46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация




Скачать 366.7 Kb.
Название46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация
страница2/4
Дата публикации21.06.2013
Размер366.7 Kb.
ТипЗадача
vbibl.ru > Информатика > Задача
1   2   3   4

^ 48. Создание и редактирование объектов групповой политики. Инструменты управления групповыми политиками.

Реализация политик безопасности в Windows 2000 предоставляет значительно более широкие возможности. При необходимости вы можете устанавливать политики для всего дерева доменов. Различные контроллеры в пределах одного домена могут обладать индивидуальными политиками безопасности. Установив политику безопасности в одном месте, администраторы могут контролировать безопасность всех серверов и рабочих станций домена. Политики безопасности в Windows 2000 реализуются с помощью средств групповых политик (group policy).

^ Групповая политика имеет следующие преимущества:

Основываясь на службе Active Directory системы Windows 2000, позволяет как централизованно, так и децентрализовано управлять параметрами политики.

Обладает гибкостью и масштабируемостью. Может быть применена в широком наборе конфигураций системы, предназначенных как для малого бизнеса, так и для больших корпораций.

Предоставляет интегрированный инструмент управления политикой с простым и хорошо понятным интерфейсом — оснастку консоли управления Групповая политика (Group Policy).

Обладает высокой степенью надежности и безопасности.
Групповые политики расширяют и используют преимущества Active Directory. Их настройки находятся в объектах групповых политик (Group Policy Object, GPO), которые в свою очередь ассоциируются с такими контейнерами Active Directory, как сайты, домены и подразделения (организационные единицы).

1. Политики безопасности Windows 2000 хранятся в двух типах объектов GPO: локальном объекте групповой политики и объекте групповой политики домена.

2. Объекты групповой политики (GPO)

3. Оснастка Групповая политика (Group Policy)

При создании, настройке и хранении параметров групповых политик применяется подход, позволяющий работать с GPO как с документами.

После создания GPO ассоциируется с определенным контейнером Active Directory, и в результате групповые политики, хранящиеся в данном GPO, будут выполняться для всех компьютеров и пользователей, находящихся в этом контейнере. Дополнительными средствами настройки групповых политик в контейнере являются группы безопасности и дискреционные разрешения доступа.

GPO создается с помощью оснастки консоли управления Групповая политика, которая может вызываться как изолированный инструмент и в качестве расширения таких оснасток, как Active Directory—пользователи и компьютеры (Active Directory Users and Computers) или Active Directory—сайты и службы (Active Directory Site and Services). Для вызова оснастки Групповая политика в качестве расширения в окне соответствующей оснастки укажите нужный контейнер и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Свойства (Properties). В открывшемся окне перейдите на вкладку Групповая политика (Group Policy). С ее помощью вы сможете просматривать контейнеры Active Directory и ассоциированные с ними GPO.

^ Для запуска оснастки Групповая политика в виде изолированной оснастки:

1. Нажмите кнопку Пуск (Start). Выберите команду Выполнить (Run). В поле ввода введите с клавиатуры и нажмите кнопку ОК. Запустится консоль управления Microsoft.

2. В окне консоли управления в меню Консоль (Console) выберите команду Добавить/удалить оснастку (Add/Remove Snap-in), затем нажмите кнопку Добавить (Add). В открывшемся окне выберите элемент Групповая политика и нажмите кнопку Добавить.

3. В следующем окне нажмите кнопку Обзор (Browse). В открывшемся окне диалога выберите GPO, который будет загружен в оснастку (можно выбрать GPO для отдельного компьютера, подразделения, сайта или домена), и нажмите кнопку ОК. Нажмите кнопки Готово (Finish), Закрыть (Close) и ОКТеперь оснастку можно сохранить в файле с любым именем.

Создать групповую политику для контейнера Active Directory можно только при наличии определенного набора условий. Необходимо иметь работающий контроллер домена Windows 2000. Пользователь, который создает групповую политику, должен обладать правами на чтение и запись в системный том контроллеров домена (папка Sysvol). Кроме того, он должен иметь право модификации выбранного контейнера Active Directory.

