3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf' 3 18 |
Параметры групповой политики |
Глава 7 |
Щелкните кнопку Просмотр политики безопасности (View Security Policy), чтобы проанализировать параметры политики безопасности, которые очень подробно документированы мастером настройки безопасности. В политику безопасности также можно импортировать шаблон безопасности. Уже описанные на этом занятии шаблоны безопасности содержат параметры, не обеспечиваемые управлением настройкой безопасности с помощью шаблонов, включая группы с ограниченным доступом, политики журнала событий, а также политики безопасности файловой системы и реестра. Включившаблон безопасности, вы сможете внедрить в политику безопасности более богатую коллекцию параметров конфигурации. Если какие-либо параметры в шабло- не-безопасности конфликтуют с Мастером настройки безопасности (Security Configuration Wizard), приоритет получают параметры мастера настройки безопасности. Щелкните Далее (Next), чтобы немедленно применить шаблон безопасности к серверу или применить эту политику позже.
Редактирование политики безопасности
Для редактирования сохраненной политики безопасности запустите Мастер настройки безопасности (Security Configuration Wizard) и на странице Действие настройки (Configuration Action) выберите действие Изменить существующую политику безопасности (Edit An Existing Security Policy). Щелкните кнопку Обзор (Browse), чтобы локализовать файл политики .xml. Выберите сервер, который использовался для создания политики безопасности.
Применение политики безопасности
Чтобы применить политику безопасности к серверу, откройте Мастер настройки безопасности (Security Configuration Wizard) и на странице Действие настройки (Configuration Action) выберите действие Применить существующую политику безопасности (Apply An Existing Security Policy). Щелкните кнопку Обзор (Browse), чтобы локализовать файл политики .xml. На странице Выбор сервера (Select Server) укажите сервер, к которому будет применена политика. Многие изменения, указанные в политике безопасности, включая добавление правил брандмауэра для уже запущенных приложений и отключение служб, требуют перезагрузки сервера, поэтому рекомендуется перезагружать сервер после каждого применения политики безопасности.
Откат примененной политики безопасности
Если политика безопасности привела к нежелательным результатам, можно выполнить откат изменений, запустив Мастер настройки безопасности (Security Configuration Wizard) и выбрав действие настройки Откатить последнюю примененную политику безопасности (Rollback The Last Applied Security Policy). Если политика безопасности применяется с помощью мастера настройки безопасности, то генерируется файл отката, в котором хранятся начальные параметры системы. Процесс отката использует этот файл отката.
Модификация параметров примененной политики безопасности
Если примененный шаблон безопасности не обеспечивает идеальную конфигурацию, изменения можно внести вручную с помощью консоли Локальная
- Занятие 2 |
Управление параметрами безопасности 3Q7 |
политика безопасности (Local Security Policy), о которой шла речь в начале этого занятия. Таким образом, мы получаем полную картину конфигурации безопасности, начиная с вручную заданных параметров и генерирования шаблонов безопасности с целыо создания политик безопасности с помощью Мастера настройки безопасности (Security Configuration Wizard), который может внедрять шаблоны безопасности, и заканчивая применением политик безопасности и возвратом к вручную настроенной конфигурации.
Р а з в е р т ы в а н ие п о л и т и к и б е з о п а с н о с т и с помощью групповой политики
Политика безопасности, созданная Мастером настройки безопасности (Security Configuration Wizard), применяется к серверу посредством того же мастера настройки безопасности, команды Scwcmcl.exe, или преобразования политики безопасности в объект групповой политики GPO. Чтобы преобразовать политику безопасности в объект G P O , войдите в сеть как администратор домена и выполните команду Scwcmd.exe вместе с командой transform. Например,
команда scwcmd transform |
/p:"Contoso |
DC Securi.ty.xml"/g:"Contoso DC Security |
GPO" создает объект G P O |
с именем |
Contoso DC Security GPO и параметрами, |
импортированными из файла политики безопасности Contoso DC Security.xml. Полученный объект G P O затем будет связан с соответствующей областью действия (сайт, домен или подразделение) с помощью консоли Управление групповой политикой (Group Policy Management). Чтобы получить справочную информацию и инструкции относительно данного процесса, введите команду scwcmd.exe transform /?.
