Лабораторная работа администрирование windows 10

ЛАБОРАТОРНАЯ РАБОТА №5

АДМИНИСТРИРОВАНИЕ WINDOWS 10

Цель работы:
Целью работы является освоение средств администрирования учётных записей
пользователей и групп пользователей в ОС Windows 10, изучение основных
параметров, определяющих взаимодействие пользователей с операционной системой,
консолью управления и групповой политикой.

Ход работы

1. В оснастке «Локальные
пользователи и группы» создаётся новая группа пользователей. В качестве имени
группы пользователей используется номер учебной группы.

2. Создание учётной записи
со своим именем и включение её в созданную группу.

3. Применение к созданной
учётной записи настройек: максимальный срок действия пароля 30, минимальная
длина пароля 6, требовать не повторяемость паролей 6, отвечать требованиям
сложности +, пороговое значение блокировки 3, блокировка учётной записи на 10,
сброс счётчика блокировки через 5, завершение работы системы +, локальный вход
в систему +, изменение системного времени +. 

4. Создайте новую
консоль. Добавьте в корень консоли оснастки «Редактор объекта групповой
политики» и «Результирующая политика». Сохраните консоль в режиме, указанном в
Вашем варианте.  Вариант 1. Авторский – запретить редактирование реестра.

Контрольные вопросы

1. Поясните параметр
«Пароль должен отвечать требованиям сложности» и перечислите минимальные
требования, которым должны удовлетворять пароли, если параметр включен.

Если данный параметр
включён, то пароль должен соответствовать следующим требованиям: не может
соответствовать имени пользователя, должен состоять из символов юникода.

2. Какие параметры входят
в политику блокировки учётной записи?

В политику блокировки
учётной записи входят: блокировка при многоразовом несоответствии введённого
пароля, ограничение времени доступа учётной записи, срок действия учётной
записи и другие указанные параметры при несоблюдении которых учётная запись
блокируется.

3. Возможно ли, что
учётная запись не будет блокирована при количестве ошибок большем, чем
установленное пороговое значение?

Возможно, что учётная
запись не будет заблокирована при количестве ошибок большем, чем установленное
пороговое значение если в параметрах указанно что время блокировки равно нулю.

4. Что такое и для чего
применяется MMC?

MMC –
консоль управления. С её помощью можно создавать, сохранять и открывать
средства администрирования, которые называются консолями, которые управляют
оборудованием, программным обеспечением и сетевыми компонентами операционной
системы Microsoft Windows.

5. Что такое оснастка?

MSC
в Windows расшифровывается как Microsoft System Console, еще проще это окна или
как их еще называют оснастки, для управления теми или иными функциями
операционной системы.

6. В чём состоит отличие
конфигурации компьютера от конфигурации пользователя в групповой политике?

Конфигурация компьютера
относится ко всем пользователям, включая системных пользователей. Конфигурация
пользователя — для конкретного пользователя.

7. Каким образом можно
включить автозапуск программ через групповую политику?

Открывается оснастка
«Групповая политика» (gpedit.msc), переход на вкладку
«Конфигурация компьютера — Административные шаблоны — Система». В
правой части оснастки переход на пункт «Запускать указанные программы при
входе в систему». По умолчанию эта политика не задана, но можно добавить
туда программу: включить политику, нажать кнопку «Показать —
Добавить», указать путь к программе, при этом если запускаемая программа
находится в папке.

8. При помощи какой
команды можно получить список пользователей операционной системы?

Полный список
пользователей ОС выдаётся командой в CMD:
net user.

9. При помощи какой
команды можно получить список групп пользователей операционной системы?

Полный список локальных
групп ОС выдаётся командой в CMD:
net localgroup.

10. При помощи какой
команды можно создать нового пользователя?

Создать нового
пользователя можно при помощи команды: net
user ИМЯ
ПАРОЛЬ /add.

Вывод: в
ходе проделанной работы я освоил средства администрирования учётных записей
пользователей и групп пользователей в ОС Windows 10, изучил основные параметры,
определяющие взаимодействие пользователей с операционной системой, консолью
управления и групповой политикой.

Томск — 2022

2

1 Введение

Цель работы: освоение средств администрирования учётных записей пользователей и групп пользователей в ОС Windows 10. Изучение основных параметров, определяющих взаимодействие пользователей с операционной системой, консолью управления и групповой политикой.

Для работы был взять 5 вариант заданий.

Задания для работы с пользователями:

1.Максимальный срок действия пароля – 90;

2.Минимальная длина пароля – 10;

3.Требовать неповторяемости пароля;

4.Пороговое значение блокировки – 7;

5.Блокировка учетной записи на – 60;

6.Сброс счетчика блокировки через – 30;

7.Завершение работы системы;

8.Локальный вход в систему;

9.Изменение системного времени.

Задания для работы с групповыми политиками:

1.Режим работы консоли – авторский;

2.Запретить доступ к «Панели управления», запретить запуск

«Блокнота».

Для работы использовалась виртуальная машина VMware Workstation 16

Player.

3

2 Ход работы

2.1 Управление учетными записями Рассмотрим механизмы работы с учетными записями пользователей в

Windows 10. Через меню «Пуск» перейдем к параметрам системы. На рисунке 1 представлены параметры windows.

Рисунок 1 – Параметры Windows.

Перейдем в раздел «Учетные записи», в этом разделе представлена информация об учетных записях и функции для изменения параметров входа.

На рисунке 2 представлены данные учетной записи.

Рисунок 3 – Раздел «Другие люди».

Рисунок 5 – Раздел с новым пользователем.

6

Далее запустим Microsoft Management Console (mmc). MMC – компонент windows, позволяющий администрировать систему. Чтобы запустить MMC,

откроем комбинацией клавиш win + R «Выполнить» и введем mmc.На рисунке

6 показан процесс запуска MMC.

Рисунок 6 – Ввод в «Выполнить» Для добавления оснасток в меню консоли нужно выбрать «Файл» и

«Добавить или удалить оснастку» На рисунке 7 показано добавление и удаление оснасток.

Рисунок 7 – Добавление или удаление оснасток.

Можно выбрать режим работы пользователя с консолью. Для выбора режима нужно выбрать «Файл» и пункт «Параметры. На рисунке 8

представлены параметры.

1. Запустить консоль
   «Локальные политика безопасности»,
   перейти к настройке «Политике учётных
   записей».

2. Перейти к пункту
   «Пороговое значение блокировки» в
   «Политике блокировки учётной записи»,
   установить параметр равный 3 попыткам.

3. Перейти к пункту
   «Минимальная длина пароля» в «Политике
   паролей», установить значение 10.

4. Перейти к пункту
   «Пароль должен отвечать требованиям
   сложности», поставить галочку.

Длина пароля может
достигать 128 знаков. Маленький отрывок
из поэмы А.С.Пушкина «Руслан и Людмила»
со всеми знаками препинания, набранный
русскими буквами в латинской раскладке
и установленный в качестве пароля, может
привести в замешательство любого
взломщика: E kerjvjhmz le, ptktysq, Pkfnfz wtgm yf le,t njv,
B lytv b yjxm. Rjn extysq, Dct [jlbn gj wtgb rheujv/. Этот пароль
надежный, а запомнить его очень просто:
«У лукоморья дуб зеленый, златая цепь
на дубе том, и днём и ночью кот учёный,
всё ходит по цепи кругом».

Кроме того,
специалистами были разработаны
рекомендации по созданию усиленных
паролей, использование которых уменьшает
вероятность успешной атаки взломщика:

• пароль должен
  содержать не менее 6 символов, и среди
  них должны быть символы по крайней мере
  трех типов из следующих четырех:
  заглавные буквы, строчные буквы, цифры
  и специальные символы (то есть ,%,*,&,!)

