Безопасность компьютерных сетей. Настройка контроллера домена и управление безопасностью домена. Групповая политика безопасности домена

Источник: sec-it
sec-it

Доброго времени суток уважаемые читатели моего блога по информационной безопасности. В прошлых статьях я рассказывал, как поднять в сети организации домен на основе службы каталогов MS Active Directory и как управлять службой каталогов, создавать организационные юниты и пользователей, подключать компьютеры в домен. Сегодня я хочу рассказать о том, как управлять политиками безопасности домена и службы каталогов.

служба каталогов

Для управления безопасностью домена и службой каталогов, прежде всего вам необходимо обладать правами администратора домена. Поэтому прежде чем притупить к настройкам создайте для себя учетную запись, если вы еще этого не сделали, и включите ее в группу администраторы домена. Я не рекомендую вам пользоваться учетной записью "Администратор", т.к. она обезличена, и если в вашей сети есть несколько сотрудников, которые отвечают за настройку и безопасность сети желательно для каждого из них создать в домене учетные записи и назначить по возможности разные права в зависимости от выполняемых функций. После того как вы причислили свою учетную запись к администраторам домена, желательно на учетную запись "Администратор" сменить пароль, запечатать его в конверт и отдать руководителю на сохранение. Для добавления или удаления пользователя в любую группу, в том числе и группу "Администраторы домена" необходимо через оснастку "Active Directory - Пользователи и компьютеры", найти нужного пользователя и открыть его свойства. В свойствах есть закладка "Член групп", в которой перечислены группы, в которых состоит пользователь.

домен сети

Для добавления пользователя в группу нажмите кнопку "Добавить…", введите имя группы и нажмите кнопку "Проверить имена". Если вы не помните точное имя группы, то можете ввести хотя бы первые символы в названии группы. В результате будет предложено выбрать одну из нескольких найденных групп соответствующих начальным буквам введенного запроса или если будет найдено точное соответствие, то имя группы в строке запроса будет подчеркнута.

безопасность сети

После добавления группы пользователю нажмите "Ок"

безопасность компьютерных сетей

Добавлять пользователей в группу безопасности можно и по-другому. Найдите в каталоге домена нужную группу, и в ее свойствах откройте вкладку "Члены группы" и нажмите кнопку "Добавить…". Аналогичным образом введите начальные символы в строке запроса, за исключением того что вам нужно вводить уже не имя группы, а сетевое имя пользователя, например p_petrov. Кстати группа "Администраторы домена" по умолчанию входит в группу "Администраторы", и следовательно пользователям данной группы по умолчанию будут представлены все права доступа и управления. Отличие этих групп состоит в том, что группа безопасности "Администраторы" является локальной по отношению к данному домену, в отличии от группы безопасности "Администраторы домена" которая является глобальной, если у вас в сети несколько доменов объеденных в лес. После того как вы добавили себя в группу "Администраторы домена" зайдите на контроллер домена под своей учетной записью для дальнейшего управления службой каталогов.

По умолчанию в новом созданном домене есть уже одна политика безопасности которая применяется ко всему домену. Открыть для редактирования ее можно путем открытия свойств домена и перехода на вкладку "Групповая политика".

защита информации в сетях

Данная политика имеет имя "Default Domain Policy" и распространяет свое действие на весь домен, все его объекты, пользователей, компьютеры, серверы. Обычно в данной групповой политике безопасности определяют такие параметры как аудит событий безопасности, политику паролей, общие права доступа пользователей и другие политики безопасности. Частные политики и настройки касающиеся отдельных процессов и задач решаемых пользователями создаются отдельными групповыми политиками и применяются для отдельных организационных юнитов и даже для отдельных групп пользователей, но об этом по порядку.

Для редактирования данной политики нажмите на данной вкладке кнопку "Изменить". При этом откроется оснастка редактора объекта групповой политики.

защита компьютерных сетей

Любая групповая политика имеет два раздела - "Конфигурация компьютера" и "Конфигурация пользователя". Отличаются они, кроме составом параметров, еще и тем что политики "Настройка компьютера" применяется к настройкам связанным с настройкой операционной системы и применяется при загрузке операционной системы на компьютере добавленному в домен, еще до момента ввода пользователем пароля и логина. Групповая политика пользователя применяется к настройкам пользователя после прохождения им аутентификации в сети. Таким образом для разных пользователей, даже работающих на одном компьютере могут быть централизовано настроены разные политики. При создании частных политик безопасности для отдельных организационных юнитов в групповой политике компьютера можно, например, определить к каким папкам на компьютере будут иметь  доступ пользователи, к какому центру обновлений операционной системы будет подключен данный компьютер, какие программы должны стоять на данном компьютере, и т.п. В групповой политике пользователя обычно настраивают  параметры обозревателя Internet Explorer, параметры рабочего стола, разграничивать доступ пользователей к различным ресурсам операционной системы и т.п. Также с помощью групповой политики можно удаленно запускать на компьютере пользователя в момент загрузки операционной системы и аутентификации пользователей различные Java и VB скрипты. Обо всех данных настройках я буду рассказывать в своих последующих статьях, а сейчас давайте рассмотрим поподробней что можно сделать с групповой политикой домена "Default Domain Policy".

