главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Настольные Windows-программы будут работать на смартфонах
  • Windows 10 Insider Preview: вышла сборка 14986
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Существует множество установок безопасности, которые могут быть сконфигурированы в одном Объекте Групповой Политики (Group Policy Object). Эти установки ранжируются от контроля аккаунта Администратора для контроля LDAP подписания требований клиента. При таком большом количестве защитных установок очень важно понимать функционирование и режим работы, который не так очевиден, как можно было бы себе представить.

    В декабре 2004 года я написал статью про ”Осуществление групповой политики защитных установок ”, которая даст вам некоторый детальный взгляд изнутри на то, как защитные установки могут применяться в обычной среде. В этой статье я раскрою суть концепции (включая некоторые регистровые ”хаки”), а также некоторые наиболее общие сценарии, в которых установки безопасности ведут себя не так как положено.

    Настройки безопасности групповой политики, обновление

    В декабре 2004 я написал статью о том, как вы можете быть уверены, что ваши настройки безопасности были применены. В статье рассказывалось то, как вы можете проверить, какие настройки являются "политиками" и какие настройки были "предпочтительными", так что вы могли ясно понимать, как каждая настройка была применена на компьютере. С каждым типом настроек вы можете использовать эти настройки в стандартном интервале обновления групповой политики, который приблизительно равен 90 минутам.

    Все те методики, о которых я тогда рассказывал, действительны и сегодня. Однако есть другая "встроенная" технология, о которой вы должны знать. Эта технология позволяет вам контролировать, как часто будут обновляться в GPO настройки безопасности, без каких-либо изменений в самих GPO. Да, это правда! Вы можете применять все настройки безопасности автоматически после X минут, даже если не было изменений в GPO. Значение Реестра которое вам нужно будет поменять это - MaxNoGPOListChangesInterval, как показанона рисунке1.

    Уникальные настройки безопасности групповой политики
    Рисунок 1: Вы можете менять частоту обновлений настроек безопасности в GPO


    Эти настройки вы можете найти в Реестре:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

    Значение по умолчанию для этих настроек – 960 минут (или 0x3c0 в шестнадцатиричном значении.).

    Эти настройки очень важны, так как они позволяют администратору удостовериться, что настройки безопасности снижены и применены для пользователей, так что теперь не приходится делать это при каждом обновлении. Пользователи теперь будут иметь защищенный ПК без обновляемых каждые 90 минут настроек безопасности.

    Настройки безопасности для контроллеров домена

    Я написал много статей, описывающих, как Политики Учетных записей (Account Policies) в GPO воздействуют на контроллеры домена и локальный Security Accounts Manager (SAM) на серверах и ПК по всему домену. Эти настройки уникальны для контроллеров домена из-за самой природы всех контроллеров домена, нуждающихся в синхронизации с некоторыми настройками, которые являются расширением домена.

    Политики Учетных записей не единственные настройки, которые затрагивают контроллеры домена таким образом. Есть другие настройки безопасности, которые могут быть применены только к корневому узлу домена, чтобы вступить в силу на контроллерах домена. Опять же эти настройки должны работать таким образом, чтобы все контроллеры домена в домене имели объединенный и синхронизированный фронт, когда представляют домен. Если один ПК пройдет на контроллер домена А и получит настройки Х, и другой ПК пройдет на контроллер домена В и получит настройки У, то это может привести к существенным и негативным последствиям на всем предприятии.

    Настройки, которые применимы ко всем контроллерам домена через GPO, связанные только с доменом включают:

    • Политику Учетных записей
    • Сетевую безопасность: принудительный выход из системы по истечению времени регистрации
    • Учетные записи: статус учетной записи «Администратор»
    • Учетные записи: статус учетной записи «Гость»
    • Учетные записи: переименование учетной записи «Администратор»
    • Учетные записи: переименование учетной записи «Гость»

    «The Grim Reaper» настроек безопасности.

    Многие вопросы и технологии зациклены. В последнее время много обсуждаются настройки файловой системы и установок реестра в GPO. Эти настройки размещены под узлом Computer Configuration (Конфигурация компьютера), как показано на рисунке 2.

    Уникальные настройки безопасности групповой политики
    Рисунок 2: Узлы Реестра и Файловой системы в GPO могут контролировать права доступа практически для любого Регистрационного ключа или Файла


    Эти настройки в GPO контролируют права доступа Регистрационного ключа, Файла или Папки. Эти настройки очень легко изменить и сделать работу весьма приятной. Однако их минус в том, что можно потратить очень много времени на их применение.

    Во время загрузки компьютера эти настройки могут занять дополнительное время, вызывая существенные задержки в доступе пользователей к их ПК.

    Предполагается, что эти настройки будут использоваться мало. Вместо использования этих настроек будет лучше настроить права доступа безопасности в образе рабочего стола. Используйте эти настройки политики только тогда, когда вы не можете поместить права доступа в оригинальный образ или когда у вас редкая ситуация когда несколько настроек будут распределены через групповую политику.

    Безопасность во время миграции.

    Используя GPMC, вы можете переместить GPO с одного домена на другой. Это очень полезная возможность и часто используемая при переводе объектов с тестируемого домена на работающий или даже между двумя работающими. Почти во всех случаях параметры установки в GPO нейтральны, это значит, что параметры установки только включают или выключают функции. Однако когда дело доходит до настроек безопасности, то тут уже не все так просто. Существует множество настроек безопасности, которые зависят от аккаунтов пользователя и/или групп, где они применяются. Эти настройки требуют особого внимания при перемещении с одного домена на другой, так как у каждого домена есть свои уникальные пользовательские и групповые аккаунты, которые должны передаваться между ними. Упомянутые настройки включают в себя:

    • Назначение прав пользователя
    • Группы ограничений
    • Службы
    • Файловую систему
    • Реестр
    • GPO DACL, если выберете сохранять во время копирования

    Решение этого состоит в том, чтобы использовать Таблицы Перемещения в GPMC, как показано на рисунке 3.

    Уникальные настройки безопасности групповой политики
    Рисунок 3


    Заключение

    Не все настройки GPO равносильны, особенно когда дело касается настроек безопасности. Просмотрите и протестируйте все настройки безопасности, прежде чем внедрять их в продукцию. Теперь настройки безопасности применяются каждые 16 часов, даже без изменений в настройках политики. Это гарантирует надежную и устойчивую безопасность ваших ПК и серверов. Для контроллеров домена вы должны четко представлять, где могут быть настройки и где они могли применяться, доменные контроллеры действуют не так, как большинство компьютеров. Наконец, когда устанавливаете пользовательские и групповые аккаунты в настройках, они должны быть переведены с одного домена на другой с использованием таблиц перемещения. Как только вы овладеете уникальными настройками безопасности, ваша сеть станет более безопасной и устойчивой.

    Автор: Дерек Мелбер (Derek Melber)
    Иcточник: WinSecurity.ru



    Оцените статью:
    Голосов 3

    Материалы по теме:
  • Настройка выполнения сценариев PowerShell с помощью групповой политики
  • Фильтрация объектов групповой политики по группам безопасности
  • Быстрое резервное копирование объектов групповой политики.
  • Контроль безопасности вашей службы сервера с помощью политики групп
  • Защита серверов с помощью шаблонов безопасности


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет двадцать минус три?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+