Параметры, шаблоны, политики и объекты GPO
Как мы уже говорили в начале этого занятия, существует много механизмов, с помощью которых можно управлять параметрами безопасности. Для модификации параметров отдельной системы используются такие инструменты, как консоли Локальная политика безопасности (Local Security Policy). Для управления параметрами одной или нескольких систем и сравнения текущего состояния конфигурации системы с требуемой конфигурацией применяются шаблоны безопасности, существующие еще с Windows-2000. Последним дополнением к набору средств управления конфигурацией безопасности являются политики безопасности, генерируемые Мастером настройки безопасности (Security Configuration Wizard). Ф а й л ы .xml на основе ролей определяют режимы запуска служб, правила брандмауэра, политики аудита и некоторые параметры реестра. Шаблоны безопасности внедряются политиками безопасности; шаблоны и политики безопасности развертываются с помощью групповой политики.
Изобилие доступных средств нередко затрудняет выбор оптимального метода управления безопасностью одной или нескольких систем. По возможности старайтесь использовать групповую политику для развертывания конфигурации безопасности. Объект G P O можно генерировать из политики безопасности на основе роли, генерируемой мастером настройки безопасности, который сам внедряет дополнительные параметры из шаблона безопасности. В созданный объект GPO можно вносить дополнительные изменения с помощью оснастки Редактор управления групповыми политиками (Group Policy Management Editor).
' 3 20 |
Параметры групповой политики |
Глава 7 |
Параметры, не контролируемые групповой политикой, конфигурируются на каждом сервере с помощью параметров безопасности локальных объектов GPO.
Практические занятия. Управление параметрами безопасности
В приведенных далее упражнениях предлагается осуществить управление параметрами безопасности посредством всех инструментов, о которых говорилось выше. Предварительно в службе каталогов домена contoso.com необходимо создать следующие объекты:
•подразделение первого уровня Администраторы;
•дочернее подразделение Группы администраторов в подразделении Администраторы;
•глобальная группа безопасности Удаленный рабочий стол S Y S _ D C в подразделении Администраторы\Группы администраторов (эта группа должна быть членом группы Пользователи удаленного рабочего стола (Remote Desktop Users), чтобы воспользоваться разрешениями доступа, необходимыми для подключения RDP-Tcp).
Вкачестве альтернативы группу Удаленный рабочий стол SYS _ DC можно добавить в список контроля доступа (ACL) подключения RDP-Tcp с помощью консоли Конфигурация служб терминалов (Terminal Services Configuration). Щелкните правой кнопкой мыши подключение RDP-Tcp, выполните команду Свойства (Properties), перейдите на вкладку Безопасность. (Security), щелкните кнопку Добавить (Add) и введите имя Удаленный рабочий cmon.SYS^DC. Дважды щелкните ОК, чтобы закрыть диалоговые окна.
Упражнение 1. Настройка локальной политики б е з о п а с н о с т и
В этом упражнении используется локальная политика безопасности, чтобы разрешить группе входить на контроллер домена SERV ER01 с помощью Удаленного рабочего стола (Remote Desktop). Локальная политика безопасности контроллера домена влияет только на отдельный контроллер домена и не реплицируется на другие контроллеры в домене.
1.Войдите на машину SERVER01 как администратор.
2.В группе Администрирование (Administrative Tools) откройте консоль Локальная политика безопасности (Local Security Policy).
3.Разверните узел Параметры безопасности\Локальные политики\Назначеиие прав пользователя (Security Settings\Local Policies\User Rights Assignment).
4.На панели сведений дважды щелкните параметр Разрешать вход в систему через службу терминалов (Allow Log On Through Terminal Services).
5. Щелкните кнопку Добавить пользователя или группу (Add User Or Group).
6.Введите имя группы С0ЫТ030\Удаленный рабочий стол SYS_DC и щелкните О К .
7.Вновь щелкните ОК.