• пароль не может
  включать учётное имя пользователя;

• если пользователь
  создаёт пароль, который не отвечает
  перечисленным требованиям, операционная
  система выдает сообщение об ошибке и
  не принимает пароль.

1. Проверить действие
   установленных настроек.

Политика
аудита

В процессе аудита
используются три средства управления:
политика аудита, параметры аудита в
объектах, а также журнал «Безопасность»,
куда заносятся события, связанные с
безопасностью, такие как вход/выход из
системы, использование привилегий и
обращение к ресурсам.

Политика аудита
настраивает в системе определённого
пользователя и группы аудит активности.
Для того чтобы отконфигурировать
политики аудита, в редакторе управления
групповыми политиками необходимо
открыть узел «Конфигурация
компьютера/Конфигурация
Windows/Параметры
безопасности/Локальные
политики
/Политика
аудита».
Необходимо помнить, что по умолчанию
параметр политики аудита, для рабочих
станций установлен на «Не
определено».
В общей сложности, возможна настройка
девяти политик аудита.

Так же, как и с
остальными политиками безопасности,
для настройки аудита нужно определить
параметр политики. После двойного
нажатия левой кнопкой мыши на любом из
параметров, установите флажок на опции
«Определить
следующие параметры политики»
и укажите параметры ведения аудита
успеха, отказа или обоих типов событий.

После настройки
политики аудита события будут заноситься
в журнал безопасности. Просмотреть эти
события можно в журнале безопасности.

Аудит
входа в систему.
Текущая политика определяет, будет ли
операционная система пользователя, для
компьютера которого применяется данная
политика аудита, выполнять аудит каждой
попытки входа пользователя в систему
или выхода из неё. Например, при удачном
входе пользователя на компьютер
генерируется событие входа учётной
записи. События выхода из системы
создаются каждый раз, когда завершается
сеанс вошедшей в систему учётной записи
пользователя. Аудит успехов означает
создание записи аудита для каждой
успешной попытки входа в систему. Аудит
отказов означает создание записи аудита
для каждой неудачной попытки входа в
систему.

Аудит доступа
к объектам.
Данная политика безопасности выполняет
аудит попыток доступа пользователей к
объектам, которые не имеют отношения к
Active Directory. К таким объектам можно отнести
файлы, папки, принтеры, разделы системного
реестра, которые задаются собственными
списками в системном списке управления
доступом (SACL). Аудит создаётся только
для объектов, для которых указаны списки
управления доступом, при условии, что
запрашиваемый тип доступа и учётная
запись, выполняющая запрос, соответствуют
параметрам в данных списках.

Аудит
доступа к службе каталогов.
При помощи этой политики безопасности
можно определить, будет ли выполняться
аудит событий, указанных в системном
списке контроля доступа (SACL), который
можно редактировать в диалоговом окне
«Дополнительные
параметры безопасности»
свойств объекта Active Directory. Аудит создаётся
только для объектов, для которых указан
системный список управления доступом,
при условии, что запрашиваемый тип
доступа и учётная запись, выполняющая
запрос, соответствуют параметрам в
данном списке. Данная политика в какой-то
степени похожа на политику «Аудит
доступа к объектам».
Аудит успехов означает создание записи
аудита при каждом успешном доступе
пользователя к объекту Active Directory, для
которого определена таблица SACL. Аудит
отказов означает создание записи аудита
при каждой неудачной попытке доступа
пользователя к объекту Active Directory, для
которого определена таблица SACL.

Аудит изменения
политики.
Эта политика аудита указывает, будет
ли операционная система выполнять аудит
каждой попытки изменения политики
назначения прав пользователям, аудита,
учётной записи или доверия. Аудит успехов
означает создание записи аудита при
каждом успешном изменении политик
назначения прав пользователей, политик
аудита или политик доверительных
отношений. Аудит отказов означает
создание записи аудита при каждой
неудачной попытке изменения политик
назначения прав пользователей, политик
аудита или политик доверительных
отношений.

Аудит
изменения привилегий.
Используя эту политику безопасности,
можно определить, будет ли выполняться
аудит использования привилегий и прав
пользователей. Аудит успехов означает
создание записи аудита для каждого
успешного применения права пользователя.
Аудит отказов означает создание записи
аудита для каждого неудачного применения
права пользователя.

Аудит
отслеживания процессов.
Текущая политика аудита определяет,
будет ли операционная система выполнять
аудит событий, связанных с процессами,
такими как создание и завершение
процессов, а также активация программ
и непрямой доступ к объектам. Аудит
успехов означает создание записи аудита
для каждого успешного события, связанного
с отслеживаемым процессом. Аудит отказов
означает создание записи аудита для
каждого неудачного события, связанного
с отслеживаемым процессом.

Аудит
системных событий.
Данная политика безопасности имеет
особую ценность, так как именно при
помощи этой политики можно узнать,
перегружался ли у пользователя компьютер,
превысил ли размер журнала безопасности
пороговое значение предупреждений,
была ли потеря отслеженных событий
из-за сбоя системы аудита и даже вносились
ли изменения, которые могли повлиять
на безопасность системы или журнала
безопасности вплоть до изменения
системного времени. Аудит успехов
означает создание записи аудита для
каждого успешного системного события.
Аудит отказов означает создание записи
аудита для каждого неудачного завершения
системного события.

Аудит событий
входа в систему.
При помощи этой политики аудита можно
указать, будет ли операционная система
выполнять аудит каждый раз при проверке
данным компьютером учётных данных. При
использовании этой политики создаётся
событие для локального и удаленного
входа пользователя в систему. Члены
домена и компьютеры, не входящие в домен,
являются доверенными для своих локальных
учётных записей. Когда пользователь
пытается подключиться к общей папке на
сервере, в журнал безопасности записывается
событие удалённого входа (события выхода
из системы не записываются). Аудит
успехов означает создание записи аудита
для каждой успешной попытки входа в
систему. Аудит отказов означает создание
записи аудита для каждой неудачной
попытки входа в систему.

Аудит управления
учётными записями.
Эта последняя политика тоже считается
очень важной, так как именно при помощи
неё можно определить, необходимо ли
выполнять аудит каждого события
управления учётными записями на
компьютере. В журнал безопасности будут
записываться такие действия как создание,
перемещение и отключение учётных
записей, а также изменение паролей и
групп. Аудит успехов означает создание
записи аудита для каждого успешного
события управления учётными записями.
Аудит отказов означает создание записи
аудита для каждого неудачного события
управления учётными записями

Политики
назначения прав пользователей

Как говорилось
выше, для назначения прав пользователей
существует 44 политики безопасности.
Далее можно ознакомиться с восемнадцатью
политиками безопасности, которые
отвечают за назначение различных прав
для пользователей или групп вашей
организации.

1. Архивация
   файлов и каталогов.
   При помощи данной политики можно указать
   пользователей или группы, предназначенные
   для выполнения операций резервного
   копирования файлов, каталогов, разделов
   реестра и других объектов, которые
   подлежат архивации. Данная политика
   предоставляет доступ для следующих
   разрешений:

• обзор папок/выполнение
  файлов;

• содержимое
  папки/чтение данных;

• чтение атрибутов;

• чтение расширенных
  атрибутов;

• чтение разрешений.

На рабочих станциях
и серверах данные привилегии предоставляются
группам «Администраторы»
и «Операторы
архивации»,
а на контроллерах домена – «Операторы
архивации»
и «Операторы
сервера».

1. Блокировка
   страниц в памяти.
   Используя эту политику безопасности,
   можно указать конкретных пользователей
   или группы, которым разрешается
   использовать процессы для сохранения
   данных в физической памяти для
   предотвращения сброса данных в
   виртуальную память на диске.

