Лекция 6. Групповая политика
Лекция 6. Групповая политика
Групповая политика (group policy) представляет собой набор конфигурационных параметров компьютера и пользовательских параметров. Она позволяет определить программы, доступные пользователям, приложения, значки которых отображаются на рабочем столе, элементы меню Start (Пуск), а также функциональность компьютера.
Тем не менее, поскольку нелокальные ОГП могут перекрывать пара метры локального ОГП, в среде Active Directory эти параметры меньше всего влияют на… Нелокальные ОГП связаны с объектами Active Directory (сайтами доменами или…
Конфигурационные параметры компьютера (computer configuration settings) служат для настройки политик, действие которых распространяется на… Пользовательские параметры служат для настройки политик, распространяющихся на… Для настройки конфигурационных и пользовательских параметров используются узлы Software Settings (Конфигурация…
Вы управляете приложением из ОГП, который, в свою очередь, связан с определенным контейнером Active Directory — сайтом, доменом или ОП. Для…
Узел Scripts позволяет определить сценарии запуска/выключения компьютера и… Администраторы могут использовать любой удобный для них язык сценариев ActiveX, в том числе VBScript, JScript, Perl и…
Узел Windows Components позволяет администрировать компоненты Windows 2000, включая NetMeeting, Internet Explorer, Windows Explorer (Проводник),… Узел System применяется для управления функциями входа в систему и завершения… Узел Network содержит подузлы Offline Files (Автономные файлы) и Network and Dial-Up Connections (Сеть и удаленный…
2. Для компьютера загружается упорядоченный список ОГП, содержимое которого зависит от следующих факторов:
• состоит ли компьютер в домене Windows 2000 и распространяется ли на него… • от местоположения компьютера в службе каталогов Active Directory;
1 Локальный ОГП— на каждом компьютере с Windows 2000 имеется один ОГП, хранящийся локально.
2 ОГП сайта— следующими обрабатываются любые ОГП, настроенные для сайта.… 3 ОГП домена— обработка всех ОГП, настроенных для домена, осуществляется синхронно; порядок обработки определяется…
· No Override (He перекрывать).Для любого ОГП, связанного с сайтом, доменом или подразделением (но не локальным ОГП), разрешается задать параметр… · Block Policy Inheritance (Блокировать наследование политики). Для… · Loopback (Замыкание на себя)— дополнительный параметр групповой политики, который необходим на компьютерах в…
Ненастроенные параметры политики для родительского подразделения не наследуются дочерним подразделением. Отключенные параметры политики наследуются… Если родительская и дочерняя политики совместимы, то помимо параметров…
Конфигурация безопасности
Расширение Security Settings (Параметры безопасности) оснастки Group Policy (Групповая политика) применяется для настройки конфигурации безопасности компьютеров и групп. На этом занятии усматриваются параметры конфигурации безопасности.
• Account policies (Политики учетных записей);
• Local policies (Локальные политики);
• Event log (Журнал событий);
· Password Policy (Политика паролей)— определяет параметры парольной защиты для доменных или локальных учетных записей, например обязательный ввод… · Account Lockout Policy (Политика блокировки учетной записи) — определяет,… · Kerberos Policy (Политика Kerberos)— определяет параметры протокола Kerberos для доменных учетных записей,…
• Audit Policy (Политика аудита)— определяет события, которые регистрируются в журнале безопасности (успешные, неудачные и теи другие). Журнал… • User Rights Assignment (Назначение прав пользователя)— определяет, какие… • Security Options (Параметры безопасности)— включают или отключают такие параметры безопасности для компьютера, как…
Узел Event Log
В этой области безопасности определяются атрибуты, относящиеся К журналам Application (Журнал приложений), Security (Журнал безопасности) и System (Журнал системы): максимальный размер, права доступа к каждому журналу, а также способы их хранения.
Узел Public Key Policies
Эта область безопасности предназначена для настройки агентов восстановления шифрованных данных, доменных корней и доверенных центров сертификации.
Узел IP Security Policies
Эта область безопасности предназначена для настройки безопасного обмена данными в IP-сетях.
Аудит
Под аудитом (auditing) в Windows 2000 подразумевается процесс контроля действий пользователей и операционной системы, которые называются событиями (events). Посредством аудита определяются события, которые необходимо записать в журнал безопасности, например попытки законного и незаконного входа в систему, события, связанные с созданием, открытием или удалением файлов, и др. Каждая запись в журнале безопасности содержит следующую информацию:
• описание действия;
• имя пользователя, который его совершил;
• время и результат (успех или неудача) события.
Событие записывается в журнал безопасности того компьютера, где оно произошло. Например, неудачная попытка войти в компьютер домена фиксируется в… • выявить успешные и неудачные события, например попытки войти в систему,… • устранить или минимизировать риск непредусмотренного использования ресурсов.
После определения подлежащих аудиту событий необходимо выбрать, какие события стоит регистрировать: успешные, неудачные или и те, и другие.…
Правила, которыми следует руководствоваться при настройке политики аудита:
Неудачные попытки входа/выхода из системы - Взлом путем подбора пароля
Успешные попытки входа/выхода из системы - Взлом с помощью украденного… Применение пользователем своих прав, управление пользователями и группами, изменение политики безопасности,…