Итак, любая политика как я уже говорил, состоит из "Конфигурации компьютера" и "Конфигурации пользователя", которые в свою очередь делятся на три группы - Конфигурация программ, Конфигурация Windows и Административные шаблоны. Конфигурация программ позволяет устанавливать на компьютеры пользователей типовые программы. Данную настройку можно произвести и в данной политике домена, например, настроить установку программного обеспечения которое должно стоять на всех компьютерах пользователей включенных в домен (например, антивирус) но желательно такие настройки все-таки применять к отдельным организационным юнитам, т.к. в домен входят еще и сервера или сторонние компьютеры на которые установка должна проводится выборочно и вручную. Об установке программ на компьютеры пользователей с использованием групповой политики я расскажу в отдельной своей статье. Административные шаблоны в настройках компьютера и пользователя обычно влияют на определенные ветки реестра, влияющие на настройки операционной системы, и применять их на уровне домена также нецелесообразно по той же причине что и установка программ. Оставшаяся политика "Конфигурация Windows" содержит такие настройки как "Параметры безопасности", которые как раз стоит определить на уровне домена. На это есть ряд причин одними из которых является то что некоторые параметры безопасности применяются только на уровне домена (например политика паролей), и то что политика безопасности должна быть одной для всех.

В данных параметрах безопасности, прежде всего, стоит определить политику паролей, блокировки учетных записей, назначение прав пользователя и параметры безопасности.

настройка контроллера домена

При двойном щелчке на любом из параметров безопасности открываются его настройки. На вкладке "Описание данного параметра" выводится подробное описание, для чего он служит и на что влияет его включение и отключение.

настройка домена

В таких параметрах безопасности как "Назначение прав пользователя" можно установить права доступа пользователям на определенные виды выполнения задач.

безопасность домена

В "Параметрах безопасности" можно настроит общие параметры безопасности компьютера, например, переименовать и отключить системные учетные записи.

Кстати установленные параметры в групповой политике уровня домена можно перекрыть (переопределить) другой политикой, которая применяется к определенному организационному юниту. Например, политику паролей, определенную к домену и соответственно к контроллеру домена, на котором аутентифицируются пользователи, можно переопределить для локальных учетных записей персональных компьютеров пользователей, применив ее к организационному юниту в котором находятся объекты службы каталогов "Компьютеры"

Для того чтобы создать политику необходимо также открыть свойства домена или организационного юнита и перейти на вкладку "Групповая политика". В открывшемся окне можно создать новую, нажав соответствующую кнопку, или выбрать уже существующую, нажав кнопку "Добавить…" и выбрать уже созданную политику в другом организационном юните.

политика безопасности домена

При создании политики, система предложит ввести ее имя. Имена желательно вводить понятными и осмысленными, дабы потом не запутаться в них.

групповая политика

После создания политики можно перейти к ее редактированию путем двойного нажатия кнопкой мышки по ней или нажав кнопку изменить. При этом откроется оснастка редактора только что созданной групповой политики. Стоит отметить, если вы создаете групповую политику для организационного юнита в котором находятся только учетные записи пользователей, то и политику следует настраивать  в части "Конфигурация пользователей", и наоборот по отношению к компьютерам.

В заключение сегодняшней статьи хочется сказать о безопасности самой групповой политики безопасности. Открыв свойства групповой политики безопасности, кроме просмотра ее параметров можно изменить параметры безопасности. Основным параметром безопасности, а именно разграничением доступа является, конечно "Чтение" политики и ее применение "Применение групповой политики". По умолчанию политика читается и применяется соответственно всеми кто прошел проверку в домене, т.е. компьютеры, сервера и пользователи, зарегистрированные в домене - встроенный участник безопасности "Прошедшие проверку" в которую входят все объекты службы каталогов.

безопасность компьютерных сетей

Это разграничение доступа можно изменить, а именно применение групповой политики безопасности можно ограничить группой компьютеров или группой пользователей. Редактирование политики (запись) по умолчанию разрешено только администраторам. Это правило тоже можно изменить, назначить какого-то отдельно выделенного сотрудника и предоставить ему доступ на запись групповой политики.

На сегодня это все о чем я хотел рассказать. В следующих статьях я постараюсь более подробно останавливаться и рассказывать, на что влияют те или иные параметры групповой политики безопасности.


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=29338