По умолчанию, как
на рабочих станциях, так и на серверах,
ни у одной группы нет на это разрешений.

1. Восстановление
   файлов и каталогов.
   Эта политика позволяет указывать
   пользователей и группы, которые могут
   выполнять восстановление файлов и
   каталогов, в обход блокировке файлов,
   каталогов, разделов реестра и прочих
   объектов, расположенных в архивных
   версиях файлов.

На рабочих станциях
и серверах данные привилегии предоставляются
группам «Администраторы»
и «Операторы
архивации»,
а на контроллерах домена – «Операторы
архивации»
и «Операторы
сервера».

1. Вход в качестве
   пакетного задания.
   При создании задания, используя
   планировщик заданий, операционная
   система регистрирует пользователя в
   системе как пользователя с пакетным
   входом. Данная политика разрешает
   группе или определённому пользователю
   входить в систему при помощи такого
   метода.

По умолчанию, как
на рабочих станциях, так и на контроллерах
домена, данные привилегии предоставляются
группам «Администраторы»
и «Операторы
архивации».

1. Вход в качестве
   службы.
   Некоторые системные службы осуществляют
   вход в операционную систему под разными
   учётными записями. Например, служба
   «Windows
   Audio»
   запускается под учётной записью
   «Локальная
   служба»,
   служба «Телефония»
   использует учётную запись «Сетевая
   служба».
   Данная политика безопасности определяет,
   какие учётные записи служб могут
   зарегистрировать процесс в качестве
   службы.

По умолчанию, как
на рабочих станциях, так и на серверах,
ни у одной группы нет на это разрешений.

1. Выполнение
   задач по обслуживанию томов.
   Используя эту политику, можно указать
   пользователей или группы, участники
   которых могут выполнять операции,
   предназначенные для обслуживания
   томов. У пользователей, обладающих
   такими привилегиями, есть права на
   чтение и изменение запрошенных данных
   после открытия дополнительных файлов,
   они также могут просматривать диски и
   добавлять файлы в память, занятую
   другими данными.

По умолчанию,
такими правами обладают только
администраторы рабочих станций и
контроллеров домена.

1. Добавление
   рабочих станций к домену.
   Эта политика отвечает за разрешение
   пользователям или группам добавлять
   компьютеры в домен Active Directory. Пользователь,
   обладающий данными привилегиями, может
   добавить в домен до десяти компьютеров.

По умолчанию, все
пользователи, прошедшие проверку
подлинности, на контроллерах домена
могут добавлять до десяти компьютеров.

1. Доступ к
   диспетчеру учётных данных от имени
   доверенного вызывающего.
   Диспетчер учётных данных – это компонент,
   который предназначен для хранения
   учётных данных, таких как имена
   пользователей и пароли, используемых
   для входа на веб-сайты или другие
   компьютеры в сети. Эта политика
   используется диспетчером учётных
   данных в ходе архивации и восстановления,
   и её не желательно предоставлять
   пользователям.

По умолчанию, как
на рабочих станциях, так и на серверах,
ни у одной группы нет на это разрешений.

1. Доступ к
   компьютеру из сети.
   Данная политика безопасности отвечает
   за разрешение подключения к компьютеру
   по сети указанным пользователям или
   группам.

На рабочих станциях
и серверах данные привилегии предоставляются
группам «Администраторы»
и «Операторы
архивации»,
«Пользователи»
и «Все».
На контроллерах домена – «Администраторы»,
«Проверенные
пользователи»,
«Контроллеры
домена предприятия»
и «Все».

1. Завершение
   работы системы.
   Используя этот параметр политики, можно
   составить список пользователей, которые
   имеют право на использование команды
   «Завершение
   работы»
   после удачного входа в систему.

На рабочих станциях
и серверах данные привилегии предоставляются
группам «Администраторы»,
«Операторы
архивации»
и «Пользователи»
(только на рабочих станциях), а на
контроллерах домена – «Администраторы»,
«Операторы
архивации»,
«Операторы
сервера»
и «Операторы
печати».

1. Загрузка и
   выгрузка драйверов устройств.
   При помощи текущей политики можно
   указать пользователей, которым будут
   предоставлены права на динамическую
   загрузку и выгрузку драйверов устройств
   в режиме ядра.

Эта политика не
распространяется на PnP-устройства. Plug
and Play –
технология, предназначенная для быстрого
определения и конфигурирования устройств
в компьютере и других технических
устройствах. Разработана фирмой Microsoft
при содействии других компаний. Технология
PnP основана на использовании
объектно-ориентированной архитектуры,
ее объектами являются внешние устройства
и программы. Операционная система
автоматически распознает объекты и
вносит изменения в конфигурацию
абонентской системы.).

На рабочих станциях
и серверах данные привилегии предоставляются
группам «Администраторы»,
а на контроллерах домена – «Администраторы»
и «Операторы
печати».

1. Замена маркера
   уровня процесса.
   Используя данную политику безопасности,
   можно ограничить пользователей или
   группу от использования API-функции
   CreateProcessAsUser для того, чтобы одна служба
   могла запускать другую функцию, процесс
   или службу. Стоит обратить внимание на
   то, что такое приложение как «Планировщик
   заданий»
   для своей работы использует данные
   привилегии.

По умолчанию, как
на рабочих станциях, так и на контроллерах
домена, данные привилегии предоставляются
учётным записям «Сетевая
служба»
и «Локальная
служба».

1. Запретить
   вход в систему через службу удалённых
   рабочих столов.
   При помощи данной политики безопасности
   можно ограничить пользователей или
   группы от входа в систему в качестве
   клиента удалённых рабочих столов.

По умолчанию, как
на рабочих станциях, так и на серверах,
всем разрешено входить в систему как
клиенту удалённых рабочих столов.

1. Запретить
   локальный вход.
   Данная политика запрещает отдельным
   пользователям или группам выполнять
   вход в систему.

По умолчанию всем
пользователям разрешен вход в систему.

1. Изменение
   метки объектов.
   Благодаря данной политике назначения
   прав, можно предоставить возможность
   указанным пользователям или группам
   изменять метки целостности объектов
   других пользователей, таких как файлы,
   разделы реестра или процессы.

По умолчанию никому
не разрешено изменять метки объектов.

1. Изменение
   параметров среды изготовителя.
   Используя эту политику безопасности,
   можно указать пользователей или группы,
   которым будет доступна возможность
   чтения переменных аппаратной среды.
   Переменные аппаратной среды – это
   параметры, сохраняемые в энергонезависимой
   памяти компьютеров, архитектура которых
   отлична от x86.

На рабочих станциях
и контроллерах домена, по умолчанию
данные привилегии предоставляются
группам «Администраторы».

1. Изменение
   системного времени.
   Эта политика отвечает за изменение
   системного времени. Предоставив данное
   право пользователям или группам, тем
   самым кроме разрешения изменения даты
   и времени внутренних часов предоставляется
   возможность изменения соответствующего
   времени отслеживаемых событий в оснастке
   «Просмотр
   событий».

На рабочих станциях
и серверах данные привилегии предоставляются
группам «Администраторы»
и «Локальная
служба»,
а на контроллерах домена – «Администраторы»,
«Операторы
сервера»
и «Локальная
служба».

1. Изменение
   часового пояса.
   При помощи текущей политики безопасности,
   можно указать пользователей или группы,
   которым разрешено изменять часовой
   пояс своего компьютера для отображения
   местного времени, которое представляет
   собой сумму системного времени компьютера
   и смещения часового пояса.

На рабочих станциях
и контроллерах домена по умолчанию
данные привилегии предоставляются
группам «Администраторы»
и «Пользователи».

