- •Оглавление
- •Введение
- •1 Особенности групповых политик
- •1.1 Оснастка Групповая политика (Group Policy)
- •1.2 Административные шаблоны (Administrative Templates)
- •1.3 Установка программ (Software Installation)
- •1.7 Объекты gpo и Active Directory и порядок применения групповых политик
- •1.8 Локальные gpo
- •2 Параметры безопасности gpo
- •2.1 Расширение Параметры безопасности
- •2.2 Блокирование локальных учетных записей
- •2.3 Настройка безопасности для раздела реестра
- •2.4 Настройка безопасности для всего диска с
- •3 Групповые политики домена
- •1.1 Работа с групповыми политиками домена
- •1.2 Настройка политики паролей для локальных учетных записей
- •1.3 Указание контроллера домена, выбираемого оснасткой Групповая политика по умолчанию
- •1.4 Использование групп безопасности
- •Заключение
- •Список использованных источников
2.2 Блокирование локальных учетных записей
После нескольких неудачных попыток регистрации в системе учетная запись пользователя должна быть заблокирована. Вы можете установить допустимое максимальное количество неудачных попыток. Следует заметить, что разблокировать учетную запись может только администратор.
Для модификации локальной политики учетных записей в оснастке Групповая политика используется узел Конфигурация компьютера|Конфигурация Windows|Параметры безопасности|Политики учетных записей|Политика блокировки учетной записи.
Дважды щелкнув на соответствующей политике, можно задать ее параметры, например, необходимо установить Пороговое значение блокировки (Account lockout threshold).
В открывшемся окне Параметр локальной политики безопасности (Local Security Policy Setting) в поле при ошибках входа в систему (invalid logon attempts) можно ввести новое значение.
2.3 Настройка безопасности для раздела реестра
Способы настройки безопасность для раздела реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT.
Администраторы получат полный контроль, а все остальные аутентифицированные пользователи будут иметь доступ только на чтение. Последовательность настройки безопасности для раздела реестра следующая: в оснастке Групповая политика открываем узел Конфигурация компьютера|Конфигурация Windows|Параметры безопасности, и выбираем папку Реестр.
По нажатию правой кнопкой мыши в появившемся контекстном меню выбираем команду Добавить раздел (Add Key). Запустится браузер реестра.
Переходим к узлу MacIuneSoftwareMicrosoftWindows NT. Откроется стандартное окно редактора списков управления доступом (ACL), в котором можно настроить разрешения для выбранного раздела.
Для изменения списка объектов, имеющих разрешение доступа к данному разделу, используйте кнопки Добавить и Удалить. Здесь можно задать полный доступ только для администраторов и доступ только на чтение для остальных пользователей. По завершении корректировки данных нажимаем ОК.
При настройке безопасности раздела реестра можно задать три типа действия безопасности:
- Распространить наследуемые разрешения на все подразделы (Propagate inheritable permissions to all subkeys)
разрешения, установленные для данного раздела реестра, будут автоматически наследоваться ниже по дереву. При этом все напрямую заданные разрешения на доступ к подразделам будут сохранены, и к ним будут добавлены унаследованные разрешения.
- Заменить текущие разрешения во всех подразделах наследуемыми (Replace existing permissions on all subkeys with inheritable permissions) разрешения на доступ, установленные для данного раздела реестра, будут автоматически наследоваться ниже по дереву. Но в данном случае любые напрямую заданные права доступа к подразделам будут перезаписаны новыми установками. Действовать будут только вновь созданные разрешения.
Запретить замену разрешений в этом разделе (Do not allow permissions on this key to be replaced).
Если для родительского раздела установлены новые разрешения, то они наследуются всеми подразделами и перезаписывают все остальные прямые установки. Однако один из подразделов может быть сконфигурирован так, что настройки безопасности родительского раздела будут игнорироваться и не будут распространяться ниже по дереву
Все сделанные нами изменения в настройках будут сохранены и начнут работать в локальной политике безопасности