверки подлинности учетных записей пользователей и компьютеров домена;

Политики аудита, при помощи которых вы можете исследовать попытки вторжения и неудачную аутентификацию ваших пользователей;

Назначение прав пользователей, предназначенные для определения пользователей или групп пользователей, для которых будут предоставлены различные права и привилегии;

Журнал событий, предназначен для указания максимального размера, выбора метода сохранения событий, а также определения периода времени, на протяжении которого события будут сохраняться в трех основных журналах;

Группы с ограниченным доступом, при помощи которых вы можете определить членов данной группы, а также членства в группах для конкретной группы безопасности;

Системные службы, которые отвечают за централизованное управление службами ваших клиентских машин;

Реестр, предназначен для определения права доступа и аудита для различных разделов системного реестра компьютеров, которые указаны в области действия групповой политики;

Файловая система, позволяющая назначить права аудита и доступа к файлу или папке;

Политики проводной сети (IEEE 802.3), обеспечивающие автоматическую конфигурацию для развертывания услуг проводного доступа с проверкой подлинности IEEE 802.1X для сетевых клиентов Ethernet 802.3.

Используя все вышеперечисленные локальные политики безопасности в комплексе, вы тем самым поднимите уровень защищенности своей интрасети на новый уровень, прикрыв множество лазеек, которые могли бы использовать злоумышленники. В этой статье я расскажу о том, как можно указать расположение по умолчанию и разрешения доступа пользователей к сетям в различном состоянии, таком как сети в процессе идентификации, опознанные сети, неопознанные сети, а также все сети.

Настройка политики диспетчера списка сетей

Для того чтобы воспользоваться функционалом локальных политик безопасности, предназначенным для изменения политик списка сетей, откройте «Редактор управления групповыми политиками», в дереве консоли разверните узел «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики диспетчера списка сетей», как показано на следующей иллюстрации:

Рис. 1. Политики диспетчера списка сетей

Как вы уже заметили на предыдущей иллюстрации, в области сведений политик диспетчера списка сетей можно настраивать:

  • Сети, которые не удается идентифицировать из-за ошибок сети или отсутствия идентифицируемых признаков, называемых «Неопознанные сети»;
  • Временное состояние сетей, находящихся в процессе идентификации, которые называются «Идентификация сетей»;
  • Все сети, к которым подключен пользователь, называемое «Все сети»;
  • А также текущее сетевое подключение (рабочая группа или домен).

В следующих подразделах рассмотрены различные сценарии, для которых можно применить политики диспетчера списка сетей.

Принудительное изменение названия сетей для пользователей, находящихся в домене

Как в рабочих группах, так и в доменах пользователи могут самостоятельно изменять имя сети. Для этого нужно выполнить следующие действия:

  1. Открыть окно «Центр управления сетями и общим доступом»;
  2. В группе «Просмотр активных сетей» щелкните на значке сети, имя которой вы хотите изменить;
  3. В диалоговом окне «Настройка свойств сети», в текстовом поле «Сетевое имя» измените имя сети на то, которое вас устраивает.

Рис. 2. Изменение сетевого имени

Вам нужно сделать так, чтобы пользователи вашего домена не могли изменить название сети в «Центре управления сетями и общим доступом». Для этого выполните следующие действия:

  1. Так как действие этой групповой политики должно распространяться на все компьютеры этого домена, в оснастке «Управление групповой политикой», в дереве консоли, разверните узел «Лес: имя домена\Домены\имя домена» и выберите объект групповой политики «Default Domain Policy»;
  2. Нажмите правой кнопкой мыши на этом объекте групповой политики и из контекстного меню выберите команду «Изменить»;

Рис. 3. Изменение предустановленного объекта групповой политики «Default Domain Policy»

В открывшейся оснастке «Редактор управления групповыми политиками» в дереве консоли разверните узел «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики диспетчера списка сетей» и откройте политику «Все сети», как показано ниже:

Рис. 4. Запрещение изменения имени сети пользователем

В открывшемся окне политики безопасности, в группе «Имя сети» установите переключатель на опцию «Пользователь не может изменить имя» и нажмите на «ОК»;

Откройте политику, именем которой назначено имя вашего домена (в этом случае – testdomain.com). На вкладке «Имя сети», в группе «Имя» установите переключатель на опцию «Имя» и укажите название сети (в этом примере — Доменная сеть организации). В группе «Разрешения пользователя» можете установить переключатель на опцию «Пользователь не может изменить имя», но в этом нет крайней необходимости, так как подобная операция была выполнена на предыдущем шаге для всех сетей компьютеров вашей организации;

Рис. 5. Изменение имени сети

  • Закройте «Редактор управления групповыми политиками» и, при необходимости, обновите политики конфигурации компьютера, используя команду GPUpdate /Target:Computer /force /boot в командной строке

    • Результат применения групповой политики отображен на следующей иллюстрации:

    Рис. 6. Окно «Центр управления сетями и общим доступ» и диалоговое окно «Настройка свойств сети» после применения групповой политики

    Принудительное изменение значка сети для пользователей, находящихся в домене

    Пользователи могут изменять значки сетей так же просто, как и их имена. Для этого нужно лишь перейти в диалоговое окно «Настройка свойств сети», нажать на кнопку «Изменить», которая расположена возле значка сети, затем в диалоговом окне «Изменение значка сети» выбрать нужный значок из доступных или нажать на кнопку «Обзор» и указать расположение и имя своего значка для сети.

    Рис. 7. Изменение значка сети

    Также как и в случае с именем сети, вы можете запретить пользователям вашего домена (или локальным пользователям) изменять значки для сетей. Для этого выполните следующие действия:

    1. В оснастке «Управление групповой политикой» выберите объект групповой политики «Default Domain Policy», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
    2. В открывшейся оснастке «Редактор управления групповыми политиками» в дереве консоли разверните узел «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики диспетчера списка сетей», откройте политику «Все сети» и в группе «Значок сети» установите переключатель на опцию «Пользователь не может изменить значок»;
    3. Откройте политику, именем которой назначено имя вашего домена и перейдите на вкладку «Значок сети». В группе «Значок» установите переключатель на опцию «Значок» и нажмите на кнопку «Сменить значок». В диалоговом окне «Изменение значка профиля сети» укажите значок, который будет отображаться у всех пользователей в домене и нажмите на кнопку «ОК». В группе «Разрешения пользователя» можете установить переключатель на опцию «Пользователь не может изменить значок», но в этом нет крайней необходимости, так как подобная операция была выполнена на предыдущем шаге для всех сетей компьютеров вашей организации;

    Рис. 8. Изменение значка сети

  • Закройте «Редактор управления групповыми политиками» и, при необходимости, обновите политики конфигурации компьютера, используя команду GPUpdate /Target:Computer /force /boot в командной строке

    • Результат применения групповой политики отображен на следующей иллюстрации:

    Рис. 9. Результат применения политики диспетчера списка сетей

    Принудительное изменение профиля брандмауэра Windows в неопознанных сетях

    В последние годы все больше пользователь используют мобильные компьютеры. Используя свои мобильные компьютеры, пользователи могут подключаться к сети Интернет даже находясь в кафе, аэропортах или просто сидя на скамейке в парке. Именно в таких случаях их компьютеры находятся под более существенным риском нападения злоумышленниками, нежели в корпоративной среде или у себя дома. Когда пользователь подключается к беспроводной сети, операционная система Windows автоматически определяет такую сеть как общедоступную. Для того чтобы настройки безопасности брандмауэра Windows применялись к компьютеру в зависимости от пользовательского места нахождения были разработаны профили брандмауэра. В том случае, если соединение проходит проверку подлинности на контроллере домена, то сеть классифицируется как тип доменного размещения сети. Если компьютер используется дома или в офисе – обычно применяется домашняя сеть с частным профилем брандмауэра. В местах общего пользования принято использовать общий профиль брандмауэра. Часто случается, что пользователи, находясь в общедоступных местах, пренебрегают этим средствам безопасности и для общедоступного профиля устанавливают частные профили брандмауэра.