Параметры
безопасности

Узел «Параметры
безопасности» позволяет администратору
безопасности вручную настраивать уровни
безопасности, назначенные политике
локального компьютера. Чтобы изменить
любое из значений шаблона, необходимо
дважды щёлкнуть его. Появится диалоговое
окно, позволяющее модифицировать
значение.

Таким образом
контролировать включение или отключение
настроек безопасности, таких как цифровая
подпись данных, имена учётных записей
администратора и гостя, доступ к
дисководам гибких и компакт-дисков,
установка драйверов и приглашения на
вход в систему и все остальные доступные
параметры политики безопасности. Далее
будут рассмотрены подробнее, какие
параметры рекомендуется устанавливать
для повышения защиты компьютера от
различного рода атак по сети Интернет.

Первое – напоминать
пользователям об истечении срока
действия пароля – 14 дней (по умолчанию).

Рекомендуется
включать политику «Не отображать
последнего имени пользователя в диалоге
входа» (по умолчанию – отключен). Особенно
полезно в случае, когда рядовой
пользователь имеет пароль аналогичный
своему имени, и тогда без труда можно с
нескольких переборов пароля хакеру
проникнуть на этот компьютер.

Рекомендуется
включать политику «Запретить пользователям
установку драйвера принтера» (по
умолчанию – отключен). А также рекомендуется
включить политику «Очистка страничного
файла виртуальной памяти» (по умолчанию
– отключен). После этого система всегда
при выключении компьютера будет удалять
файл подкачки. Но здесь есть свой
недостаток – система будет долго
выключатся.

Следующая политика
безопасности относится к состоянию
окна CTRL+ALT+DEL при входе в систему. Эта
политика по умолчанию не установлена.
После перезагрузки при входе в систему
на экране будет отображаться окно
CTRL+ALT+DEL, которое по умолчанию не
отображается.

Кроме этого, в
целях безопасности полезно настраивать
следующие параметры:

• «Автоматически
  отключать сеансы пользователей по
  истечении разрешённого времени»
  (Включить);

• «Длительность
  простоя перед отключением сеанса»
  (примерно 10 мин);

• «Дополнительные
  ограничения для анонимных подключений»
  (установить в значение «Нет доступа,
  без явного разрешения анонимного
  доступа»);

• «Использовать
  цифровую подпись со стороны клиента
  (Всегда)» (Включить);

• «Использовать
  цифровую подпись со стороны клиента
  (по возможности)» (Включить);

• «Использовать
  цифровую подпись со стороны сервера
  (Всегда)» (Включить);

• «Использовать
  цифровую подпись со стороны сервера
  (по возможности)» (Включить);

• «Разрешить доступ
  к дисководам компакт-дисков только
  локальным пользователям» (Включить);

• «Разрешить доступ
  к НГМД только локальным пользователям»
  (Включить).

Брандмауэр
Windows в режиме повышенной безопасности

Брандмауэр Windows в
режиме повышенной безопасности – это
брандмауэр, регистрирующий состояние
сети, для рабочих станций. В отличие от
брандмауэров для маршрутизаторов,
которые развёртывают на шлюзе между
локальной сетью и Интернетом, брандмауэр
Windows создан для работы на отдельных
компьютерах. Он отслеживает только
трафик рабочей станции: трафик, приходящий
на IP-адрес данного компьютера, и исходящий
трафик самого компьютера. Брандмауэр
Windows в режиме повышенной безопасности
выполняет следующие основные операции.

Входящий пакет
проверяется и сравнивается со списком
разрешённого трафика. Если пакет
соответствует одному из значений списка,
брандмауэр Windows передает пакет протоколу
TCP/IP для дальнейшей обработки. Если пакет
не соответствует ни одному из значений
списка, брандмауэр Windows блокирует пакет,
и в том случае, если включено
протоколирование, создаёт запись в
файле журнала.

Список разрешённого
трафика формируется двумя путями:

• когда подключение,
  контролируемое брандмауэром Windows в
  режиме повышенной безопасности,
  отправляет пакет, брандмауэр создаёт
  значение в списке разрешающее прием
  ответного трафика. Для соответствующего
  входящего трафика потребуется
  дополнительное разрешение;

• когда создаётся
  разрешающее правило брандмауэра Windows
  в режиме повышенной безопасности.
  Трафик, для которого создано соответствующее
  правило, будет разрешён на компьютере
  с работающим брандмауэром Windows. Этот
  компьютер будет принимать явно
  разрешённый входящий трафик в режимах
  работы в качестве сервера, клиентского
  компьютера или узла одноранговой сети.

Первым шагом по
решению проблем, связанных с Брандмауэром
Windows, является проверка того, какой
профиль является активным. Брандмауэр
Windows в режиме повышенной безопасности
является приложением, отслеживающим
сетевое окружение. Профиль брандмауэра
Windows меняется при изменении сетевого
окружения. Профиль представляет собой
набор настроек и правил, который
применяется в зависимости от сетевого
окружения и действующих сетевых
подключений.

Основным нововведением
в брандмауэре Windows 7 является одновременная
работа нескольких сетевых профилей.

• «Общий» – публичные
  (общедоступные) сети, например, в кафе
  или аэропорт;

• «Частный» –
  домашние или рабочие сети;

• «Доменный» –
  доменная сеть в организации, определяемая
  автоматически.

В Windows Vista только
один профиль мог быть активен в любой
момент времени. Если было включено
несколько профилей, наиболее безопасный
из них становился активным. Например,
при одновременном подключении к публичной
и домашней сетям, активным становился
общедоступный профиль, обеспечивающий
более высокую безопасность. В Windows 7 все
три профиля могут быть активны
одновременно, обеспечивая соответствующий
уровень безопасности для каждой сети.

Политики
диспетчера списка сетей

Для того чтобы
воспользоваться функционалом локальных
политик безопасности, предназначенным
для изменения политик списка сетей,
необходимо открыть «Редактор управления
групповыми политиками», в дереве консоли
развернуть узел «Конфигурация
компьютераПолитикиКонфигурация
WindowsПараметры безопасностиПолитики
диспетчера списка сетей».

В области сведений
политик диспетчера списка сетей можно
настраивать:

• сети,
  которые не удается идентифицировать
  из-за ошибок сети или отсутствия
  идентифицируемых признаков, называемых
  «Неопознанные сети»;

• временное состояние
  сетей, находящихся в процессе
  идентификации, которые называются
  «Идентификация
  сетей»;

• все сети, к которым
  подключен пользователь, называемое
  «Все сети»;

• а также текущее
  сетевое подключение (рабочая группа
  или домен).

Принудительное
изменение названия сетей для пользователей,
находящихся в домене

Как в рабочих
группах, так и в доменах пользователи
могут самостоятельно изменять имя сети.
Для этого нужно выполнить следующие
действия:

1. Открыть окно
   «Центр
   управления сетями и общим доступом»;

2. В группе «Просмотр
   активных сетей»
   щёлкнуть на значке сети, имя которой
   необходимо изменить;

3. В диалоговом окне
   «Настройка
   свойств сети»,
   в текстовом поле «Сетевое
   имя»
   изменить имя сети.

