Что можно настроить с помощью оснастки локальная политика безопасности
Перейти к содержимому

Что можно настроить с помощью оснастки локальная политика безопасности

  • автор:

Настройка параметров политики безопасности

В этой статье описаны действия по настройке параметра политики безопасности на локальном устройстве, на устройстве, присоединенном к домену, и на контроллере домена. Для выполнения этих процедур необходимо иметь права администратора на локальном устройстве или соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена.

Если локальный параметр недоступен, это означает, что этот параметр в настоящее время контролируется объектом групповой политики.

Настройка параметра с помощью консоли локальной политики безопасности

  1. Чтобы открыть локальную политику безопасности, на экране Пуск введите secpol.msc и нажмите клавишу ВВОД.
  2. В разделе Параметры безопасности дерева консоли, выполните одно из следующих действий.
    • Выберите Политики учетных записей , чтобы изменить политику паролей или политику блокировки учетных записей.
    • Выберите Локальные политики , чтобы изменить политику аудита, назначение прав пользователя или параметры безопасности.
  3. Когда вы найдете параметр политики в области сведений, дважды щелкните политику безопасности, которую вы хотите изменить.
  4. Измените параметр политики безопасности и нажмите кнопку ОК.
  • Некоторые параметры политики безопасности требуют перезапуска устройства для того, чтобы параметр вступил в силу.
  • Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Настройка параметра политики безопасности с помощью консоли редактора локальных групповых политик

Для установки и использования консоли управления (MMC) и обновления объекта групповой политики (GPO) на контроллере домена требуются соответствующие разрешения.

  1. Откройте редактор локальных групповых политик (gpedit.msc).
  2. В дереве консоли щелкните Конфигурация компьютера, выберите Параметры Windows, а затем — Параметры безопасности.
  3. Выполните одно из следующих действий.
    • Выберите Политики учетных записей , чтобы изменить политику паролей или политику блокировки учетных записей.
    • Выберите Локальные политики , чтобы изменить политику аудита, назначение прав пользователя или параметры безопасности.
  4. В области сведений, дважды щелкните параметр политики безопасности, который вы хотите изменить.

Примечание. Если эта политика безопасности еще не определена, выберите флажок Определить параметры политики.

Если вы хотите настроить параметры безопасности для многих устройств в сети, можно использовать консоль управления групповыми политиками.

Настройка параметра для контроллера домена

В следующей процедуре описывается настройка параметра политики безопасности только для контроллера домена (из контроллера домена).

  1. Чтобы открыть политику безопасности контроллера домена, в дереве консоли найдите Политика GroupPolicyObject [ComputerName] , щелкните Конфигурация компьютера, выберите Параметры Windows, а затем — Параметры безопасности.
  2. Выполните одно из следующих действий.
    • Дважды щелкните Политики учетной записи, чтобы изменить Пароль политики, Политику блокировки учетных записей или Политику Kerberos.
    • Выберите Локальные политики , чтобы изменить политику аудита, назначение прав пользователя или параметры безопасности.
  3. В области сведений, дважды щелкните политику безопасности, которую вы хотите изменить.

Примечание. Если эта политика безопасности еще не определена, выберите флажок Определить параметры политики.

  • Всегда проверяйте только что созданную политику в тестовом подразделении перед ее применением к сети.
  • Когда вы измените параметр безопасности с помощью объекта групповой политики и нажмете ОК, этот параметр вступит в силу при следующем обновлении параметров.

Связанные статьи

7.1.2. Локальная политика безопасности

Оснастка Локальная политика безопасности применяется для прямого изменения политик учетных записей, локальных политик, политик открытого ключа и политик безопасности IP локального компьютера.

Рис. 7.3. Окна настройки параметров безопасности

1.Политики учетных записей определяются на компьютерах и определяют взаимодействие учетных записей с компьютером и доменом. Существуют три политики учетных записей:

  • политика паролей – используется для учетных записей доменов и локальных компьютеров и определяет параметры паролей, такие как, соответствие обязательным условиям и срок действия;
  • политика блокировки учетной записи – используется для учетных записей доменов и локальных компьютеров и определяет условия и период времени блокировки учетной записи;
  • политика Kerberos – используется для учетных записей пользователей домена и определяет параметры Kerberos, такие как срок жизни и соответствие обязательным условиям (политики Kerberos не входят в состав политики локального компьютера).

Для учетных записей доменов допускается использование только одной политики учетных записей. Политика учетных записей должна быть определена в политике домена по умолчанию и реализовываться контроллерами домена, образующими этот домен. Контроллер домена всегда получает политику учетных записей от объекта групповой политики Политика по умолчанию для домена, даже если имеется другая политика учетных записей, примененная к организационному подразделению, которое содержит контроллер домена. Присоединенные к домену рабочие станции и серверы по умолчанию также получают эту политику учетных записей для локальных учетных записей. Однако локальные политики учетных записей могут отличаться от политики учетных записей домена, например, когда политика учетных записей определяется непосредственно для локальных учетных записей.