После запуска оснастки Групповая политика в окне структуры появляется набор узлов, которые являются расширениями этой оснастки. По умолчанию все расширения загружаются в процессе запуска оснастки. Однако их состав можно изменить с помощью средств создания индивидуальной конфигурации консоли ММС и с помощью политик, определяющих работу самой консоли. Подход, предполагающий применение расширений, позволяет пользователям создавать свои собственные расширения оснастки Групповая политика, наделяя ее способностью устанавливать дополнительные групповые политики. Любое расширение может в свою очередь состоять из расширений, поэтому оснастка Групповая политика — чрезвычайно гибкий инструмент, который можно сконфигурировать для конкретной компьютерной среды.

^ Расширения оснастки Групповая политика

Ниже родительских узлов Конфигурация компьютера и Конфигурация пользователя находятся дочерние узлы, каждый из которых является полноценным расширением оснастки Групповая политика. Они могут находиться в обоих родительских узлах, хотя и с различными параметрами, или индивидуально расширять узлы Конфигурация компьютера или Конфигурация пользователя. Оснастка Групповая политика имеет следующие расширения (рис. 27.1):

^ Административные шаблоны. (Administrative Templates).

Здесь находится групповая политика, определяющая параметры реестра, задающие работу и внешний вид рабочего стола, компонент операционной системы и приложений.

^ Параметры безопасности (Security Settings).

Служит для настройки параметров системы безопасности компьютеров, на которые воздействует данный объект групповой политики. С помощью групповых политик можно настроить безопасность локального компьютера, домена и целой сети. О Установка программ (Software Installation). Служит для централизованного управления программным обеспечением организации. С его помощью можно задавать различные режимы установки новых программ на компьютеры пользователей.

^ Сценарии (Scripts).

Сценарии используются для автоматического выполнения набора команд при загрузке операционной системы и в процессе завершения ее работы, а также при регистрации и отключении пользователя от сети. Для выполнения сценариев, написанных на Microsoft JScript и Microsoft Visual Basic Scripting Edition, можно применять сервер сценариев (Windows Scripting Host).

^ Перенаправление папок (Folder Redirection).

Позволяет перенаправлять обращение к специальным папкам в сеть.

Установка программ (Software Installation)

Наличие механизма групповых политик всегда являлась одной из главных отличительных черт Active Directory (AD), а в операционной системе Windows Server 2003 компания Microsoft существенно расширила функциональность объектов групповой политики (GPO) и возможность управления им, дополнив консоль MMC оснасткой Group Policy Management Console (GPMC). Компонент GPMC является довольно масштабным и достаточно сложным инструментом, поэтому для того, чтобы научиться максимально использовать все преимущества GPO в своей инфраструктуре необходимо хорошо разбираться в предмете.
^ Группы безопасности (security groups) предназначены для решения следующих двух задач: ограничения влияния групповой политики и делегирования управления объектами групповой политики.

^ Ограничение влияния настроек групповой политики

Как уже говорилось, все компьютеры и пользователи, находящиеся в определенном контейнере, подпадают под влияние групповых политик, настройки которых находятся в GPO, связанном с данным контейнером. Для более тонкой настройки влияния определенного объекта груп повой политики на группы пользователей и компьютеров применяют группы безопасности. Они не могут быть связаны с GPO, но с помощью вкладки Безопасность окна свойств объекта групповой политики можно задать, будет ли данный GPO влиять на членов определенной группы безопасности.

Обратите внимание, что фильтрация влияния политик безопасности может быть выполнена только с помощью групп безопасности. Группы дистрибуции (distribution groups) для этого не подходят.

Для ограничения влияния настроек групповой политики: 1. В правом подокне окна оснастки Групповая политика укажите корневой узел объекта групповой политики и нажмите правую кнопку мыши.

