Главная » Linux

Шаблоны безопасности windows это

Содержание
  1. Определение шаблонов безопасности с помощью шаблонов безопасности Snap-In
  2. Аннотация
  3. Добавление шаблонов безопасности Snap-In консоли управления (MMC)
  4. Создание и определение нового шаблона безопасности
  5. Копирование параметров безопасности из предопределяемого шаблона в другой шаблон
  6. Создание нового шаблона безопасности на основе предопределеного шаблона
  7. Ссылки
  8. Работа с оснасткой «Шаблоны безопасности»
  9. Введение
  10. Использование оснастки «Шаблоны безопасности»
  11. Создание нового шаблона безопасности
  12. Изменение настроек шаблона безопасности
  13. Настройка системных служб
  14. Настройка системного реестра
  15. Настройка групп с ограниченным доступом
  16. Заключение

Определение шаблонов безопасности с помощью шаблонов безопасности Snap-In

В этой статье приводится несколько действий по определению шаблонов безопасности с помощью оснастки «Шаблоны безопасности».

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 816297

Аннотация

В этой пошаговой статье описывается создание и определение нового шаблона безопасности с помощью оснастки «Шаблоны безопасности» в Microsoft Windows Server 2003.

С помощью оснастки «Шаблоны безопасности» можно создать политику безопасности для сети или компьютера с помощью шаблонов безопасности. Шаблон безопасности — это текстовый файл, который представляет конфигурацию безопасности. Можно применить шаблон безопасности к локальному компьютеру, импортировать шаблон безопасности в групповую политику или использовать шаблон безопасности для анализа безопасности. Можно использовать предопределяемый шаблон безопасности, включаемый в Windows Server 2003, изменять предопределяемый шаблон безопасности или создавать настраиваемый шаблон безопасности, содержащий нужные параметры безопасности. Шаблоны безопасности можно использовать для определения следующих компонентов:

Политики учетных записей

  • Политика паролей
  • Политика блокировки учетной записи
  • Политика Kerberos
  • Политика аудита
  • Назначение прав пользователя
  • Параметры безопасности

Журнал событий: параметры журнала событий приложений, системы и безопасности

Ограниченные группы: членство в группах, чувствительных к безопасности

Системные службы: режимы запуска и разрешения для системных служб

Реестр: разрешения для ключей реестра

Файловая система: разрешения файлов и папок

Добавление шаблонов безопасности Snap-In консоли управления (MMC)

Чтобы добавить оснастку «Шаблоны безопасности» в консоль MMC, выполните следующие действия.

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите mmc и нажмите кнопку «ОК».

В меню «Файл» выберите пункт «Добавить или удалить оснастку».

В диалоговом окне «Добавление и удаление оснастки» щелкните вкладку «Автономный» и нажмите кнопку «Добавить».

В диалоговом окне «Добавление автономных оснастки» щелкните «Шаблоны безопасности», «Добавить»,«Закрыть» и «ОК».

В дереве консоли разкроем шаблоны безопасности, а затем — %SystemRoot%\Security\Templates.

На правой области появится список предварительно заранее задав шаблоны безопасности и их описания.

Создание и определение нового шаблона безопасности

Чтобы определить новый шаблон безопасности, выполните следующие действия.

В дереве консоли разбейте шаблоны безопасности.

Щелкните правой кнопкой мыши %SystemRoot%\Security\Templates и выберите «Новый шаблон».

В поле «Имя шаблона» введите имя нового шаблона.

При этом можно ввести описание в поле «Описание» и нажать кнопку «ОК».

Новый шаблон безопасности отображается в списке шаблонов безопасности. Обратите внимание, что параметры безопасности для этого шаблона еще не определены. Если развернуть новый шаблон безопасности в дереве консоли, развернуть каждый компонент шаблона, а затем дважды щелкнуть каждый параметр безопасности, содержащийся в этом компоненте, в столбце «Параметр компьютера» появится состояние «Не определено».

