Локальная политика безопасности. Часть 6: группы с ограниченным доступом, системные службы, реестр и файловая система

OSzone.net » Microsoft » Windows 7 » Администрирование » Управление Windows 7 с помощью групповой политики » Локальная политика безопасности. Часть 6: группы с ограниченным доступом, системные службы, реестр и файловая система
Автор: Дмитрий Буланов
Иcточник: dimanb.spaces.live.com
Опубликована: 09.05.2010

Введение

*Из цикла предыдущих статей, посвященных локальным политикам безопасности, вы уже узнали о многих средствах обеспечения безопасности пользователей вашей организации или домашних пользователей средствами групповых политик. Из этой статьи вы узнаете еще о четырех узлах локальных политик безопасности, а именно об управлении группами с ограниченным доступом, системных службах пользователей, которые попадают в область действия групповых политик, об ограничениях разделов системного реестра, а также о разрешениях файловой системы ваших рабочих станций. Эти политики безопасности позволят вам задать свойства для групп со специфическими требованиями, принудительно запускать или отключать службы согласно корпоративным требованиям, ограничить доступ к конкретным разделам системного реестра и управлять разрешениями доступа и параметрами аудита для файловой системы. Правильное использование этих политик безопасности позволит вам закрыть множество уязвимостей, от злоумышленников, которым все-таки удалось проникнуть в системы ваших пользователей, а также от самих пользователей, которые в связи с некомпетентностью могут нанести не менее значительный ущерб своему компьютеру и рабочим станциям организации в частности. Все четыре указанных ниже локальных политик безопасности вы не сможете найти в оснастке «Редактор локальной групповой политики» клиентских операционных систем.

Группы с ограниченным доступом

При помощи локальных политик безопасности и политик «Группы с ограниченным доступом» в частности, вы можете указать два свойства, определяющие членов данной группы, а также членства в группах для конкретной группы безопасности. Данная политика безопасности имеет особенную ценность для организаций, в которых присуща сложная иерархия групп безопасности. Как известно, группы – это важный класс объектов, поскольку они служат для единого управления коллекциями пользователей, компьютеров и других групп. Несмотря на то, что данные политики безопасности очень похожи на возможности функционала оснастки «Active Directory: Локальные пользователи и компьютеры», я рекомендую не игнорировать использование данных политик. В связи с тем, что на первый взгляд свойства «Члены группы» и «Член групп» очень похожи, между ними имеются существенные отличия.

Параметр «Член групп» указывает принадлежность данной группы к еще одной группе. Применение этого параметра гарантирует членство определяемой вами группы в указанной локальной группе. В том случае, если вы настроили локальные политики безопасности в нескольких объектах групповых политик, то для выбранных групп будет применяться каждый параметр членства группы. Например, если вы определили для группы «Отдел разработки», что пользователи данной группы являются членами группы «Разработчики», а второй объект, который привязан к дочернему подразделению, указывает что группа «Отдел тестирования» также является членом группы «Разработчики», то, в конечном счете, обе группы будут принадлежать к группе «Разработчики».

При помощи параметра «Члены группы», вы можете указать членство в определяемой группе. Данный параметр является авторитарным, и он определяет окончательный список членов. Если политика групп с ограниченным доступом определена в нескольких объектах групповых политик, то объект GPO с высшим приоритетом будет иметь преимущества над остальными объектами групповых политик.

Например, попробуем настроить группу «Отладчики» как ограниченную группу, в которую входит группа «Поддержка»:

  1. Откройте консоль «Управление групповой политикой», где выберите контейнер «Объекты групповой политики» и нажмите на этом контейнере правой кнопкой мыши для отображения контекстного меню;
  2. В контекстном меню выберите команду «Создать» и в отобразившемся диалоговом окне «Новый объект групповой политики» введите «Группы с ограниченным доступом», после чего нажмите кнопку «ОК»;
  3. Выберите данный объект групповой политики и из контекстного меню выберите команду «Изменить»;
  4. В окне оснастки «Редактор управления групповыми политиками» разверните узел Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасности\Группы с ограниченным доступом и вызовите диалоговое окно добавления группы одним из следующих методов:
  5. В диалоговом окне «Добавление группы» в текстовом поле «Группа» введите название необходимой группы или найдите ее, вызвав диалоговое окно «Выбор: Группы», нажав на кнопку «Обзор», после чего нажмите на кнопку «ОК»;

  6. *

    Рис. 1. Диалоговое окно добавления группы

  7. В диалоговом окне «TESTDOMAIN\Отладчики Свойства» необходимо указать пользователей или группы, которые будут являться членами группы «Отладчики». Для этого возле области «Члены этой группы» нажмите на кнопку «Добавить». Откроется такое же окно, предназначенное для выбора группы, как и на предыдущем шаге. Выберем группу «Поддержка», которая была создана заранее. В нашем случае, группа отладчиков не должна входить в какие-либо группы, поэтому далее нажмите на кнопку «ОК».

  8. *

    Рис. 2. Диалоговое окно настройки группы с ограниченным доступом

  9. Закройте оснастку «Редактор управления групповыми политиками», привяжите измененный объект групповой политики к нужному вам контейнеру и установите область действия.