2. В появившемся контекстном меню выберите команду Свойства.

3. В окне свойств объекта групповой политики перейдите на вкладку Безопасность.

4. Нажмите кнопку Добавить и добавьте нужную группу.

5. Установите для нее надлежащие права доступа к объекту групповой политики. Можно разрешить или запретить доступ к GPO. На членов группы, для которой в строке Применение групповой политики флажок установлен в позиции Разрешить, влияют настройки данного объекта групповой политики. Чтобы запретить влияние групповой политики на определенную группу, в строке Применение групповой политики флажок необходимо установить в позиции Запретить (Deny). Если флажок не установлен ни в одной из позиций, это значит, что к данной группе не применяются настройки ни одной из установленных политик.

Следует очень хорошо осмыслить факт влияния групповых политик на группы безопасности! Хотя, как указывается в любой документации от Microsoft, относящейся к групповым политикам, "групповые политики (различные GPO) могут распространять свое влияние на сайты, домены и подразделения" — т. е. на контейнеры Active Directory, однако, используя механизмы безопасности, можно построить систему групповых политик, ориентированную на группы. Например, можно создать несколько политик на уровне домена и разрешить применение каждой из политик только к отдельным группам (при этом нужно в каждой политике удалить или запретить подключаемую по умолчанию группу Прошедшие проверку (Authenticated Users), в которую попадаются все пользователи). Иногда такой подход может оказаться весьма полезным и гибким.

С помощью инструментов управления Active Directory администратор может делегировать другим пользователям и группам право управления частью каталога. Это в полной мере относится и к объектам групповой политики, в отношении которых могут быть, в частности, делегированы следующие права: П Управление связями GPO с сайтом, доменом или подразделением (OU). Для этого с помощью инструмента управления Active Directory укажите сайт, домен или OU и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Делегирование управления (Delegate Control). Запустится Мастер делегирования управления (Delegation of Control Wizard). С его помощью можно выбрать объект групповой политики, группу или пользователя, которому должны быть делегированы права, а также и само право (в данном случае Управление ссылками групповой политики (Manage Group Policy links)). Создание и удаление всех дочерних объектов групповой политики. По умолчанию правом создания объектов в GPO обладают администраторы домена (Domain Admins) и администраторы предприятия (Enterprise Admins), а также операционная система. Для делегирования пользователю права управления объектами групповой политики домена необходимо включить его в группу Создатели-владельцы групповой политики (Group Policy Creator Owners).

Редактирование свойств объектов групповой политики. По умолчанию правом редактирования GPO обладают администраторы домена, администраторы предприятия и операционная система. Для делегирования пользователю права редактирования объекта групповой политики необходимо включить его в одну из указанных трупп безопасности.

^ 49. Шаблоны безопасности. Примеры шаблонов. Управление политикой безопасности.

Оснастка Шаблоны безопасности (Security Templates) — этот инструмент позволяет определять конфигурации безопасности, не зависящие от машины, которые хранятся в виде текстовых файлов.

едактор шаблонов безопасности реализован в виде оснастки ММС. Он предназначен для создания и редактирования текстовых файлов конфигурации безопасности операционной системы Windows 2000. Такие файлы значительно легче переносятся с одной системы на другую, чем соответствующие им базы данных безопасности.
Созданные при помощи оснастки Шаблоны безопасности текстовые файлы хранятся на жестком диске и при необходимости могут быть импортированы в базу данных безопасности. В этом случае все хранимые настройки безопасности начнут действовать.
^ С помощью оснастки Шаблоны безопасности можно конфигурировать:

1. Политики безопасности учетных записей (Account Security). Здесь вы сможете настроить такие параметры безопасности, как политика паролей, политика блокировки паролей и т. д.

2. Локальные политики (Local Policies). Здесь можно настроить параметры безопасности, касающиеся политики аудита, прав пользователей и индивидуальных параметров безопасности конкретной машины Windows 2000. Большинство этих параметров безопасности соответствуют значениям переменных реестра.

