Главная » Linux

Оснастка шаблоны безопасности windows

Содержание
  1. Работа с оснасткой «Анализ и настройка безопасности»
  2. Введение
  3. Открытие оснастки «Анализ и настройка безопасности»
  4. Создание базы данных и импорт шаблонов безопасности
  5. Анализ и настройка компьютера
  6. Управление Windows 7 с помощью групповой политики » Работа с оснасткой «Шаблоны безопасности»
  7. Введение
  8. Использование оснастки «Шаблоны безопасности»
  9. Создание нового шаблона безопасности
  10. Изменение настроек шаблона безопасности
  11. Настройка системных служб
  12. Настройка системного реестра
  13. Настройка групп с ограниченным доступом
  14. Заключение
  15. Ссылки по теме

Работа с оснасткой «Анализ и настройка безопасности»

Посетителей: 9121 | Просмотров: 12452 (сегодня 0) Шрифт:

Введение

В статье «Работа с оснасткой «Шаблоны безопасности»» вы узнали об альтернативном способе развертывания групповых политик безопасности – создании текстовых файлов с расширением *.inf, предназначенных для развертывания политик в предприятиях SOHO (Малый офис домашний офис). Для использования шаблонов безопасности в операционных системах Windows доступны два средства – оснастка «Анализ и настройка безопасности», а также утилита командной строки Secedit.exe. Ввиду того, что в вышеперечисленных предприятиях используется сетевая инфраструктура без домена, для обеспечения безопасности, групповые политики разворачиваются при помощи данной оснастки. Для развертывания политик, сохраненных в inf файле в доменной сети, используется оснастка «Консоль управления групповыми политиками». Помимо интерактивного развертывания, оснастка «Анализ и настройка безопасности» также позволяет анализировать конфигурацию компьютера и сравнивать ее с теми настройками, которые указаны в конфигурационном файле шаблона безопасности. В данной статье речь пойдет именно об этой оснастке.

Открытие оснастки «Анализ и настройка безопасности»

Так же, как и оснастка «Шаблоны безопасности», оснастка «Анализ и настройка безопасности» по умолчанию скрыта, и вы ее не сможете найти в компоненте «Администрирование» ни на клиентской, ни на серверной операционной системе. Для использования этой оснастки, добавьте ее в консоль управления Microsoft. Вы можете это сделать следующим способом:

  1. Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter»;
  2. Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M;
  3. В диалоге «Добавление и удаление оснасток» выберите оснастку «Анализ и настройка безопасности» и нажмите на кнопку «Добавить»;
  4. В диалоге «Добавление или удаление оснасток» нажмите на кнопку «ОК».

Подобно оснастке «Шаблоны безопасности», после первого запуска оснастки вам нужно создать базу данных, которая будет использоваться для анализа и развертывания набора политики безопасности. Оснастка «Анализ и настройка безопасности» отображена на следующей иллюстрации:

Рис. 1. Оснастка «Анализ и настройка безопасности»

Создание базы данных и импорт шаблонов безопасности

Для начала работы с оснасткой «Анализ и настройка безопасности» вам нужно создать базу данных, содержащую набор параметров безопасности. Выполните следующие действия:

  1. Откройте оснастку «Анализ и настройка безопасности»;
  2. В дереве консоли щелкните правой кнопкой мыши на узле «Анализ и настройка безопасности» и в контекстном меню выберите команду «Открыть базу данных»;
  3. В диалоговом окне «Открыть базу данных» введите название новой базы данных и нажмите на кнопку «Открыть». По умолчанию вы можете создать базу данных в папке %USERPROFILE%\Documents\Security\Database;
  4. На следующем шаге вам нужно импортировать созданные ранее шаблоны безопасности. Автоматически открывается папка, которая установлена как путь для поиска шаблонов по умолчанию. Выберите нужный шаблон и нажмите на кнопку «Открыть».

Нужно обратить внимание на то, что при одновременном выборе нескольких шаблонов безопасности, дополнительные параметры нового шаблона дополняют и заменяют значения ранее импортированных. Если база данных очищена, то при импорте нового шаблона в ней будут располагаться только настройки параметров безопасности последнего импортированного шаблона. Для импорта нового шаблона нажмите правой кнопкой мыши на узле «Анализ и настройка безопасности» и из контекстного меню выберите команду «Импорт шаблона». А для очистки базы в диалоговом окне «Импорт шаблона» установите флажок на опции «Очистить эту базу данных перед импортом».

Анализ и настройка компьютера

Сразу после импорта необходимых шаблонов вам нужно проанализировать компьютер для последующего анализа и развертывания политик безопасности. Для настройки компьютера выполните следующие действия:

  1. В дереве консоли нажмите правой кнопкой мыши на узле «Анализ и настройка безопасности» и в контекстном меню выберите команду «Анализ компьютера»;
  2. В диалоговом окне «Анализ» укажите путь к журналу ошибок, которые будут генерироваться при применении параметров безопасности.

Рис. 2. Диалог настройки файла журнала ошибок

После выполнения анализа параметров безопасности в оснастке «Анализ и настройка безопасности» вы увидите сгенерированный отчет, в котором будет отображен каждый параметр политики, определяемый в базе данных. Во время анализа сравнивается ваша текущая конфигурация компьютера с настройками, указанными в шаблоне безопасности. Так как данная статья является логическим продолжением статьи, посвященной работе шаблонов безопасности, предусматривается то, что вы отконфигурировали службы планшетного ПК, BlueTooth, службу планировщика Windows Media Center и прочее. На следующей иллюстрации вы можете увидеть подобный отчет:

Рис. 3. Сгенерированный отчет оснастки «Анализ и настройка безопасности»

Проанализированные параметры отображаются с определенными пометками на значке каждой политики. Существуют следующие категории пометок:

  • Нет пометки. Данная пометка указывает, что политика безопасности не была определена в файле шаблона безопасности и данный параметр не подлежит анализу и последующей настройке;
  • Белая галочка в зеленом кружке. Эта пометка означает полное совпадение параметра политики на компьютере и в базе данных;
  • Белый крестик в красном кружке. Эта пометка предупреждает, что значение указанной политики компьютера не совпадает со значением, которое определено в базе данных;
  • Белый восклицательный знак в красном кружке. Текущая пометка указывает, что определена политика в базе данных, но на целевом компьютере параметр не существует;
  • Знак вопроса в кружке. Данная пометка может отображаться в том случае, если у вас нет прав доступа к политике на данном компьютере или если политика не определена в базе данных и не проанализирована.
Читайте также:  Прогноз погоды you windows

Как видно на предыдущей иллюстрации, один из параметров имеет пометку, указывающую на то, что параметры не совпадают. В этом случае вы можете внести изменения в конфигурацию компьютера и базы данных. Для этого щелкните дважды данный параметр для открытия диалога свойств параметра:

Рис. 4. Диалоговое окно свойств параметра, значение которого не соответствует базе данных

В нашем примере значение параметра не соответствующего базе данных – это тип запуска службы планировщика Windows Media Center. В текстовом поле «Режим запуска службы» вы видите установленный на вашем компьютере тип запуска службы, а немного ниже отображается режим запуска службы, указанный шаблоном безопасности.

Также из оснастки вы можете просмотреть файл журнала базы данных. Для этого в дереве консоли выберите узел «Анализ и настройка безопасности», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Показать файл журнала». В этом журнале отображен полный анализ политик безопасности в текстовом формате. Эту же информацию вы можете обнаружить в созданном ранее файле журнала ошибок. Для возврата в предыдущий режим отображения параметров безопасности, повторно вызовите контекстное меню узла «Анализ и настройка безопасности» и снимите флажок с команды «Показать файл журнала». Во время анализа изменяются только значения параметров безопасности в базе данных. Для того чтобы изменения, указанные в шаблоне безопасности вступили в силу, необходимо их применить.

Рис. 5. Режим отображения файла журнала.

По окончанию анализа параметров безопасности вам нужно настроить компьютер для соответствия параметров с настройками шаблона безопасности. Для того чтобы применить проанализированные настройки к вашему компьютеру, в контекстном меню узла «Анализ и настройка безопасности» выберите команду «Настроить компьютер» и в диалоговом окне «Настройка системы» укажите путь к журналу ошибок. По нажатию на кнопку «ОК» оснастка «Анализ и настройка безопасности» применит все настройки, указанные в шаблоне безопасности.

Рис. 6. Процесс настройки безопасности компьютера

По окончании настройки компьютера желательно повторно проанализировать параметры безопасности. На следующей иллюстрации видно, что после повторного анализа тип запуска службы планировщика Windows Media Center изменился.

