Создание политик безопасности в Windows Server 2008
Мастер настройки безопасности (Security Configuration Wizard) позволяет настроить политику только для ролей и компонентов, установленных на компьютере во время запуска мастера. Конкретный процесс создания политики безопасности зависит от текущего набора ролей и компонентов. Впрочем, основные области настройки одинаковы для любой конфигурации компьютера.
В Мастере настройки безопасности (Security Configuration Wizard) имеются следующие разделы настройки безопасности:
• Настройка служб на основе ролей (Role-Based Service Configuration) Настройка режима запуска системных служб в зависимости от установленных ролей и компонентов сервера, заданных параметров и необходимых служб.
• Сетевая безопасность (Network Security) Настройка входящих и исходящих правил безопасности брандмауэра Windows в зависимости от установленных ролей и компонентов сервера.
• Параметры реестра (Registry Settings) Настройка протоколов для обмена данными с другими компьютерами.
• Политика аудита (Audit Policy) Настройка аудита на выбранном сервере.
• Сохранение политики безопасности (Save Security Policy) Сохранение и просмотр политики безопасности. В нее также можно включить один или несколько шаблонов безопасности.
Чтобы создать политику безопасности, выполните следующие действия:
1. Запустите Мастер настройки безопасности (Security Configuration Wizard). Для этого щелкните кнопку Пуск (Start), Администрирование (Administrative Tools) и Мастер настройки безопасности (Security Configuration Wizard). На первой странице мастера щелкните Далее (Next).
2. На странице Действие настройки (Configuration Action) Просмотрите доступные действия. По умолчанию установлен переключатель Создать новую политику безопасности (Create A New Security Policy). Щелкните Далее (Next).
3. На странице Выбор сервера (Select Server) укажите сервер, который должен использоваться в качестве базового для данной политики безопасности, то есть, сервер, на котором установлены нужные роли, компоненты и функции. По умолчанию выбран текущий компьютер. Чтобы выбрать другой компьютер, щелкните кнопку Обзор (Browse). В диалоговом окне Выбор: «Компьютер» (Select Computer) введите имя компьютера и щелкните Проверить имена (Check Names). Выделите нужную учетную запись компьютера и щелкните ОК.
4. Щелкните Далее (Next). Мастер соберет конфигурацию безопасности и сохранит ее в базе данных настройки безопасности. Щелкните кнопку Просмотр базы данных (View Configuration Database) на странице Обработка базы данных настройки безопасности (Processing Security Configuration Database), чтобы просмотреть параметры в базе данных. Просмотрев параметры, вернитесь в мастер и щелкните Далее (Next).
5. Каждый раздел настройки начинается собственной заглавной страницей. Первая страница, которую вы увидите, – Настройка служб на основе ролей (Role-Based Service Configuration). Щелкните Далее (Next).
6. На странице Выбор ролей сервера (Select Server Roles), показаны установленные роли сервера! Выберите роли, которые следует включить, и сбросьте роли, которые следует отключить. При выборе роли запускаются службы, входящие порты и параметры, требующиеся для этой роли. При сбросе роли соответствующие службы, входящие порты и параметры отключаются, при условии что они не требуются другой включенной роли.
7. На странице Выбор клиентских возможностей (Select Client Features) перечислены установленные клиентские компоненты, используемые для запуска служб. Выберите компоненты, которые нужно включить, и сбросьте компоненты, которые нужно отключить. При выборе компонента запускаются требующиеся ему службы. При отключении компонента требующиеся ему службы отключаются, при условии что они не требуются другому включенному компоненту.
8. На странице Выбор управления и других параметров (Select Administration And Other Options) перечислены установленные функции, используемые для запуска служб и открытия портов. Выберите функции, которые нужно включить, и сбросьте функции, которые нужно отключить. При выборе функции запускаются службы, требующиеся этой функции. При сбросе функции требующиеся ей службы отключаются, при условии что они не требуются другой включенной функции.
9. На странице Выбор дополнительных служб (Select Additional Services) показан список дополнительных служб, найденных на сервере во время обработки базы данных настройки безопасности. Выберите все службы, которые следует включить, и сбросьте все службы, которые нужно отключить.
К). На странице Обработка неопределенных служб (Handling Unspecified Services) определите, как следует обрабатывать неопределенные службы, то есть, службы, не установленные на выбранном сервере и не отраженные в базе данных настройки безопасности. По умолчанию режим запуска неопределенных служб не изменяется. Чтобы отключить неопределенные службы, установите переключатель Отключить эту службу (Disable The Service). Щелкните Далее (Next).