В окне Параметры безопасности доступны две политики, имеющие с политиками учетных записей похожую функциональность:

  • Network Access: Allow anonymous SID/NAME translation;
  • Сетевая безопасность: Принудительный выход из системы по истечении допустимых часов работы.

2.Локальные политики представляют собой группу политик, которые применяется на компьютерах, в их состав входят три политики:

  • Политики аудита – определяют, какие события безопасности заносятся в журнал безопасности данного компьютера, и заносить ли в журнал безопасности успешные попытки, неудачные попытки или и те и другие. (Журнал безопасности является частью оснастки Просмотр событий);
  • Назначение прав пользователя – политики определяют, какие пользователи и группы обладают правами на вход в систему и выполнение различных задач;
  • Параметры безопасности – политики отвечают за включение или отключение параметров безопасности: цифровая подпись данных; имена учетных записей администратора и гостя; доступ к дисководам гибких дисков и компакт-дисков; установка драйверов; приглашение на вход в систему. Параметры безопасности обновляются:
  • после перезарузки компьютера;
  • каждые 90 минут на рабочей станции или сервере;
  • каждые 5 минут на контроллере домена;
  • каждые 16 часов независимо от наличия изменений.

Для параметров безопасности, определенных для нескольких политик, установлен следующий порядок приоритета (от высокого до низкого): подразделение, домен, сайт. Какие политики применены к компьютеру и какой у них порядок приоритета определено оснасткой Результирующая политика (RSoP), которая является дополнением к групповой политике и интегрированной частью оснастки Управление изменением и настройкой. RSoP собирает данные Active Directory, групповой политики и IntelliMirror, чтобы помочь снизить время, затрачиваемое на устранение неполадок, связанных с объектами групповой политики (GPO). Эта оснастка проверяет внедрение политики, сценарии развертывания установки программ и развертывание сценариев. Параметры безопасности могут продолжать действовать даже, если они не определены в политике, к которой они изначально были применены. Постоянство действия параметров безопасности возникает в следующих случаях:

  • параметр не был предварительно определен на локальном компьютере, в то время как политика уже была применена;
  • параметр определен для объекта реестра в ветви узла Реестр;
  • параметр определен для объекта файловой системы;

Каждый раз при применении групповой политики в базе сохраняются локальные параметры безопасности. Если объект групповой политики определяет параметр безопасности, а затем не определяет его, для параметра устанавливается исходное локальное значение, сохраненное в базе. При отсутствии значения в базе, если у параметра нет настройки к которой можно вернуться, то параметр определяется как изначально. Иногда такое поведение называют tattooing. Настройка реестра и файлов сохраняет параметры безопасности, примененные политикой, до тех пор пока значение параметра не изменится.

3.Политики открытого ключа имеют параметры, которые доступны в оснастке Групповая политика, с их помощью можно выполнять следующие задачи:

  • настройку компьютеров на автоматическую отправку запросов в центр сертификации предприятия и установку выдаваемых сертификатов, что позволяет обеспечить наличие на компьютерах сертификатов, необходимых для выполнения в организации криптографических операций с открытым ключом (например, связанных с использованием протокола IPSec или с проверкой подлинности клиентов;
  • создание и распространение списка доверия сертификатов (CTL) – подписанных списков сертификатов корневых центров сертификации, признанных администратором пригодными для тех или иных целей, например, для проверки подлинности клиента или защиты электронной почты;
  • установку общих доверенных корневых центров сертификации, которые позволяют привязать компьютеры и пользователей к общим корневым центрам сертификации (в добавление к тем, которые они уже признали доверенными в индивидуальном порядке) 2 ;
  • добавление агентов восстановления шифрованных данных и изменение параметров политики восстановления шифрованных данных.

Параметры политики открытого ключа необязательно использовать в групповой политике для развертывания инфраструктуры открытых ключей в рамках организации. Однако данные возможности позволяют более гибко контролировать установку доверительных отношений с центрами сертификации, выдачу сертификатов компьютерам и развертывание шифрованной файловой системы (EFS, Encrypting File System) в домене.

Механизм политики безопасности

В соответствии с сертификационными требованиями к системам безопасности операционных систем («Положение о сертификации средств защиты информации по требованиям безопасности информации» (утверждены Приказом Гостехкомиссии РФ от 27.10.1995 № 199)) при подключении пользователей должен реализовываться механизм аутентификации и/или идентификации.

Политика безопасности в данном контексте, применительно к компонентам вычислительных систем, будет определена как набор параметров, которые регулируют безопасность компьютера и управляются с помощью локального объекта групповой политики (GPO).

Рассмотрим реализацию начального этапа механизма политики безопасности операционной системы Windows 7.

Настройка параметров аутентификации выполняется в рамках опций локальной политики безопасности. Оснастка Локальная политика безопасности используется для изменения политики учетных записей и локальной политики на локальном компьютере. Данная оснастка позволяет администратору управлять параметрами безопасности конкретного компьютера. Для получения доступа к оснастке необходимо выполнить команду secpol.msc в командной строке (рис. 2.2).