Чтобы определить политики учетных записей, локальные политики или политики журнала событий, выполните следующие действия:

  1. В дереве консоли раз expand the component that contains the security setting that you want to configure.
    Например, чтобы установить политику максимального возраста паролей, развяйте «Политики учетных записей».
  2. В правой области дважды щелкните параметр безопасности, который необходимо настроить. Например, чтобы установить политику максимального возраста паролей, дважды щелкните «Политика паролей», а затем дважды щелкните «Максимальный возраст пароля».
  3. Щелкните, чтобы выбрать параметр «Определить этот параметр политики» в окне «Шаблон», укажите нужный параметр или параметр, а затем нажмите кнопку «ОК».

Чтобы определить политику ограниченных групп, выполните следующие действия.

  1. Щелкните правой кнопкой мыши «Ограниченные группы» и выберите «Добавить группу».
  2. Нажмите кнопку Обзор.
  3. В диалоговом окне «Выбор групп» введите имя группы, доступ к которую нужно ограничить, нажмите кнопку «ОК» и нажмите кнопку «ОК».
  4. В диалоговом окне «Свойства GroupName» в группе «Участники» щелкните «Добавить участников», чтобы добавить в группу нужных участников.
    Чтобы добавить эту группу в качестве члена другой группы, в группе «Эта группа» нажмите кнопку «Добавить группы».
  5. Нажмите кнопку ОК.
Читайте также:  Mac os сертификат недействителен

Чтобы определить политику системных служб, выполните следующие действия.

  1. Развернуть системные службы.
  2. В правой области дважды щелкните службу, которую нужно настроить.
  3. Укажите нужные параметры и нажмите кнопку «ОК».

Чтобы определить безопасность для ключей реестра, выполните следующие действия.

  1. Щелкните правой кнопкой мыши реестр и выберите «Добавить ключ».
  2. В диалоговом окне «Выбор ключа реестра» щелкните нужный ключ реестра и нажмите кнопку «ОК».
  3. В диалоговом окне «Безопасность базы данных для RegistryKey» укажите разрешения для ключа реестра и нажмите кнопку «ОК».
  4. В диалоговом окне «Добавление объекта» укажите, как разрешения для этого ключа наследуются, нажмите кнопку «ОК» и нажмите кнопку «ОК».

Чтобы определить безопасность для файлов или папок, выполните следующие действия.

  1. Щелкните правой кнопкой мыши файловую систему и выберите «Добавить файл».
  2. В диалоговом окне «Добавление файла или папки» щелкните файл или папку, в которую нужно добавить безопасность, и нажмите кнопку «ОК».
  3. В диалоговом окне «Безопасность базы данных для имени файла» или «Имя папки» укажите нужные разрешения, нажмите кнопку «ОК» и нажмите кнопку «ОК».

Копирование параметров безопасности из предопределяемого шаблона в другой шаблон

Чтобы скопировать параметры безопасности из стандартного шаблона в настраиваемый шаблон, выполните следующие действия.

В дереве консоли разойдите предварительно заранее заранее задав шаблон, содержащий параметры, которые нужно скопировать, щелкните правой кнопкой мыши компонент, который нужно скопировать, и выберите «Копировать».

В дереве консоли разместите настраиваемый шаблон, щелкните правой кнопкой мыши соответствующий компонент и выберите «Вставку».

Например, чтобы использовать параметры политик учетных записей из шаблона «Hisecdc» в пользовательском шаблоне, разверните «Hisecdc», щелкните правой кнопкой мыши «Политики учетных записей» и выберите «Копировать». Разйдите пользовательский шаблон, щелкните правой кнопкой мыши «Политики учетных записей» и выберите «Ветвь».

Создание нового шаблона безопасности на основе предопределеного шаблона

Чтобы создать новый шаблон безопасности на основе параметров из предопределяемого шаблона, сохраните предварительно заранее задав имя файла. Для этого выполните указанные ниже действия.

Щелкните правой кнопкой мыши шаблон, который нужно скопировать, и выберите «Сохранить как».