- Занятие 2 |
Управление параметрами безопасности 3Q7 |
' Если вы хотите протестировать результат упражнения путем входа на контроллер домена как член группы Удаленный рабочий стол SYS_DC с помощью п о д к л ю ч е н и я удаленного рабочего стола, создайте учетную запись
• пользователя и добавьте ее в группу. Убедитесь, что группа является членом группы Пользователи удаленного рабочего стола (Remote Desktop Users) ,или хотя бы имеют разрешение на подключение RDP-Tcp, как описано ранее. Теперь удалите этот параметр, поскольку в последующих упражнениях вы будете управлять им с помощью других инструментов.
8. Дважды щелкните параметр Разрешать вход в систему через службу терминалов (Allow Log On T h r o u g h Terminal Services).
9. Выберите группу С 0 М Т 0 5 0 \ У д а л е н н ы й рабочий стол SYS_DC. 10. Щелкните Удалить (Remove) и О К .
Упражнение 2. Создание шаблона безопасности
Создайте шаблон безопасности, предоставляющий группе Удаленный рабочий стол S Y S _ D C п р а в о входа, с п о м о щ ь ю удаленного рабочего стола (Remote Desktop).
1. Войдите на м а ш и н у S E R V E R 0 1 как администратор.
2. В меню Пуск ( S t a r t ) щелкните команду Выполнить (Run). 3. Введите и м я ттс и н а ж м и т е клавишу Enter.
4. В меню Консоль (File) выберите команду Добавить или удалить оснастку ( A d d / R e m o v e Snap-in).
5. В списке |
Д о с т у п н ы е о с н а с т к и (Available Snap-ins) выберите оснастку |
Шаблоны |
безопасности (Security Templates) и щелкните Добавить (Add) |
и О К .
6.В меню Консоль (File) выберите команду Сохранить (Save) и сохраните консоль на рабочем столе под именем Управление безопасностью.
7. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и узел C:\Users\ A f l M H H H c r p a T o p \Documents\Security\Templates и выполните команду Создать шаблон (New Template).
8. Введите имя Удаленный рабочий стол DC и щелкните ОК.
9. В узле Рабочий стол DC разверните узел Локальные политики\Назначение прав пользователя (Local Policies\User Rights Assignment).
10.На панели сведений дважды щелкните параметр Разрешать вход в систему через службу терминалов (Allow Log On Through Terminal Services).
11.Установите флажок Определить следующие параметры политики в шаблоне (Define These Policy Settings In The Template).
12. Щ е л к н и т е к н о п к у Д о б а в и т ь пользователя или группу (Add User Or Group).
13.Введите имя группы CONTOSO\ydaneHHbtiрабочий стол SYS_DC и щелкните ОК.
14.Щелкните ОК .
- Занятие 2 Управление параметрами безопасности 3Q7
16. Установите ф л а ж о к В базе д а н н ы х (Database Setting) для администраторов и щ е л к н и т е О К . Т а к и м образом в базу данных будет добавлено право входа через с л у ж б ы т е р м и н а л о в д л я администраторов . Шаблон при этом не будет
изменен, как и т е к у щ а я |
к о н ф и г у р а ц и я |
компьютера. |
||
17. Щ е л к н и т е |
п р а в о й к н о п к о й м ы ш и узел |
Анализ |
и настройка безопасности |
|
( S e c u r i t y |
C o n f i g u r a t i o n |
A n d Analysis) |
и в ы п о |
л н и т е команду Сохранить |
(Save). Б а з а д а н н ы х б е з о п а с н о с т и будет сохранена вместе с параметрами, |
||
и м п о р т и р о в а н н ы м и из |
шаблона, |
и в н е с е н н ы м изменением, разрешающим |
в х о д а д м и н и с т р а т о р о в |
ч е р е з с л |
у ж б ы терминалов . На панели состояния |
п р и в ы б о р е к о м а н д ы С о х р а н и т ь отображается подсказка, где указано, что
вы с о х р а н я е т е ш а б л о н . Э т о |
