Управління Windows 7 за допомогою групової політики “Робота з оснащенням” Шаблони безпеки “, Windows, Операційні системи, статті

Введення


З попередніх статей за груповими політикам ви дізналися про призначення і використання оснастки “Редактор об’єктів групової політики”, Про адміністративних шаблонах, ознайомилися з деякими локальними політиками безпеки. У цій статті ви дізнаєтеся ще про одне механізмі управління конфігурацією безпеки – про шаблони безпеки та їх застосування у виробничому середовищі. Зрозуміло, за допомогою локальних політик безпеки ви можете централізовано розгортати практично всі можливі настройки для користувачів і комп’ютерів, але мати уявлення про настроювання шаблонів безпеки просто необхідно, тому що не у всіх випадках у вас вийде розвернути на підприємстві потрібні для вас налаштування групових політик.


Сам по собі шаблон безпеки – це заздалегідь збережений текстовий файл з розширенням inf, який містить набір параметрів конфігурації безпеки. Одним з основних переваг шаблонів безпеки є гнучкість розгортання. Ви можете розгорнути шаблони безпеки як в домені за допомогою об’єктів групової політики Active Directory, так і в невеликих офісах або домашньому оточенні (Small Office Home Office – SOHO) за допомогою оснастки “Аналіз та налаштування безпеки” або засобами утиліти командного рядка Secedit.exe, про які буде розказано в наступних статтях. Ще однією з визначних пам’яток даних шаблонів є те, що шаблони безпеки – це звичайні текстові файли, редагувати які ви можете навіть за допомогою стандартної програми “Блокнот”. Також не можна не відзначити той факт, що саме за допомогою шаблонів безпеки ви можете провести аналіз відповідності поточної конфігурації комп’ютера і налаштувань, що містяться в створених шаблонах безпеки.


За допомогою шаблонів безпеки ви можете налаштовувати параметри політики, які відповідають за наступні компоненти безпеки:



Рекомендується не вносити зміни в попередньо встановлений шаблон Setup security.inf, так як за допомогою цього шаблону у вас є можливість відновлення параметрів безпеки, які використовуються за замовчуванням. Також, щоб уникнути багатьох проблем, бажано перед впровадженням створеного шаблону в експлуатацію, протестувати його на окремому комп’ютері.



Використання оснастки “Шаблони безпеки”


Відкрийте оснастку “Шаблони безпеки”. Для цього виконайте наступні дії:



  1. Відкрийте “Консоль управління MMC”. Для цього натисніть на кнопку “Пуск”, В полі пошуку введіть mmc, а потім натисніть на кнопку “Enter”;
  2. Відкриється порожня консоль MMC. У меню “Консоль” виберіть команду “Додати або видалити оснастку” або скористайтесь комбінацією клавіш Ctrl+M;
  3. У діалозі “Додавання та видалення оснасток” виберіть оснастку “Шаблони безпеки” і натисніть на кнопку “Додати”;
  4. У діалозі “Додавання або видалення оснасток” натисніть на кнопку “ОК”.

При першому відкритті даної оснащення, в папці Documents вашого профілю створюється папка Security з вкладеною папкою Templates. Саме в папці Templates і зберігаються створені вами шаблони безпеки. На наступній ілюстрації відображена оснастка “Шаблони безпеки”, відкрита вперше:



Рис. 1. Перше відкриття оснастки “Шаблони безпеки”



Створення нового шаблону безпеки


Для подальшої роботи з шаблонами безпеки створіть новий шаблон. Для цього вам належить виконати дії, описані в наступній процедурі:



  1. У дереві консолі клацніть правою кнопкою миші на вузлі, що надає шлях пошуку шаблону. За замовчуванням шлях% Userprofile% DocumentsSecurityTemplates;
  2. У контекстному меню виберіть команду “Створити шаблон”;
  3. Введіть назву нового шаблону в текстове поле “Ім’я шаблону” діалогового вікна. У тому випадку, якщо ви створюєте декілька різних шаблонів безпеки, я вам рекомендую додавати докладний опис призначення шаблону в поле “Опис”. Наприклад, наступного ілюстрації ви можете побачити діалог створення шаблону з назвою “Конфігурація системних служб”. У зв’язку з тим, що на комп’ютерах користувачів можуть бути встановлені різні ОС, в описі зазначена версія операційної системи, для якої створюється поточний шаблон.

*


Рис. 2. Діалог створення нового шаблона безпеки


При бажанні ви можете змінити шлях для пошуку шаблонів, створений за замовчуванням. Для цього, в дереві консолі, натисніть правою кнопкою миші на вузлі “Шаблони безпеки” і виберіть команду “Знайти шлях для пошуку шаблонів …”. У діалоговому вікні “Огляд папок” виберіть папку, в якій будуть зберігатися нові шаблони безпеки і натисніть на кнопку “ОК”.


*


Рис. 3. Зміна шляху для пошуку шаблонів



Зміна налаштувань шаблону безпеки


Після створення нового шаблону, в оснащенні ви побачите набір групових політик, подібний тим, які відображаються в оснащенні “Редактор об’єктів групових політик”. Не варто також забувати, що оснащення шаблонів безпеки являє собою тільки редактор набору групових політик і не впливає на зміну поточної конфігурації. Тобто, після повної зміни політик, наданих в даній оснастці, вам не варто хвилюватися про те, що налаштування на вашому робочому місці будуть змінені. Далі ми розглянемо набір політик системних служб, додавання параметрів реєстру, а також редагування груп з обмеженим доступом.


На наступній ілюстрації відображений новий шаблон безпеки:



Рис. 4. Новий шаблон безпеки



Налаштування системних служб


Вузол “Системні служби” призначений для подальшої зміни конфігурації системних служб засобами групових політик при розгортанні. Вміст цього вузла сильно нагадує оснастку “Служби”, Проте між ними є одна істотна різниця. За допомогою оснастки “Служби” ви налаштовуєте тип запуску служб на локальному комп’ютері, а використовуючи шаблони безпеки, ви можете поширити зазначені налаштування системних служб одночасно на кілька комп’ютерів. Розглянемо детально застосування вмісту даного вузла на простому прикладі:


На комп’ютерах вашого малого офісу, в якому немає домену, ніколи не будуть використовуватися планшетні ПК, пристрої BlueTooth і смарт-карти. Припустимо, ви побоюєтеся вторгнення на комп’ютери недоброзичливців, тому хочете відключити можливість віддаленого управління системного реєстру, служби віддалених робочих столів, а також вашим користувачам не можна на робочих місцях використовувати Windows Media Center. За цієї ж причини необхідно повністю відключити на комп’ютерах вашої мережі всі ці служби. Щоб розгорнути ці налаштування служб на всіх комп’ютерах, виконайте наступні дії:



  1. В оснащенні “Шаблони безпеки” перейдіть на вузол “Системні служби”;
  2. Виберіть службу, тип запуску якої ви плануєте настроїти, наприклад, “Служба введення планшетного ПК” і відкрийте властивості цієї служби;
  3. У діалоговому вікні “Властивості: Служба введення планшетного ПК” встановити прапорець на опції “Визначити наступний параметр служби в шаблоні” і встановіть перемикач на опції “Заборонити”;

    *


    Рис. 5. Діалог властивостей системної служби


  4. Натисніть на кнопку “ОК”. Налаштуйте інші служби.


Налаштування системного реєстру


Після докладного вивчення параметрів групових політик, ви можете виявити, що, незважаючи на використання групових політик і шаблонів безпеки, користувачі примудряються змінювати деякі системні параметри за допомогою реєстру. Ви знаєте розділ системного реєстру, який відповідає за певну настройку, але хочете дати можливість вносити зміни в цей розділ тільки зазначеній групі користувачів. Припустимо, вам потрібно дати повний доступ на зміну параметрів розділу реєстру, який відповідає за компонент “Дата і час” тільки для груп “Система” і “Адміністратори”, Причому користувачам, які є членами групи “Користувачі” потрібно заборонити навіть перегляд даного розділу. Для цього виконайте наступні дії:



  1. В оснащенні “Шаблони безпеки” перейдіть на вузол “Реєстр”;
  2. Викличте контекстне меню для вузла “Реєстр” і виберіть команду “Додати розділ”;
  3. У діалоговому вікні “Вибір розділу реєстру” розгорніть розділ [MACHINESYSTEMCurrentControlSetControlTimeZoneInformation] або введіть шлях до розділу в поле “Обраний розділ” і натисніть на кнопку “ОК”;

    *


    Рис. 6. Діалогове вікно “Вибір розділу реєстру”


  4. У діалоговому вікні “Безпека даних для <Вибранний_раздел_реестра>“ встановіть дозволу для всіх груп і натисніть на кнопку “ОК”;

    *


    Рис. 7. Діалог “Безпека” розділу системного реєстру


  5. У діалозі “Додавання об’єкта” ви можете поширити зазначені налаштування безпеки на всі дочірні підрозділи, заборонити заміну дозволів в зазначеному розділі, або змінити параметри вручну.

    *


    Рис. 8. Діалог “Додавання об’єкта”


  6. При натисканні на кнопку “ОК”, Дані зміни будуть відображені в оснащенні “Шаблони безпеки”, Як показано на наступній ілюстрації:


    Рис. 9. Вузол “Реєстр”



Налаштування груп з обмеженим доступом


За допомогою груп з обмеженим доступом ви можете вказувати користувачів, які будуть належати до певної групи. Політики, які застосовуються з шаблонами безпеки, будуть поширюватися на всіх користувачів, які входять до групи з обмеженим доступом. Для того щоб вказати членів групи з обмеженим доступом, виконайте наступні дії:



  1. В оснащенні “Шаблони безпеки” перейдіть на вузол “Групи з обмеженим доступом”;
  2. Натисніть правою кнопкою миші на вузлі і з контекстного меню виберіть команду “Додати групу”;
  3. У діалоговому вікні “Додавання групи” введіть назву нової групи або виберіть існуючу, використовуючи кнопку “Обзор”;

    *


    Рис. 10. Діалог додати групу


  4. У діалоговому вікні властивостей нової групи ви можете додати користувачів, які будуть входити до складу цієї групи, а також вибрати батьківську групу. Причому, політики не застосовуються на ті групи, до яким належить створена вами група;

    *


    Рис. 11. Діалог властивостей нової групи


  5. При натисканні на кнопку “ОК” нова група буде створена і додана в вузол груп з обмеженим доступом.

Після закінчення зміни шаблону безпеки, вам потрібно його зберегти для подальшого використання. Для збереження шаблону безпеки натисніть правою кнопкою миші на найменуванні вузла шаблону безпеки і виберіть команду “Зберегти” або “Зберегти як” з контекстного меню. Шаблон буде збережений з розширенням *.inf.



Висновок


У цій статті було розглянуто черговий механізмі управління конфігурацією безпеки – шаблони безпеки та їх застосуванні у виробничому середовищі. Найчастіше даний механізм застосовують на невеликих підприємствах без доменної мережі. Ви дізналися про те, як можна відкрити дану оснастку, а також налаштувати новий шаблон безпеки, який є текстовим файлом, з розширенням *.inf.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*