Нужно сделать так,
чтобы пользователи домена не могли
изменить название сети в «Центре
управления сетями и общим доступом».
Для этого нужно выполнить следующие
действия:

1. Так как действие
   этой групповой политики должно
   распространяться на все компьютеры
   этого домена, в оснастке «Управление
   групповой политикой»,
   в дереве консоли, развернуть узел «Лес:
   имя доменаДоменыимя домена»
   и выбрать объект групповой политики
   «Default
   Domain Policy»;

2. Нажать правой
   кнопкой мыши на этом объекте групповой
   политики и из контекстного меню выбрать
   команду «Изменить»;

3. В открывшейся
   оснастке «Редактор
   управления групповыми политиками»
   в дереве консоли развернуть узел
   «Конфигурация
   компьютераПолитикиКонфигурация
   WindowsПараметры безопасностиПолитики
   диспетчера списка сетей»
   и открыть политику «Все
   сети».
   В
   открывшемся окне политики безопасности,
   в группе «Имя
   сети»
   установить переключатель на опцию
   «Пользователь
   не может изменить имя»
   и нажать на «ОК»;

4. Открыть политику,
   именем которой назначено имя домена.
   На вкладке «Имя
   сети»,
   в группе «Имя»
   установить переключатель на опцию
   «Имя»
   и указать название. В группе «Разрешёния
   пользователя»
   можно установить переключатель на
   опцию «Пользователь
   не может изменить имя»,
   но в этом нет крайней необходимости,
   так как подобная операция была выполнена
   на предыдущем шаге для всех сетей
   компьютеров организации.

5. Закрыть «Редактор
   управления групповыми политиками»
   и, при необходимости, обновить политики
   конфигурации компьютера, используя
   команду GPUpdate
   /Target:Computer /force /boot
   в командной строке.

Принудительное
изменение профиля брандмауэра Windows в
неопознанных сетях

В
последние годы всё больше пользователь
используют мобильные компьютеры.
Используя свои мобильные компьютеры,
пользователи могут подключаться к сети
Интернет даже находясь в кафе, аэропортах
или просто сидя на скамейке в парке.
Именно в таких случаях их компьютеры
находятся под более существенным риском
нападения злоумышленниками, нежели в
корпоративной среде или у себя дома.
Когда пользователь подключается к
беспроводной сети, операционная система
Windows автоматически определяет такую
сеть как общедоступную. Для того чтобы
настройки безопасности брандмауэра
Windows применялись к компьютеру в зависимости
от пользовательского места нахождения
были разработаны профили брандмауэра.
В том случае, если соединение проходит
проверку подлинности на контроллере
домена, то сеть классифицируется как
тип доменного
размещения сети. Если компьютер
используется дома или в офисе – обычно
применяется домашняя
сеть с частным
профилем брандмауэра. В местах общего
пользования принято использовать общий
профиль брандмауэра. Часто случается,
что пользователи, находясь в общедоступных
местах, пренебрегают этим средствам
безопасности и для общедоступного
профиля устанавливают частные профили
брандмауэра.

Используя политики
диспетчера списка сетей можно указать
пользователю, какой профиль нужно
использовать в случае неопознанных
сетей, которые идентифицируются как
«Общественная сеть». Для этого выполните
следующие действия:

1. Открыть оснастку
   «Редактор
   локальной групповой политикой».

2. В
   открывшемся окне, в дереве оснастки,
   перейти в узел «Конфигурация
   компьютераКонфигурация WindowsПараметры
   безопасностиПолитики диспетчера
   списка сетей»
   и открыть политику «Неопознанные
   сети».

3. В диалоговом окне
   «Свойства:
   Неопознанные сети»,
   в группе «Тип
   расположения»,
   установив переключатель на нужную
   опцию, выбрать профиль брандмауэра,
   который будет сопоставлен с неопознанными
   сетями. В данном случае, устанавливается
   профиль «Общий».
   В группе «Разрешения
   пользователя»
   можно установить переключатель на
   опцию «Пользователь
   не может изменить расположение»
   для того чтобы пользователь вручную
   не мог изменить сетевое расположение.

4. Закрыть «Редактор
   локальной
   групповой политикой»
   и, при необходимости, обновить политики
   конфигурации компьютера, используя
   команду GPUpdate
   /Target:Computer /force /boot
   в командной строке.

Политики
открытого ключа. Файловая система EFS

Дополнительные
функции шифрованной файловой системы
(Encrypting File System, EFS) обеспечили дополнительную
гибкость для корпоративных пользователей
при развертывании решений безопасности,
основанных на шифровании файлов с
данными.

Любой злоумышленник,
имеющий физический доступ к компьютеру,
может загрузить на нем другую ОС, обойти
защиту основной ОС и получить доступ к
конфиденциальным данным. Шифрование
конфиденциальных файлов средствами
EFS обеспечивает дополнительную защиту.
Данные зашифрованного файла останутся
недоступными, даже если атакующий
получит полный доступ к среде хранения
данных компьютера.

Только полномочные
пользователи и назначенные агенты
восстановления данных в состоянии
расшифровывать файлы. Пользователи с
другими учётными записями, обладающие
разрешениями для файла – даже разрешением
на передачу прав владения (Take Ownership), не
в состоянии открыть его. Администратору
доступ к содержимому файла также закрыт,
если только он не назначен агентом
восстановления данных. При попытке
несанкционированного доступа к
зашифрованному файлу система откажет
в доступе.

Процесс
шифрования в EFS

Две основные
криптографические системы. Наиболее
простая – шифрование с использованием
секретного (симметричного) ключа, т.е.
для шифровки и расшифровки данных
используется один и тот же ключ.
Преимущества: высокая скорость шифрования;
недостатки: проблема передачи секретного
ключа, а именно возможность его перехвата.
Представители: DES, 3DES, DESX, AES. Отличие
шифрования с открытым ключом (асимметричное
шифрование) заключается в том, что данные
шифруются одним ключом, а расшифровываются
другим, с помощью одного и того же ключа
нельзя осуществить обратное преобразование.
Эта технология шифрования предполагает,
что каждый пользователь имеет в своем
распоряжении пару ключей – открытый
ключ (public key) и личный или закрытый ключ
(private key). Таким образом, свободно
распространяя открытый ключ, один
пользователь предоставляет другим
пользователям возможность шифровать
свои сообщения, направленные этому
пользователю, которые сможет расшифровать
только он. Если открытый ключ и попадет
в «плохие руки», то он не даст возможности
определить секретный ключ и расшифровать
данные. Отсюда и основное преимущество
систем с открытым ключом: не нужно
передавать секретный ключ, однако есть
и недостаток – низкая скорость шифрования.
Представители: RSA, алгоритм Эль-Гамаля,
алгоритм Диффи-Хелмана.

В EFS для шифрования
используются все преимущества
вышеперечисленных систем. Данные
шифруются с помощью симметричного
алгоритма с применением ключа шифрования
файла (File Encryption Key, FEK). FEK – сгенерированный
EFS случайным образом ключ. На следующем
этапе FEK шифруется с помощью открытого
ключа пользователя и сохраняется в
пределах атрибута, называемого полем
расшифровки данных (Data Decryption Field, DDF)
непосредственно внутри самого файла.
Кроме того, EFS шифрует FEK, используя
открытый ключ агента восстановления,
и помещает его в атрибут Data Recovery Field –
DRF. DRF может содержать данные для множества
агентов восстановления.

Агент восстановления
данных (Data Recovery Agent, DRA) – пользователь,
который имеет доступ ко всем зашифрованным
данным других пользователей. Это
актуально в случае утраты пользователями
ключей или других непредвиденных
ситуациях. Агентом восстановления
данных назначается обычно администратор.
Для создания агента восстановления
нужно сначала создать сертификат
восстановления данных и определить
политику восстановления, а затем
назначить одного из пользователей таким
агентом. Политика восстановления играет
важную роль в системе шифрования, она
определяет агентов восстановления, а
их отсутствие или удаление политики
вообще запрещает использование
пользователями шифрования.

EFS
и NTFS

Шифрованная
файловая система (EFS) защищает
конфиденциальные данные в файлах на
томах NTFS. EFS – основная технология
шифрования и расшифровки файлов на
томах NTFS. Открывать файл и работать с
ним может только пользователь, его
зашифровавший. Это чрезвычайно важно
для пользователей переносных компьютеров:
даже если взломщик получит доступ к
потерянному или украденному компьютеру,
он не сможет открыть зашифрованные
файлы. В Windows XP шифрованная файловая
система также поддерживает автономные
файлы и папки (Offline Files and Folders).