Окно доступа к оснастке Локальная политика безопасности

Рис. 2.2. Окно доступа к оснастке Локальная политика безопасности

При помощи оснастки Локальная политика безопасности можно задать:

  • • идентификаторы пользователей на доступ к компьютеру;
  • • перечень ресурсов, доступных пользователю на данном компьютере;
  • • включение/отключение записи действий пользователя или группы пользователей в журнал событий.

При совместной работе коллектива пользователей на одних и тех же вычислительных устройствах возникает необходимость создания определенных категорий пользователей с практически равными наборами атрибутов безопасности и привилегий. В данном случае такие сообщества пользователей объединяют в группы.

Группа включает в себя категорию пользователей одинакового уровня конфиденциальности, что позволяет одновременно задавать им необходимые наборы привилегии и разрешения на доступ.

Однако группа не является субъектом, и от ее имени не могут отдаваться приказы системе — это происходит от имени входящих в нее пользователей.

Групповые политики — это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб могут централизованно развертывать и управлять настройками пользователей и компьютеров организации.

Объекты групповых политик делятся на две категории.

Доменные объекты групповых политик, которые используются для централизованного управления конфигурацией компьютеров и пользователей, входящих в состав домена Active Directory. Эти объекты хранятся только на контроллере домена.

Локальные объекты групповых политик, которые позволяют настраивать конфигурацию локального компьютера, а также всех пользователей, созданных на этом компьютере. Эти объекты хранятся только в локальной системе. Локальные объекты групповых политик могут применяться, даже если компьютер входит в состав домена.

Для получения доступа к оснастке Редактор локальной групповой политики необходимо выполнить команду gpedit.msc в командной строке. На рис. 2.3 показано окно Редактора локальной групповой политики. Уточняющий термин «локальной» указывает на то, что групповые политики редактируются на локальном компьютере, а не на удаленном.

Окно оснастки

Рис. 2.3. Окно оснастки

Редактор локальной групповой политики безопасности

В оснастке редактора локальных объектов групповой политики присутствуют два основных узла.

Конфигурация компьютера. Данный узел предназначен для настройки общих для всех категорий пользователей параметров компьютера. Здесь, например, можно выбрать параметры сети или диагностики систем компьютера.

Конфигурация пользователя. Этот узел предназначен для настройки тех параметров пользователей, которые применяются при входе конкретного пользователя в систему. Здесь, например, можно настроить сетевые ресурсы или параметры рабочего стола.

В состав основных узлов входит задача найти по три дочерние части, с помощью которых настраиваются все параметры локальных объектов групповых политик.

Конфигурация программ — параметры, касающиеся приложений на компьютере.

Конфигурация Windows — настройки системы и безопасности, другие параметры Windows, такие как, например, сценарии запуска и завершения работы системы.

Административные шаблоны — содержит конфигурацию из реестра Windows, т.е. эти же параметры можно изменить с помощью редактора реестра, но использование редактора локальной групповой политики может быть более удобным.

Секреты Windows 7

Локальная политика безопасности – это оснастка консоли управления, позволяющая устанавливать различные системные параметры безопасности. Данная оснастка также является частью групповой политики.

Для запуска этой оснастки откройте Панель управления, в категории Система и безопасность щелкните на ссылке Администрирование, после этого дважды щелкните на значке Локальная политика безопасности и подтвердите ваши действия в окне UAC (если оно появится). Все доступные административные параметры разделены на несколько групп (рис. 11.30).

Рис. 11.30. Локальная политика безопасности

Наиболее актуальные параметры безопасности собраны в разделе Локальные политики.

• Политика аудита. Здесь вы можете определить, какие события будут записываться в журнал безопасности. Для включения аудита дважды щелкните на нужном событии и в появившемся окне установите нужные флажки: Успех – для занесения в журнал удачных попыток, Отказ – для фиксации неудачных попыток выбранного действия.

• Назначение прав пользователя. В этой категории имеется довольно обширный список параметров, определяющих, что можно и что нельзя делать на компьютере отдельным пользователям и группам. Например, вы можете указать, каким пользователям разрешить локальный вход, а каким – доступ по сети, кто может выполнять завершение работы или изменять системное время.

• Параметры безопасности. Здесь собраны различные административные параметры, определяющие поведение системы при входе в нее, доступе к компьютеру из сети, работе с устройствами и др.

Внимание!

Не изменяйте параметры безопасности без особой необходимости, поскольку это может вызвать проблемы в работе системы. В большинстве случаев для настройки безопасности достаточно стандартных средств: использования различных типов учетных записей, разрешений NTFS и родительского контроля (см. гл. 10).

Также может быть полезно:

  1. Параметры безопасности Internet Explorer
  2. Основные сведения
  3. Средства безопасности
  4. Центр обеспечения безопасности
  5. Локальная сеть

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *