Infrastructura IT pentru întreprinderea dvs.
Folosind Politica de grup pentru a gestiona configurația de securitate
Vom lua în considerare, de asemenea, o serie de setări de politică de securitate bazate pe politica de grup, și să încerce să profite la maximum de avantajele lor. Dar, mai întâi, trebuie să înțeleagă cum să atribuiți politici de securitate pentru domeniu - care este, cum se configurează setările de securitate în (obiectul politică de grup, GPO) GPO, asociat cu domeniul AD (GPO poate fi asociat cu site-urile AD, domenii sau unități organizaționale - OU).
Politici de securitate a domeniului
- deconectarea automată a utilizatorilor după expirarea timpului de înregistrare;
- redenumiți administratorul contului;
- redenumiți contul de oaspeți.
Cele trei politici sunt localizate în Setările de configurare a calculatorului Setări de securitatePotrivuri de securitate pentru politicile localeProteje de securitate pentru GPO.
S-ar putea să ne întrebăm de ce Microsoft cere ca politicile pentru conturi și aceste trei politici de securitate să fie în GPO asociat domeniului. După cum știți, dacă serverul din domeniu este atribuit de către controlerul de domeniu AD, în mod implicit, AD stochează DC în unitatea organizațională a controlorilor de domeniu. Cu toate acestea, dacă mutați DC într-o altă unitate organizațională OU, aceasta poate primi diferite politici de securitate. Politicile de cont și cele trei politici de securitate specificate trebuie să fie consecvente în toate DC-urile, astfel încât Microsoft a compilat codul de procesare GPO astfel încât aceste politici să fie ignorate, cu excepția cazului în care acestea sunt asociate domeniului. Astfel, se garantează că toate DC, indiferent de locație, primesc aceleași politici. Alte politici de securitate, cum ar fi politicile de audit și grupurile restrânse, pot fi diferite pe DC în diferite UU-uri. Ar trebui să vă amintiți această caracteristică de politică dacă doriți să mutați DC din unitatea organizatorică a controlerelor de domeniu.
Abordări recomandate
Când se construiește un nou domeniu AD, în interiorul acestuia se creează două GPO: Politica prestabilită a politicii de domeniu și a controlorilor de domeniu asociate controlorilor de domeniu OU. Aceste GPO ajută administratorii Windows să configureze un cont de domeniu și alte politici de securitate, dar unii experți nu recomandă atingerea unui GPO gata. Prin urmare, mulți administratori nu știu dacă să le folosească pentru politici de securitate sau mai bine pentru a-ți construi propriul. În principiu, ambele abordări sunt posibile.
Când implementați politici de securitate într-un domeniu, trebuie să urmați două reguli. După cum sa menționat deja, politica pentru un cont la nivel de domeniu poate fi atribuită numai pentru GPO asociat domeniului. Dacă doriți să se aplice altor politici de securitate de domeniu (de exemplu, specificați dimensiunea standard în jurnalul de securitate pe toate domeniul DC), ar trebui să atribuiți politica la Procuratura Generală, legat de controlere de domeniu OU (se presupune că DC nu a fost eliminat din această unitate organizațională). Windows procesele care GPO în ordine, în primul rând la nivel local, apoi la site-uri, domenii, și OU, astfel încât politicile de securitate definite în GPO, asociat cu controlerele de domeniu OU, prelucrate ultima și prevalează orice alte domenii legate de politică.
Cu toate acestea, această regulă poate intra în conflict cu o altă regulă: includerea modului fără suprimare în GPO asociat domeniului. În modul fără suprascriere, ierarhiile inferioare ale GPO nu pot anula politici inconsecvente la nivel superior. Dacă doriți ca politica să fie principala în toate cazurile, trebuie să activați nici o suprascriere în domeniul GPO care stabilește politica pentru conturi. Dar, dacă se utilizează același obiect GPO legat de domeniu pentru a atribui alte politici de securitate (de exemplu, o politică de audit), va trece peste setările de audit specificate în GPO asociate controlorilor de domeniu OU. Prin urmare, recomand să nu alocați alte funcții GPO care definește politica pentru conturi. Prin urmare, administrarea acestui GPO și politica pentru conturile de domeniu pot fi delegate profesioniștilor din domeniul securității, lăsând dreptul de a atribui direct politicile de securitate necesare computerelor.
La schimbarea politicilor locale de securitate GPO în absența politicii de securitate asociate cu AD, modificările sunt făcute la baza de date SAM existentă a mașinii locale și nu în setul de fișiere localizate în structura de fișiere a GPO locale în% SystemRoot% system32grouppolicy, așa cum este cazul cu ceilalți parametri GPO locală.