Зашифрованный
файл останется недоступным для просмотра
в исходном виде, даже если атакующий
обойдет системную защиту, например,
загрузив другую ОС. EFS обеспечивает
устойчивое шифрование по стандартным
алгоритмам и тесно интегрирована с
NTFS. EFS в Windows XP предоставляет новые
возможности совместного использования
зашифрованных файлов или отключения
агентов восстановления данных, а также
облегчает управление посредством
групповой политики и служебных программ
командной строки.

Как
работает EFS

EFS позволяет
сохранить конфиденциальность информации
на компьютере в условиях, когда люди,
имеющие физический доступ к компьютеру,
могут преднамеренно или неумышленно
скомпрометировать её. EFS чрезвычайно
удобна для обеспечения конфиденциальности
данных на мобильных компьютерах или на
компьютерах, на которых работают
несколько пользователей, т. е. таких
системах, которые могут подвергаться
атакам, предусматривающим обход
ограничений списков ACL.

В совместно
используемой системе атакующий обычно
получает несанкционированный доступ,
загружая другую ОС. Злоумышленник также
может захватить компьютер, вынуть
жесткий диск, поместить его на другой
компьютер и получить доступ к файлам.
Однако если у него нет ключа расшифровки,
зашифрованный средствами EFS файл будет
выглядеть как бессмысленный набор
символов.

Поскольку EFS тесно
интегрирована с NTFS, шифрование и
расшифровка выполняются незаметно
(«прозрачно») для пользователя. При
открытии файла EFS автоматически
расшифровывает его по мере чтения данных
с диска, а при записи – шифрует данные
при записи на диск.

В стандартной
конфигурации EFS позволяет зашифровать
файл прямо из Проводника Windows без
какого-либо вмешательства администратора.
С точки зрения пользователя шифрование
файла или папки – это просто назначение
ему определённого атрибута.

Конфигурирование
EFS

По умолчанию
система поддерживает работу EFS. Разрешается
шифровать файлы, для которых имеется
разрешение на изменение. Поскольку в
EFS для шифрования файлов применяется
открытый ключ, нужно создать пару ключей
открытый/закрытый и сертификат с открытым
ключом шифрования. В EFS разрешены
сертификаты, подписанные самим владельцем,
поэтому вмешательство администратора
для нормальной работы не требуется.

Если применение
EFS не соответствует требованиям
организации или если есть файлы, которые
нельзя шифровать, существует много
способов отключить EFS или нужным образом
конфигурировать её.

Для
работы с EFS всем пользователям требуются
сертификаты EFS. Если в организации нет
инфраструктуры открытого ключа (Public
Key Infrastructure, PKI), применяются подписанные
самим владельцем сертификаты, которые
автоматически создаются ОС. При наличии
центров сертификации сертификаты EFS
обычно выпускают именно они. Если
используется EFS, необходимо предусмотреть
план восстановления данных при сбое
системы.

Что
разрешается шифровать?

На томах NTFS атрибут
шифрования разрешается назначать
отдельным файлам и папкам с файлами
(или подпапками). Хотя папку с атрибутом
шифрования и называют «зашифрованной»,
сама по себе она не шифруется, и для
установки атрибута пары ключей не
требуется. При установленном атрибуте
шифрования папки EFS автоматически
шифрует:

• все новые файлы,
  создаваемые в папке;

• все незашифрованные
  файлы, скопированные или перемещённые
  в папку;

• все вложенные
  файлы и подпапки (по особому требованию);

• автономные файлы.

Политики
ограниченного использования программ

Политики ограниченного
использования программ предоставляют
механизм идентификации программ и
управления возможностями их выполнения.
Существует два варианта установки
правил ограничения:

• на всё программное
  обеспечение устанавливается ограничение
  на запуск и создаются исключения, то
  есть список программ, разрешенных к
  выполнению;

• разрешается запуск
  любых программ и создаётся список
  исключений, запрещающий запуск некоторых
  программ, доступ к программам определяется
  правами пользователя.

Для того чтобы
выбрать один из вариантов как вариант
по умолчанию, необходимо открыть пункт
«Уровни безопасности» и выбрать нужный
уровень. По умолчанию установлен уровень
безопасности «Неограниченный», то есть
запуск любых программ разрешен и
необходимо создать исключения для
запрета запуска определённых программ.

Политики ограниченного
использования программ распространяются
только на исполняемые файлы, чтобы
посмотреть список таких файлов, перейдите
в пункт «Назначенные типы файлов». В
этот список можно добавить новый тип
файлов, соответственно на такие файлы
будут распространяться все установленные
правила, или удалить какой-то тип,
исключив такие файлы из правил политик.

По умолчанию
политики распространяются на всех
пользователей компьютера. Но при создании
некорректных правил (например, политик
ограничивающих запуск системных файлов),
система может работать неправильно,
при этом существует риск невозможности
возвращения системы в исходное состояние.
Поэтому желательно распространять
действие политик только на пользователей,
исключив из области действия политик
локальных администраторов. Для этого
перейдите в пункт «Принудительный» и
выполните соответствующие настройки.

Кроме того в пункте
«Принудительный» существует возможность
выбора, будут ли политики распространяться
на файлы библиотек *.dll. Если политики
будут распространяться и на файлы *.dll,
то при установке уровня безопасности
по умолчанию запрещающего выполнение
программ, придется создавать дополнительные
разрешения для каждой библиотеки которую
использует программа, иначе программа
будет работать некорректно.

С помощью политик
ограниченного использования программ
имеется возможность защищать компьютерное
оборудование от программ неизвестного
происхождения посредством определения
программ, разрешенных для запуска. В
данной политике приложения могут быть
определены с помощью правила для хеша,
правила для сертификата, правила для
пути и правила для зоны Интернета.
Программное обеспечение может выполняться
на двух уровнях: неограниченном и
запрещённом.

Политики ограниченного
использования программ регулируют
использование неизвестных программ и
программ, к которым нет доверия. В
организациях используется набор хорошо
известных и проверенных приложений.
Администраторы и служба поддержки
обучены для поддержки этих программ.
Однако, при запуске пользователем других
программ, они могут конфликтовать с
установленным программным обеспечением,
изменять важные данные настройки или,
содержать вирусы или «троянские»
программы для несанкционированного
удалённого доступа.

При интенсивном
использовании сетей, Интернета и
электронной почты в бизнесе пользователи
повсеместно сталкиваются с различными
программами. Пользователям постоянно
приходится принимать решения о запуске
неизвестных программ, поскольку документы
и веб-страницы содержат программный
код – сценарии. Вирусы и «троянские»
программы зачастую умышленно замаскированы
для введения пользователей в заблуждение
при запуске. При таком большом количестве
и разнообразии программ отдельным
пользователям трудно определить, какое
программное обеспечение следует
запускать.

Пользователем
необходим эффективный механизм
идентификации и разделения программ
на безопасные и не заслуживающие доверия.
После идентификации программы к ним
может быть применена политика для
определения, могут ли они быть запущены.
Политики ограниченного использования
программ предоставляют различные
способы идентификации программного
обеспечения и средства определения,
следует ли запускать данное приложение.

При применении
политик ограниченного использования
программ идентификация программного
обеспечения производится посредством
следующих правил:

• Правило
  для
  сертификата;

Политики ограниченного
использования программ могут
идентифицировать файл по его сертификату
подписи. Правила для сертификатов не
применяются к файлам с расширением .exe
или .dll. Они используются для сценариев
и пакетов установщика Windows. Имеется
возможность создать правило для
сертификата, идентифицирующее приложение
и затем, в зависимости от уровня
безопасности, позволяющее или не
позволяющее его запустить. Например,
администратор может использовать
правила для сертификатов, чтобы
автоматически доверять программам из
проверенного источника в домене без
запроса пользователя. Кроме того, правила
для сертификатов могут использоваться
в запрещённых областях операционной
системы.

