На этой странице
Введение
Предварительные требования
Установка исправлений для управления рабочими станциями и Windows Small Business Server 2003
Обновление существующих объектов групповой политики
Настройка параметров центра обеспечения безопасности
Настройка параметров брандмауэра Windows
Настройка параметров безопасности обозревателя Internet Explorer
Настройка параметров управления связью через Интернет
Настройка параметров доступа DCOM
Настройка параметров удаленного вызова процедур (RPC)
Дополнительная информация
Введение
Параметры групповой политики применяются на основании внедренной в Вашей организации службы каталогов Microsoft Active Directory и помогают защитить ИТ-среду при помощи стандартных параметров конфигурации для пользователей и компьютеров. Новые параметры сетевой защиты, входящие в состав групповой политики для Microsoft Windows XP с пакетом обновления 2 (SP2), включают в себя:
Брандмауэр Windows. Настраивая данные параметры политики, можно включать или отключать брандмауэр, управлять исключениями для программ и портов, а также задать исключения для определенных сценариев, таких как удаленное администрирование целевых компьютеров.
Обозреватель Internet Explorer. При помощи новых параметров политики Вы можете настраивать параметры безопасности обозревателя Internet Explorer. Более того, при помощи данных параметров Вы можете включить или отключить функции безопасности Internet Explorer для различных процессов.
Управление связью через Интернет. Вы можете настраивать данные параметры, чтобы управлять способами взаимодействия различных компонентов Windows XP SP2 через Интернет, в том числе участвующих в обмене информацией между компьютерами в организации и сети Интернет.
Безопасность DCOM. При помощи данных параметров Вы можете управлять параметрами безопасности объектов DCOM (Distributed Component Object Model). Инфраструктура DCOM включает в себя новые ограничения управления доступом, которые помогают свести к минимуму угрозы безопасности, вызванные сетевыми атаками.
Центр обеспечения безопасности. При помощи данных параметров Вы можете централизованно управлять центром обеспечения безопасности Windows. Центр обеспечения безопасности является новой функцией Windows XP SP2, которая позволяет осуществлять мониторинг компьютеров в Вашей организации, контролировать использование текущих обновлений безопасности и уведомлять пользователей в случае угрозы безопасности.
Удаленный вызов процедур (RPC). Вы можете настраивать параметры политики RPC для запрета анонимного доступа к RPC-интерфейсам компьютерам, а также для предотвращения анонимного доступа к интерфейсу сопоставителя конечных точек RPC.
Данный документ описывает использование параметров групповой политики для защиты клиентских компьютеров под управлением ОС Windows XP SP2 от угроз в сети.
Полный список рекомендованных настроек доступен по следующему адресу:
Настройка объектов групповой политики (Group Policy objects, GPO) выполняется в домене Active Directory. Некоторые из этих задач необходимо выполнять на контроллере домена, но, как правило, они выполняются на клиентском компьютере под управлением ОС Windows XP SP2 с установленными средствами управления Active Directory.
Примечание. Для получения дополнительной информации о развертывании GPO обратитесь к следующему документу:
Для настройки сетевой защиты в среде Active Directory необходимо выполнить следующие задачи:
Установка исправлений для управления рабочими станциями
Обновление существующих объектов групповой политики
Настройка параметров центра обеспечения безопасности
Настройка параметров брандмауэра Windows
Настройка параметров обозревателя Internet Explorer
Настройка параметров управления связью через Интернет
Настройка параметров доступа DCOM
Настройка параметров удаленного вызова процедур (RPC)
Важно. Инструкции в данном документе разработаны исходя из того, что Вы используете настройки меню Пуск по умолчанию. Если Вы изменяли настройки меню Пуск, некоторые шаги могут незначительно отличаться.
Для получения описаний терминов безопасности обратитесь к следующему документу:
Наверх страницы
Предварительные требования
ОС Windows XP SP2 может использоваться в качестве клиента домена Active Directory, использующего контроллер домена под управлением любых версий следующих операционных систем:
Microsoft Windows Server 2003
Microsoft Windows Small Business Server 2003
Microsoft Windows 2000 Server SP 3 и выше
Перед установкой исправлений убедитесь в том, что Вы сделали резервную копию системы, включая реестр.
Для получения дополнительной информации о резервном копировании реестра обратитесь к следующему документу:
Наверх страницы
Установка исправлений для управления рабочими станциями и Windows Small Business Server 2003
Если Вы управляете параметрами объектов групповой политики на компьютерах с установленными предыдущими версиями операционных систем или пакетов обновления (например, Windows XP с Пакетом обновления 1 или Windows Server 2003), то для того чтобы параметры политики правильно отображались в редакторе объектов групповой политики, Вам необходимо установить исправление KB842933.
Если Вы используете ОС Windows Small Business Server 2003 (SBS 2003), необходимо установить дополнительное исправление KB872769, так как по умолчанию SBS 2003 отключает Брандмауэр Windows. Данное исправление решает эту проблему.
Примечание. Данные исправления не распространяются через службу Windows Update, поэтому Вам необходимо установить их вручную.
Исправление KB842933 применяется для следующих ОС:
Microsoft Windows Server 2003, Web Edition
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, 64-Bit Enterprise Edition
Microsoft Windows XP Professional SP1
Microsoft Windows Small Business Server 2003, Premium Edition
Microsoft Windows Small Business Server 2003, Standard Edition
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Server
Microsoft Windows 2000 Professional
Исправление KB872769 применяется для следующих ОС:
Microsoft Windows Small Business Server 2003, Standard Edition
Microsoft Windows Small Business Server 2003, Premium Edition
Примечание. Для получения данных исправлений и дополнительной информации обратитесь к следующим документам:
Требования для выполнения установки исправлений
Учетные данные: Вы должны войти в систему на клиентском компьютере в качестве участника группы безопасности Администраторы домена или Локальные администраторы.
Средства: необходимо загрузить соответствующие исправления для Вашей ОС, согласно статьям 842933 и 872769 базы знаний.
Установка исправления 842933 для Windows Small Business Server 2003, Windows 2000 Server SP 3 и выше, Windows XP SP 1 или Windows Server 2003
Чтобы установить исправление, выполните следующие действия:
Нажмите кнопку Пуск, выберите меню Выполнить, введите путь и имя файла загруженного исправления и нажмите кнопку ОК.
На странице приветствия мастера установки исправления нажмите кнопку Далее.
На странице Лицензионное соглашение установите переключатель в значение Принимаю и затем нажмите кнопку Далее.
Для завершения установки и перезагрузки компьютера нажмите кнопку Готово на странице завершения мастера установки исправления.
Повторите шаги, указанные выше, для всех компьютеров, нуждающихся в данном исправлении (серверов и рабочих станций администраторов).
Установка исправления 872769 для Windows Small Business Server 2003
Чтобы установить исправление, выполните следующие действия:
Нажмите кнопку Пуск, выберите меню Выполнить, введите путь и имя файла загруженного исправления 872769 и нажмите кнопку ОК.
На странице приветствия мастера установки исправления нажмите кнопку Далее.
На странице Лицензионное соглашение установите переключатель в значение Принимаю и затем нажмите кнопку Далее.
Для завершения установки и перезагрузки компьютера нажмите кнопку Готово на странице завершения мастера установки исправления.
Наверх страницы
Обновление существующих объектов групповой политики
В административные шаблоны ОС Windows XP SP2 добавлены дополнительные параметры. Для настройки этих параметров все GPO должны быть обновлены при помощи новых административных шаблонов Windows XP SP2. В противном случае параметры настройки брандмауэра Windows будут недоступны.
Вы можете обновить объекты GPO при помощи консоли управления (MMC) с установленной оснасткой Редактор объекта групповой политики на компьютерах под управлением ОС Windows XP SP2.
После обновления объектов GPO Вы сможете настраивать параметры сетевой защиты для компьютеров под управлением ОС Windows XP SP2.
Требования для выполнения данной задачи
Учетные данные: Вы должны войти в систему на компьютере под управлением ОС Windows XP SP2, входящем в домен, в качестве участника группы безопасности Администраторы домена или Создатели-Владельцы групповой политики.
Средства: Консоль управления Microsoft (Microsoft Management Console, MMC) с установленной оснасткой Редактор объектов групповой политики.
Обновление объектов групповой политики
Для обновления объектов групповой политики выполните следующие действия:
Нажмите кнопку Пуск, выберите меню Выполнить, введите mmc и затем нажмите кнопку ОК.
В меню Консоль выберите пункт Добавить или удалить оснастку.
На вкладке Изолированная оснастка нажмите кнопку Добавить.
В списке Доступные изолированные оснастки выберите оснастку Редактор объекта групповой политики и нажмите кнопку Добавить.
В диалоговом окне Выбор объекта групповой политик нажмите кнопку Обзор.