Aplicarea garantată a politicii de securitate
O caracteristică comună a tuturor GSE-urilor este aceea că nu procesează din nou GPO dacă obiectul nu sa schimbat de la prelucrarea anterioară. Windows procesează o politică pentru computer, cum ar fi o politică de securitate, când sistemul este pornit (sau oprit), iar politica pentru utilizator este atunci când utilizatorul se conectează sau iese. Astfel de evenimente se numesc procese active. Pe lângă aceste două procese, Windows gestionează politicile în fundal la fiecare 90 de minute (cu o mică deviere) pe stațiile de lucru și serverele de domenii independente și la fiecare 5 minute pe controlerele de domeniu. Cu toate acestea, CSE ignoră procesarea acestui GPO atât în modul activ, cât și în modul fundal, dacă nu sa modificat de la ultimul ciclu de procesare. Prin urmare, dacă utilizatorul modifică configurația locală care contravine politicii GPO referitoare la GP, atunci această modificare locală rămâne în vigoare până când cineva modifică GPO care guvernează politica - poate după mult timp . Din acest motiv, securitatea CSE actualizează periodic politica de securitate, indiferent dacă a fost modificată GPO. Parametrul MaxNoGPOListChangesInterval din secțiunea HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonGPExtensions specifică intervalul de actualizare. Valoarea implicită este de 960 de minute (16 ore), dar intervalul poate fi mărit sau micșorat prin modificarea valorii parametrului de registry. Dacă aveți nevoie de cea mai înaltă posibilă aplicare a politicii de securitate, CSE poate fi configurată să proceseze politica de securitate în fiecare ciclu, indiferent de modificările aduse GPO. Desigur, procesarea suplimentară crește încărcarea de calcul, însă prelucrarea poate fi efectuată numai pe mașini individuale, asigurând modificări în timp util ale configurației sistemului de securitate pe cele mai importante servere și stații de lucru.
Pentru a schimba comportamentul CSE pe computer, deschideți Editorul de obiecte pentru politica de grup și accesați secțiunea Configurare politică TempStateGroup PolicySecurityAdministrative TemplatesSystemGroup pentru GPO care este procesată de computer. Chiar dacă obiectele Politicii de grup nu s-au schimbat, alegeți Proces (ecran 2). După aceasta, sistemul va actualiza politica de securitate în timpul fiecărui ciclu de procesare de fundal și de prioritate.
Am acoperit câteva mecanisme pentru implementarea politicilor de securitate pe baza GPO-urilor. Sarcina noastră este să folosim cât mai eficient punctele forte ale politicilor de securitate Windows.
Aplicarea politicii de securitate Windows
Slăbiciunile Windows
Studiind șabloanele, veți observa că, în multe dintre ele, setările de securitate sunt setate în fișierul Opțiuni de configurare a computerului ConfigurațieWindowsSecurityConfigurareLocaleSecuritate Locală a obiectului GPO. Eu numesc această zonă de politică de securitate pagina de apărare a vulnerabilității, deoarece stochează setările care sunt concepute pentru a remedia deficiențele constatate în timpul perioadei de operare Windows.
Politica de restricționare a software-ului
Pentru a explica modul în care se folosește politica de restricționare a software-ului, este mai ușor să analizați exemplul. Să presupunem că vrem să împiedică toți utilizatorii domeniului AD să execute orice aplicații care rulează din dosarul Temporary Internet Files din profilul utilizatorului. De obicei, acest dosar stochează temporar fișierele descărcate de Microsoft Internet Explorer (IE); astfel încât ar trebui să limiteze executarea codului de program.
Dosarul Niveluri de securitate conține două opțiuni, dintre care una este Neafectată și nerestricționată. În mod implicit, este selectat modul fără restricții, în care utilizatorii pot rula toate programele, cu excepția faptului că sunt interzise în mod explicit de restricțiile software-ului de politică. În modul Neautorizat, utilizatorii nu pot rula alte programe decât restricțiile restricționate în mod explicit. În acest exemplu, modul implicit este Nerestricționat.
Principalele componente ale politicii de restricționare a software-ului sunt localizate în dosarul Reguli adiționale. Dacă dați clic dreapta pe el, puteți crea reguli în conformitate cu cele patru criterii descrise mai sus. Pentru acest exemplu, trebuie să creați o regulă care să interzică executarea oricăror programe din dosarul Temporary Internet Files din profilul de utilizator. Prin urmare, am creat o nouă regulă pentru cale, a atribuit calea% userprofile% setările locale pentru fișierele internet existent și apoi a setat modul de siguranță Neacceptat pentru această regulă (ecranul 5).
După ce această politică intră în vigoare, sistemul nu va executa aplicații din dosarul Temporary Internet Files, ale căror tipuri sunt incluse în lista Tipuri de fișiere desemnate. Evident, politica restricțiilor software poate fi un instrument puternic care nu va permite unui cod de program necunoscut să dăuneze mediului de rețea.
Caracteristici suplimentare de securitate
În general, politicile de grup oferă perfect reglarea sistemului de securitate Windows, deci este în interesul administratorului să-și exploreze capabilitățile în perfecțiune.
Distribuiți materialul împreună cu colegii și prietenii