• Правило для пути;

Правило для пути
идентифицирует программы по пути к
файлу. Например, если имеется компьютер
с политикой запрета по умолчанию, имеется
возможность, предоставить неограниченный
доступ к указанной папке для каждого
пользователя. Для данного типа правил
могут быть использованы некоторые общие
пути: %userprofile%, %windir%, %appdata%, %programfiles%
и %temp%.

Поскольку данные
правила определяются с использованием
пути, при перемещении программы правило
для пути применяться не будет.

• Правило для хеша;

Хеш представляет
собой серию байтов фиксированной длины,
однозначно идентифицирующую программу
или файл. Хеш рассчитывается с помощью
алгоритма хеширования. Политики
ограниченного использования программ
могут идентифицировать файлы по их хешу
с помощью алгоритмов хеширования SHA-1
(Secure Hash Algorithm) и MD5 hash algorithm.

Например, имеется
возможность создать правило для хеша
и задать уровень безопасности «Не
разрешено», чтобы запретить запуск
определённого файла. Хеш переименованного
или перемещённого в другую папку файла
не изменяется. Однако при любом изменении
файла значение хеша изменяется, позволяя
обойти ограничения.

Политики ограниченного
использования программ распознают
только хеши, рассчитанные с помощью
политик ограниченного использования
программ.

• Правило для зоны
  Интернета;

Правила для зоны
влияют только на пакеты установщика
Windows.

Правило для зоны
идентифицирует программное обеспечение
из зоны, указанной посредством Internet
Explorer. Такими зонами являются Интернет,
локальный компьютер, местная интрасеть,
ограниченные узлы и надёжные сайты.

В политиках
ограниченного использования программ
используются следующие уровни
безопасности:

• «Неограниченный».
  Приложения запускается со всеми правами
  пользователя, вошедшего в систему.

• «Не разрешено».
  Приложения не могут быть запущены.

Политики
управления приложениями

AppLocker – управление
правами на запуск приложений.

Одна из причин, по
которой безопасность корпоративной
сети организации может оказаться под
угрозой, – несанкционированная установка
и запуск приложений пользователями.
Сотрудники могут запускать сомнительные
приложения, утилиты, которые расходуют
корпоративный трафик (например,
Bittorent-клиенты), программы, которые вносят
изменения в различные компоненты
системы, что, в конечном итоге, приводит
к ухудшению её производительности.
Наконец, не исключена возможность
запуска приложений, содержащих вредоносный
код, что может стать причиной заражения
компьютера вирусами.

В предыдущих
версиях Windows была возможность решения
этой задачи при помощи политик
ограниченного использования программ
(Software Restriction Policies), однако этот инструмент
был неудобен и несовершенен. В Windows 7
функция политик ограниченного
использования программ заменена
средством AppLocker, которое представляет
собой изменённую и доработанную версию
Software Restriction Policies.

AppLocker значительно
упрощает контроль за действиями
пользователей, которые касаются установки
приложений, а также запуска файлов EXE,
использования библиотек DLL, файлов
инсталляторов MSI и MSP, а также сценариев.
Основные отличия AppLocker от политик
ограниченного использования программ:

• применение правила
  к определённому пользователю или к
  группе, а не только ко всем пользователям;

• мастер автоматического
  создания правил;

• импорт и экспорт
  созданных правил;

• режим «Только
  аудит», в котором ведется аудит
  приложений, которые обрабатываются
  правилами, однако на самом деле правила
  не применяются;

• условие «Издатель»,
  которое является расширенной версией
  условия «Сертификаты», существовавшего
  ранее;

• поддержка новой
  командной строки Windows Power Shell;

• коллекции правил
  для разных типов файлов, которые не
  зависят друг от друга.

Для доступа к
настройкам AppLocker необходимо перейти в
раздел «Администрирование» (Administrative
Tools) панели управления выбрать пункт
«Локальная политика безопасности»
(Local Security Policy), после чего раскрыть список
«Политики управления приложениями»
(Application Control Policies).

Рисунок 4 – Узел
«Политики управления приложениями»

Одна из особенностей
AppLocker состоит в том, что по умолчанию
все правила, настроенные при помощи
этого средства, применяются. Именно
поэтому необходимо очень осторожно
настраивать их, так как можно по
неопытности заблокировать работу
Windows. Во-первых, рекомендуется перед
созданием правил перейти в окно их
настройки, щёлкнув по ссылке «Настроить
применение правил» (Configure Rule Enforcement), и
для каждого типа правил (исполняемые
файлы, установщик Windows и сценарии)
выбрать вариант применения «Только
аудит» (Audit Only). В этом случае правила с
любыми настройками не смогут блокировать
работу приложений или системы в целом,
однако при помощи журнала событий
администратор сможет просмотреть, как
они применяются по отношению к файлам
или приложениям. Если окажется, что
правила блокируют приложения, к которым
доступ должен быть разрешён, или,
наоборот, не действуют на программы, к
которым нужно ограничить доступ, правила
можно будет отредактировать.

Второе решение,
которое может помочь администраторам
разобраться с новыми возможностями
управления доступом, – создание и
отладка правил на тестовом компьютере.
AppLocker поддерживает импорт и экспорт
правил, благодаря чему можно создать
набор политик ограничений в безопасной
среде, тщательно протестировать их
работоспособность, после чего импортировать
уже в рабочую среду.

Для применения
правил, созданных при помощи AppLocker,
необходимо, чтобы на компьютерах была
запущена служба «Удостоверение
приложения» (Application Identity). По умолчанию
она отключена. Для её запуска откройте
раздел «Администрирование» панели
управления и выберите пункт «Службы»,
после чего найдите службу в списке,
щёлкните по её названию правой кнопкой
мыши и выберите команду «Запустить». В
свойствах службы можно настроить её
автоматический запуск.

Рисунок 5 – Окно
свойств AppLocker,
вкладка «Примечание»

Рисунок 6 – Запуск
службы «Удостоверение приложения»

По умолчанию в
AppLocker используется три типа (коллекции)
правил, которые настраиваются и
используются независимо друг от друга:
исполняемые файлы (EXE и COM), установщик
Windows (MSI и MSP) и сценарии (PS1, BAT, CMD, VBS и JS),
однако при необходимости можно также
включить правила для файлов библиотек
DLL (сюда входят и файлы с расширением
OCX). Для этого нужно установить флажок
«Включить коллекцию правил DLL» (Enable the
DLL rule collection) на вкладке «Дополнительно»
(Advanced) окна «Свойства AppLocker» (AppLocker
Properties).

Рисунок 7 – Окно
свойств AppLocker,
вкладка «Дополнительно»

Стоит, однако,
иметь в виду, что использование таких
правил может существенно повлиять на
производительность системы. Это связано
с тем, что каждое приложение, как правило,
использует для работы несколько файлов
библиотек, поэтому на их проверку и
соответствие правилам уходит гораздо
больше времени, чем на проверку только
приложений. Кроме этого, некоторые
приложения загружают дополнительные
файлы библиотек в процессе работы,
поэтому проверка, которую Windows будет
при этом выполнять, может замедлить
работу пользователя с программой. При
включении правил DLL их необходимо
создавать для каждой библиотеки, которая
используется всеми разрешёнными
программами.

Необходимо отметить,
что использование большого числа правил
любого типа (это касается не только
правил DLL) в любом случае будет снижать
производительность системы, поскольку
при попытке запуска каждого приложения
Windows потребуется обрабатывать все
правила, чтобы разрешить или запретить
пользователю работу с программой.