н е к о р р е к т н а я подсказка. На самом деле вы |
|
сохраняете |
базу д а н н ы х . |
|
18. Щ е л к н и т е |
п р а в о й к н о п к о й |
м ы ш и узел Анализ и настройка безопасности |
(Security C o n f i g u r a t i o n And |
Analysis) и в ы п о л н и т е команду Экспорт шаб- |
|
лона ( E x p o r t Template) . |
|
|
19.В ы б е р и т е ш а б л о н Р а б о ч и й стол DC и щелкните кнопку Сохранить (Save). Таким о б р а з о м вы з а м е н я е т е в шаблоне, созданном в упражнении 2, пара-
метры, о п р е д е л |
е н н ы е в базе д а н н ы х оснастки Анализ и настройка безопас- |
ности (Security |
C o n f i g u r a t i o n And Analysis). |
20. З а к р о й т е и в н о в ь о т к р о й т е консоль Управление безопасностью, чтобы пол-
ностью о б н о в и т ь п а р а м е т р ы в |
оснастке Ш а б л о н ы безопасности (Security |
|
Templates). |
|
|
21. Р а з в е р н и т е |
ш а б л о н C:\Users\AflMHHHCTpaTop\Documents\Security\Temp- |
|
l a t e s \ У д а л е н н ы й р а б о ч и й стол |
DC и откройте папку Локальные политики\ |
|
Н а з н а ч е н и е |
прав п о л ь з о в а т е л я |
(Local Policies\User Rights Assignment). |
22. На п а н е л и с в е д е н и й д в а ж д ы щ е л к н и т е параметр Разрешать вход в систему через с л у ж б у т е р м и н а л о в (Allow Log On T h r o u g h Terminal Services).
23. Обратите в н и м а н и е на то, что в шаблоне безопасности обеим группам |
— |
А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) и Удаленный рабочий стол SYS_DC |
— |
разрешено в х о д и т ь |
через с л у ж б ы терминалов . |
24. Щ е л к н и т е п р а в о й |
к н о п к о й м ы ш и узел Анализ и настройка безопасности |
(Security Configuration And Analysis) и выполните команду Настроить компьютер ( C o n f i g u r e C o m p u t e r Now) .
25.Щ е л к н и т е О К , чтобы подтвердить путь к журналу ошибок. Параметры базы данных будут п р и м е н е н ы к серверу. Далее проверьте, изменены ли права пользователя .
26. В группе |
А д м и н и с т р и р о в а н и е |
( A d m i n i s t r a t i v e Tools) |
откройте консоль |
|
Л о к а л ь н а я |
п о л и т и к а безопасности (Local |
Security Policy). Если во время |
||
в ы п о л н е н и я этого у п р а ж н е н и я |
консоль |
была открыта, |
щелкните правой |
|
кнопкой м ы ш и узел П а р а м е т р ы безопасности (Security Settings) и выполните команду Перезагрузить (Reload) .
27. Разверните |
узел П а р а м е т р ы безопасности\Локальные . политики\Назна - |
чение прав |
п о л ь з о в а т е л я ( S e c u r i t y S e t t i n g s \ L o c a l Policies\User Rights |
Assignment). Д в а ж д ы щ е л к н и т е параметр Разрешать вход в систему через службу терминалов (Allow Log On Through Terminal Services).
- Занятие 2 |
Управление параметрами безопасности 3Q7 |
12.На вводной странице секции Параметры реестра (Registry Settings) щелкните Далее (Next).
13.Щелкайте Далее (Next) на каждой странице секции Параметры реестра. Проанализируйте, но не изменяйте параметры. На странице Сводка параметров реестра (Registry Settings Summary) просмотрите заданные параметры и щелкните Далее (Next).
14.На вводной странице секции Политика аудита (Audit Policy) щелкните Далее (Next).
15.На странице Политика аудита системы (System Audit Policy) просмотрите, но не изменяйте параметры. Щелкните Далее (Next).
16.На странице Сводка политики аудита (Audit Policy Summary) проанализируйте параметры в столбцах Текущее значение (Current Setting) и Параметр политики (Policy Setting). Щелкните Далее (Next).
