- •Практичне заняття № 3
- •1. Основні поняття
- •2. Політики облікових записів і локальні політики
- •2.1. Політики облікових записів
- •2.2. Локальні політики
- •3. Засоби управління налагодженням безпеки.Шаблони безпеки
- •3.1. Загальні відомості про оснащення «Шаблоны безопасности»
- •3.2. Нові й готові шаблони
- •3.3. Готові шаблони безпеки
- •3.4. Безпека за умовчанням (Setupsecurity.Inf)
- •3.5. Сумісний (Compatws.Inf)
- •3.6. Захист (Secure*.Inf)
- •3.7. Підвищений захист (Hisec*.Inf)
- •3.8. Безпека системного кореневого каталогу (Rootsec.Inf)
- •3.9. Відсутність sid користувача серверу терміналів (Notssid.Inf)
- •Умовні позначення форматування в описах команд
- •5. Аналіз безпеки
- •6. Налагодження системи безпеки
- •Описи параметрів безпеки
- •7. Автоматизація задач налагодження системи безпеки Програма Secedit.Exe
- •1.2. Використання інтерфейсу Windows
3.1. Загальні відомості про оснащення «Шаблоны безопасности»
За допомогою оснащення Шаблоны безопасности можна створити політику безпеки для комп'ютера або мережі. Використовуючи це єдине оснащення, можна управляти всією безпекою системи. Оснащення Шаблоны безопасности не надає нових параметрів безпеці, а просто упорядковує і надає зручний доступ до всіх наявних атрибутів безпеки для спрощення адміністрування.
При імпорті шаблона безпеки в об'єкт групової політики полегшується адміністрування домена, оскільки безпека настроюється для домена або підрозділу лише один раз.
Щоб застосувати шаблон безпеки на локальному комп'ютері, можна використовувати засіб Анализ и настройка безопасности.
Шаблони безпеки можна використовувати, щоб визначити представлені далі елементи.
Усі шаблони зберігаються в текстових файлах з розширенням .inf. Це дає можливість копіювати, вставляти, імпортувати і експортувати будь-які атрибути шаблона. В шаблоні безпеки можуть зберігатися всі атрибути безпеки, за виключенням політик безпеки IP і політик відкритого ключа.
3.2. Нові й готові шаблони
Можна створювати відповідні вимогам користувача шаблони безпеки або використовувати готові шаблони. Перед зміною параметрів безпеки необхідно визначити параметри безпеки системи, що використовуються за умовчанням, а також їх призначення.
Існує декілька готових шаблонів, які рекомендується використовувати для захисту системи залежно від потреб конкретного користувача.
3.3. Готові шаблони безпеки
Готові шаблони безпеки є відправним пунктом у створенні політик безпеки, які настроюються, щоб задовольняти організаційним вимогам. Шаблони можна настроювати за допомогою оснащення Шаблоны безопасности. Після налагодження готових шаблонів безпеки ці шаблони можна використовувати для зміни конфігурації одного комп'ютера або багатьох комп'ютерів. Змінити конфігурацію комп'ютерів можна за допомогою оснащення Анализ и настройка безопасности, засобу Secedit.exe, що працює з командного рядка, а також за допомогою імпорту шаблона в оснащення Локальная политика безопасности. Можна змінювати конфігурацію декількох комп'ютерів, імпортувавши шаблон в компонент Параметри безпеки, є розширенням оснащення Групповая политика. На основі шаблонів безпеки можна також виконувати аналіз можливих слабких місць безпеки і порушень політики системи за допомогою оснащень Анализ и настройка безопасности. За умовчанням готові шаблони безпеки збережені в розташуванні:
системний_кореневий_каталог\Security\Templates
3.4. Безпека за умовчанням (Setupsecurity.Inf)
Шаблон Setup security.inf є шаблоном для конкретного комп'ютера і містить параметри безпеки, що використовуються за умовчанням, які застосовуються під час установки операційної системи, включаючи дозволи для файлів кореневого каталогу системного диска. Цей шаблон можна використовувати повністю або частково з метою аварійного відновлення. Шаблон Setup security.inf не можна застосовувати за допомогою оснащення Групповая политика.
3.5. Сумісний (Compatws.Inf)
Дозволи за умовчанням для робочих станцій і серверів спочатку створюються для їх локальних груп: Администраторы, Опытныепользователи і Пользователи. Члени групи Администраторы володіють найбільшими правами, тоді як члени групи Пользователи– найменшими. З цієї причини можна значно підвищити безпеку, надійність і знизити загальну вартість володіння системою, якщо дотримуватися наступних правил:
переконатися, що кінцеві користувачі є членами групи Пользователи;
впровадити додатки, які можуть успішно запускатися і виконуватися членами групи Пользователи.
Особи, що володіють правами групи Пользователи можуть успішно працювати з додатками, сертифікованими для Windows. Проте такі користувачі швидше за все не зможуть запускати не сертифіковані для Windows додатку. Для забезпечення підтримки не сертифікованих додатків існує дві можливості.
Усі члени групи Пользователи повинні також бути членами групи Опытные пользователи.
Використовувати додаткові дозволи за умовчанням, створені для групи Пользователи.
Оскільки члени групи Опытные пользователи володіють успадкованими можливостями, такими як створення користувачів, груп, принтерів і загальних ресурсів, деякі адміністратори вважають за краще надати додаткові дозволи групі Пользователи замість зарахування кінцевих користувачів в групу Опытные пользователи. Для цієї мети слугує шаблон Совместимый. За допомогою його змінюються дозволи для файлів і реєстру, що використовуються за умовчанням, створені для групи Пользователи і відповідні вимогам більшості не сертифікованих додатків. Крім того, оскільки після застосування сумісного шаблона користувачі не повинні приєднуватися до групи Опытные пользователи, всі члени групи Опытные пользователи видаляються.
Додаткові відомості про програму сертифікації для Windows доступні на веб-вузлі Microsoft. (http://msdn.microsoft.com)
Сумісний шаблон не можна застосовувати до комп'ютерів, які є контролерами домена. Наприклад, не треба імпортувати сумісний шаблон в стандартний домен або в об'єкт групової політики стандартного контролера домена.