В диалоговом окне «Сохранить как» введите имя шаблона безопасности в поле «Имя файла» и нажмите кнопку «Сохранить».

Новый шаблон безопасности отображается в списке шаблонов безопасности. Настройте шаблон с нужными настройками.

Ссылки

Дополнительные сведения о шаблонах безопасности в Windows Server 2003 см. в разделе «Диспетчер конфигураций безопасности» в разделе «Безопасность» документации по Windows 2003 Server.

Работа с оснасткой «Шаблоны безопасности»

Посетителей: 15526 | Просмотров: 21728 (сегодня 1) Шрифт:

Введение

Из предыдущих статей по групповым политикам вы узнали о назначении и использовании оснастки «Редактор объектов групповой политики», об административных шаблонах, ознакомились с некоторыми локальными политиками безопасности. В этой статье вы узнаете еще об одном механизме управления конфигурацией безопасности – о шаблонах безопасности и их применении в производственной среде. Разумеется, при помощи локальных политик безопасности вы можете централизовано разворачивать практически все возможные настройки для пользователей и компьютеров, но иметь представление о настройке шаблонов безопасности просто необходимо, так как не во всех случаях у вас получится развернуть на предприятии нужные для вас настройки групповых политик.

Сам по себе шаблон безопасности – это заранее сохраненный текстовый файл с расширением inf, который содержит набор параметров конфигурации безопасности. Одним из основных преимуществ шаблонов безопасности является гибкость развертывания. Вы можете развернуть шаблоны безопасности как в домене при помощи объектов групповой политики Active Directory, так и в небольших офисах или домашнем окружении (Small Office Home Office — SOHO) при помощи оснастки «Анализ и настройка безопасности» или средствами утилиты командной строки Secedit.exe, о которых будет рассказано в последующих статьях. Еще одной из достопримечательностей данных шаблонов является то, что шаблоны безопасности – это обычные текстовые файлы, редактировать которые вы можете даже при помощи стандартной программы «Блокнот». Также нельзя не отметить тот факт, что именно при помощи шаблонов безопасности вы можете провести анализ соответствия текущей конфигурации компьютера и настроек, содержащихся в созданных шаблонах безопасности.

При помощи шаблонов безопасности вы можете настраивать параметры политики, которые отвечают за следующие компоненты безопасности:

  • Политики учетных записей. Вы можете настраивать уже известные вам по статье «Локальная политика безопасности. Часть 2: Политики учетных записей» политики паролей, политики блокировки учетной записи, а также политики Kerberos;
  • Локальные политики. Доступны настройке политики аудита, назначения прав пользователей, а также параметры безопасности, аналогичные параметрам политики оснастки «Редактор объектов групповых политик»;
  • Журналы событий. Вы можете изменять настройки журналов «Приложения», «Система» и «Безопасность», такие как политики создания файлов журналов, максимальный размер и прочее;
  • Группы с ограниченным доступом. Настройки ограничений доступа пользователей, которые являются членами различных групп;
  • Настройки системных служб>. Вы можете управлять типом запуска и разрешением доступа всех системных служб, которые можно найти в оснастке «Службы»;
  • Настройки системного реестра. Можно добавлять разрешения на доступ к разделам реестра;
  • Настройки безопасности файловой системы. У вас есть возможность задавать разрешения доступа на файлы и папки.
Читайте также:  Windows не удается скопировать файл sources

Рекомендуется не вносить изменения в предустановленный шаблон Setup security.inf, так как при помощи этого шаблона у вас есть возможность восстановления параметров безопасности, используемых по умолчанию. Также, чтобы избежать многих проблем, желательно перед внедрением созданного шаблона в эксплуатацию, протестировать его на отдельном компьютере.

Использование оснастки «Шаблоны безопасности»

Откройте оснастку «Шаблоны безопасности». Для этого выполните следующие действия:

  1. Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter»;
  2. Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M;
  3. В диалоге «Добавление и удаление оснасток» выберите оснастку «Шаблоны безопасности» и нажмите на кнопку «Добавить»;
  4. В диалоге «Добавление или удаление оснасток» нажмите на кнопку «ОК».

При первом открытии данной оснастки, в папке Documents вашей учетной записи создается папка Security с вложенной папкой Templates. Именно в папке Templates и хранятся созданные вами шаблоны безопасности. На следующей иллюстрации отображена оснастка «Шаблоны безопасности», открытая впервые:

Рис. 1. Первое открытие оснастки «Шаблоны безопасности»

Создание нового шаблона безопасности

Для последующей работы с шаблонами безопасности создайте новый шаблон. Для этого вам предстоит выполнить действия, описанные в следующей процедуре:

  1. В дереве консоли щелкните правой кнопкой мыши на узле, предоставляющем путь поиска шаблона. По умолчанию путь %Userprofile%\Documents\Security\Templates;
  2. В появившемся контекстном меню выберите команду «Создать шаблон»;
  3. Введите название нового шаблона в текстовое поле «Имя шаблона» появившегося диалогового окна. В том случае, если вы создаете несколько различных шаблонов безопасности, я вам рекомендую добавлять подробное описание назначения шаблона в поле «Описание». Например, на следующей иллюстрации вы можете увидеть диалог создания шаблона с названием «Конфигурация системных служб». В связи с тем, что на пользовательских компьютерах могут быть установлены разные ОС, в описании указана версия операционной системы, для которой создается текущий шаблон.

Рис. 2. Диалог создания нового шаблона безопасности

При желании вы можете изменить путь для поиска шаблонов, созданный по умолчанию. Для этого, в дереве консоли, нажмите правой кнопкой мыши на узле «Шаблоны безопасности» и выберите команду «Найти путь для поиска шаблонов…». В диалоговом окне «Обзор папок» выберите папку, в которой будут сохраняться новые шаблоны безопасности и нажмите на кнопку «ОК».

Рис. 3. Изменение пути для поиска шаблонов

Изменение настроек шаблона безопасности

После создания нового шаблона, в оснастке вы увидите набор групповых политик, подобный тем, которые отображаются в оснастке «Редактор объектов групповых политик». Не стоит также забывать, что оснастка шаблонов безопасности представляет собой только редактор набора групповых политик и не влияет на изменение текущей конфигурации. То есть, после полного изменения политик, предоставленных в данной оснастке, вам не стоит волноваться о том, что настройки на вашем рабочем месте будут изменены. Далее мы рассмотрим набор политик системных служб, добавление параметров реестра, а также редактирование групп с ограниченным доступом.

На следующей иллюстрации отображен новый шаблон безопасности:

Рис. 4. Новый шаблон безопасности

Настройка системных служб

Узел «Системные службы» предназначен для последующего изменения конфигурации системных служб средствами групповых политик при развертывании. Содержимое этого узла сильно напоминает оснастку «Службы», однако между ними есть одна существенная разница. При помощи оснастки «Службы» вы настраиваете тип запуска служб на локальном компьютере, а используя шаблоны безопасности, вы можете распространить указанные настройки системных служб одновременно на несколько компьютеров. Рассмотрим подробно применение содержимого данного узла на простом примере:

Читайте также:  Живые обои для рабочего стола windows 10 как установить

На компьютерах вашего малого офиса, в котором нет домена, никогда не будут использоваться планшетные ПК, устройства BlueTooth и смарт-карты. Допустим, вы опасаетесь вторжения на компьютеры недоброжелателей, поэтому хотите отключить возможность удаленного управления системного реестра, службы удаленных рабочих столов, а также вашим пользователям нельзя на рабочих местах использовать Windows Media Center. По этой же причине необходимо полностью отключить на компьютерах вашей сети все эти службы. Чтобы развернуть эти настройки служб на всех компьютерах, выполните следующие действия:

  1. В оснастке «Шаблоны безопасности» перейдите на узел «Системные службы»;
  2. Выберите службу, тип запуска которой вы планируете настроить, например, «Служба ввода планшетного ПК» и откройте свойства этой службы;
  3. В диалоговом окне «Свойства: Служба ввода планшетного ПК» установить флажок на опции «Определить следующий параметр службы в шаблоне» и установите переключатель на опции «запретить»;

Рис. 5. Диалог свойств системной службы

  • Нажмите на кнопку «ОК». Настройте остальные службы.