    Используя политики диспетчера списка сетей вы можете навсегда указать пользователю, какой профиль нужно использовать в случае неопознанных сетей, которые идентифицируются как «Общественная сеть». Для этого выполните следующие действия:

    1. Откройте оснастку «Редактор локальной групповой политикой»;
    2. В открывшемся окне, в дереве оснастки, перейдите в узел «Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики диспетчера списка сетей» и откройте политику «Неопознанные сети»;
    3. В диалоговом окне «Свойства: Неопознанные сети», в группе «Тип расположения», установив переключатель на нужную вам опцию, выберите профиль брандмауэра, который будет сопоставлен с неопознанными сетями. В данном случае, устанавливается профиль «Общий». В группе «Разрешения пользователя» можете установить переключатель на опцию «Пользователь не может изменить расположение» для того чтобы пользователь вручную не мог изменить сетевое расположение.

    Рис. 10. Принудительная настройка профиля брандмауэра для неопознанных сетей

  • Закройте «Редактор локальной групповой политикой» и, при необходимости, обновите политики конфигурации компьютера, используя команду GPUpdate /Target:Computer /force /boot в командной строке.

    • Заключение

    В этой статье вы узнали об очередных локальных политиках безопасности операционных систем Windows 7 и Windows Server 2008 R2, а именно о политиках диспетчера списка сетей. Эти политики позволяют вам указать расположение по умолчанию и разрешения доступа пользователей к сетям в различном состоянии, таком как сети в процессе идентификации, опознанные сети, неопознанные сети, а также все сети. В статье были рассмотрены сценарии, где указывались принудительные имя и значок сети в домене, а также принудительное изменение профиля брандмауэра Windows в неопознанных сетях. В следующей статье данного цикла вы узнаете о политиках беспроводной сети IEEE 802.11

    Политики диспетчера списка сетей Network List Manager policies

    Область применения Applies to

    Политики диспетчера списков сетей — это параметры безопасности, которые можно использовать для настройки различных аспектов отображения сетей на одном или многих устройствах. Network List Manager policies are security settings that you can use to configure different aspects of how networks are listed and displayed on one device or on many devices.

    Чтобы настроить политики диспетчера сетевых списков для одного устройства, можно использовать консоль управления (MMC) с оснасткой редактора объектов групповой политики и изменить политику локального компьютера. To configure Network List Manager Policies for one device, you can use the Microsoft Management Console (MMC) with the Group Policy Object Editor snap-in, and edit the local computer policy. Политики диспетчера сетевых списков расположены по следующему пути в редакторе объектов групповой политики: конфигурация компьютера | Параметры Windows | Параметры безопасности | Политики диспетчера списков сетей The Network List Manager Policies are located at the following path in Group Policy Object Editor: Computer Configuration | Windows Settings | Security Settings | Network List Manager Policies

    Чтобы настроить политики диспетчера сетевых списков для многих компьютеров, например для всех доменных компьютеров в домене Active Directory, следуйте документации по групповой политике, чтобы узнать, как изменить политики для требуемого объекта. To configure Network List Manager Policies for many computers, such as for all of the Domain Computers in an Active Directory domain, follow Group Policy documentation to learn how to edit the policies for the object that you require. Путь к политикам диспетчера списков сетей такой же, как и в списке выше. The path to the Network List Manager Policies is the same as the path listed above.

    Параметры политики для политик диспетчера списков сетей Policy settings for Network List Manager Policies

    Для политик диспетчера сетевых списков предоставляются следующие параметры политики. The following policy settings are provided for Network List Manager Policies. Эти параметры политики находятся в области сведений редактора объектов групповой политики в сетевом имени. These policy settings are located in the details pane of the Group Policy Object Editor, in Network Name.