Системные службы

Узел «Службы» локальных политик безопасности отвечает за централизованное управление службами ваших клиентских машин. Для повышения производительности компьютеров вашей организации вы можете определить службы, которые будут запущены автоматически, которые нужно запускать вручную, а также службы, которые принудительно будут остановлены. Для того чтобы определить параметры служб, вам нужно выполнить следующие действия:

  1. Откройте консоль «Управление групповой политикой», где выберите контейнер «Объекты групповой политики» и нажмите на этом контейнере правой кнопкой мыши для отображения контекстного меню;
  2. В контекстном меню выберите команду «Создать» и в отобразившемся диалоговом окне «Новый объект групповой политики» введите «Службы для компьютеров организации», после чего нажмите кнопку «ОК»;
  3. Выберите данный объект групповой политики и из контекстного меню выберите команду «Изменить»;
  4. В окне оснастки «Редактор управления групповыми политиками» разверните узел Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасности\Системные службы. Область сведений системных служб вы можете увидеть ниже:

  5. *
    Увеличить рисунок

    Рис. 3. Область сведений узла «Системные службы»

  6. Как видно из предыдущей иллюстрации, по умолчанию для всех системных служб установлено состояние «Не определено». Для того чтобы настроить определенные системные службы, выберите любую службу, например, «Служба ввода планшетного ПК» и откройте ее свойства. Свойства данной службы отображены на следующей иллюстрации:

  7. *

    Рис. 4. Диалоговое окно свойств службы

  8. Установите флажок «Определить следующий параметр политики», а затем установите переключатель на требуемое состояние. Нажав на кнопку «Изменить параметры» вы можете указать параметры безопасности для групп и пользователей.
  9. По окончанию настройки режима запуска службы нажмите на кнопку «ОК». После настройки служб, область сведений будет выглядеть следующим образом:

  10. *
    Увеличить рисунок

    Рис. 5. Область сведений после настройки режима запуска служб

  11. Закройте оснастку «Редактор управления групповыми политиками», привяжите измененный объект групповой политики к нужному вам контейнеру и установите область действия.

Реестр

Используя политики из узла «Реестр» вы можете определить права доступа и аудита для различных разделов системного реестра компьютеров, которые указаны в области действия объектов групповых политик. Настройки данных политик идентичны тем настройкам, которые были описаны в статье «Работа с оснасткой «Шаблоны безопасности»». Например, для того чтобы запретить вашим пользователям изменять настройки автозапуска совместно с настройками режима запуска служб, выполните следующие действия:

  1. Откройте консоль «Управление групповой политикой», где выберите контейнер «Объекты групповой политики», затем выберите объект групповой политики «Службы для компьютеров организации», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
  2. В появившемся окне оснастки «Редактор управления групповыми политиками» разверните узел Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасности\Реестр и вызовите диалоговое окно «Выбор раздела реестра» из контекстного меню узла, области сведений, области действий или из меню «Действие»;
  3. В диалоговом окне «Выбор раздела реестра», введите в текстовом поле «Выбранный реестр» путь к требуемому разделу (в нашем случае - MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) или выберите необходимый раздел в области «Реестр». Данное диалоговое окно вы можете увидеть ниже:

  4. *

    Рис. 6. Диалоговое окно выбора раздела реестра

  5. Нажмите на кнопку «ОК» для открытия диалогового окна управления безопасностью данного раздела. Выберите группу «Пользователи» и в области разрешений установите флажок для полного доступа на опцию «Запретить». Вы можете добавить любую группу или пользователей по нажатию на кнопку «Добавить» или настроить дополнительные параметры безопасности. Нажмите на кнопку «ОК»;
  6. В том случае, если вы задали элемент запрета разрешений, то перед вами отобразится следующее предупреждение:

  7. *

    Рис. 7. Предупреждение об изменении разрешений

    Прочитайте его и нажмите на кнопку «Да» для продолжения выполнения операции.

  8. В диалоговом окне «Добавление объекта» вы можете указать разрешения для всех дочерних разделов. Выберите необходимые разрешения и нажмите на кнопку «ОК»;

  9. *

    Рис. 8. Диалоговое окно добавления раздела реестра

  10. В области сведений будут отображаться все разделы реестра, для которых вы указали разрешения. По окончании добавления разделов реестра закройте оснастку «Редактор управления групповых политик»;

  11. *

    Рис. 9. Область сведений редактора управления групповых политик

Файловая система

При помощи этого узла вы можете настроить разрешения доступа пользователям или группам к объектам, расположенных на данном компьютере. Принцип добавления объекта файловой системы полностью идентичен добавлению разрешений на разделы реестра за исключением того, что на третьем шаге вместо диалогового окна выбора раздела реестра вам нужно будет указать файл или папку в диалоговом окне «Добавление файла или папки». На следующей иллюстрации отображено данное диалоговое окно:

*

Рис. 10. Диалоговое окно добавления файла или папки

Заключение

В данной статье вы узнали еще об одних локальных политиках безопасности: политиках групп с ограниченным доступом, которые предназначены для определения членов указанной группы и членства в группах, о политиках системных служб, используя которые вы можете указать режим запуска служб для своих клиентских компьютеров. Также были рассмотрены политики реестра, которые предназначены для указания разрешений к определенным разделам системного реестра и политики файловой системы, которые нужны для разрешения доступа пользователям или группам к объектам, расположенным на данном компьютере. В следующей статье вы узнаете о настройках политик проводной сети.


Ссылка: http://www.oszone.net/12543/secpol6