ПРАКТИЧЕСКАЯ РАБОТА №5

Тема:         Управление шаблонами безопасности в Windows 7

Цель:         формирование умений управления шаблонами безопасности в ОС Windows 7

Оборудование: персональный компьютер, ОС Windows 7

Время выполнения: 2 часа

Теоретический материал

Сам по себе шаблон безопасности – это заранее сохраненный текстовый файл с расширением inf, который содержит набор параметров конфигурации безопасности. Одним из основных преимуществ шаблонов безопасности является гибкость развертывания. Вы можете развернуть шаблоны безопасности как в домене при помощи объектов групповой политики Active Directory, так и в небольших офисах или домашнем окружении (Small Office Home Office - SOHO) при помощи оснастки «Анализ и настройка безопасности» или средствами утилиты командной строки Secedit.exe, о которых будет рассказано в последующих статьях. Еще одной из достопримечательностей данных шаблонов является то, что шаблоны безопасности – это обычные текстовые файлы, редактировать которые вы можете даже при помощи стандартной программы «Блокнот». Также нельзя не отметить тот факт, что именно при помощи шаблонов безопасности вы можете провести анализ соответствия текущей конфигурации компьютера и настроек, содержащихся в созданных шаблонах безопасности.

При помощи шаблонов безопасности вы можете настраивать. политики учетных записей» политики паролей, политики блокировки учетной записи, а также политики сервера Kerberos;

Локальные политики. Доступны настройке политики аудита, назначения прав пользователей, а также параметры безопасности, аналогичные параметрам политики оснастки «Редактор объектов групповых политик»;

Журналы событий. Вы можете изменять настройки журналов «Приложения», «Система» и «Безопасность», такие как политики создания файлов журналов, максимальный размер и прочее;

Группы с ограниченным доступом. Настройки ограничений доступа пользователей, которые являются членами различных групп;

Вы можете управлять типом запуска и разрешением доступа всех системных служб, которые можно найти в оснастке «Службы»;

Настройки системного реестра. Можно добавлять разрешения на доступ к разделам реестра;

Настройки безопасности файловой системы. У вас есть возможность задавать разрешения доступа на файлы и папки.

Рекомендуется не вносить изменения в предустановленный шаблон Setup security.inf, так как при помощи этого шаблона у вас есть возможность восстановления параметров безопасности, используемых по умолчанию. Также, чтобы избежать многих проблем, желательно перед внедрением созданного шаблона в эксплуатацию, протестировать его на отдельном компьютере. Характеристика основных разделов системного реестра представлена в таблице 2:

Таблица 2

Характеристика основных разделов системного реестра

Задания:

Задание 1. Создайте новый шаблон безопасности в ОС Windows 7

Для этого:

1.     Откройте оснастку «Шаблоны безопасности».

2.     Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter»;

3.     Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M;

4.     В диалоге «Добавление и удаление оснасток» выберите оснастку «Шаблоны безопасности» и нажмите на кнопку «Добавить»;

5.     В диалоге «Добавление или удаление оснасток» нажмите на кнопку «ОК».

При первом открытии данной оснастки, в папке Documents вашей учетной записи создается папка Security с вложенной папкой Templates. Именно в папке Templates и хранятся созданные вами шаблоны безопасности. На рисунке 9 отображена оснастка «Шаблоны безопасности», открытая впервые:

6.       В дереве консоли щелкните правой кнопкой мыши на узле, предоставляющем путь поиска шаблона. По умолчанию путь %Userprofile%\Documents\Security\Templates;

7.       В появившемся контекстном меню выберите команду «Создать шаблон»; Диалоговое окно для создания нового шаблона показано на рисунке 10.

8.     Введите название нового шаблона в текстовое поле «Имя шаблона» появившегося диалогового окна. В том случае, если вы создаете несколько различных шаблонов безопасности, я вам рекомендую добавлять подробное описание назначения шаблона в поле «Описание». Например, шаблона с названием «Конфигурация системных служб».

Рисунок 9 - Первое открытие оснастки «Шаблоны безопасности»

В связи с тем, что на пользовательских компьютерах могут быть установлены разные ОС, в описании указана версия операционной системы, для которой создается текущий шаблон.

Рисунок 10 - Диалог создания нового шаблона безопасности

При желании вы можете изменить путь для поиска шаблонов, созданный по умолчанию. Для этого, в дереве консоли, нажмите правой кнопкой мыши на узле «Шаблоны безопасности» и выберите команду «Найти путь для поиска шаблонов…», как показано на рисунке 11. В диалоговом окне «Обзор папок» выберите папку, в которой будут сохраняться новые шаблоны безопасности и нажмите на кнопку «ОК».

После создания нового шаблона, в оснастке вы увидите набор групповых политик, подобный тем, которые отображаются в оснастке «Редактор объектов групповых политик».

Рисунок 11 - Изменение пути для поиска шаблонов

Не стоит также забывать, что оснастка шаблонов безопасности представляет собой только редактор набора групповых политик и не влияет на изменение текущей конфигурации. То есть, после полного изменения политик, предоставленных в данной оснастке, вам не стоит волноваться о том, что настройки на вашем рабочем месте будут изменены. Далее мы рассмотрим набор политик системных служб, добавление параметров реестра, а также редактирование групп с ограниченным доступом.