17.На вводной странице секции Сохранение политики безопасности (Save Security Policy) щелкните Далее (Next).
18.В текстовое поле И м я файла политики безопасности (Security Policy File Name) введите имя Политика безопасности DC.
19.Щелкните кнопку Включение шаблонов безопасности (Include Security Templates).
20.Щелкните Добавить (Add).
21.Локализуйте шаблон Удаленный рабочий стол DC, созданный в упражнении 2, который находится в папке Documents\Security\Templates. Выбрав шаблон, щелкните Открыть (Open),
22.Щелкните ОК, чтобы закрыть диалоговое окно Включение шаблонов безопасности (Include Security Templates).
23.Щелкните кнопку Просмотр политики безопасности (View Security Policy), чтобы просмотреть параметры в политике безопасности. Вам будет предложено подтвердить использование элемента управления ActiveX. Щелкните Да (Yes). Просмотрев параметры политики, закройте окно, а затем щелкните Далее (Next).
24.Выберите опцию Применить позже (Apply Later) и щелкните Далее (Next).
25.Щелкните Готово (Finish).
У п р а ж н е н ие 5. Преобразование политики безопасности мастера в групповую политику
Преобразуйте политику безопасности, созданную в упражнении 4, в объект групповой политики GPO, который затем можно развернуть на компьютерах
спомощью групповой политики.
1.Войдите на машину SERVER01 как администратор.
2.Откройте окно командной строки.
3.Введите команду cd c:\windows\security\msscw\policies и нажмите клавишу Enter.
' 3 2 6 |
Параметры групповой политики |
Глава 7 |
4. Введите команду scwcmd transform/? и нажмите клавишу Enter.
5. Введите команду scwcmd transform /р: "Политика безопасности DC.xml"/g: "Политика безопасности DC" и нажмите клавишу Enter.
6. В группе Администрирование (Administrative Tools) откройте консоль Управление групповой политикой (Group Policy Management) .
7. В дереве консоли разверните узлы Лес (Forest), Д о м е н ы (Domains), домен contoso.com и откройте папку Объекты групповой п о л и т и к и ( G r o u p Policy Objects).
8. Выберите объект групповой политики Политика безопасности DC, созданный командой Scwcmd.exe.
9.Перейдите на вкладку Параметры (Settings), чтобы просмотреть параметры GPO.
10.В секции Параметры безопасности (Security Settings) щелкните ссылку Показать (Show).
11.В секции Локальные политики/Параметры безопасности (Local Policies/ Security Settings) щелкните ссылку Показать (Show) .
12.Убедитесь, что группам Администраторы (Administrators) в папке BUILTIN
иС0№ГО5О\Удаленный рабочий стол S Y S _ D C предоставлено разрешение Разрешать вход в систему через службу терминалов (Allow Log On Through Terminal Services).
Этот объект GPO не будет применен к контроллеру домена, поскольку он не связан с подразделением Domain Controllers. Выполняя упражнение, не связывайте GPO с доменом, сайтом или подразделением. В производственной среде нужно потратить много времени на анализ, настройку и тестирование параметров безопасности в политике безопасности, прежде чем развернуть ее в качестве объекта G P O на производственных контроллерах домена.
Резюме
• Параметры безопасности к о н ф и г у р и р у ю т с я на отдельном компьютере с помощью локального объекта групповой политики, который можно редактировать в оснастке Редактор объектов групповой политики (Group Policy Object Editor) и консоли Локальная политика безопасности (Local Security Policy).
•Параметры безопасности определяются в ш а б л о н е безопасности с помощью оснастки Шаблоны безопасности (Security Templates). Шаблоны безопасности могут определять множество параметров, связанных с безопасностью.
•База данных создается с помощью шаблонов безопасности в оснастке Анализ и настройка безопасности (Security Configuration Arid Analysis). Затем оснастка может проанализировать систему и определить отличие между текущими параметрами компьютера и параметрами, указанными в базе данных. Оснастка также может применить параметры базы данных к компьютеру или экспортировать параметры базы данных в шаблон безопасности.