    • Настройка системного реестра

    После подробного изучения параметров групповых политик, вы можете обнаружить, что, несмотря на использование групповых политик и шаблонов безопасности, пользователи умудряются изменять некоторые системные параметры при помощи реестра. Вы знаете раздел системного реестра, отвечающий за определенную настройку, но хотите дать возможность вносить изменения в этот раздел только указанной группе пользователей. Допустим, вам нужно дать полный доступ на изменение параметров раздела реестра, отвечающего за компонент «Дата и время» только для групп «Система» и «Администраторы», причем пользователям, которые являются членами группы «Пользователи» нужно запретить даже просмотр данного раздела. Для этого выполните следующие действия:

    1. В оснастке «Шаблоны безопасности» перейдите на узел «Реестр»;
    2. Вызовите контекстное меню для узла «Реестр» и выберите команду «Добавить раздел»;
    3. В диалоговом окне «Выбор раздела реестра» разверните раздел [MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation] или введите путь к разделу в поле «Выбранный раздел» и нажмите на кнопку «ОК»;

    Рис. 6. Диалоговое окно «Выбор раздела реестра»

    В появившемся диалоговом окне «Безопасность данных для » установите разрешения для всех групп и нажмите на кнопку «ОК»;

    Рис. 7. Диалог «Безопасность» раздела системного реестра

    В диалоге «Добавление объекта» вы можете распространить указанные настройки безопасности на все дочерние подразделы, запретить замену разрешений в указанном разделе, или изменить параметры вручную.

    Рис. 8. Диалог «Добавление объекта»

    По нажатию на кнопку «ОК», данные изменения будут отображены в оснастке «Шаблоны безопасности», как показано на следующей иллюстрации:

    Рис. 9. Узел «Реестр»

    Настройка групп с ограниченным доступом

    При помощи групп с ограниченным доступом вы можете указывать пользователей, которые будут принадлежать к определенной группе. Политики, применяемые с шаблонами безопасности, будут распространяться на всех пользователей, которые входят в группы с ограниченным доступом. Для того чтобы указать членов группы с ограниченным доступом, выполните следующие действия:

    1. В оснастке «Шаблоны безопасности» перейдите на узел «Группы с ограниченным доступом»;
    2. Нажмите правой кнопкой мыши на узле и из контекстного меню выберите команду «Добавить группу»;
    3. В диалоговом окне «Добавление группы» введите название новой группы или выберите существующую, используя кнопку «Обзор»;

    Рис. 10. Диалог добавления группы

    В диалоговом окне свойств новой группы вы можете добавить пользователей, которые будут входить в состав этой группы, а также выбрать родительскую группу. Причем, политики не применяются на те группы, к которым принадлежит созданная вами группа;

    Рис. 11. Диалог свойств новой группы

  • По нажатию на кнопку «ОК» новая группа будет создана и добавлена в узел групп с ограниченным доступом.

    • По окончании изменения шаблона безопасности, вам нужно его сохранить для дальнейшего использования. Для сохранения шаблона безопасности нажмите правой кнопкой мыши на наименовании узла шаблона безопасности и выберите команду «Сохранить» или «Сохранить как» из контекстного меню. Шаблон будет сохранен с расширением *.inf.

    Заключение

    В этой статье был рассмотрен очередной механизме управления конфигурацией безопасности – шаблоны безопасности и их применении в производственной среде. Зачастую данный механизм применяют на небольших предприятиях без доменной сети. Вы узнали о том, как можно открыть данную оснастку, а также настроить новый шаблон безопасности, который является текстовым файлом, с расширением *.inf.

    Оцените статью
    © 2024 Советы по настройке компьютера