Краткое руководство по решению проблем с настройками безопасности групповой политики
HashFlare
 
Главная HI-TECH Форум Поиск Книги Авторам Новости партнёров Реклама
Новостей на сайте: 10263
Программы  
  Система
  Безопасность
  Интернет и сети
  Текст
  Графика и дизайн
  Мультимедиа
  Программирование
  Бизнес
  Образование
  Дом, семья, хобби
  Игры и развлечения
 
Рассылка
 
HashFlare
 
Рейтинг программ...    
    Ф2Мастер Банк (138203)
    Коллекция руссификаторов O-S (34475)
    Товар версия 1.10 (25180)
    Коллекция софта № 13 (24611)
    New_Profile v3.4 (400) (23816)
    NetGraf 1.0 (23664)
    Revolter Commander 3.9 beta 8 (16289)
    Коллекция софта № 14 (15584)
    Net Transport 2.22 (15300)
    Intel Sound MAX 4.0 Ac' 97 5.12.01 (15124)
 

[!] Знаете ли Вы, что наш портал является источником большого количества эксклюзивных статей?


Безопасность Статьи
Краткое руководство по решению проблем с настройками безопасности групповой политики

Будучи администраторами Active Directory, Group Policy, работая с компьютерами в области информационной безопасности, мы все прекрасно знаем, что наилучшим способом обеспечить безопасность среде Windows – это использовать групповые политики. Существуют сотни, если не тысячи настроек безопасности в каждом объекте групповой политики - Group Policy Object (GPO). Использование GPO дает нам эффективность, мощь и автоматизм. Однако, бывают ситуации, когда приходится чесать затылок в задумчивости: насколько правильно настроен GPO и насколько правилен сам GPO. В этой статье я дам вам несколько советов по поводу инструментов, команд и других вопросов, которые вы можете попробовать применить, чтобы убедиться в том, что ваши GPO и их настройки безопасности применяются правильно. Конечно же, если вам нужна более подробная информация о групповых политиках или о решении проблем, с ними связанных, вы можете обратиться к более полному руководству - MSPress Group Policy Resource Kit, написанным мной!
Какие настройки являются “настройками безопасности”?

При том, что в одном GPO может быть более 5000 настроек, я хочу на 100% точно указать, о каких именно настройках я говорю в этой статье. Есть специальный раздел в GPO, посвященный безопасности. Да, я знаю, что есть и другие настройки, тоже связанные с безопасностью, но здесь я буду говорить только об этом разделе.

Чтобы найти этот раздел, открывайте GPO, желательно через GPMC, так как у локального GPO набор настроек отличается от настроек GPO в Active Directory. Открыв в редакторе GPO, раскройте узел Computer Configuration\Policies\Windows Settings\Security Settings, как показано на Рисунке 1.





Рисунок 1: Узел Security Settings, раскрытый в редакторе Group Policy Management Editor

Тут вы обнаружите целый букет настроек: нюансы реестра, пользовательские права, разрешения для файлов/папок/реестра, безопасность беспроводной связи, членство в группах и т.д. Большинство этих настроек контролируются клиентским расширением, так что если одна из них неудачна, проблемы будут у всех. С обратной стороны, если одна из них успешно применяется, то и все должны хорошо работать (в теории!).
Проверка #1

Из GPMC (на любой машине, где у вас есть административные права) вы можете запустить инструмент Group Policy Results. Этот инструмент встроен в GPMC, поэтому ничего особенного делать не нужно. В GPMC вы сможете определить, какие настройки есть на целевом компьютере из тех настроек безопасности, которые вы устанавливали через ваш GPO.

Чтобы найти узел Group Policy Results в GPMC, посмотрите в нижнюю часть консоли GPMC. Там вы и найдете узел Group Policy Results (Рисунок 2).





Рисунок 2: Узел Group Policy Results в нижней части списка узлов в GPMC

Этим инструментом вы выбираете пользовательский аккаунт ('user account') или компьютерный аккаунт ('computer account'), для которых вам нужны данные. Сделать это можно, щелкнув правой кнопкой мыши на узле Group Policy Results и выбрав мастер. Завершив работу с мастером, вы увидите результат под узлом Group Policy Results, как показано на Рисунке 3.





Рисунок 3: Инструмент Group Policy Results демонстрирует результирующие GPO и настройки для пользователя и компьютера

Из этого интерфейса вы можете просмотреть многие аспекты примененных GPO, а также их настроеки. Тут вам нужно посмотреть на различные результаты в правой панели. Просмотрите объекты Group Policy Object, чтобы убедиться в том, что ваш GPO применен, а не был отклонен по какой-то причине. Затем проверьте Component Status на наличие ошибок, связанных с клиентским расширение по безопасности. И, наконец, проверьте вкладку Settings, раздел Security Settings и сделанные вами настройки (Рисунок 4).





