Управление политикой назначения прав пользователей.

Откроем: сочетание клавиш «Win+R» → ввод команды «secpol.msc» в появившемся окне «Выполнить» → В открывшейся оснастке «Локальные политики безопасности» перейдем в узел «Локальные политики» → Перейдем в параметр «Назначение прав пользователя».

Пользователю ИС должны быть назначены права администратором в соответствии с его ролью в бизнес-процессе.

Избежать проблем безопасности помогают настройки параметров локальных политик безопасности «Назначения прав пользователя». При помощи указанных политик можно определять для каких пользователей и/или групп пользователей предоставлены права и привилегии в ИС для выполнения делегированных им ролей в бизнес-процессе, что существенно повышает безопасность системы в целом.

Добавление рабочих станций к домену. Эта политика отвечает за разрешение пользователям или группам добавлять компьютеры в домен Active Directory. Пользователь, обладающий данными привилегиями, может добавить в домен до десяти компьютеров. По умолчанию, все пользователи, прошедшие проверку подлинности, на контроллерах домена могут добавлять до десяти компьютеров.

В соответствии с рекомендациями, необходимо настраивать этот параметр так, чтобы только авторизованные пользователи смогли добавлять устройства в домен.

Добавим администратора системы в эту политику (Рисунки 31.1 – 31.2).

Рисунок 31.1 — Выбор добавляемого объекта в политику.

Рисунок 31.2 — Добавленный администратор системы в политику.

Доступ к компьютеру из сети. Данная политика безопасности отвечает за разрешение подключения к компьютеру по сети указанным пользователям или группам. На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы» и «Операторы архивации», «Пользователи» и «Все».

Для предотвращения атак злоумышленников из сети, доступ к сети предоставим только администраторам (Рисунок 32).

Рисунок 32 — Настройка политика «Доступ к компьютера по сети».

Завершение работы системы. Используя этот параметр политики, можно составить список пользователей, которые имеют право на использование команды «Завершение работы» после удачного входа в систему. На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы», «Операторы архивации» и «Пользователи» (только на рабочих станциях).

Так как завершение работы системы является операцией, которая может серьезно повлиять на работоспособность системы, то удалим все группы пользователей, кроме группы «Администраторы» из списка тех групп, которые могут выполнять данное действие (Рисунок 33).

Рисунок 33 — Настройка политика «Завершение работы системы».

Запретить вход в систему через службу удаленных рабочих столов. При помощи данной политики безопасности вы можете ограничить пользователей или группы от входа в систему в качестве клиента удаленных рабочих столов. По умолчанию, как на рабочих станциях, так и на серверах, всем разрешено входить в систему как клиенту удаленных рабочих столов.

Так как вход в систему через службу терминалов является операцией, которая может серьезно повлиять на работоспособность системы, то удалим группу «Удаленные пользователи рабочего стола» из списка тех групп, которые могут выполнять данное действие (Рисунок 34).

Рисунок 34 — Настройка политика «Запретить вход в систему через службу удаленных рабочих столов».

Запретить локальный вход. Данная политика запрещает отдельным пользователям или группам выполнять вход в систему. По умолчанию всем пользователям разрешен вход в систему.

Удалим все группы из данной политики, кроме группы «Администраторы».

Рисунок 35 — Настройка политика «Запретить локальный вход».

Изменение системного времени. Эта политика отвечает за изменение системного времени. Предоставив данное право пользователям или группам, вы тем самым кроме разрешения изменения даты и времени внутренних часов позволите им изменять соответствующее время отслеживаемых событий в Журнале событий. На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы» и «Локальная служба».

Так как изменение системного времени является операцией, которая может серьезно повлиять на работоспособность системы, то удалим все ненужные группы пользователей из списка тех групп, которые могут выполнять данное действие. Оставим только группу «Администраторы». (Рисунок 36).

Рисунок 36 — Настройка политика «Изменение системного времени».