11. На странице Подтверждение изменений для служб (Confirm Service Changes) просмотрите список служб, которые будут изменены на выбранном сервере при применении политики безопасности. Обратите внимание на текущий режим запуска и режим запуска, заданный в политике.
12. На заглавной странице раздела Сетевая безопасности (Network Security) щелкните Далее (Next). На странице Правила сетевой безопасности (Network Security Rules) отображен список правил брандмауэра, требуемых для ролей, компонентов и функций, выбранных вами ранее. Используя имеющиеся параметры, вы можете добавлять, изменять или удалять входящие и исходящие правила. Закончив настройку, щелкните Далее (Next).
13.На заглавной странице раздела Параметры реестра (Registry Settings) щелкните Далее (Next). На странице Требовать цифровую подпись SMB (Require SMB Security Signatures) просмотрите параметры подписей SMB. По умолчанию задано, что все компьютеры отвечают минимальным требованиям к ОС и сервер в состоянии обеспечить подписи трафика и печати. Изменять эти параметры не следует. Щелкните ОК.
14. На странице Исходящие требования проверки подлинности (Outbound Authentication Methods) задайте методы, используемые выбранным сервером для авторизации на удаленных компьютерах. Если компьютер обменивается данными только внутри домена, установите только флажок Учетные записи в домене (Domain Accounts). Этим вы обеспечите наивысший уровень проверки подлинности. Если компьютер обменивается данными с компьютерами как в домене, так и в рабочей группе, установите флажки Учетные записи в домене (Domain Accounts) и Локальные учетные записи на удаленных компьютерах (Local Accounts On The Remote Computers). В большинстве случаев не следует использовать пароли общего доступа, поскольку это наииизший уровень проверки подлинности. Щелкните Далее (Next).
15. На странице Исходящая проверка подлинности с использованием учетных записей домена (Outbound Authentication Using Domain Accounts) задайте типы компьютеров, подключения которых будет принимать выбранный сервер. Если компьютер обменивается данными только с компьютерами под управлением Windows ХР Professional или боле поздних версий Windows, сбросьте оба флажка, и ваш компьютер будет использовать наивысший уровень проверки подлинности. Если компьютер обмеиивается данными с более старыми ПК, оставьте заданные по умолчанию параметры без изменения. Щелкните Далее (Next).
16. На странице Сводка параметров реестра (Registry Settings Summary) просмотрите значения, которые будут изменены на выбранном сервере в случае применения политики. Сравните текущие значения и значения, заданные в политике. Щелкните Далее (Next).
17. Нa заглавной странице Политика аудита (Audit Policy) щелкните Далее (Next). На странице Политика аудита системы (System Audit Policy) задайте нужный уровень аудита. Для отключения аудита установите переключатель Не выполнять аудит (Do Not Audit). Чтобы включить аудит успешных событий, щелкните Выполнять аудит успешных действий (Audit Successful Activities). Чтобы включить аудит всех событий, щелкните Выполнять аудит как успешных, так и неуспешных действий (Audit Successful And Unsuccessful Activities). Щелкните Далее (Next).
18. Нa странице Сводка политики аудита (Audit Policy Summary) просмотрите параметры, которые будут изменены на выбранном сервере в случае применения политики. Обратите внимание на текущие параметры и параметры, которые будут применены политикой. Щелкните Далее (Next).
19. Нa заглавной странице Сохранение политики безопасности (Save Security Policy) щелкните Далее (Next). На странице Имя файла политики безопасности (Security Policy File Name) задайте параметры сохранения политики безопасности и при необходимости добавьте в нее один или несколько шаблонов безопасности. Для просмотра политики безопасности щелкните кнопку Просмотр политики безопасности (View Security Policy). Просмотрев политику, вернитесь в мастер.
20. Чтобы добавить в политику шаблоны безопасности, щелкните Включение шаблонов безопасности (Include Security Templates). В диалоговом окне Включение шаблонов безопасности (Include Security Templates) щелкните кнопку Добавить (Add). В диалоговом окне Открыть (Open) выберите шаблон безопасности, который будет включен в политику. При добавлении нескольких шаблонов вы можете назначить им приоритеты па случай возникновения конфликтов в параметрах безопасности. Параметры шаблонов, занимающих более высокое место в списке, соответственно, обладают более высоким приоритетом. Выберите шаблон и назначьте ему приоритет, щелкая кнопки-стрелки. Щелкните ОК.