Рис. 7. Результат повторного анализа параметров безопасности

При помощи оснастки «Анализ и настройка безопасности» вы также можете вносить изменения в файл шаблона безопасности. Выберите любой параметр безопасности, значения которого не определены в базе данных. Например, откройте диалоговое окно свойств политики «Аудит событий входа в систему». В данном диалоговом окне установите флажок на опции «Определить следующую политику в базе данных» и выберите значение параметра для политики, например, «Отказ».

После внесения изменений вы можете экспортировать все внесенные изменения в файл шаблонов безопасности. Экспортированный файл будет содержать параметры базы данных, импортированные из одного или нескольких шаблонов безопасности и модифицируемые параметры безопасности анализируемого компьютера. Для этого выполните следующее действия:

  1. Нажмите правой кнопкой мыши на узле «Анализ и настройка безопасности» и в контекстном меню выберите команду «Экспорт шаблона»;
  2. В диалоговом окне «Экспорт шаблона в» выберите папку, в которую будет экспортирован ваш шаблон, введите имя файла и нажмите на кнопку «Сохранить»;

Управление Windows 7 с помощью групповой политики » Работа с оснасткой «Шаблоны безопасности»

Введение

Из предыдущих статей по групповым политикам вы узнали о назначении и использовании оснастки «Редактор объектов групповой политики» , об административных шаблонах, ознакомились с некоторыми локальными политиками безопасности. В этой статье вы узнаете еще об одном механизме управления конфигурацией безопасности — о шаблонах безопасности и их применении в производственной среде. Разумеется, при помощи локальных политик безопасности вы можете централизовано разворачивать практически все возможные настройки для пользователей и компьютеров, но иметь представление о настройке шаблонов безопасности просто необходимо, так как не во всех случаях у вас получится развернуть на предприятии нужные для вас настройки групповых политик.

Сам по себе шаблон безопасности — это заранее сохраненный текстовый файл с расширением inf, который содержит набор параметров конфигурации безопасности. Одним из основных преимуществ шаблонов безопасности является гибкость развертывания. Вы можете развернуть шаблоны безопасности как в домене при помощи объектов групповой политики Active Directory, так и в небольших офисах или домашнем окружении (Small Office Home Office — SOHO) при помощи оснастки «Анализ и настройка безопасности» или средствами утилиты командной строки Secedit.exe, о которых будет рассказано в последующих статьях. Еще одной из достопримечательностей данных шаблонов является то, что шаблоны безопасности — это обычные текстовые файлы, редактировать которые вы можете даже при помощи стандартной программы «Блокнот» . Также нельзя не отметить тот факт, что именно при помощи шаблонов безопасности вы можете провести анализ соответствия текущей конфигурации компьютера и настроек, содержащихся в созданных шаблонах безопасности.

Читайте также:  Альтернатива autocad для linux

При помощи шаблонов безопасности вы можете настраивать параметры политики, которые отвечают за следующие компоненты безопасности:

  • Политики учетных записей . Вы можете настраивать уже известные вам по статье «Локальная политика безопасности. Часть 2: Политики учетных записей» политики паролей, политики блокировки учетной записи, а также политики Kerberos;
  • Локальные политики . Доступны настройке политики аудита, назначения прав пользователей, а также параметры безопасности, аналогичные параметрам политики оснастки «Редактор объектов групповых политик» ;
  • Журналы событий . Вы можете изменять настройки журналов «Приложения» , «Система» и «Безопасность» , такие как политики создания файлов журналов, максимальный размер и прочее;
  • Группы с ограниченным доступом . Настройки ограничений доступа пользователей, которые являются членами различных групп;
  • Настройки системных служб> . Вы можете управлять типом запуска и разрешением доступа всех системных служб, которые можно найти в оснастке «Службы» ;
  • Настройки системного реестра . Можно добавлять разрешения на доступ к разделам реестра;
  • Настройки безопасности файловой системы . У вас есть возможность задавать разрешения доступа на файлы и папки.

Рекомендуется не вносить изменения в предустановленный шаблон Setup security.inf, так как при помощи этого шаблона у вас есть возможность восстановления параметров безопасности, используемых по умолчанию. Также, чтобы избежать многих проблем, желательно перед внедрением созданного шаблона в эксплуатацию, протестировать его на отдельном компьютере.