Рисунок 4: Вкладка Settings для инструмента Group Policy Results показывает, какие настройки применяются к целевому компьютеру
Проверка #2

Еще вы можете запустить RSOP.msc на целевом компьютере, что даст вам абсолютно такую же информацию, что и первая проверка, только формат интерфейса будет отличаться. На Рисунке 5 показано, как команда RSOP.msc на целевом компьютере показывает настройки GPO в том же формате, что и оригинальный GPO, который настраивался в редакторе. Такой вид предпочтителен для некоторых, потому что не нужно беспокоиться о пути к настройкам безопасности, а можно просто перейти прямо к узлу в GPO и увидеть результаты.





Рисунок 5: Результат выполнения RSOP.msc на целевом компьютере

Более подробную информацию о расширениях GPO и клиентских расширениях можно получить, посмотрев внимательнее на этот интерфейс. Если вы щелкните правой кнопкой мыши на узле Computer Configuration, вы сможете выбрать опцию меню Properties. Здесь вы увидите примененные GPO, а также сможете подключить просмотр следующих узлов (Рисунок 6):
GPOs and filtering status
Scope of management of the GPO
Revision information about the GPO





Рисунок 6: Опция RSOP Properties показывает дополнительные сведения о примененных GPO

Эта информация поможет вам обнаружить причины того, что GPO или соответствующие настройки не были применены.

Чтобы увидеть данные клиента, выберите вкладку Error Information, как показано на Рисунке 7.





Рисунок 7: Вкладка Error Information в свойствах RSOP.msc

Здесь вы видите, почему некоторое CSE мог быть не применено, что даст вам информацию к размышлению о том, почему некоторые настройки могут отсутствовать в интерфейсе RSOP.msc.
Проверка #3

Если вам нужны только настройки безопасности, а не все настройки, установленные GPO, можете запустить secpol.msc на целевом компьютере. Вам покажут только одно подмножество GPO в том же формате, что и первоначальный редактор GPO. Это показано на Рисунке 8.





Рисунок 8: Secpol.msc показывает только настройки безопасности на целевом компьютере

Есть два момента, связанных с этим инструментом, о которых я должен упомянуть. Во-первых, он покажет вам БОЛЬШЕ, чем просто настройки безопасности, развернутые с GPO. Это дает серьезное преимущество, так как вы видите ВСЕ настройки безопасности на компьютере, а не только те, что были установлены с GPO. Вы сразу можете сказать, какие настройки идут от GPO в Active Directory, а какие были применены локально. Если вы обратитесь к Рисунку 8, вы увидите, что Account lockout threshold имеет отличающуюся от двух других настроек иконку. Эта иконка показывает, что эта настройка – от GPO из Active Directory, а две других были установлены локально.

Второй момент заключается в том, что вы можете ясно увидеть, что инструмент secpol показывает не так много настроек GPO, как инструмент RSOP.msc. Так что, если вам нужны какие-то определенные настройки, вам стоит работать с тем инструментом, которой точно отображает те данные, которые вам нужны.
Заключение

Как видите, у вас много вариантов (это был не исчерпывающий список) помочь себе в проверке статуса настроек безопасности, установленных с помощью GPO. Эти инструменты уже встроены, и они очень полезны. Конечно, у вас должно быть достаточно администраторских прав, чтобы запускать их, но если все в порядке, вы легко сможете увидеть, какие настройки были применены, какие - нет, а также возможные причины этого.


Ссылки по теме:
Сохранение паролей в команде RunAs
Fennec Mobile FireFox RC 1 доступен для скачивания
Что такое эксплоит и с чем его едят?
NeoSpy - Программа для слежения за компьютером.
Panda Cloud Antivirus Beta 3



 
Статьи    
  Windows 10
  Windows 8
  Windows 7
  Windows Vista
  Windows XP/2003
  Windows NT/2000
  Безопасность
  Windows 9x/ME
  Hardware
  Software
  Интернет
  BIOS
  Сеть
  Разное
 
Рекомендуем
 
 
Рейтинг статей...    
    Предел входящих подключений в Windows (128481)
    Как установить Windows XP на ноутбук или как добавить SATA-драйвер в дистрибутив Windows XP (68592)
    Из дома в офис - быстро, надежно и безопасно (55279)
    Всё, что надо начинающему хакеру (49596)
    Восстановление реестра Windows XP (23134)
    Второй сервис-пак для Windows XP: личный опыт (23052)
    Вызываем синий экран смерти Windows (18316)
    Настройка удаленного подключения между Windows 7 и Linux с помощью TightVNC (17150)
    Информация о proxy серверах (17144)
    Как устроена защита Windows Vista (17005)
 
 
Programmed by Ventura
 

 

Яндекс цитирования