Существует множество установок безопасности, которые могут
быть сконфигурированы в одном Объекте Групповой Политики
(Group Policy Object). Эти установки ранжируются от контроля
аккаунта Администратора для контроля LDAP подписания
требований клиента. При таком большом количестве защитных
установок очень важно понимать функционирование и режим
работы, который не так очевиден, как можно было бы себе
представить. В декабре 2004 года я написал статью про
“Осуществление групповой политики защитных установок ”,
которая даст вам некоторый детальный взгляд изнутри на то, как
защитные установки могут применяться в обычной среде. В этой
статье я раскрою суть концепции (включая некоторые регистровые
“хаки”), а также некоторые наиболее общие сценарии, в которых
установки безопасности ведут себя не так как положено.
Настройки безопасности групповой политики, обновление
В декабре 2004 я написал статью о том, как вы можете быть
уверены, что ваши настройки безопасности были применены. В
статье рассказывалось то, как вы можете проверить, какие
настройки являются "политиками" и какие настройки были
"предпочтительными", так что вы могли ясно понимать, как
каждая настройка была применена на компьютере. С каждым типом
настроек вы можете использовать эти настройки в стандартном
интервале обновления групповой политики, который
приблизительно равен 90 минутам.
Все те методики, о которых я тогда рассказывал,
действительны и сегодня. Однако есть другая "встроенная"
технология, о которой вы должны знать. Эта технология
позволяет вам контролировать, как часто будут обновляться в
GPO настройки безопасности, без каких-либо изменений в самих
GPO. Да, это правда! Вы можете применять все настройки
безопасности автоматически после X минут, даже если не было
изменений в GPO. Значение Реестра которое вам нужно будет
поменять это - MaxNoGPOListChangesInterval, как показанона
рисунке1.
Рисунок
1: Вы можете менять частоту обновлений настроек
безопасности в GPO
Эти настройки вы можете найти в Реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
Значение по умолчанию для этих настроек – 960 минут (или
0x3c0 в шестнадцатиричном значении.).
Эти настройки очень важны, так как они позволяют
администратору удостовериться, что настройки безопасности
снижены и применены для пользователей, так что теперь не
приходится делать это при каждом обновлении. Пользователи
теперь будут иметь защищенный ПК без обновляемых каждые 90
минут настроек безопасности.
Настройки безопасности для контроллеров домена
Я написал много статей, описывающих, как Политики Учетных
записей (Account Policies) в GPO воздействуют на контроллеры
домена и локальный Security Accounts Manager (SAM) на серверах
и ПК по всему домену. Эти настройки уникальны для контроллеров
домена из-за самой природы всех контроллеров домена,
нуждающихся в синхронизации с некоторыми настройками, которые
являются расширением домена.
Политики Учетных записей не единственные настройки, которые
затрагивают контроллеры домена таким образом. Есть другие
настройки безопасности, которые могут быть применены только к
корневому узлу домена, чтобы вступить в силу на контроллерах
домена. Опять же эти настройки должны работать таким образом,
чтобы все контроллеры домена в домене имели объединенный и
синхронизированный фронт, когда представляют домен. Если один
ПК пройдет на контроллер домена А и получит настройки Х, и
другой ПК пройдет на контроллер домена В и получит настройки
У, то это может привести к существенным и негативным
последствиям на всем предприятии.
Настройки, которые применимы ко всем контроллерам домена
через GPO, связанные только с доменом включают:
- Политику Учетных записей
- Сетевую безопасность: принудительный выход из системы по
истечению времени регистрации
- Учетные записи: статус учетной записи «Администратор»
- Учетные записи: статус учетной записи «Гость»
- Учетные записи: переименование учетной записи
«Администратор»
- Учетные записи: переименование учетной записи «Гость»
«The Grim Reaper» настроек безопасности.
Многие вопросы и технологии зациклены. В последнее время
много обсуждаются настройки файловой системы и установок
реестра в GPO. Эти настройки размещены под узлом Computer
Configuration (Конфигурация компьютера), как показано на
рисунке 2.
Рисунок
2: Узлы Реестра и Файловой системы в GPO могут
контролировать права доступа практически для любого
Регистрационного ключа или Файла
Эти настройки в GPO контролируют права доступа
Регистрационного ключа, Файла или Папки. Эти настройки очень
легко изменить и сделать работу весьма приятной. Однако их
минус в том, что можно потратить очень много времени на их
применение.
Во время загрузки компьютера эти настройки могут занять
дополнительное время, вызывая существенные задержки в доступе
пользователей к их ПК.
Предполагается, что эти настройки будут использоваться
мало. Вместо использования этих настроек будет лучше настроить
права доступа безопасности в образе рабочего стола.
Используйте эти настройки политики только тогда, когда вы не
можете поместить права доступа в оригинальный образ или когда
у вас редкая ситуация когда несколько настроек будут
распределены через групповую политику.
Безопасность во время миграции.
Используя GPMC, вы можете переместить GPO с одного домена
на другой. Это очень полезная возможность и часто используемая
при переводе объектов с тестируемого домена на работающий или
даже между двумя работающими. Почти во всех случаях параметры
установки в GPO нейтральны, это значит, что параметры
установки только включают или выключают функции. Однако когда
дело доходит до настроек безопасности, то тут уже не все так
просто. Существует множество настроек безопасности, которые
зависят от аккаунтов пользователя и/или групп, где они
применяются. Эти настройки требуют особого внимания при
перемещении с одного домена на другой, так как у каждого
домена есть свои уникальные пользовательские и групповые
аккаунты, которые должны передаваться между ними. Упомянутые
настройки включают в себя:
- Назначение прав пользователя
- Группы ограничений
- Службы
- Файловую систему
- Реестр
- GPO DACL, если выберете сохранять во время копирования
Решение этого состоит в том, чтобы использовать Таблицы
Перемещения в GPMC, как показано на рисунке 3.
Рисунок
3
Заключение
Не все настройки GPO равносильны, особенно когда дело
касается настроек безопасности. Просмотрите и протестируйте
все настройки безопасности, прежде чем внедрять их в
продукцию. Теперь настройки безопасности применяются каждые 16
часов, даже без изменений в настройках политики. Это
гарантирует надежную и устойчивую безопасность ваших ПК и
серверов. Для контроллеров домена вы должны четко
представлять, где могут быть настройки и где они могли
применяться, доменные контроллеры действуют не так, как
большинство компьютеров. Наконец, когда устанавливаете
пользовательские и групповые аккаунты в настройках, они должны
быть переведены с одного домена на другой с использованием
таблиц перемещения. Как только вы овладеете уникальными
настройками безопасности, ваша сеть станет более безопасной и
устойчивой.