Рисунок 1 – Выбор объекта групповой политики
В диалоговом окне Поиск объекта групповой политики укажите объект GPO, который необходимо обновить для использования новых параметров брандмауэра Windows.
Нажмите кнопку ОК и затем кнопку Готово для завершения работы мастера групповой политики. Тем самым Вы примените новые административные шаблоны к выбранным объектам GPO.
В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть.
В диалоговом окне Добавить или удалить оснастку нажмите кнопку ОК.
Закройте консоль управления, выбрав пункт Выход в меню Консоль. Не сохраняйте изменения параметров консоли.
Примечание. Хотя параметры консоли не были изменены, описанные выше действия импортируют новые административные шаблоны ОС Windows XP SP2 в указанные объекты GPO. Шаблоны необходимо импортировать во все указанные объекты GPO.
Повторите вышеприведенные шаги для всех объектов GPO, групповые политики которых применяются для компьютеров под управлением ОС Windows XP SP2.
Примечание. Для обновления объектов GPO в сетевой среде использующей службу каталогов Active Directory и ОС Windows XP SP1, Microsoft рекомендует использовать Консоль управления групповой политикой, доступную для свободной загрузки. Для получения дополнительной информации обратитесь к следующему документу:
Наверх страницы
Настройка параметров центра обеспечения безопасности
Центр обеспечения безопасности – это новая служба ОС Windows XP SP2, которая обеспечивает единую точку настройки параметров безопасности, предоставляет дополнительную информацию о безопасности компьютера и позволяет контролировать соответствие клиентских компьютеров текущим требованиям безопасности, рекомендованным Microsoft.
В доменной среде Windows Вы можете использовать групповую политику для включения Центра обеспечения безопасности, с целью проводить мониторинг клиентских компьютеров на предмет того, что установлены новейшие обновления безопасности, а также для того чтобы уведомлять пользователей в случае угрозы для их компьютеров.
Служба Центр обеспечения безопасности запускается как фоновый процесс и проверяет состояние следующих компонентов на пользовательском компьютере:
Брандмауэр. Центр обеспечения безопасности проверяет, включен ли брандмауэр Windows, а также наличие других программных брандмауэров. Для проверки других брандмауэров центр обеспечения безопасности формирует запросы к специальным поставщикам инструментария управления Windows (Windows Management Instrumentation, WMI), которые доступны для разработчиков ПО.
Защита от вирусов. Центр обеспечения безопасности проверяет наличие антивирусного ПО. Для этого центр обеспечения безопасности формирует запросы к специальным поставщикам инструментария управления Windows, которые доступны для разработчиков ПО. Если необходимая информация доступна, центр обеспечения безопасности также проверяет наличие установленных обновлений и статус антивирусного сканера.
Автоматическое обновление. Центр обеспечения безопасности проверяет соответствие настроек автоматического обновления заданным параметрам, которые обеспечивают автоматическую загрузку и установку критических обновлений на клиентские компьютеры. Если автоматическое обновление отключено или не соответствует заданным параметрам, центр обеспечения безопасности отображает соответствующие рекомендации.
Если какие-либо из этих компонентов отсутствуют или не соответствуют Вашей политике безопасности, центр обеспечения безопасности уведомляет пользователя при помощи красного значка в области уведомлений на панели задач, а также выводит предупреждение при входе в систему. Предупреждение содержит ссылку на центр обеспечения безопасности, который предоставляет информацию о проблеме и рекомендации по ее решению.
Если Вы используете брандмауэр или антивирусное ПО, которые не определяются центром обеспечения безопасности, Вы можете отменить вывод предупреждений для этих компонентов.
Вы можете использовать параметры групповой политики для централизованного управления параметрами центра обеспечения безопасности на компьютерах в домене Windows.
Если параметр групповой политики Включить «Центр обеспечения безопасности» (только для компьютеров в домене) включен, это означает, что центр обеспечения безопасности наблюдает за основными параметрами безопасности (брандмауэр, антивирус и автоматическое обновление) и уведомляет пользователей, если их компьютеры подвержены опасности. По умолчанию параметр Включить «Центр обеспечения безопасности» (только для компьютеров в домене) не задан, т. е. отключен. Если центр обеспечения безопасности отключен, то ни уведомления, ни раздел состояния не отображаются.
Требования для выполнения данной задачи
Учетные данные: Вы должны войти в систему на компьютере под управлением ОС Windows XP SP2, входящем в домен в качестве участника группы безопасности Администраторы домена и открыть необходимый объект групповой политики.
Средства: Консоль управления Microsoft (Microsoft Management Console, MMC) с установленной оснасткой Редактор объекта групповой политики.
Настройка параметров Центра обеспечения безопасности
Используйте эти параметры, чтобы разрешить пользователям клиентских компьютеров под управлением ОС Windows XP SP2 использовать центр обеспечения безопасности для наблюдения за состоянием брандмауэра, антивирусного ПО и автоматического обновления.
Для настройки параметров центра обеспечения безопасности выполните следующие действия:
Нажмите кнопку Пуск, выберите меню Выполнить, введите mmc и затем нажмите кнопку ОК.
В меню Консоль выберите пункт Добавить или удалить оснастку.
На вкладке Изолированная оснастка нажмите кнопку Добавить.
В списке Доступные изолированные оснастки выберите оснастку Редактор объекта групповой политики и нажмите кнопку Добавить.
В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор.
Укажите объект GPO из списка, который необходимо настроить. Нажмите кнопку ОК и затем нажмите кнопку Готово, чтобы закрыть мастер групповой политики.
В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть, затем нажмите кнопку ОК, чтобы закрыть диалоговое окно.
В дереве консоли последовательно откройте разделы Конфигурация компьютера, Административные шаблоны, Компоненты Windows и затем Центр обеспечения безопасности.
Рисунок 2 – Параметры центра обеспечения безопасности
Дважды щелкните параметр Включить «Центр обеспечения безопасности» (только для компьютеров в домене), установите переключатель в положение Включен и нажмите кнопку ОК.
Обновление конфигурации при помощи средства GPUpdate
Средство GPUpdate обновляет параметры групповой политики службы каталогов Active Directory, в том числе параметры безопасности. После настройки групповой политики Вы можете подождать, пока настройки применятся к клиентским компьютерам в течение стандартного цикла обновлений. По умолчанию обновления применяются каждые 90 минут со случайным сдвигом в 30 минут.
Для обновления групповой политики вручную используйте средство GPUpdate.
Запуск GPUpdate
Для запуска GPUpdate выполните следующие действия:
Нажмите кнопку Пуск и выберите меню Выполнить.
В текстовом поле Открыть введите cmd и нажмите кнопку ОК.
Примечание. Для получения полного описания доступных параметров средства GPUpdate обратитесь к следующему документу:
В командной строке введите GPUpdate и затем нажмите клавишу ENTER.
Рисунок 3 – Запуск из командной строки GPUpdate
Чтобы закрыть окно командной строки, введите Exit и нажмите клавишу ENTER.
Проверка применения параметров центра обеспечения безопасности
Для проверки того, что параметры центра обеспечения безопасности применились выполните следующие действия:
Нажмите кнопку Пуск и щелкните Панель управления.
На странице Выберите категорию щелкните значок Центр обеспечения безопасности.
Убедитесь в том, что центр обеспечения безопасности запущен.
Примечание. Если параметры конфигурации не применились, необходимо выявить неисправность в работе групповой политики. Для выявления неисправности групповой политики обратитесь к следующему документу:
Наверх страницы
Настройка параметров брандмауэра Windows
Параметры брандмауэра Windows сосредоточены в трех разделах:
Разрешать обход для прошедших проверку IPSec. Данный параметр применяется, когда организация использует протокол IPSec для защиты трафика совместно с включенным брандмауэром Windows.
Профиль домена. Данные параметры применяются на компьютерах, подключенными к домену, к сети, в которой находится контроллер этого домена.
Стандартный профиль. Данные параметры применяются компьютерами, не подключенными к сети, например, когда Вы путешествуете с ноутбуком.
Если Вы не настроите параметры стандартного профиля, будут использованы значения по умолчанию. Корпорация Microsoft рекомендует настраивать параметры как профиля домена, так и стандартного профиля, и включить брандмауэр Windows для обоих профилей. Исключение составляет случай, когда Вы уже используете брандмауэр стороннего производителя.
Если Вы уже используете брандмауэр стороннего производителя, корпорация Microsoft рекомендует отключить брандмауэр Windows.