- Занятие 2 |
|
|
Управление |
параметрами |
безопасности |
3Q7 |
|||
• |
У т и л и т а |
к о м а н д н о й |
с т р о к и Secedit.exe в ы п о л н я е т и расширяет функции |
||||||
|
о с нас т к и |
А н а л и з и |
н а с т р о й к а б е з о п а с н о с т и |
(Security |
Configuration |
And |
|||
|
Analysis). |
|
|
|
|
|
|
|
|
• |
П о л и т и к и б е з о п а с н о с т и п р е д с т а в л я ю т собой |
шаблоны параметров, создан- |
|||||||
|
н ы е М а с т е р о м н а с т р о й к и б е з о п а с н о с т и (Security Configuration Wizard), |
||||||||
|
к о т о р ы й о п р е д е л я е т р е ж и м ы запуска служб, правила брандмауэра, некото- |
||||||||
|
рые п а р а м е т р ы реестра и п о л и т и к и |
аудита. Мастер настройки безопасности |
|||||||
|
создает п о л и т и к и б е з о п а с н о с т и на |
основе |
р о л е й сервера. |
|
|||||
• |
П о л и т и к а безопасности м о ж е т содержать параметры шаблона безопасности. |
||||||||
|
В случае к о н ф л и к т а п а р а м е т р о в приоритет получают параметры в политике |
||||||||
|
безопасности . |
|
|
|
|
|
|
|
|
• |
У т и л и т а |
к о м а н д н о й |
с т р о к и Scwcmd.exe в ы п о л н я е т и расширяет функции |
||||||
|
М а с т е р а |
н а с т р о й к и |
б е з о п а с н о с т и |
( S e c u r i t y Configuration Wizard). |
|
||||
• |
Ш а б л о н |
б е з о п а с н о с т и |
м о ж н о и м п о р т и р о в а т ь в объект |
GPO . |
|
||||
• |
С п о м о щ ь ю к о м а н д ы |
Scwcmd.exe transform |
политику безопасности можно |
||||||
|
п р е о б р а з о в а т ь в о б ъ е к т G P O . |
|
|
|
|
|
|||
Закрепление материала
Приведенные д а л е е в о п р о с ы п р е д н а з н а ч е н ы для проверки знаний, полученных на з а н я т и и 2 (эти в о п р о с ы с о д е р ж а т с я и на сопроводительном компакт-диске).
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант является правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Н е о б х о д и м о |
р а з в е р н у т ь п а р а м е т р ы безопасности |
на множестве |
серверов |
с п о м о щ ь ю |
г р у п п о в о й п о л и т и к и . Э т и параметры |
применяются |
к правам |
пользователя, о т к о н ф и г у р и р о в а н н ы м и проверенным на сервере в тестовой среде. К а к о й и н с т р у м е н т следует использовать?
A. |
Л о к а л ь н а я п о л и т и к а безопасности (Local Security Policy). |
Б. |
Анализ и н а с т р о й к а безопасности (Security Configuration And Analysis). |
B. |
М а с т е р н а с т р о й к и безопасности (Security Configuration Wizard). |
Г. |
Ш а б л о н ы б е з о п а с н о с т и ( S e c u r i t y Templates). |
2. Н у ж н о р а з в е р н у т ь п а р а м е т р ы безопасности на множестве серверов с помо- щ ь ю групповой политики . Эти п а р а м е т р ы требуются для настройки служб, п р а в и л б р а н д м а у э р а и п о л и т и к аудита на серверах печати и файловых серверах на предприятии . К а к о й инструмент лучше всего использовать для в ы п о л н е н и я этой з а д а ч и ?
A. |
Л о к а л ь н а я п о л и т и к а безопасности (Local Security Policy). |
Б. |
Анализ и настройка безопасности (Security Configuration And Analysis). |
B. |
Мастер н а с т р о й к и безопасности (Security Configuration Wizard). |
Г. |
Ш а б л о н ы безопасности (Security Templates). |