Управление Windows 7 с помощью групповой политики " Работа с оснасткой "Шаблоны безопасности"Источник: oszone
ВведениеИз предыдущих статей по групповым политикам вы узнали о назначении и использовании оснастки "Редактор объектов групповой политики", об административных шаблонах, ознакомились с некоторыми локальными политиками безопасности. В этой статье вы узнаете еще об одном механизме управления конфигурацией безопасности - о шаблонах безопасности и их применении в производственной среде. Разумеется, при помощи локальных политик безопасности вы можете централизовано разворачивать практически все возможные настройки для пользователей и компьютеров, но иметь представление о настройке шаблонов безопасности просто необходимо, так как не во всех случаях у вас получится развернуть на предприятии нужные для вас настройки групповых политик. Сам по себе шаблон безопасности - это заранее сохраненный текстовый файл с расширением inf, который содержит набор параметров конфигурации безопасности. Одним из основных преимуществ шаблонов безопасности является гибкость развертывания. Вы можете развернуть шаблоны безопасности как в домене при помощи объектов групповой политики Active Directory, так и в небольших офисах или домашнем окружении (Small Office Home Office - SOHO) при помощи оснастки "Анализ и настройка безопасности" или средствами утилиты командной строки Secedit.exe, о которых будет рассказано в последующих статьях. Еще одной из достопримечательностей данных шаблонов является то, что шаблоны безопасности - это обычные текстовые файлы, редактировать которые вы можете даже при помощи стандартной программы "Блокнот". Также нельзя не отметить тот факт, что именно при помощи шаблонов безопасности вы можете провести анализ соответствия текущей конфигурации компьютера и настроек, содержащихся в созданных шаблонах безопасности. При помощи шаблонов безопасности вы можете настраивать параметры политики, которые отвечают за следующие компоненты безопасности:
Рекомендуется не вносить изменения в предустановленный шаблон Setup security.inf, так как при помощи этого шаблона у вас есть возможность восстановления параметров безопасности, используемых по умолчанию. Также, чтобы избежать многих проблем, желательно перед внедрением созданного шаблона в эксплуатацию, протестировать его на отдельном компьютере. Использование оснастки "Шаблоны безопасности"Откройте оснастку "Шаблоны безопасности". Для этого выполните следующие действия:
При первом открытии данной оснастки, в папке Documents вашей учетной записи создается папка Security с вложенной папкой Templates. Именно в папке Templates и хранятся созданные вами шаблоны безопасности. На следующей иллюстрации отображена оснастка "Шаблоны безопасности", открытая впервые: Рис. 1. Первое открытие оснастки "Шаблоны безопасности" Создание нового шаблона безопасностиДля последующей работы с шаблонами безопасности создайте новый шаблон. Для этого вам предстоит выполнить действия, описанные в следующей процедуре:
Рис. 2. Диалог создания нового шаблона безопасности При желании вы можете изменить путь для поиска шаблонов, созданный по умолчанию. Для этого, в дереве консоли, нажмите правой кнопкой мыши на узле "Шаблоны безопасности" и выберите команду "Найти путь для поиска шаблонов…". В диалоговом окне "Обзор папок" выберите папку, в которой будут сохраняться новые шаблоны безопасности и нажмите на кнопку "ОК". Рис. 3. Изменение пути для поиска шаблонов Изменение настроек шаблона безопасностиПосле создания нового шаблона, в оснастке вы увидите набор групповых политик, подобный тем, которые отображаются в оснастке "Редактор объектов групповых политик". Не стоит также забывать, что оснастка шаблонов безопасности представляет собой только редактор набора групповых политик и не влияет на изменение текущей конфигурации. То есть, после полного изменения политик, предоставленных в данной оснастке, вам не стоит волноваться о том, что настройки на вашем рабочем месте будут изменены. Далее мы рассмотрим набор политик системных служб, добавление параметров реестра, а также редактирование групп с ограниченным доступом. На следующей иллюстрации отображен новый шаблон безопасности: Рис. 4. Новый шаблон безопасности Настройка системных службУзел "Системные службы" предназначен для последующего изменения конфигурации системных служб средствами групповых политик при развертывании. Содержимое этого узла сильно напоминает оснастку "Службы", однако между ними есть одна существенная разница. При помощи оснастки "Службы" вы настраиваете тип запуска служб на локальном компьютере, а используя шаблоны безопасности, вы можете распространить указанные настройки системных служб одновременно на несколько компьютеров. Рассмотрим подробно применение содержимого данного узла на простом примере: На компьютерах вашего малого офиса, в котором нет домена, никогда не будут использоваться планшетные ПК, устройства BlueTooth и смарт-карты. Допустим, вы опасаетесь вторжения на компьютеры недоброжелателей, поэтому хотите отключить возможность удаленного управления системного реестра, службы удаленных рабочих столов, а также вашим пользователям нельзя на рабочих местах использовать Windows Media Center. По этой же причине необходимо полностью отключить на компьютерах вашей сети все эти службы. Чтобы развернуть эти настройки служб на всех компьютерах, выполните следующие действия:
Настройка системного реестраПосле подробного изучения параметров групповых политик, вы можете обнаружить, что, несмотря на использование групповых политик и шаблонов безопасности, пользователи умудряются изменять некоторые системные параметры при помощи реестра. Вы знаете раздел системного реестра, отвечающий за определенную настройку, но хотите дать возможность вносить изменения в этот раздел только указанной группе пользователей. Допустим, вам нужно дать полный доступ на изменение параметров раздела реестра, отвечающего за компонент "Дата и время" только для групп "Система" и "Администраторы", причем пользователям, которые являются членами группы "Пользователи" нужно запретить даже просмотр данного раздела. Для этого выполните следующие действия:
Настройка групп с ограниченным доступомПри помощи групп с ограниченным доступом вы можете указывать пользователей, которые будут принадлежать к определенной группе. Политики, применяемые с шаблонами безопасности, будут распространяться на всех пользователей, которые входят в группы с ограниченным доступом. Для того чтобы указать членов группы с ограниченным доступом, выполните следующие действия:
По окончании изменения шаблона безопасности, вам нужно его сохранить для дальнейшего использования. Для сохранения шаблона безопасности нажмите правой кнопкой мыши на наименовании узла шаблона безопасности и выберите команду "Сохранить" или "Сохранить как" из контекстного меню. Шаблон будет сохранен с расширением *.inf. ЗаключениеВ этой статье был рассмотрен очередной механизме управления конфигурацией безопасности - шаблоны безопасности и их применении в производственной среде. Зачастую данный механизм применяют на небольших предприятиях без доменной сети. Вы узнали о том, как можно открыть данную оснастку, а также настроить новый шаблон безопасности, который является текстовым файлом, с расширением *.inf. |