Использование оснастки «Шаблоны безопасности»

Откройте оснастку «Шаблоны безопасности» . Для этого выполните следующие действия:

  1. Откройте «Консоль управления MMC» . Для этого нажмите на кнопку «Пуск» , в поле поиска введите mmc , а затем нажмите на кнопку «Enter» ;
  2. Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M ;
  3. В диалоге «Добавление и удаление оснасток» выберите оснастку «Шаблоны безопасности» и нажмите на кнопку «Добавить» ;
  4. В диалоге «Добавление или удаление оснасток» нажмите на кнопку «ОК» .

При первом открытии данной оснастки, в папке Documents вашей учетной записи создается папка Security с вложенной папкой Templates. Именно в папке Templates и хранятся созданные вами шаблоны безопасности. На следующей иллюстрации отображена оснастка «Шаблоны безопасности», открытая впервые:

Рис. 1. Первое открытие оснастки «Шаблоны безопасности»

Создание нового шаблона безопасности

Для последующей работы с шаблонами безопасности создайте новый шаблон. Для этого вам предстоит выполнить действия, описанные в следующей процедуре:

  1. В дереве консоли щелкните правой кнопкой мыши на узле, предоставляющем путь поиска шаблона. По умолчанию путь %Userprofile%\Documents\Security\Templates;
  2. В появившемся контекстном меню выберите команду «Создать шаблон» ;
  3. Введите название нового шаблона в текстовое поле «Имя шаблона» появившегося диалогового окна. В том случае, если вы создаете несколько различных шаблонов безопасности, я вам рекомендую добавлять подробное описание назначения шаблона в поле «Описание» . Например, на следующей иллюстрации вы можете увидеть диалог создания шаблона с названием «Конфигурация системных служб» . В связи с тем, что на пользовательских компьютерах могут быть установлены разные ОС, в описании указана версия операционной системы, для которой создается текущий шаблон.

Рис. 2. Диалог создания нового шаблона безопасности

При желании вы можете изменить путь для поиска шаблонов, созданный по умолчанию. Для этого, в дереве консоли, нажмите правой кнопкой мыши на узле «Шаблоны безопасности» и выберите команду «Найти путь для поиска шаблонов…» . В диалоговом окне «Обзор папок» выберите папку, в которой будут сохраняться новые шаблоны безопасности и нажмите на кнопку «ОК» .

Рис. 3. Изменение пути для поиска шаблонов

Изменение настроек шаблона безопасности

После создания нового шаблона, в оснастке вы увидите набор групповых политик, подобный тем, которые отображаются в оснастке «Редактор объектов групповых политик» . Не стоит также забывать, что оснастка шаблонов безопасности представляет собой только редактор набора групповых политик и не влияет на изменение текущей конфигурации. То есть, после полного изменения политик, предоставленных в данной оснастке, вам не стоит волноваться о том, что настройки на вашем рабочем месте будут изменены. Далее мы рассмотрим набор политик системных служб, добавление параметров реестра, а также редактирование групп с ограниченным доступом.

На следующей иллюстрации отображен новый шаблон безопасности:

Рис. 4. Новый шаблон безопасности

Настройка системных служб

Узел «Системные службы» предназначен для последующего изменения конфигурации системных служб средствами групповых политик при развертывании. Содержимое этого узла сильно напоминает оснастку «Службы» , однако между ними есть одна существенная разница. При помощи оснастки «Службы» вы настраиваете тип запуска служб на локальном компьютере, а используя шаблоны безопасности, вы можете распространить указанные настройки системных служб одновременно на несколько компьютеров. Рассмотрим подробно применение содержимого данного узла на простом примере:

На компьютерах вашего малого офиса, в котором нет домена, никогда не будут использоваться планшетные ПК, устройства BlueTooth и смарт-карты. Допустим, вы опасаетесь вторжения на компьютеры недоброжелателей, поэтому хотите отключить возможность удаленного управления системного реестра, службы удаленных рабочих столов, а также вашим пользователям нельзя на рабочих местах использовать Windows Media Center. По этой же причине необходимо полностью отключить на компьютерах вашей сети все эти службы. Чтобы развернуть эти настройки служб на всех компьютерах, выполните следующие действия:

  1. В оснастке «Шаблоны безопасности» перейдите на узел «Системные службы» ;
  2. Выберите службу, тип запуска которой вы планируете настроить, например, «Служба ввода планшетного ПК» и откройте свойства этой службы;
  3. В диалоговом окне «Свойства: Служба ввода планшетного ПК» установить флажок на опции «Определить следующий параметр службы в шаблоне» и установите переключатель на опции «запретить» ;

Рис. 5. Диалог свойств системной службы

  • Нажмите на кнопку «ОК» . Настройте остальные службы.

    • Настройка системного реестра

    После подробного изучения параметров групповых политик, вы можете обнаружить, что, несмотря на использование групповых политик и шаблонов безопасности, пользователи умудряются изменять некоторые системные параметры при помощи реестра. Вы знаете раздел системного реестра, отвечающий за определенную настройку, но хотите дать возможность вносить изменения в этот раздел только указанной группе пользователей. Допустим, вам нужно дать полный доступ на изменение параметров раздела реестра, отвечающего за компонент «Дата и время» только для групп «Система» и «Администраторы» , причем пользователям, которые являются членами группы «Пользователи» нужно запретить даже просмотр данного раздела. Для этого выполните следующие действия:

    1. В оснастке «Шаблоны безопасности» перейдите на узел «Реестр» ;
    2. Вызовите контекстное меню для узла «Реестр» и выберите команду «Добавить раздел» ;
    3. В диалоговом окне «Выбор раздела реестра» разверните раздел [MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation] или введите путь к разделу в поле «Выбранный раздел» и нажмите на кнопку «ОК» ;

    Рис. 6. Диалоговое окно «Выбор раздела реестра»

    В появившемся диалоговом окне «Безопасность данных для » установите разрешения для всех групп и нажмите на кнопку «ОК» ;

    Рис. 7. Диалог «Безопасность» раздела системного реестра

    В диалоге «Добавление объекта» вы можете распространить указанные настройки безопасности на все дочерние подразделы, запретить замену разрешений в указанном разделе, или изменить параметры вручную.

    Рис. 8. Диалог «Добавление объекта»

    По нажатию на кнопку «ОК» , данные изменения будут отображены в оснастке «Шаблоны безопасности» , как показано на следующей иллюстрации:

    Рис. 9. Узел «Реестр»

    Настройка групп с ограниченным доступом

    При помощи групп с ограниченным доступом вы можете указывать пользователей, которые будут принадлежать к определенной группе. Политики, применяемые с шаблонами безопасности, будут распространяться на всех пользователей, которые входят в группы с ограниченным доступом. Для того чтобы указать членов группы с ограниченным доступом, выполните следующие действия:

    1. В оснастке «Шаблоны безопасности» перейдите на узел «Группы с ограниченным доступом» ;
    2. Нажмите правой кнопкой мыши на узле и из контекстного меню выберите команду «Добавить группу» ;
    3. В диалоговом окне «Добавление группы» введите название новой группы или выберите существующую, используя кнопку «Обзор» ;

    Рис. 10. Диалог добавления группы

    В диалоговом окне свойств новой группы вы можете добавить пользователей, которые будут входить в состав этой группы, а также выбрать родительскую группу. Причем, политики не применяются на те группы, к которым принадлежит созданная вами группа;

    Рис. 11. Диалог свойств новой группы

  • По нажатию на кнопку «ОК» новая группа будет создана и добавлена в узел групп с ограниченным доступом.

    • По окончании изменения шаблона безопасности, вам нужно его сохранить для дальнейшего использования. Для сохранения шаблона безопасности нажмите правой кнопкой мыши на наименовании узла шаблона безопасности и выберите команду «Сохранить» или «Сохранить как» из контекстного меню. Шаблон будет сохранен с расширением *.inf .

    Заключение

    В этой статье был рассмотрен очередной механизме управления конфигурацией безопасности — шаблоны безопасности и их применении в производственной среде. Зачастую данный механизм применяют на небольших предприятиях без доменной сети. Вы узнали о том, как можно открыть данную оснастку, а также настроить новый шаблон безопасности, который является текстовым файлом, с расширением *.inf .

    Ссылки по теме

    Помощь
    Задать вопрос
    программы
    обучение
    экзамены
    компьютеры
    ICQ-консультанты
    Skype-консультанты
    Общая справка
    Как оформить заказ
    Тарифы доставки
    Способы оплаты
    Прайс-лист
    Карта сайта

    О нас
    Интернет-магазин ITShop.ru предлагает широкий спектр услуг информационных технологий и ПО.

    На протяжении многих лет интернет-магазин предлагает товары и услуги, ориентированные на бизнес-пользователей и специалистов по информационным технологиям.

    Хорошие отзывы постоянных клиентов и высокий уровень специалистов позволяет получить наивысший результат при совместной работе.

    Читайте также:  Настройка прокси сервера linux mint
    Оцените статью
    © 2024 Советы по настройке компьютера