3. Журнал событий (Event Log). Здесь настраиваются параметры, определяющие работу журналов системы, безопасности, приложений и службы каталогов (Directory Service).

4. Группы с ограниченным доступом (Restricted Groups). Параметры, определяющие членство в группах, включая поддержку встроенных групп контроллеров домена.

5. Системные службы (System Services). Здесь можно настроить параметры безопасности, касающиеся режима загрузки и управления доступом для всех системных служб, а также параметры, определяющие безопасность редиректора и сервера.

6. Реестр (Registry). Можно управлять доступом к разделам реестра системы.

7. Файловая система (File System). Можно настроить параметры управления доступом к файлам и папкам локальных томов файловой системы и деревьев каталога.

Значения параметров всех перечисленных выше областей обеспечения безопасности заносятся в текстовые файлы с расширением inf, называемые шаблонами безопасности. С их помощью можно конфигурировать систему. Кроме того, при анализе безопасности системы шаблоны могут быть использованы в качестве рекомендованной конфигурации.

Информация о конфигурации безопасности расположена в нескольких разделах. Вся информация шаблонов обрабатывается ядром оснастки Шаблоны безопасности. Шаблоны обладают гибкой архитектурой, позволяющей в случае необходимости создавать новые разделы для конфигурации и анализа информации безопасности.

Оснастка Шаблоны безопасности располагает набором созданных заранее шаблонов безопасности. По умолчанию они хранятся в папке %SystemRoot% \Security\Templates. Они могут быть модифицированы с помощью этой оснастки и импортированы в расширение Параметры безопасности (Security Settings) оснастки Групповая политика.

Шаблоны безопасности отличаются друг от друга совокупностью хранящихся в них настроек. С помощью разных шаблонов можно устанавливать различные по степени защищенности конфигурации безопасности компьютера Windows 2000. Применять шаблоны безопасности, можно только в случае, если система была уже настроена с помощью параметров безопасности, установленных по умолчанию. Новые шаблоны безопасности не изменяют все старые настройки параметров системы безопасности, они лишь дополняют их, увеличивая (инкрементируя) степень защищенности компьютера. Поэтому их называют инкрементирующими шаблонами безопасности.
1   2   3   4

Похожие:

46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconЧто представляет собой мультисистемный пк?
Назовите основные отличия операционных систем реального времени от операционных систем общего назначения

46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconПоложение
...

46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconФизиология центральной нервной системы
Основными функциями центральной нервной системы являются: 1) регуляция деятельности всех тканей и органов и объединение их в единое...

46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconИстория развития операционных систем и системного программирования
Огромное влияние на развитие операционных систем оказали успехи в совершенствовании элементной базы и вычислитель­ной аппаратуры,...

46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconЮго-восточное окружное управление образования государственное бюджетное...
Основными задачами ведения портфолио учителем (педагогическим работником) школы являются

46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconКонспект урока
При изучении данной главы рекомендуется установить следующее программное обеспечение для операционных систем Windows и Linux

46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconПонятия файловой системы и системы управления файлами
Напомним, что одной из групп системного программного обеспечения являются системы управления файлами. К рассмотрению данной группы...

46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconФормулировка проблемы и ее актуальность. Термин "мониторинг" происходит...
Енны антропогенные факторы, представляет отдельную и важную задачу. Решение этой задачи потребовало создания специальной информационной...

46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconЛитература
Абс), противобуксовочная система (пбс), системы курсовой устойчивости и другие. Составной частью этих систем управления являются...

46. Обеспечение иб в сетях Перейдем к рассмотрению системы защиты операционных систем. Ее основными задачами являются идентификация, аутентификация iconОсобенности защиты операционных систем от внутренних атак
Поэтому цель программ безопасности – как можно быстрее выявить нарушителя, если ему удалось обойти тем или иным способом процедуру...

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
vbibl.ru
Главная страница