На рисунке 12 отображен новый шаблон безопасности:

Рисунок 12 - Новый шаблон безопасности

Узел «Системные службы» предназначен для последующего изменения конфигурации системных служб средствами групповых политик при развертывании. Содержимое этого узла сильно напоминает оснастку «Службы», однако между ними есть одна существенная разница. При помощи оснастки «Службы» вы настраиваете тип запуска служб на локальном компьютере, а используя шаблоны безопасности, вы можете распространить указанные настройки системных служб одновременно на несколько компьютеров. Рассмотрим подробно применение содержимого данного узла на простом примере:

На компьютерах вашего малого офиса, в котором нет домена, никогда не будут использоваться планшетные ПК, устройства BlueTooth и смарт-карты. Допустим, вы опасаетесь вторжения на компьютеры недоброжелателей, поэтому хотите отключить возможность удаленного управления системного реестра, службы удаленных рабочих столов, а также вашим пользователям нельзя на рабочих местах использовать Windows Media Center. По этой же причине необходимо полностью отключить на компьютерах вашей сети все эти службы. Чтобы развернуть эти настройки служб на всех компьютерах, выполните следующие действия:

Задание 2. Измените настройки шаблона безопасности и составьте отчет о проделанной работе.

Для этого:

1.       В оснастке «Шаблоны безопасности» перейдите на узел «Системные службы»;

2.       Выберите службу, тип запуска которой вы планируете настроить, например, «Служба ввода планшетного ПК» и откройте свойства этой службы;

3.       В диалоговом окне «Свойства: Служба ввода планшетного ПК» установить флажок на опции «Определить следующий параметр службы в шаблоне» и установите переключатель на опции «запретить», как показано на рисунке 13;

Рисунок 13 - Диалог свойств системной службы

4.       Нажмите на кнопку «ОК». Настройте остальные службы.

Допустим, вам нужно дать полный доступ на изменение параметров раздела реестра, отвечающего за компонент «Дата и время» только для групп «Система» и «Администраторы», причем пользователям, которые являются членами группы «Пользователи» нужно запретить даже просмотр данного раздела. Для этого выполните следующие действия:

5.       В оснастке «Шаблоны безопасности» перейдите на узел «Реестр»;

6.       Вызовите контекстное меню для узла «Реестр» и выберите команду «Добавить раздел»;

7.       В диалоговом окне «Выбор раздела реестра» разверните раздел [MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation] или введите путь к разделу в поле «Выбранный раздел» и нажмите на кнопку «ОК», как изображено на рисунке 14;

Рисунок 14 - Диалоговое окно «Выбор раздела реестра»

8.       В появившемся диалоговом окне «Безопасность данных для <Выбранный_раздел_реестра>» установите разрешения для всех групп и нажмите на кнопку «ОК», как показано на рисунке 15.

Рисунок 15 - Диалог «Безопасность» раздела системного реестра

В диалоге «Добавление объекта» (рис.16) вы можете распространить указанные настройки безопасности на все дочерние подразделы, запретить замену разрешений в указанном разделе, или изменить параметры вручную.

Рисунок 16 - Диалог «Добавление объекта»

По нажатию на кнопку «ОК», данные изменения будут отображены в оснастке «Шаблоны безопасности», как показано на рисунке 17:

Рисунок 17 - Узел «Реестр»

При помощи групп с ограниченным доступом вы можете указывать пользователей, которые будут принадлежать к определенной группе. Политики, применяемые с шаблонами безопасности, будут распространяться на всех пользователей, которые входят в группы с ограниченным доступом. Для того чтобы указать членов группы с ограниченным доступом, выполните следующие действия:

9.       В оснастке «Шаблоны безопасности» перейдите на узел «Группы с ограниченным доступом»;

10.   Нажмите правой кнопкой мыши на узле и из контекстного меню выберите команду «Добавить группу»;

11.   В диалоговом окне «Добавление группы» введите название новой группы или выберите существующую, используя кнопку «Обзор» (рис.18);

Рисунок 18 - Диалог добавления группы

В диалоговом окне свойств новой группы вы можете добавить пользователей, которые будут входить в состав этой группы, а также выбрать родительскую группу (рис.19).

Рисунок 19 - Диалог свойств новой группы

По нажатию на кнопку «ОК» новая группа будет создана и добавлена в узел групп с ограниченным доступом.

12.   Для сохранения шаблона безопасности нажмите правой кнопкой мыши на наименовании узла шаблона безопасности и выберите команду «Сохранить» или «Сохранить как» из контекстного меню. Шаблон будет сохранен с расширением *.inf.

Контрольные вопросы:

1. Для чего используются Шаблоны безопасности?

2. В каком месте на диске хранятся (по умолчанию) шаблоны безопасности?

3. Какие разделы включает стандартный Шаблон безопасности?

4. Какие политики входят в раздел Политика учетных записей?

Скачано с www.znanio.ru