Если Вы решите отключить Брандмауэр Windows во всей сети предприятия, на котором используются различные версии ОС Windows XP SP2, Windows XP SP1 и Windows XP без установленных пакетов обновления, Вам необходимо настроить следующие параметры групповой политики:
Запретить использование брандмауэра подключения к Интернету в сети DNS-домена – установите в значение Включен
Профиль домена – Брандмауэр Windows: Защитить все сетевые подключения – установите в значение Отключен
Стандартный профиль – Брандмауэр Windows: Защитить все сетевые подключения – установите в значение Отключен
Примечание. Данные настройки стандартного профиля гарантируют, что брандмауэр Windows не будет использоваться, вне зависимости от того, подключен ли компьютер к сети организации или нет. Чтобы не использовать брандмауэр Windows в сети организации, но использовать его, когда компьютер отключен от сети, измените значение параметра на Включен.
Параметры стандартного профиля, как правило, содержат больше ограничений, чем профиль домена, так как параметры стандартного профиля не содержат настроек приложений и служб, которые используются только в управляемой среде домена.
В объекте GPO профиль домена и стандартный профиль содержатся в одном и том же разделе настроек параметров брандмауэра Windows. ОС Windows XP SP2 определяет тип сетевого окружения для использования соответствующего профиля.
Примечание. Для получения дополнительной информации об определении типа сетевого окружения обратитесь к документу:
Данный раздел описывает доступные параметры брандмауэра Windows в объекте GPO, а также рекомендованные параметры для корпоративной сети, и демонстрирует, как включить четыре типа параметров.
Требования для выполнения данной задачи
Учетные данные: Вы должны войти в систему на компьютере под управлением ОС Windows XP SP2, входящем в домен, в качестве участника группы безопасности Администраторы домена и открыть объект групповой политики, который Вы изменяли в предыдущей задаче.
Средства: Консоль управления Microsoft (Microsoft Management Console, MMC) с установленной оснасткой Редактор объектов групповой политики.
Примечание. Чтобы открыть объект GPO, используйте либо консоль управления с установленной оснасткой Редактор объектов групповой политики, либо оснастку Active Directory – Пользователи и компьютеры. Для использования оснастки Active Directory – Пользователи и компьютеры на клиентском компьютере под управлением ОС Windows XP Вам необходимо запустить файл adminpak.msi с установочного компакт-диска ОС Windows Server 2003.
Настройка параметров Брандмауэр Windows при помощи групповой политики
Используйте оснастку Редактор объектов групповой политики или Active Directory – Пользователи и компьютеры для изменения параметров брандмауэра Windows в соответствующих объектах GPO.
После настройки параметров брандмауэра Windows следующее обновление конфигурации компьютера групповой политики загрузит новые параметры брандмауэра Windows и применит их к компьютерам под управлением ОС Windows XP SP2.
Для настройки параметров брандмауэра Windows выполните следующие действия:
|
1. |
Нажмите кнопку Пуск, выберите меню Выполнить, введите mmc и затем нажмите кнопку ОК. |
|
2. |
В меню Консоль выберите пункт Добавить или удалить оснастку. |
|
3. |
На вкладке Изолированная оснастка нажмите кнопку Добавить. |
|
4. |
В списке Доступные изолированные оснастки выберите оснастку Редактор объекта групповой политики и нажмите кнопку Добавить. |
|
5. |
В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор. |
|
6. |
Укажите объект GPO, который необходимо настроить. Нажмите кнопку ОК и затем нажмите кнопку Готово, чтобы закрыть мастер групповой политики. |
|
7. |
В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть, затем нажмите кнопку ОК, чтобы закрыть диалоговое окно и вернуться в консоль управления. |
|
8. |
В дереве консоли последовательно откройте разделы Конфигурация компьютера, Административные шаблоны, Компоненты Windows и затем Брандмауэр Windows.
Рисунок 4 – Параметры брандмауэра Windows в окне групповой политики |
|
9. |
Дважды щелкните параметр Брандмауэр Windows: Разрешать обход для прошедших проверку IPSec.
Рисунок 5 – Параметр Разрешать обход для прошедших проверку IPSec
В таблице 1 собрано описание значений параметра Разрешать обход для прошедших проверку IPSec.
Таблица 1. Значения параметра Разрешать обход для прошедших проверку IPSec
|
Значение параметра |
Описание |
Примечание |
|
Не задан |
Данный объект GPO не меняет текущую конфигурацию Брандмауэр Windows. |
|
|
Включен |
Брандмауэр Windows разрешает получение незапрошенных входящих сообщений от указанных пользователей или групп, которые поддерживают проверку подлинности с помощью IPSec-транспорта. |
Элементы списка пользователей и групп определяются с помощью строк, соответствующих синтаксису SDDL (Security Descriptor Definition Language). Для получения дополнительной информации обратитесь к документу
Язык Security Descriptor Definition Language на веб-узле MSDN. |
|
Отключен |
Брандмауэр Windows обрабатывает трафик, защищенный при помощи протокола IPSec. |
|
| |
|
| |
|
10. |
Используйте информацию в Таблице 1, чтобы выбрать необходимое значение параметра.
Примечание. Если Вы выберете для параметра значение Включен, появится возможность указать список пользователей или групп, которым разрешено отправлять со своего компьютера защищенный трафик IPSec. |
|
11. |
Нажмите кнопку ОК. |
|
12. |
Выберите раздел Профиль домена или Стандартный профиль.
Рисунок 6 – Параметры брандмауэра Windows в окне групповой политики
В Таблице 2 собраны рекомендованные значения параметров групповой политики брандмауэра Windows для профиля домена и стандартного профиля.
Таблица 2. Рекомендованные параметры брандмауэра Windows для корпоративной среды
|
Параметр |
Описание |
Профиль домена |
Стандартный профиль |
|
Защищать все сетевые подключения |
Указывает, что брандмауэр Windows включен для всех сетевых подключений |
Включен |
Включен |
|
Не разрешать исключения |
Указывает, что брандмауэр Windows будет блокировать любые незапрошенные входящие сообщения, в том числе исключения |
Не задан |
Включен за исключением случаев, когда необходимо настроить исключения для программ |
|
Задать исключения для программ |
Задает исключения для программ в формате имени файла программы |
Включен и настроен для программ (приложений и служб), использующихся на компьютерах под управлением ОС Windows XP SP2 в Вашей сети |
Включен и настроен для программ (приложений и служб), использующихся на компьютерах под управлением ОС Windows XP SP2 в Вашей сети |
|
Разрешать локальные исключения для программ |
Разрешает локальную настройку исключений для программ |
Отключен за исключением случаев, когда необходимо предоставить локальным администраторам право изменять исключения для программ локально |
Отключен |
|
Разрешать исключения для удаленного управления |
Разрешает удаленное администрирование при помощи специализированного ПО |
Отключен за исключением случаев, когда Вам необходимо удаленно администрировать компьютеры при помощи оснасток консоли управления |
Отключен |
|
Разрешать исключения для общего доступа к файлам и принтерам |
Указывает, разрешен ли общий доступ к файлам и принтерам |
Отключен за исключением случаев, когда на компьютерах под управлением ОС Windows XP SP2 созданы локальные общие ресурсы |
Отключен |
|
Разрешать исключения ICMP |
Определяет разрешенный брандмауэром Windows набор сообщений ICMP |
Отключен за исключением случаев, когда необходимо использовать проверку связи (ping) для решения проблем |
Отключен |
|
Разрешать исключения для удаленного рабочего стола |
Разрешает компьютеру получать запросы на запуск удаленного рабочего стола. |
Включен |
Включен |
|
Разрешать исключения для UpnP-инфраструктуры |
Разрешает компьютеру получать незапрошенные сообщения PnP |
Отключен |
Отключен |
|
Запретить уведомления |
Запрещает брандмауэру Windows отображать уведомления пользователю о том, что программа посылает брандмауэру Windows запрос на добавление ее в список исключений |
Отключен |
Отключен |
|
Разрешать ведение журнала |
Разрешает ведение журнала и настройку параметров файла журнала |
Не задан |
Не задан |
|
Запретить одноранговые ответы на многоадресные или широковещательные запросы |
Запрещает компьютеру получать одноадресные ответы на свои многоадресные или широковещательные сообщения. |
Включен |
Включен |
|
Задать исключения для портов |
Определяет исключения для портов TCP и UDP |
Отключен |
Отключен |
|
Разрешить локальные исключения для портов |
Разрешает локальную настройку исключений для портов |
Отключен |
Отключен | | |
Настройка исключений для портов
Чтобы задать исключения для портов выполните следующие действия:
В разделе групповой политики Профиль домена или Стандартный профиль дважды щелкните параметр Задать исключения для портов.
Рисунок 7 – Параметр Задать исключения для портов
Щелкните Включен и затем нажмите кнопку Показать.
Рисунок 8 – Вывод содержания
Нажмите кнопку Добавить.
Рисунок 9 – Добавление элемента
Введите информацию о порте, который необходимо заблокировать или разрешить, используя следующий синтаксис:
порт:транспорт:область:состояние:имя
, где порт – это номер порта, транспорт – это протокол TCP или UDP, область – это либо * (для всех сетей), либо список компьютеров, которым разрешен доступ к данному порту, состояние – это значение enabled (разрешен) или disabled (запрещен), а имя – это текстовая строка, использующаяся в качестве метки для данного элемента.
При использовании параметра область не поддерживаются DNS-имена или DNS-суффиксы. Для указания диапазона адресов протокола IP версии 4 можно использовать десятичную маску подсети, разделенную точками, или длину префикса. При использовании десятичной маски подсети, разделенной точками, можно указать в качестве идентификатора сети протокола IP версии 4 (например, 10.47.81.0/255.255.255.0) или использовать IP-адрес внутри диапазона (например, 10.47.81.231/255.255.255.0). При использовании длины префикса можно указать диапазон адресов в качестве идентификатора сети протокола IP версии 4 (например, 10.47.81.0/24) или использовать IP-адрес внутри диапазона (например, 10.47.81.231/24).
Для получения дополнительной информации об адресации TCP/IP и подсетях обратитесь к следующему документу:
Примечание. Если в списке содержимого между значениями будет присутствовать хотя бы один пробел или другие недопустимые символы, область будет пропущена, и параметр будет считаться отключенным. Поэтому внимательно проверьте синтаксис области перед сохранением изменений.
В приведенном примере используется исключение для порта с именем WebTest, разрешающее использование TCP-порт 80 для всех подключений.
Нажмите кнопку ОК, чтобы закрыть окно Добавление элемента.
Рисунок 10 - Вывод содержания
Нажмите кнопку ОК, чтобы закрыть окно Вывод содержания.
Нажмите кнопку ОК, чтобы закрыть окно Брандмауэр Windows: Задать исключения для портов.
Примечание. Если выбран параметр Не разрешать исключения, любые исключения для портов будут проигнорированы.
Настройка исключений для программ
Чтобы задать исключения для программ выполните следующие действия:
В разделе групповой политики Профиль домена или Стандартный профиль дважды щелкните параметр Задать исключения для программ.
Рисунок 11 – Параметр Задать исключения для программ
Щелкните Включен и затем нажмите кнопку Показать.
Рисунок 12 – Вывод содержания
Нажмите кнопку Добавить.
Рисунок 13 – Добавление элемента
Введите информацию о программе, которую необходимо заблокировать или разрешить, используя следующий синтаксис:
путь:область:состояние:имя
Где: путь – это путь к программе и имя файла, область – это либо * (для всех сетей) или список компьютеров, которым разрешен доступ к данной программе, состояние – это значение enabled (разрешен) или disabled (запрещен), а имя – это текстовая строка, использующаяся в качестве метки для данного элемента.
В приведенном примере разрешается использование Windows Messenger для всех подключений.
Для получения дополнительной информации об адресации TCP/IP и подсетях обратитесь к следующему документу:
Нажмите кнопку ОК, чтобы закрыть окно Добавление элемента.
Рисунок 14 - Вывод содержания
Нажмите кнопку ОК, чтобы закрыть окно Вывод содержания.
Нажмите кнопку ОК, чтобы закрыть окно Брандмауэр Windows: Задать исключения для программ.
Настройка исключений протокола ICMP
Для получения информации о протоколе ICMP обратитесь к следующему документу:
Для настройки основных параметров протокола ICMP выполните следующие действия:
В разделе групповой политики Профиль домена или Стандартный профиль дважды щелкните параметр Разрешать исключения ICMP.
Щелкните Включен.
Рисунок 15 – Параметр Разрешать исключения ICMP
Выберите необходимые типы ICMP-сообщений. В приведенном примере разрешены входящие эхо-запросы.
Нажмите кнопку ОК, чтобы закрыть окно Брандмауэр Windows: Разрешать исключения ICMP.
Настройка ведения журналов отброшенных пакетов и успешных подключений
Для настройки ведения журналов отброшенных пакетов и успешных подключений, выполните следующие действия:
В разделе групповой политики Профиль домена или Стандартный профиль дважды щелкните параметр Брандмауэр Windows:Разрешить ведение журнала.
Рисунок 16 – Параметр Брандмауэр Windows:Разрешить ведение журнала
Щелкните Включен, отметьте флажки Записывать отброшенные пакеты и Записывать успешные подключения, введите путь и имя файла журнала, а затем нажмите кнопку ОК.
Примечание. Необходимо указать безопасное размещение для файла журнала, чтобы предотвратить его удаление или несанкционированное изменение.
Закройте Редактор групповой политики.
В случае появления запроса на сохранение параметров консоли нажмите кнопку Нет.
Обновление конфигурации при помощи средства GPUpdate
Средство GPUpdate обновляет параметры групповой политики службы каталогов Active Directory, в том числе параметры безопасности. После настройки групповой политики Вы можете подождать, пока настройки применятся к клиентским компьютерам в течение стандартного цикла обновлений. По умолчанию обновления применяются каждые 90 минут, со случайным сдвигом в 30 минут.
Для обновления групповой политики вручную используйте средство GPUpdate.
Запуск GPUpdate
Для запуска GPUpdate выполните следующие действия:
Нажмите кнопку Пуск и выберите меню Выполнить.
В текстовом поле Открыть введите cmd и нажмите кнопку ОК.
Примечание. Для получения полного описания доступных параметров средства GPUpdate обратитесь к следующему документу:
В командной строке введите GPUpdate и затем нажмите клавишу ENTER.
Рисунок 17 – Запуск из командной строки GPUpdate
Чтобы закрыть окно командной строки введите Exit и нажмите клавишу ENTER.
Проверка применения параметров брандмауэра Windows
Примечание. При использовании групповой политики для настройки брандмауэра Windows данные параметры могут запрещать локальным администраторам изменять некоторые элементы конфигурации. Некоторые вкладки и настройки в диалоговых окнах брандмауэра Windows могут быть недоступны для пользователей локальных компьютеров.
Для проверки параметров брандмауэра Windows выполните следующие действия:
Откройте Центр обеспечения безопасности, в разделе Настройка параметров безопасности щелкните значок Брандмауэр Windows.
Откройте вкладки Общие, Исключения и Дополнительно и убедитесь, на данном компьютере применены требуемые настройки брандмауэра Windows. Нажмите кнопку ОК, чтобы закрыть брандмауэр Windows.
Примечание. Если параметры конфигурации не применились необходимо выявить неисправность в работе групповой политики. Для выявления неисправности групповой политики обратитесь к следующему документу:
Наверх страницы
Настройка параметров безопасности обозревателя Internet Explorer
ОС Windows XP SP2 позволяет управлять всеми параметрами безопасности обозревателя Internet Explorer конфигурации компьютера и конфигурации пользователя при помощи новых параметров групповой политики.
ОС Windows XP SP2 использует два основных раздела параметров политики:
Средства безопасности
Зоны безопасности
Параметры раздела Средства безопасности позволяют управлять особыми сценариями, которые могут касаться безопасности обозревателя Internet Explorer. В большинстве случаев Вы можете захотеть предотвратить определенные последствия, поэтому Вы должны быть уверены, что функции безопасности включены. Например, вредоносный код, запущенный в зоне Локальный компьютер вместо зоны Интернет, может попытаться повысить свои полномочия. Для предотвращения подобных атак Вы можете использовать параметры групповой политики в разделе Защита от повышения уровня зоны.
Для каждого из параметров политики Средства безопасности Вы можете указать процессы, к которым относятся параметры политики, управляющие свойствами средств безопасности:
Параметры раздела Настройки URL позволяют контролировать действия обозревателя, способные причинить вред компьютеру, такие как запуск апплета Java или управляющего элемента ActiveX. Раздел Настройки URL связан с параметрами безопасности в реестре, которые определяют действия для данных свойств в зоне безопасности, соответствующей данному URL-адресу. Параметры Настройки URL имеют значения Включить, Отключить, Запрашивать и также могут принимать дополнительные значения в зависимости от параметра.
Для управления параметрами настроек URL в обозревателе Internet Explorer используются новые параметры групповой политики, собранные в разделе Панель управления обозревателем. Определив при помощи групповой политики настройки URL, Вы можете создать стандартную конфигурацию обозревателя Internet Explorer для всех пользователей и компьютеров в организации.
Для обеспечения безопасности Вы можете включить политики для всех зон при помощи шаблонов политик зон безопасности. Для каждого из шаблонов политик зон безопасности Вы можете указать один из следующих уровней безопасности:
Низкий. Этот уровень обычно используется для зоны безопасности, содержащей доверенные веб-узлы. Это уровень по умолчанию для зоны Надежные узлы.
Ниже среднего. Этот уровень может использоваться для зоны безопасности, содержащей веб-узлы, которые с некоторой долей вероятности могут причинить вред Вашему компьютеру. Это уровень по умолчанию для зоны Местная интрасеть.