21. По умолчанию политика безопасности сохраняется %SystemRoot% \Security\Msscw\Policies. При необходимости щелкните кнопку Обзор (Browse) и выберите другое место для сохранения. Введите имя политики безопасности и щелкните Сохранить (Save). Путь к папке и имя файла отображаются в текстовом поле Имя файла политики безопасности (Security Policy File Name).
22. Щелкните Далее (Next). На странице Применение политики безопасности (Apply Security Policy) укажите, применить политику сейчас пли позднее. Щелкните Далее (Next) и Готово (Finish).
Групповые политики Active Drirectory
Групповые политики Windows являются неотъемлемой частью администрирования Windows-систем. Рассмотрим примеры работы с этим инструментом на VDS под управлением ОС семейства Windows Server.
Для чего необходимы групповые политики
Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.
Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.
Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.
Компоненты GPO
Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.
Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей” называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.
Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.
Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.
Сценарии использования Active Directory GPO:
- Централизованная настройка пакета программ Microsoft Office.
- Централизованная настройка управлением питанием компьютеров.
- Настройка веб-браузеров и принтеров.
- Установка и обновление ПО.
- Применение определенных правил в зависимости от местоположения пользователя.
- Централизованные настройки безопасности.
- Перенаправление каталогов в пределах домена.
- Настройка прав доступа к приложениям и системным программам.
Оснастка управления групповыми политиками
Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду:
И нажимаем “OK”.
Возможно оснастка не сможет открыться т.к. не была установлена ранее. Исправим это.
Открываем диспетчер серверов и выбираем установку ролей и компонентов.
На этапе выбора типа установки, отметим параметр “Установка ролей и компонентов”. Кликаем по кнопке “Далее”.
Так как установка выполняется для текущего сервера — нажимаем “Далее”.
Установку серверных ролей пропускаем нажатием на кнопку “Далее”.
На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”.
Завершаем установку компонентов как обычно.
Окно оснастки управления групповой политикой выглядит так:
Создание объектов групповой политики
Добавим новый объект групповой политики. В левой части, проследуем по пути: Лес → Домены → → Объекты групповой политики.
В правой части окна, кликаем правой кнопкой мыши в свободном месте. В открывшемся контекстном меню, выбираем “Создать”.
В открывшемся окне, вводим имя новой политики. Нажимаем “OK”.
Добавленный объект появится в общем списке:
Настроим созданный объект
Для настройки нового объекта кликаем по нему правой кнопкой мыши. В контектстном меню выбираем “Изменить”.
Откроется окно редактора управления групповыми политиками. Займемся “полезным” делом — удалим папку со стандартными играми из меню Пуск. Для этого, в меню слева проследуем по пути Конфигурация пользователя Конфигурация пользователя → Политики → Административные шаблоны: получены определения политик (ADMX-файлы) с локального компьютера → Меню “Пуск” и панель задач.
В правой части окна найдем параметр “Удалить ссылку “Игры” из меню “Пуск””. Для удобства поиска можно воспользоваться сортировкой по имени, вверху окна.
Кликаем по этому параметру правой кнопкой мыши, выбираем “Изменить”.
В открывшемся окне изменим состояние на “Включено”. В поле комментария рекомендуем не игнорировать. Для завершения настройки нажимаем “OK”.
Создание объектов можно считать оконченным.
Поиск объектов
В корпоративных средах, как правило, создается большое количество объектов GPO. Хорошо было бы уметь находить нужный объект. У консоли есть данный функционал. Для этого, в левой части окна кликаем правой кнопкой мыши по лесу. В открывшемся меню выбираем “Найти…”
В открывшемся окне выбираем в каком домене выполнять поиск. Можно выполнить поиск и по всем доменам, но это может занять продолжительное время.
Попробуем найти созданный ранее объект.
В поле “Элемент поиска” из выпадающего списка выбираем “Имя объекта групповой политики”. В условии оставляем вариант “Содержит”. В “Значение“ указываем имя созданной ранее политики. Именно по этой причине следует создавать понятные имена политик. Нажимаем кнопку “Добавить”.
Критерии поиска заданы. нажимаем кнопку “Найти” и просматриваем результаты поиска.
Удаление объекта групповой политики
Если в объекте GPO пропадает необходимость, будет лучше его удалить. Кликаем по созданному объекту правой кнопкой мыши, в контекстном меню выбираем “Удалить”. Если уверены в своем решении, на вопрос подтверждения отвечаем “Да”.