    Неопознанных сетей Unidentified Networks

    Этот параметр политики позволяет настроить сетевое расположение, включая тип расположения и разрешения пользователей, для сетей, которые Windows не может определить из-за проблемы с сетью или отсутствия идентифицируемых символов в данных сети, полученных операционной системой из сети. This policy setting allows you to configure the Network Location, including the location type and the user permissions, for networks that Windows cannot identify due to a network issue or a lack of identifiable characters in the network information received by the operating system from the network. Сетевое расположение определяет тип сети, к которую подключен компьютер, и автоматически задает соответствующие параметры брандмауэра для этого расположения. A network location identifies the type of network that a computer is connected to and automatically sets the appropriate firewall settings for that location. Для этого параметра политики можно настроить следующие элементы: You can configure the following items for this policy setting:

    Тип расположения. Location type. Для этого элемента доступны следующие параметры: For this item, the following options are available:

    Не настроено. Not configured. При выборе этого параметра этот параметр политики не применяет тип расположения к неопознанным сетевым подключениям. If you select this option, this policy setting does not apply a location type to unidentified network connections.

    Частный. Private. При выборе этого параметра этот параметр политики применяет тип расположения Private к неопознанным сетевым подключениям. If you select this option, this policy setting applies a location type of Private to unidentified network connections. Частная сеть, например домашняя или работа, это тип расположения, который предполагает, что вы доверяете другим компьютерам в сети. A private network, such as a home or work network, is a location type that assumes that you trust the other computers on the network. Не выбирайте этот элемент, если существует вероятность того, что активная, неопознанный сеть находится в публичном месте. Do not select this item if there is a possibility that an active, unidentified network is in a public place.

    Public. Public. При выборе этого параметра этот параметр политики применяет тип расположения Public к неопознанным сетевым подключениям. If you select this option, this policy setting applies a location type of Public to unidentified network connections. Общедоступные сети, такие как беспроводная сеть в аэропорту или кафе, — это тип расположения, который предполагает, что вы не доверяете другим компьютерам в сети. A public network, such as a wireless network at an airport or coffee shop, is a location type that assumes that you do not trust the other computers on the network.

    Разрешения пользователей. User permissions. Для этого элемента доступны следующие параметры: For this item, the following options are available:

    • Не настроено.Not configured. При выборе этого параметра этот параметр политики не указывает, могут ли пользователи изменять расположение для неидентифицированных сетевых подключений. If you select this option, this policy setting does not specify whether users can change the location for unidentified network connections.
    • Пользователь может изменить расположение.User can change location. При выборе этого параметра политики пользователи могут изменить расположение сетевого подключения с «Частное» на «Открытое» или с «Открытое» на «Частное». If you select this option, this policy setting allows users to change an unidentified network connection location from Private to Public or from Public to Private.
    • Пользователь не может изменить расположение.User cannot change location. При выборе этого параметра этот параметр политики не позволяет пользователям изменять расположение неопознанных сетевых подключений. If you select this option, this policy setting does not allow users to change the location of an unidentified network connection.

    Определение сетей Identifying Networks

    Этот параметр политики позволяет настроить **** сетевое расположение для сетей, которые находятся во временном состоянии, пока Windows работает для определения сети и типа расположения. This policy setting allows you to configure the Network Location for networks that are in a temporary state while Windows works to identify the network and location type. Сетевое расположение определяет тип сети, к которую подключен компьютер, и автоматически задает соответствующие параметры брандмауэра для этого расположения. A network location identifies the type of network that a computer is connected to and automatically sets the appropriate firewall settings for that location. Для этого параметра политики можно настроить следующие элементы: You can configure the following items for this policy setting:

    Тип расположения. Location type. Для этого элемента доступны следующие параметры: For this item, the following options are available:

    • Не настроено.Not configured. При выборе этого параметра этот параметр политики не применяет тип расположения к сетевым подключениям, которые находятся в процессе определения Windows. If you select this option, this policy setting does not apply a location type to network connections that are in the process of being identified by Windows.
    • Частный. Private. При выборе этого параметра этот параметр политики применяет тип расположения Private к сетевым подключениям, которые находятся в процессе определения. If you select this option, this policy setting applies a location type of Private to network connections that are in the process of being identified. Частная сеть, например домашняя или работа, — это тип расположения, который предполагает, что вы доверяете другим устройствам в сети. A private network, such as a home or work network, is a location type that assumes that you trust the other devices on the network. Не выбирайте этот элемент, если существует вероятность того, что активная, неопознанный сеть находится в публичном месте. Do not select this item if there is a possibility that an active, unidentified network is in a public place.
    • Public. Public. Если выбран этот параметр политики, этот параметр политики применяет тип расположения Public к сетевым подключениям, которые находятся в процессе определения Windows. If you select this option, this policy setting applies a location type of Public to network connections that are in the process of being identified by Windows. Общедоступные сети, например беспроводная сеть в аэропорту или кафе, — это тип расположения, который предполагает, что вы не доверяете другим устройствам в сети. A public network, such as a wireless network at an airport or coffee shop, is a location type that assumes that you do not trust the other devices on the network.

    Все сети All Networks

    Этот параметр политики позволяет указать разрешения пользователя, которые определяют, могут ли пользователи изменять имя, расположение или значок сети для всех сетей, к которым пользователь подключается. **** This policy setting allows you to specify the User Permissions that control whether users can change the network name, location, or icon, for all networks to which the user connects. Для этого параметра политики можно настроить следующие элементы: You can configure the following items for this policy setting:

    Имя сети. Network name. Для этого элемента доступны следующие параметры: For this item, the following options are available:

    • Не настроено.Not configured. При выборе этого параметра этот параметр политики не указывает, могут ли пользователи изменять имя сети для всех сетевых подключений. If you select this option, this policy setting does not specify whether users can change the network name for all network connections.
    • Пользователь может изменить имя.User can change name. При выборе этого параметра пользователи могут изменить имя сети для всех сетей, к которым они подключаются. If you select this option, users can change the network name for all networks to which they connect.
    • Пользователь не может изменить имя.User cannot change name. При выборе этого параметра пользователи не смогут изменить имя сети для сетей, к которым они подключаются. If you select this option, users cannot change the network name for any networks to which they connect.

    Сетевое расположение. Network location. Для этого элемента доступны следующие параметры: For this item, the following options are available:

    • Не настроено.Not configured. При выборе этого параметра этот параметр политики не указывает, могут ли пользователи изменять расположение для всех сетевых подключений. If you select this option, this policy setting does not specify whether users can change the location for all network connections.
    • Пользователь может изменить расположение.User can change location. Если выбран этот параметр, этот параметр политики позволяет пользователям изменять все сетевые расположения с «Частное» на «Открытое» или «Открытое» на «Частное». If you select this option, this policy setting allows users to change all network locations from Private to Public or from Public to Private.
    • Пользователь не может изменить расположение.User cannot change location. При выборе этого параметра этот параметр политики не позволяет пользователям изменять расположение для сетей, к которым они подключаются. If you select this option, this policy setting does not allow users to change the location for any networks to which they connect.

    Значок сети. Network icon. Для этого элемента доступны следующие параметры: For this item, the following options are available:

    • Не настроено.Not configured. При выборе этого параметра этот параметр политики не указывает, могут ли пользователи изменять значок сети для всех сетевых подключений. If you select this option, this policy setting does not specify whether users can change the network icon for all network connections.
    • Пользователь может изменить значок. User can change icon. Если выбран этот параметр, этот параметр политики позволяет пользователям изменять значок сети для всех сетей, к которым пользователь подключается. If you select this option, this policy setting allows users to change the network icon for all networks to which the user connects.
    • Пользователь не может изменить значок. User cannot change icon. Если выбран этот параметр, этот параметр политики не позволяет пользователям изменять значок сети для сетей, к которым пользователь подключается. If you select this option, this policy setting does not allow users to change the network icon for any networks to which the user connects.

    —>

    Читайте также:  Установка сервера лицензий для windows
    Оцените статью
    © 2024 Советы по настройке компьютера