Средний. Этот уровень может использоваться для зоны безопасности, содержащей веб-узлы, не являющиеся ни доверенными, ни ограниченными. Это уровень по умолчанию для зоны Интернет.
Высокий. Этот уровень используется для зоны безопасности, содержащей веб-узлы, которые могут причинить ущерб Вашему компьютеру. Это уровень по умолчанию для зоны Ограниченные узлы.
Для получения дополнительной информации о средствах безопасности обратитесь к следующему документу:
Требования для выполнения данной задачи
Учетные данные: Вы должны войти в систему на компьютере под управлением ОС Windows XP SP2, входящем в домен, в качестве участника группы безопасности Администраторы домена и открыть необходимый объект групповой политики.
Средства: Консоль управления Microsoft (Microsoft Management Console, MMC) с установленной оснасткой Редактор объектов групповой политики.
Настройка параметров безопасности обозревателя Internet Explorer
Для настройки параметров безопасности обозревателя Internet Explorer, выполните следующие действия:
|
1. |
Нажмите кнопку Пуск, выберите меню Выполнить, введите mmc и затем нажмите кнопку ОК. |
|
2. |
В меню Консоль выберите пункт Добавить или удалить оснастку. |
|
3. |
На вкладке Изолированная оснастка нажмите кнопку Добавить. |
|
4. |
В списке Доступные изолированные оснастки выберите оснастку Редактор объекта групповой политики и нажмите кнопку Добавить. |
|
5. |
В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор. |
|
6. |
Укажите объект GPO, который необходимо настроить. Нажмите кнопку ОК и затем нажмите кнопку Готово, чтобы закрыть мастер групповой политики. |
|
7. |
В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть, затем нажмите кнопку ОК, чтобы закрыть диалоговое окно и вернуться в консоль управления. |
|
8. |
В дереве консоли последовательно откройте разделы Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Internet Explorer и затем Средства безопасности.
Рисунок 18 – Параметры групповой политики обозревателя Internet Explorer |
|
9. |
Используйте информацию из Таблицы 3 для настройки параметров безопасности обозревателя Internet Explorer.
Таблица 3. Параметры Средств безопасности обозревателя Internet Explorer
|
Параметр |
Описание |
Значение по умолчанию |
Рекомендованное значение для корпоративной среды |
|
Ограничение безопасности для обработки двоичного кода |
Параметр Средства управления ограничением безопасности для обработки двоичного кода может быть запрещающим или разрешающим |
Не задана |
Добавьте необходимые для Вашей организации значения в список Поведений , допущенных администратором в формате нотации #package#behavior |
|
Ограничение безопасности для MK-протокола |
Уменьшает возможности для атаки, запрещая MK-протокол |
Не задана |
Включен для всех процессов |
|
Безопасность заблокированной зоны локального компьютера |
Позволяет справляться с атаками, при которых зона локального компьютера используется как основное направление атаки с целью загрузки вредоносного HTML-кода |
Не задана |
Включен для всех процессов |
|
Соответствие при обработке MIME |
Этот параметр политики определяет, будет ли Internet Explorer требовать, чтобы все сведения о файлах всех типов, полученные от веб-сервера, соответствовали друг другу |
Не задана |
Включен для всех процессов |
|
Возможность пробной проверки MIME |
Этот параметр политики определяет, будет ли выполняемая Internet Explorer пробная проверка MIME предотвращать обработку файла как потенциально более опасного типа файла |
Не задана |
Включен для всех процессов |
|
Защита кэшируемых объектов |
Этот параметр политики определяет, будет ли доступна ссылка объекта при переходе в пределах одного домена или к новому домену |
Не задана |
Включен для всех процессов |
|
Ограничения безопасности для обрабатываемых сценариями окон |
Возможность ограничений безопасности для окон накладывает ограничения на всплывающие окна и запрещает сценарием отображение окон, в которых заголовок и панель состояния не видны пользователю или закрывают заголовок и панель состояния других окон |
Не задана |
Включен для всех процессов |
|
Защита от повышения уровня зоны |
Этот параметр политики помогает защитить зону безопасности Локальный компьютер |
Не задана |
Включен для всех процессов |
|
Панель информации |
Этот параметр политики позволяет управлять отображением панели информации для процессов Internet Explorer, когда установка файлов или кодов ограничена. |
Не задана |
Включен для всех процессов |
|
Ограничение установки элементов ActiveX |
Этот параметр политики управляет блокированием запроса на установку элементов управления ActiveX для процессов Internet Explorer. |
Не задана |
Включен для всех процессов |
|
Ограничение загрузки файлов |
Этот параметр политики управляет блокированием запросов на загрузку файлов, не инициированную пользователем. |
Не задана |
Включен для всех процессов |
|
Управление надстройками |
Эта политика позволяет запретить использование всех настроек Internet Explorer, не указанных в политике "Список надстроек". |
Не задана |
Включен параметр «Запрещать все надстройки, кроме заданных политикой "Список надстроек"» |
|
Блокирование сетевого протокола |
Этот параметр политики определяет список ограниченных протоколов для каждой из зон безопасности |
Не задана |
Включить параметр «Ограниченные протоколы» для каждой из зон безопасности | | |
|
10. |
Раскройте раздел Панель управления обозревателем
Рисунок 19 – Параметры раздела Панель управления обозревателем |
|
11. |
Для предотвращения доступа пользователей к настройке обозревателя Internet Explorer включите все параметры данного раздела. Для этого дважды щелкните параметр, установите переключатель в положение Включен и нажмите кнопку ОК. |
|
12. |
Раскройте раздел Страница безопасности.
Рисунок 20 – Параметры раздела Страница безопасности |
|
13. |
Существует два способа настройки зон безопасности: Вы можете использовать шаблоны или указать параметры для каждой зоны.
|
• |
Для первого способа используйте информацию из Таблицы 4, чтобы использовать шаблоны зон для настройки всех зон безопасности. Дважды щелкните каждый параметр шаблона и установите переключатель в положение Включен.
Для второго способа используйте информацию из Таблицы 5 для раздельной настройки параметров зон безопасности. |
|
• |
Таблица 4. Параметры политики Панель управления обозревателем для настройки шаблонов зон безопасности
|
Параметр |
Рекомендованное значение |
Рекомендованный уровень |
|
Шаблон зоны Интернета |
Включена |
Средний |
|
Шаблон зоны интрасети |
Включена |
Ниже среднего |
|
Шаблон зоны надежных узлов |
Включена |
Низкий |
|
Шаблон зоны ограниченных узлов |
Включена |
Высокий |
|
Шаблон зоны локального компьютера |
Включена |
Низкий |
|
Шаблон заблокированной зоны локального компьютера |
Включена |
Высокий |
| | |
Таблица 5. Параметры политики Панель управления обозревателем для настройки параметров зон безопасности
|
Параметр |
Описание |
Значение по умолчанию |
|
Загружать подписанные элементы ActiveX |
Этот параметр политики позволяет управлять тем, могут ли пользователи загружать подписанные элементы управления ActiveX с веб-страниц в данной зоне. |
Не задана |
|
Загрузка неподписанных элементов ActiveX |
Этот параметр политики позволяет управлять тем, могут ли пользователи загружать неподписанные элементы управления ActiveX с веб-страниц в данной зоне. |
Не задана |
|
Использовать элементы ActiveX, не помеченные как безопасные |
Этот параметр политики позволяет управлять элементами управления ActiveX и надстройками, не помеченными как безопасные. |
Не задана |
|
Запускать элементы ActiveX и модули подключения |
Этот параметр политики позволяет управлять запуском элементов управления ActiveX и подключаемых модулей на страницах указанной зоны. Объект считается безопасным, только в том случае если все элементы управления ActiveX и сценарии, которые смогут взаимодействовать с ним на страницах указанной зоны не представляют угрозы безопасности. Это определяется наборами свойств
URLACTION_ACTIVEX_OVERRIDE_DATA_SAFETY и URLACTION_ACTIVEX_OVERRIDE_SCRIPT_SAFETY. |
Не задана |
|
Разрешать активные сценарии |
Этот параметр политики позволяет управлять тем, разрешено ли выполнение кода сценариев на веб-страницах этой зоны. |
Не задана |
|
Выполнять сценарии приложений Java |
Этот параметр политики позволяет управлять доступом сценариев к приложениям Java в пределах зоны, если в сценариях используются свойства, методы и события. |
Не задана |
|
Выполнять сценарии элементов ActiveX, помеченные как безопасные |
Этот параметр политики позволяет управлять взаимодействием элементов управления ActiveX, помеченных как безопасные для выполнения сценариев. |
Не задана |
|
Доступ к источникам данных за пределами домена |
Этот параметр политики позволяет управлять тем, разрешен ли доступ к данным из другой зоны безопасности с помощью MSXML (парсера Microsoft XML) или ADO (ActiveX Data Objects). |
Не задана |
|
Разрешить операции вставки с помощью сценария |
Этот параметр политики позволяет управлять тем, разрешено ли сценариям выполнение операций с буфером обмена (вырезание, копирование, вставка) в указанной области. |
Не задана |
|
Передача незашифрованных данных форм |
Этот параметр политики позволяет управлять тем, разрешено ли заполнение HTML-форм на веб-страницах этой зоны.
Это определяется наборами флагов
URLACTION_HTML_SUBMIT_FORMS_FROM и URLACTION_HTML_SUBMIT_FORMS_TO |
Не задана |
|
Разрешать загрузку шрифтов |
Этот параметр политики позволяет управлять тем, разрешена ли загрузка HTML-шрифтов с веб-страниц этой зоны. |
Не задана |
|
Устойчивость данных пользователя |
Этот параметр политики позволяет управлять сохранением на жестком диске информации об истории обзора, в папке избранного, в хранилище XML, непосредственно с веб-страниц. |
Не задана |
|
Переход между кадрами через разные домены |
Этот параметр политики позволяет управлять открытием суб-кадров и доступом приложений в различных доменах. |
Не задана | | | |
Обновление конфигурации при помощи средства GPUpdate
Средство GPUpdate обновляет параметры групповой политики службы каталогов Active Directory, в том числе параметры безопасности. После настройки групповой политики Вы можете подождать, пока настройки применятся к клиентским компьютерам в течение стандартного цикла обновлений. По умолчанию обновления применяются каждые 90 минут, со случайным сдвигом в 30 минут.
Для обновления групповой политики вручную используйте средство GPUpdate.
Запуск GPUpdate
Для запуска GPUpdate выполните следующие действия:
Нажмите кнопку Пуск и выберите меню Выполнить.
В текстовом поле Открыть введите cmd и нажмите кнопку ОК.
Примечание. Для получения полного описания доступных параметров средства GPUpdate обратитесь к следующему документу:
В командной строке введите GPUpdate и затем нажмите клавишу ENTER.
Рисунок 21 – Запуск из командной строки GPUpdate
Чтобы закрыть окно командной строки введите Exit и нажмите клавишу ENTER.
Проверка применения параметров безопасности Internet Explorer
Примечание. При использовании групповой политики для настройки обозревателя Internet Explorer данные параметры могут запрещать локальным администраторам изменять некоторые элементы конфигурации. Некоторые вкладки и настройки в диалоговых окнах обозревателя могут быть недоступны для пользователей локальных компьютеров.
Для проверки параметров обозревателя Internet Explorer выполните следующие действия:
Откройте Центр обеспечения безопасности, в разделе Настройка параметров безопасности щелкните Свойства Обозревателя.
Откройте вкладки Безопасность, Конфиденциальность и Дополнительно и убедитесь, на данном компьютере применены требуемые настройки обозревателя Internet Explorer. Нажмите кнопку ОК, чтобы закрыть свойства обозревателя.
Примечание. Если параметры конфигурации не применились необходимо выявить неисправность в работе групповой политики. Для выявления неисправности групповой политики обратитесь к следующему документу:
Наверх страницы
Настройка параметров управления связью через Интернет
ОС Windows XP SP2 содержит новые параметры групповой политики, разработанные преимущественно для управления подключения компонентов ОС Windows XP SP2 через Интернет. Параметры групповой политики позволяют управлять следующими возможностями:
В ОС Windows XP SP2 пользователи могут запустить из Проводника Windows следующие задачи: печать изображений, размещенных в Интернете (мастер Печать изображений в Интернете), зарегистрироваться в службе, предоставляющей веб-хранилище (Мастер добавления в сетевое окружение), или опубликовать файлы в сети для просмотра при помощи обозревателя (Мастер веб-публикаций) наряду с другими задачами. Мастера получают названия и URL-адреса поставщиков данных служб из двух источников: локального списка (хранящегося в реестре) и списка на веб-узле Microsoft. По умолчанию Windows отображает список поставщиков услуг, загружаемый с веб-узла Windows, в дополнение к списку поставщиков услуг, который содержится в реестре компьютера.
Для настройки данных мастеров и задач, а также для управления способами подключения данных компонентов через Интернет Вы можете использовать следующие параметры групповой политики:
Отключить веб-публикацию в списке задач для файлов и папок. Указывает, отображаются ли задачи "Опубликовать файл в вебе", "Опубликовать эту папку в вебе", "Опубликовать выделенные объекты в вебе" в разделе задач для файлов и папок в окне Проводника Windows.
Отключить загрузку из Интернета для мастеров веб-публикаций и заказа отпечатков. Указывает, будут ли загружаться дополнительные списки поставщиков услуг для мастеров Печать изображений в Интернете, Мастер добавления в сетевое окружение и Мастер веб-публикаций. По умолчанию, Windows отображает список поставщиков услуг, загружаемый с веб-узла Windows, в дополнение к списку поставщиков услуг, который содержится в реестре компьютера.
Отключить заказ отпечатков через Интернет в списке задач для изображений. Указывает, надо ли отображать "Заказ отпечатков через Интернет" в списке задач для изображений. Этот параметр отключает возможность использования мастера Печать изображений в Интернете.
Данные параметры политики доступны в разделах Конфигурация пользователя и Конфигурация компьютера.
Для получения дополнительной информации о настройке мастеров Мастер добавления в сетевое окружение и Мастер веб-публикаций обратитесь к следующему документу:
Требования для выполнения данной задачи
Учетные данные: Вы должны войти в систему на компьютере под управлением ОС Windows XP SP2, входящем в домен, в качестве участника группы безопасности Администраторы домена и открыть необходимый объект групповой политики.
Средства: Консоль управления Microsoft (Microsoft Management Console, MMC) с установленной оснасткой Редактор объектов групповой политики.
Настройка параметров управления связью через Интернет
Для настройки параметров управления связью через Интернет, выполните следующие действия:
|
1. |
Нажмите кнопку Пуск, выберите меню Выполнить, введите mmc и затем нажмите кнопку ОК. |
|
2. |
В меню Консоль выберите пункт Добавить или удалить оснастку. |
|
3. |
На вкладке Изолированная оснастка нажмите кнопку Добавить. |
|
4. |
В списке Доступные изолированные оснастки выберите оснастку Редактор объекта групповой политики и нажмите кнопку Добавить. |
|
5. |
В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор. |
|
6. |
Укажите объект GPO, который необходимо настроить. Нажмите кнопку ОК и затем нажмите кнопку Готово, чтобы закрыть мастер групповой политики. |
|
7. |
В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть, затем нажмите кнопку ОК, чтобы закрыть диалоговое окно и вернуться в консоль управления. |
|
8. |
В дереве консоли последовательно откройте разделы Конфигурация компьютера, Административные шаблоны, Система и затем Управление связью через Интернет.
Рисунок 22 – Параметры групповой политики Управление связью через Интернет |
|
9. |
Измените значение параметра Ограничить связь через Интернет на Отключена для отключения всех параметров в разделе Параметры связи через Интернет или на Включена – для включения данных параметров. |
|
10. |
Для настройки каждого параметра отдельно, откройте раздел Параметры связи через Интернет и используйте Таблицу 6 для настройки данных параметров.
Таблица 6. Рекомендованные настройки политики Параметры связи через Интернет
|
Параметр |
Описание |
Рекомендованное значение |
|
Отключить веб-публикацию в списке задач для файлов и папок |
Указывает, отображаются ли задачи "Опубликовать файл в вебе", "Опубликовать эту папку в вебе", "Опубликовать выделенные объекты в вебе" в разделе задач для файлов и папок в окне Проводника Windows |
Включена |
|
Отключить загрузку из Интернета для мастеров веб-публикаций и заказа отпечатков |
Указывает, нужно ли загружать список поставщиков услуг для мастеров веб-публикации и заказа отпечатков |
Включена |
|
Отключить участие в программе улучшения поддержки пользователей Windows Messenger |
Указывает, выполняет ли Windows Messenger сбор анонимной информации о том, как используется программное обеспечение и служба Windows Messenger |
Включена |
|
Отключить обновление информационных файлов "Помощника по поиску" |
Указывает, должен ли "Помощник по поиску" автоматически загружать обновления информации во время выполнения локального поиска и поиска в Интернете |
Включена |
|
Отключить выполнение печати через HTTP-протокол |
Указывает, следует ли разрешить выполнение печати для этого клиентского компьютера через HTTP-протокол |
Включена |
|
Отключить загрузку драйверов печати через HTTP-протокол |
Указывает, следует ли разрешить этому клиентскому компьютеру загрузку драйверов печати через HTTP-протокол |
Включена |
|
Отключить использование Windows Update при поиске драйверов |
Указывает, надо ли выполнять поиск драйверов устройств на узле Windows Update, если для какого-либо устройства отсутствует локально установленный драйвер |
Отключена |
Примечание. Таблица 6 содержит только рекомендованные значение для настройки Параметров связи через Интернет. |
Обновление конфигурации при помощи средства GPUpdate
Средство GPUpdate обновляет параметры групповой политики службы каталогов Active Directory, в том числе параметры безопасности. После настройки групповой политики Вы можете подождать, пока настройки применятся к клиентским компьютерам в течение стандартного цикла обновлений. По умолчанию обновления применяются каждые 90 минут, со случайным сдвигом в 30 минут.
Для обновления групповой политики вручную используйте средство GPUpdate.
Запуск GPUpdate
Для запуска GPUpdate выполните следующие действия:
Нажмите кнопку Пуск и выберите меню Выполнить.
В текстовом поле Открыть введите cmd и нажмите кнопку ОК.
Примечание. Для получения полного описания доступных параметров средства GPUpdate обратитесь к следующему документу:
В командной строке введите GPUpdate и затем нажмите клавишу ENTER.
Рисунок 23 – Запуск из командной строки GPUpdate
Чтобы закрыть окно командной строки введите Exit и нажмите клавишу ENTER.
Проверка применения параметров управления связью через Интернет
Для проверки параметров управления связью через Интернет выполните следующие действия:
Нажмите кнопку Пуск и выберите Мои Рисунки.
Убедитесь в том, что в списке Задачи для изображения отсутствует Заказ отпечатков через Интернет.
Убедитесь в том, что в списке Задачи для файлов и папок отсутствует Опубликовать папку в вебе.
Закройте папку Мои Рисунки.
Примечание. Если параметры конфигурации не применились, необходимо выявить неисправность в работе групповой политики. Для выявления неисправности групповой политики обратитесь к следующему документу:
Наверх страницы
Настройка параметров доступа DCOM
Microsoft Component Object Model (COM) — это протокол взаимодействия программного обеспечения. Distributed Component Object Model (DCOM) — это протокол, с помощью которого компоненты программного обеспечения поддерживают связь по сети. Протокол DCOM обеспечивает прозрачную поддержку подключений между компонентами COM.
Примечание. Для получения дополнительной информации о безопасности DCOM обратитесь к следующему документу:
Многие COM-приложения cодержат небезопасный код, однако используются с уязвимыми настройками, которые позволяют производить неаутентифицированный обмен между компонентами. В ОС Windows XP SP2 были внесены значительные изменения, для того чтобы обеспечить всеобъемлющий контроль надо всем, что может вызывать, активировать или запускать запросы на компьютере. ОС Windows XP SP2 обеспечивает стандарт необходимой авторизации для доступа к COM-серверу на компьютере.
Примечание. Для получения дополнительной информации об исправлениях модели COM в ОС Windows XP SP2 обратитесь к следующему документу:
Все запросы DCOM проверяются на соответствие спискам контроля доступа (access control lists, ACL). Если проверка не удается, запрос отклоняется. Существуют списки ACL для следующих событий:
Запуск и активация разрешений. Данный параметр управляет авторизацией для запуска COM-сервера во время активации COM, если сервер еще не запущен, и имеет четыре возможных значения:
Локальный запуск
Удаленный запуск
Локальная активация
Удаленная активация
Права доступа: Данный параметр управляет авторизацией для вызова запущенного COM-сервера и имеет два возможных значения:
Данные разрешения могут быть настроены при помощи оснастки Службы компонентов консоли управления и обеспечивают минимальный стандарт безопасности, который применяется вне зависимости от параметров приложений COM-сервера.
Примечание. По умолчанию в ОС Windows XP SP2 Брандмауэр Windows блокирует оснастку Службы компонентов, поэтому в случае появления предупреждения безопасности необходимо нажать кнопку Разблокировать.
Параметры ограничения компьютера ОС Windows XP SP2 по умолчанию приведены в таблице 7.
Таблица 7. Ограничения контроля доступа DCOM по умолчанию
|
Разрешение |
Администратор |
Все |
Анонимный вход |
|
Запуск и активация |
Локальный запуск
Локальная активация
Удаленный запуск
Удаленная активация |
Локальный запуск
Локальная активация |
Не определено |
|
Доступ |
Не определено |
Локальный вызов
Удаленный вызов |
Локальный вызов |
Параметры по умолчанию разрешают работу всех локальных сценариев без изменения программного обеспечения или операционной системы. Параметры по умолчанию также разрешают в большинстве случаев работу COM-клиентов и отключают удаленную активацию не администраторами для установленных COM-серверов.
Если Вы внедряете COM-сервер и планируете поддержку удаленной активации не административными COM-клиентами или неавторизированные удаленные вызовы, Вам необходимо изменить конфигурацию по умолчанию для использования данных функций.
Примечание. Хотя в этом документе описано изменение параметров по умолчанию, тем самым Вы можете увеличить уязвимость компьютера.
Требования для выполнения данной задачи
Учетные данные: Вы должны войти в систему на компьютере под управлением ОС Windows XP SP2, входящем в домен, в качестве участника группы безопасности Администраторы домена и открыть необходимый объект групповой политики.
Средства: Консоль управления Microsoft (Microsoft Management Console, MMC) с установленной оснасткой Редактор объектов групповой политики.
Настройка параметров DCOM
Для настройки параметров DCOM, выполните следующие действия:
Нажмите кнопку Пуск, выберите меню Выполнить, введите mmc и затем нажмите кнопку ОК.
В меню Консоль выберите пункт Добавить или удалить оснастку.
На вкладке Изолированная оснастка нажмите кнопку Добавить.
В списке Доступные изолированные оснастки выберите оснастку Редактор объекта групповой политики и нажмите кнопку Добавить.
В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор.
Укажите объект GPO, который необходимо настроить. Нажмите кнопку ОК, и затем нажмите кнопку Готово, чтобы закрыть мастер групповой политики.
В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть, затем нажмите кнопку ОК, чтобы закрыть диалоговое окно и вернуться в консоль управления.
В дереве консоли последовательно откройте разделы Конфигурация компьютера, Конфигурация Windows, Параметры безопасности, Локальные политики и затем Параметры безопасности.
Рисунок 24 – Групповая политика Параметры безопасности
Дважды щелкните параметр DCOM: Ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language).
Примечание. Для получения дополнительной информации о языке SDDL обратитесь к следующему документу:
Рисунок 25 – Параметр DCOM: Ограничения компьютера на доступ в синтаксисе SDDL
Нажмите кнопку Изменить безопасность.
Рисунок 26 – Разрешение на доступ
Для предоставления доступа ко всем компьютерам для рядовых пользователей приложений DCOM на предприятии нажмите кнопку Добавить.
Рисунок 27 – Выбор Пользователей, Компьютеров или Групп
Введите имена пользователей и нажмите кнопку ОК.
Нажмите кнопку ОК, чтобы закрыть диалоговое окно Разрешения на доступ,
и затем нажмите кнопку ОК, чтобы закрыть параметр DCOM: Ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language).
Дважды щелкните параметр DCOM: Ограничения компьютера на запуск в синтаксисе SDDL (Security Descriptor Definition Language) и затем нажмите кнопку Изменить безопасность. Для предоставления разрешений на запуск или активацию ко всем компьютерам для рядовых пользователей приложений DCOM на предприятии нажмите кнопку Добавить.
Введите имена пользователей и нажмите кнопку ОК.
Нажмите кнопку ОК, чтобы закрыть диалоговое окно Разрешения на доступ, и затем нажмите кнопку ОК, чтобы закрыть параметр DCOM: Ограничения компьютера на запуск в синтаксисе SDDL (Security Descriptor Definition Language).
Закройте консоль.
Обновление конфигурации при помощи средства GPUpdate
Средство GPUpdate обновляет параметры групповой политики службы каталогов Active Directory, в том числе параметры безопасности. После настройки групповой политики Вы можете подождать, пока настройки применятся к клиентским компьютерам в течение стандартного цикла обновлений. По умолчанию обновления применяются каждые 90 минут, со случайным сдвигом в 30 минут.
Для обновления групповой политики вручную используйте средство GPUpdate.
Запуск GPUpdate
Для запуска GPUpdate выполните следующие действия:
Нажмите кнопку Пуск и выберите меню Выполнить.
В текстовом поле Открыть введите cmd и нажмите кнопку ОК.
Примечание. Для получения полного описания доступных параметров средства GPUpdate обратитесь к следующему документу:
В командной строке введите GPUpdate и затем нажмите клавишу ENTER.
Рисунок 28 – Запуск из командной строки GPUpdate
Чтобы закрыть окно командной строки введите Exit и нажмите клавишу ENTER.
Проверка применения параметров безопасности DCOM
Для проверки параметров DCOM выполните следующие действия:
Нажмите кнопку Пуск и выберите Панель управления.
Щелкните значок Производительность и обслуживание.
В разделе или непосредственно в панели управления щелкните значок Администрирование.
В папке Администрирование дважды щелкните значок Службы компонентов.
В оснастке Службы компонентов последовательно раскройте разделы Службы компонентов, Компьютеры, Мой компьютер и затем выберите из контекстного меню пункт Свойства.
Откройте вкладку Безопасность COM, нажмите обе кнопки Изменить настройки по умолчанию и убедитесь в том, что используется заданная конфигурация DCOM, после чего нажмите кнопку ОК, чтобы закрыть диалоговое окно настроек COM.
Закройте оснастку Службы компонентов и папку Администрирование.
Закройте Панель управления.
Примечание. Если параметры конфигурации не применились, необходимо выявить неисправность в работе групповой политики. Для выявления неисправности групповой политики обратитесь к следующему документу:
Наверх страницы
Настройка параметров удаленного вызова процедур (RPC)
ОС Windows XP SP2 содержит изменения службы RPC, направленные на то, чтобы сделать интерфейсы RPC безопасными по умолчанию и сократить возможности для атаки. Были добавлены два новых параметра групповой политики:
Ограничения для не прошедших проверку подлинности RPC-клиентов. Данная политика позволяет изменять свойство всех RPC-интерфейсов на компьютере по умолчанию, запрещая анонимный удаленный доступ к RPC-интерфейсам с некоторыми исключениями.
Проверка RPC-клиентов сопоставителя конечных точек. Данная политика позволяет управлять RPC-клиентами, использующими проверку с помощью службы сопоставителя конечных точек, обеспечивая то, что RPC-вызов, для которого необходимо разрешить конечную точку, имеет информацию о проверке подлинности.
Если необходимо использовать RPC-вызовы для запроса проверки подлинности, даже сравнительно низкий уровень аутентификации поможет защитить интерфейс от атак. Как правило, это используется для защиты от червей, использующих уязвимость переполнения буфера, которые могут быть запущены удаленно при помощи анонимных подключений.
Для получения дополнительной информации о безопасности RPC обратитесь к следующему документу:
Требования для выполнения данной задачи
Учетные данные: Вы должны войти в систему на компьютере под управлением ОС Windows XP SP2, входящем в домен, в качестве участника группы безопасности Администраторы домена и открыть необходимый объект групповой политики.
Средства: Консоль управления Microsoft (Microsoft Management Console, MMC) с установленной оснасткой Редактор объектов групповой политики.
Настройка параметров удаленного вызова процедур (RPC)
Когда Вы включаете параметр Ограничения для не прошедших проверку подлинности RPC-клиентов, появляется возможность настроить Применяемое ограничение для не прошедших проверку подлинности RPC-клиентов, выбрав одно из следующих значений:
Прошедшие проверку (по умолчанию). Данное значение разрешает только прошедшим проверку RPC-клиентам подключаться к RPC-серверам на компьютере с этой политикой. Интерфейсы, запрашивающие исключение из этого ограничения, получают его. Данный параметр представляет собой значение RPC_RESTRICT_REMOTE_CLIENT_DEFAULT (1).
Прошедшие проверку без исключений. Данное значение разрешает только прошедшим проверку RPC-клиентам подключаться к RPC-серверам на компьютере с этой политикой. Данное значение не допускает исключений. Если выбрано это значение, компьютер не сможет получать удаленные анонимные вызовы при помощи RPC. Это обеспечивает наивысший уровень безопасности. Данный параметр представляет собой значение RPC_RESTRICT_REMOTE_CLIENT_HIGH (2).
Отсутствует. Данное значение разрешает всем RPC-клиентам подключаться к RPC-серверам на компьютере с этой политикой. Если выбрано это значение, компьютер игнорирует ограничения нового интерфейса RPC. Данное значение эквивалентно свойствам RPC в предыдущих версиях ОС Windows. Данный параметр представляет собой значение RPC_RESTRICT_REMOTE_CLIENT_NONE (0).
Включение политики Проверка RPC-клиентов сопоставителя конечных точек указывает RPC-клиентам, что им нужно пройти проверку с помощью службы сопоставителя конечных точек, если RPC-вызов, для которого необходимо разрешить конечную точку, имеет информацию о проверке подлинности.
Отключение политики Проверка RPC-клиентов сопоставителя конечных точек приводит к тому, что RPC-клиенты, обращающиеся к службе сопоставителя конечных точек, не проходят проверку подлинности. Служба сопоставителя конечных точек на компьютерах, работающих под управлением Windows NT4 (с любыми пакетами обновления), не может обрабатывать информацию проверки подлинности, предоставляемую таким образом. Это означает, что включение этой политики на клиентском компьютере будет препятствовать связи этого клиента с сервером Windows NT4 с использованием RPC, если нужно выполнять разрешение конечной точки.
Для настройки параметров удаленного вызова процедур (RPC), выполните следующие действия:
Нажмите кнопку Пуск, выберите меню Выполнить, введите mmc и затем нажмите кнопку ОК.
В меню Консоль выберите пункт Добавить или удалить оснастку.
На вкладке Изолированная оснастка нажмите кнопку Добавить.
В списке Доступные изолированные оснастки выберите оснастку Редактор объекта групповой политики и нажмите кнопку Добавить.
В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор.
Укажите объект GPO, который необходимо настроить. Нажмите кнопку ОК и затем нажмите кнопку Готово, чтобы закрыть мастер групповой политики.
В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть, затем нажмите кнопку ОК, чтобы закрыть диалоговое окно и вернуться в консоль управления.
В дереве консоли последовательно откройте разделы Конфигурация компьютера, Административные шаблоны, Система и затем Удаленный вызов процедур (RPC).
Рисунок 29 – Параметры удаленного вызова процедур (RPC).
Используйте информацию о параметрах приведенную выше. Дважды щелкните политику Ограничения для не прошедших проверку подлинности RPC-клиентов, установите переключатель в положение Включен, выберите значение Прошедшие проверку без исключений и нажмите кнопку ОК.
Используйте информацию о параметрах приведенную выше. Дважды щелкните политику Проверка RPC-клиентов сопоставителя конечных точек, установите переключатель в положение Включен и нажмите кнопку ОК.
Закройте редактор объектов групповой политики.
Обновление конфигурации при помощи средства GPUpdate
Средство GPUpdate обновляет параметры групповой политики службы каталогов Active Directory, в том числе параметры безопасности. После настройки групповой политики Вы можете подождать, пока настройки применятся к клиентским компьютерам в течение стандартного цикла обновлений. По умолчанию обновления применяются каждые 90 минут, со случайным сдвигом в 30 минут.
Для обновления групповой политики вручную используйте средство GPUpdate.
Запуск GPUpdate
Для запуска GPUpdate выполните следующие действия:
Нажмите кнопку Пуск и выберите меню Выполнить.
В текстовом поле Открыть введите cmd и нажмите кнопку ОК.
Примечание. Для получения полного описания доступных параметров средства GPUpdate обратитесь к следующему документу:
В командной строке введите GPUpdate и затем нажмите клавишу ENTER.
Рисунок 30 – Запуск из командной строки GPUpdate
Чтобы закрыть окно командной строки введите Exit и нажмите клавишу ENTER.
Проверка применения параметров удаленного вызова процедур (RPC)
Данная процедура содержит информацию о редактировании системного реестра. Перед изменением реестра убедитесь в наличии резервной копии и в том, что Вы знаете, как восстановить значения реестра при возникновении проблем. Для получения дополнительной информации о резервном копировании, восстановлении и редактировании реестра обратитесь к следующему документу:
Для проверки параметров удаленного вызова процедур (RPC) выполните следующие действия:
Нажмите кнопку Пуск и выберите меню Выполнить.
Введите Regedit и нажмите кнопку ОК.
В редакторе реестра дважды щелкните куст HKEY_LOCAL_MACHINE и затем раскройте ветку SOFTWARE\Policies\Microsoft\Windows NT\Rpc.
Убедитесь, что следующие ключи имеют необходимые значения:
EnableAuthEPResolution REG_DWORD 0x000000001
RestrictRemoteClientsIn REG_DWORD 0x000000002
Закройте Редактор реестра.
Примечание. Если параметры конфигурации не применились, необходимо выявить неисправность в работе групповой политики. Для выявления неисправности групповой политики обратитесь к следующему документу:
Наверх страницы
Дополнительная информация
Для получения дополнительной информации о сетевой защите ОС Windows XP SP2 обратитесь к следующим документам:
Для получения дополнительной информации о безопасности ОС Windows XP SP2 обратитесь к следующим документам:
Для получения описаний терминов безопасности обратитесь к следующему документу:
Обсуждение статьи на форуме
