Управление обновлением и применением параметров безопасности в групповой политике

Не вызывает сомнения тот факт, что групповая политика (Group Policy) в Active Directory является самым эффективным и наиболее логичным способом настройки и поддержания безопасности для всех контроллеров домена, серверов и настольных компьютеров. Вопрос возникает по поводу того, как поддерживать и управлять применением параметров безопасности, а также о том, как обновлять параметры, которые вы задаете в объекте групповой политики (GPO)? Существует много способов контролирования того, как обновлять и управлять параметрами безопасности, некоторые из которых уже есть у вас в сети, и которые вы можете настраивать, если хотите двигаться по этому пути. В этой статье будут рассмотрены некоторые способы, которые доступны для управления тем, как обновлять и применять параметры безопасности в групповой политике.

Какие параметры относятся к параметрам безопасности?

Чтобы убедиться, что мы все открыли одну и ту же страницу, я хочу убедиться, что все точно знают, что входит в «параметры безопасности» в объекте групповой политики. Если вы откроете стандартный GPO на компьютере Windows Server 2008, вам нужно будет развернуть вкладки Конфигурация компьютера | Политики | Параметры Windows | Параметры безопасности, чтобы посмотреть все параметры, связанные с безопасностью, о которых я буду говорить в этой статье (есть несколько параметров, расположенных в Конфигурации пользователя | Политики | Параметры Windows | Параметры безопасности, но они не часто используются, однако тоже относятся к этой категории), как показано на рисунке 1.

Рисунок 1: Параметры безопасности в стандартном объекте групповой политики

Причина, по которой все эти параметры относятся к данной категории, кроется в том, что они управляются расширением безопасности клиентской стороны (Security Client Side Extension - CSE). Мы увидим, что безопасностью CSE можно управлять отдельно с других CSEs, и что она ведет себя немного по-другому.

Обновление вручную

Групповая политика имеет автоматическое фоновое обновление, но в некоторых случаях интервалы слишком велики для параметров, которые вы хотите применить. В этом случае обновление групповой политики можно инициировать простой командной, которая очень полезна во времена, когда вы тестируете или хотите задать параметры на компьютере немедленно. Чтобы обновить групповую политику (которая будет включать параметры безопасности), вам нужно будет запустить GPUPDATE в интерпретаторе команд. Для компьютеров, входящих в домен, она применит все новые параметры из всех объектов групповой политики в локальной директории и Active Directory.

Если вы НЕ вносили никаких изменений в GPO, содержащий ваши параметры безопасности, но все же хотите применить параметры вручную, вы можете использовать переключатель /force с командой GPUPDATE. Этот переключатель в принудительном порядке обеспечит применение всех параметров GPO без учета номера версии GPO или обновлений в GPO. Он просто повторно применит все параметры, содержащиеся во всех GPOs.

Заметка: Если вы хотите использовать ручное обновление для применения параметров безопасности (или каких-либо других параметров) из центрального расположения, можете использовать GPUPDATE от Special Operations Software (www.specopssoft.com). Да, кстати…она бесплатна!

Автоматическое фоновое обновление

Групповая политика имеет отличную функцию, которая постоянно применена в фоновом режиме, пользователям при этом не нужно выходить из системы и входить снова, а компьютер не нужно перезагружать. По умолчанию фоновое обновление происходит примерно каждые полтора часа. Это базовое время фонового обновления, с получасовым смещением. Это автоматическое фоновое обновление управляется параметрами GPO во вкладке Конфигурация компьютера | Политики | Шаблоны администрирования | Система | Групповая политика. Параметры, которые вам нужно настроить, чтобы изменить стандартный параметр фонового обновления – это интервал обновления групповой политики для компьютера, как показано на рисунке 2.

Рисунок 2: Обновление групповой политики можно изменить с помощью этого параметра политики

Я показываю вам этот параметр не потому, что его можно изменять здесь. Существует несколько довольно веских причин не делать этого. Во-первых, каждые девяносто минут вполне достаточный параметр для обновлений групповой политики. Во-вторых, если вы измените интервал обновления, он повлияет на все CSE, а не только на параметры безопасности. Это может вызвать серьезные проблемы с производительностью всех компьютеров в сети, что, конечно, совсем не является желаемым результатом!

Однако вы можете сделать следующее относительно параметров безопасности во время фонового обновления, вы можете убедиться, что они применяются каждый раз. Это необязательно в силу поведения параметров безопасности с другим интервалом (смотреть следующий раздел), однако, если у вас возникла ситуация, в которой пользователи были настроены в качестве администраторов собственных компьютеров, не такая уж плохая мысль в принудительном порядке обеспечивать применение всех параметров безопасности при каждом фоновом обновлении групповой политики. Чтобы задать этот параметр для параметров безопасности в GPO, перейдите по вкладкам Конфигурация компьютера | Политики | Административные шаблоны | Система | Групповая политика. Там вы найдете политику под названием Обработка политики безопасности, которая показана на рисунке 3.

Рисунок 3: Параметры безопасности можно принудительно применять при каждом применении GPO

Выбирая обработку, даже если объекты групповой политики не изменились, вы лишь сможете запустить принудительное применение параметров безопасности каждый раз, а не для каждого CSE.

>'Уникальное' фоновое обновление параметров безопасности

Имея более 30 CSE, GPO постоянно выполняет свою работу в вашей сети. Однако один CSE, который уникален, это CSE параметров безопасности. Этот CSE ведет себя подобно остальным CSE, за исключением того факта, что каждые 16 часов параметр безопасности CSE применяет все параметры во всех GPO независимо от наличия или отсутствия изменений в GPO. В других CSE в ситуации отсутствия изменений параметров GPO, параметры GPO не применяются повторно.

Это отличная функция и ее можно изменять. В отличие от других параметров, которые я показывал вам в этой статье, этот параметр НЕ относится к параметрам GPO. Он скорее является параметром реестра. Если вы хотите изменить этот параметр самостоятельно, вы можете сделать это, изменив MaxNoGPOListChangesInterval, который расположен в системном реестре:

HKLM \ Software | Microsoft | Windows NT | CurrentVersion | Winlogon \ GPExtensions | {827D319E-6AC-11D2-A4EA-00C04F79F83A}

(Заметка: Эта длинная строка цифр является GUID для безопасности CSE.) Вы можете посмотреть этот путь в параметрах интервала ключа на рисунке 4.

Рисунок 4: Параметры безопасности CSE реестра, включая значение MaxNoGPOListChangesInterval

Заметка: MaxNoGPOListChangesInterval значение реестра является вводом DWORD значения и имеет элементы минут. Если вы хотите задать это значение на 16 часов, это будет 960 минут в реестре.

Резюме

Если безопасность является важной для вашей организации, и вы используете групповую политику для применения безопасности, вы можете получить дополнительное управление над тем, как групповая политика обеспечивает параметры безопасности. У вас есть множество опций для принуждения и управления обновлениями, и даже обеспечения целостности параметров безопасности со временем в групповой политике. Существуют ручные способы, которыми можно управлять на целевом компьютере, а также решения, которые интегрируются непосредственно в Active Directory Users and Computers инструменты для управления обновлениями групповой политики из центрального места, как например Specops. Если вы хотите, чтобы ваши параметры безопасности обновлялись при каждом фоновом обновлении, вы можете задать CSE параметры для обеспечения этого. Наконец, вы можете изменять периоды специальных фоновых обновлений параметров безопасности, которые по умолчанию происходят каждые 16 часов. Благодаря всем этим элементам управления, ваша безопасность на серверах и машинах будет постоянно в действии, а также будет соответствовать вашим требованиям постоянно.