Введение
В статье «Работа с оснасткой «Шаблоны безопасности»» вы узнали об альтернативном способе развертывания групповых политик безопасности – создании текстовых файлов с расширением *.inf, предназначенных для развертывания политик в предприятиях SOHO (Малый офис домашний офис). Для использования шаблонов безопасности в операционных системах Windows доступны два средства – оснастка «Анализ и настройка безопасности», а также утилита командной строки Secedit.exe. Ввиду того, что в вышеперечисленных предприятиях используется сетевая инфраструктура без домена, для обеспечения безопасности, групповые политики разворачиваются при помощи данной оснастки. Для развертывания политик, сохраненных в inf файле в доменной сети, используется оснастка «Консоль управления групповыми политиками». Помимо интерактивного развертывания, оснастка «Анализ и настройка безопасности» также позволяет анализировать конфигурацию компьютера и сравнивать ее с теми настройками, которые указаны в конфигурационном файле шаблона безопасности. В данной статье речь пойдет именно об этой оснастке.
Открытие оснастки «Анализ и настройка безопасности»
Так же, как и оснастка «Шаблоны безопасности», оснастка «Анализ и настройка безопасности» по умолчанию скрыта, и вы ее не сможете найти в компоненте «Администрирование» ни на клиентской, ни на серверной операционной системе. Для использования этой оснастки, добавьте ее в консоль управления Microsoft. Вы можете это сделать следующим способом:
- Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter»;
- Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M;
- В диалоге «Добавление и удаление оснасток» выберите оснастку «Анализ и настройка безопасности» и нажмите на кнопку «Добавить»;
- В диалоге «Добавление или удаление оснасток» нажмите на кнопку «ОК».
Подобно оснастке «Шаблоны безопасности», после первого запуска оснастки вам нужно создать базу данных, которая будет использоваться для анализа и развертывания набора политики безопасности. Оснастка «Анализ и настройка безопасности» отображена на следующей иллюстрации:
Увеличить рисунок
Рис. 1. Оснастка «Анализ и настройка безопасности»
Создание базы данных и импорт шаблонов безопасности
Для начала работы с оснасткой «Анализ и настройка безопасности» вам нужно создать базу данных, содержащую набор параметров безопасности. Выполните следующие действия:
- Откройте оснастку «Анализ и настройка безопасности»;
- В дереве консоли щелкните правой кнопкой мыши на узле «Анализ и настройка безопасности» и в контекстном меню выберите команду «Открыть базу данных»;
- В диалоговом окне «Открыть базу данных» введите название новой базы данных и нажмите на кнопку «Открыть». По умолчанию вы можете создать базу данных в папке %USERPROFILE%\Documents\Security\Database;
- На следующем шаге вам нужно импортировать созданные ранее шаблоны безопасности. Автоматически открывается папка, которая установлена как путь для поиска шаблонов по умолчанию. Выберите нужный шаблон и нажмите на кнопку «Открыть».
Нужно обратить внимание на то, что при одновременном выборе нескольких шаблонов безопасности, дополнительные параметры нового шаблона дополняют и заменяют значения ранее импортированных. Если база данных очищена, то при импорте нового шаблона в ней будут располагаться только настройки параметров безопасности последнего импортированного шаблона. Для импорта нового шаблона нажмите правой кнопкой мыши на узле «Анализ и настройка безопасности» и из контекстного меню выберите команду «Импорт шаблона». А для очистки базы в диалоговом окне «Импорт шаблона» установите флажок на опции «Очистить эту базу данных перед импортом».
Анализ и настройка компьютера
Сразу после импорта необходимых шаблонов вам нужно проанализировать компьютер для последующего анализа и развертывания политик безопасности. Для настройки компьютера выполните следующие действия:
- В дереве консоли нажмите правой кнопкой мыши на узле «Анализ и настройка безопасности» и в контекстном меню выберите команду «Анализ компьютера»;
- В диалоговом окне «Анализ» укажите путь к журналу ошибок, которые будут генерироваться при применении параметров безопасности.
Рис. 2. Диалог настройки файла журнала ошибок
После выполнения анализа параметров безопасности в оснастке «Анализ и настройка безопасности» вы увидите сгенерированный отчет, в котором будет отображен каждый параметр политики, определяемый в базе данных. Во время анализа сравнивается ваша текущая конфигурация компьютера с настройками, указанными в шаблоне безопасности. Так как данная статья является логическим продолжением статьи, посвященной работе шаблонов безопасности, предусматривается то, что вы отконфигурировали службы планшетного ПК, BlueTooth, службу планировщика Windows Media Center и прочее. На следующей иллюстрации вы можете увидеть подобный отчет:
Увеличить рисунок
Рис. 3. Сгенерированный отчет оснастки «Анализ и настройка безопасности»
Проанализированные параметры отображаются с определенными пометками на значке каждой политики. Существуют следующие категории пометок:
- Нет пометки. Данная пометка указывает, что политика безопасности не была определена в файле шаблона безопасности и данный параметр не подлежит анализу и последующей настройке;
- Белая галочка в зеленом кружке. Эта пометка означает полное совпадение параметра политики на компьютере и в базе данных;
- Белый крестик в красном кружке. Эта пометка предупреждает, что значение указанной политики компьютера не совпадает со значением, которое определено в базе данных;
- Белый восклицательный знак в красном кружке. Текущая пометка указывает, что определена политика в базе данных, но на целевом компьютере параметр не существует;
- Знак вопроса в кружке. Данная пометка может отображаться в том случае, если у вас нет прав доступа к политике на данном компьютере или если политика не определена в базе данных и не проанализирована.
Как видно на предыдущей иллюстрации, один из параметров имеет пометку, указывающую на то, что параметры не совпадают. В этом случае вы можете внести изменения в конфигурацию компьютера и базы данных. Для этого щелкните дважды данный параметр для открытия диалога свойств параметра:
Рис. 4. Диалоговое окно свойств параметра, значение которого не соответствует базе данных
В нашем примере значение параметра не соответствующего базе данных – это тип запуска службы планировщика Windows Media Center. В текстовом поле «Режим запуска службы» вы видите установленный на вашем компьютере тип запуска службы, а немного ниже отображается режим запуска службы, указанный шаблоном безопасности.
Также из оснастки вы можете просмотреть файл журнала базы данных. Для этого в дереве консоли выберите узел «Анализ и настройка безопасности», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Показать файл журнала». В этом журнале отображен полный анализ политик безопасности в текстовом формате. Эту же информацию вы можете обнаружить в созданном ранее файле журнала ошибок. Для возврата в предыдущий режим отображения параметров безопасности, повторно вызовите контекстное меню узла «Анализ и настройка безопасности» и снимите флажок с команды «Показать файл журнала». Во время анализа изменяются только значения параметров безопасности в базе данных. Для того чтобы изменения, указанные в шаблоне безопасности вступили в силу, необходимо их применить.
Увеличить рисунок
Рис. 5. Режим отображения файла журнала.
По окончанию анализа параметров безопасности вам нужно настроить компьютер для соответствия параметров с настройками шаблона безопасности. Для того чтобы применить проанализированные настройки к вашему компьютеру, в контекстном меню узла «Анализ и настройка безопасности» выберите команду «Настроить компьютер» и в диалоговом окне «Настройка системы» укажите путь к журналу ошибок. По нажатию на кнопку «ОК» оснастка «Анализ и настройка безопасности» применит все настройки, указанные в шаблоне безопасности.
Рис. 6. Процесс настройки безопасности компьютера
По окончании настройки компьютера желательно повторно проанализировать параметры безопасности. На следующей иллюстрации видно, что после повторного анализа тип запуска службы планировщика Windows Media Center изменился.
Рис. 7. Результат повторного анализа параметров безопасности
При помощи оснастки «Анализ и настройка безопасности» вы также можете вносить изменения в файл шаблона безопасности. Выберите любой параметр безопасности, значения которого не определены в базе данных. Например, откройте диалоговое окно свойств политики «Аудит событий входа в систему». В данном диалоговом окне установите флажок на опции «Определить следующую политику в базе данных» и выберите значение параметра для политики, например, «Отказ».
После внесения изменений вы можете экспортировать все внесенные изменения в файл шаблонов безопасности. Экспортированный файл будет содержать параметры базы данных, импортированные из одного или нескольких шаблонов безопасности и модифицируемые параметры безопасности анализируемого компьютера. Для этого выполните следующее действия:
- Нажмите правой кнопкой мыши на узле «Анализ и настройка безопасности» и в контекстном меню выберите команду «Экспорт шаблона»;
- В диалоговом окне «Экспорт шаблона в» выберите папку, в которую будет экспортирован ваш шаблон, введите имя файла и нажмите на кнопку «Сохранить»;
Заключение
В данной статье рассказывается об использовании оснастки «Анализ настройки и безопасности» при условии, что ранее был создан шаблон безопасности. Вы узнали о том, как можно открыть данную оснастку, импортировать один или несколько шаблонов безопасности, сравнивать текущие параметры компьютера с параметрами шаблонов безопасности, которые указаны в базе данных текущей оснастки, а также о настройке компьютера, согласно указанному шаблону. В случае изменения шаблона безопасности, непосредственно из оснастки «Анализ настройки и безопасности» вы сможете экспортировать все изменения в существующий шаблон безопасности или создать новый. В следующей статье об использовании шаблонов безопасности вы узнаете о втором способе развертывания политик при помощи утилиты командной строки Secedit.exe.