Именно поэтому,
создавая правила, имеет смысл строить
их таким образом, чтобы общее их число
было как можно меньшим. Все правила
AppLocker работают по принципу разрешения
(«белый список»), запрета («черный
список») и исключения. Иными словами,
перед созданием правила стоит решить,
что удобнее: 1) сделать правило, разрешающее
определённое действие (при этом запуск
всех приложений, которых нет в составленном
администратором списке, будет запрещён),
и сделать исключения для некоторых
групп пользователей или приложений;
или же 2) создать правило, разрешающее
запускать все приложения, кроме указанных
в списке, и также указать исключения.

Несмотря на то,
что при помощи AppLocker можно создавать
как разрешающие, так и запрещающие
правила, в большинстве случаев
рекомендуется использовать первый
вариант. Это связано с тем, что для
обеспечения безопасности любой
организации гораздо логичнее составить
фиксированный список разрешённых
приложений, который можно по мере
необходимости обновлять, нежели
попытаться перечислить в правиле те
программы, которые запрещено запускать.
Любой новый вирус, который администратор
не успел добавить в запрещающее правило,
имеет все шансы проникнуть в корпоративную
сеть. Также причиной, по которой
рекомендуется использовать разрешающие
правила, является то, что запрещающие
действия во всех случаях переопределяют
разрешающие.

Для создания нового
правила раскройте список AppLocker в окне
«Локальная политика безопасности»,
необходимо щёлкнуть правой кнопкой
мыши по нужному типу правила и выбрать
команду «Создать новое правило». Будет
запущен мастер, на первом этапе работы
которого нужно будет определиться с
тем, будет ли это правило разрешать или
запрещать определённые действия, а
также, на какие категории пользователей
оно будет распространяться.

Затем нужно будет
выбрать тип основного условия: «Издатель»
(Publisher), «Путь» (Path) и «Хэшируемый файл»
(File Hash). Несмотря на то, что типы условий
похожи на те, которые использовались в
политиках ограниченного использования
программ в предыдущих версиях Windows,
работа с ними организована по-другому.

Наиболее интересным
является условие «Издатель», прототипом
которого в политиках ограниченного
использования программ было условие
«Сертификаты» (Certificate). Это условие дает
возможность разрешить запуск приложений,
для которых имеется цифровая подпись
издателя. При создании правил с таким
условием учитывается не только название
производителя, как это было в Windows XP, но
и другая информация, такая как название
продукта, имя файла, номер версии.

При этом условие
может распространяться в точности на
указанный номер версии приложения или
на все версии, номер которых выше или
ниже заданного. Благодаря этому, можно
гибко настроить правило, которое будет
разрешать установку новых версий
приложений, но при этом запрещать
установку старых релизов, которые могут
быть несовершенны с точки зрения
безопасности. Для использования условия
«Издатель» нужно указать путь к файлу
приложения, который содержит цифровую
подпись. Установив флажок «Пользовательские
значения», можно вручную отредактировать
значения всех полей. Стоит иметь в виду,
что если приложение не имеет цифровой
подписи, то использовать условие
«Издатель» в его отношении невозможно.

Условие «Путь»
позволяет определить приложения, которые
разрешено запускать и устанавливать
пользователю, на основе их расположения
в файловой системе локального компьютера,
в сети или на сменных носителях. Создавая
такое условие, можно использовать
подстановочные знаки и переменные
окружения. Например, чтобы указать путь
на CD/DVD-диске, нужно использовать
переменную %REMOVABLE%, а для указания пути
на USB-накопителе – %HOT%.

Условие «Путь»
необходимо использовать очень осторожно,
так как при недостаточной продуманности
оно может стать причиной того, что
пользователи смогут с его помощью
обходить некоторые запреты. Например,
если создать разрешающее условие такого
типа и включить в него расположение
папки, в которую пользователь может
выполнять запись, то пользователь сможет
скопировать в такую папку запрещённый
для запуска файл из другого расположения
и запустить его.

Условие «Хэшируемый
файл» в большинстве случаев является
наименее эффективным, так как определение
легитимности файла построено на
вычислении его контрольной суммы.
Нетрудно догадаться, что если выходит
обновление приложения, то его контрольная
сумма изменяется, и условие перестает
работать. С другой стороны, такой способ
позволяет защититься от возможности
запуска известной программы, в которую
был внедрен вредоносный код. Поскольку
при этом контрольная сумма изменяется,
модифицированное приложение запустить
будет невозможно.

Как видно, каждое
из условий несовершенно и имеет свои
недостатки. Именно поэтому на следующем
этапе работы мастера предлагается
настроить исключения. Исключения можно
использовать, если в качестве основного
выбраны условия «Издатель» и «Путь».

Наконец, на последнем
этапе работы мастера нужно дать правилу
название, а также снабдить его описанием.
Несмотря на то, что последнее необязательно,
не стоит пренебрегать этой возможностью,
так как описание может помочь в будущем
вспомнить, за что отвечает то или иное
правило.

Чтобы лучше понять,
как работают правила, можно начать с
создания правил по умолчанию. Они
доступны для каждого из типов правил.
Например, правила для исполняемых файлов
включают такие: разрешение на запуск
любых приложений членам группы
«Администраторы», разрешение на запуск
приложений, находящихся в директории
Program Files и в папке Windows, для членов группы
«Все». Для создания набора правил по
умолчанию нужно раскрыть список AppLocker
в окне «Локальная политика безопасности»,
щёлкнуть правой кнопкой мыши по нужному
типу правила и выбрать команду «Создать
правила по умолчанию».

Рисунок 8 –
Создание правила по умолчанию

Правила по умолчанию
можно редактировать. Для этого нужно
щёлкнуть по названию правила в списке
и выбрать строку «Свойства». Редактировать
можно все свойства правил, например,
добавлять исключения, изменять пути,
группы пользователей, на которые они
распространяются, и т.д.

Рисунок 9 –
Редактирование свойств

В AppLocker встроен
автоматический механизм, упрощающий
создание правил. Выберите команду
«Создать правила автоматически» для
определённого типа правил, укажите
группы пользователей, к которым будут
применяться создаваемые правила, а
также папку, в которую установлены
приложения.

При автоматическом
создании правил мастер пытается
максимально уменьшить их число. В таком
режиме создаются только разрешающие
правила. Если среди проанализированных
приложений имеются такие, которые
созданы одним разработчиком и у которых
совпадает название продукта (согласно
цифровой подписи), для них создаётся
одно правило с условием «Издатель». Что
касается условия «Хеш», то создаётся
одно условие, которое содержит контрольные
суммы всех файлов.

После завершения
работы мастера автоматического создания
правил AppLocker выдает отчет, в котором
выводит общее количество файлов и число
правил, которые будут созданы. Перед
созданием правил есть возможность
просмотреть как проанализированные
файлы, так и составленные правила.

Используя AppLocker,
нужно иметь в виду, что правила, созданные
с его помощью, могут быть применены
только на компьютерах, работающих под
управлением Windows 7 Максимальная, Windows 7
Корпоративная и Windows Server 2008 R2.

Политики
безопасности IP на «Локальный компьютер

После стандартной
инсталляции в операционной системе
предлагаются три варианта настройки
для организации защищенного IP-канала
– политики безопасности IPSec в рамках
одного домена:

• «Сервер» – для
  всего трафика IP всегда запрашивает
  безопасность с помощью доверия Kerberos.
  Разрешает небезопасную связь с клиентами,
  которые не отвечают на запрос;

• «Безопасность
  сервера» – для всего IP-трафика всегда
  запрашивает безопасность с помощью
  доверия Kerberos. Не разрешает небезопасную
  связь с недоверенными клиентами;

• «Клиент» – обычная
  связь (небезопасная). Использует правило
  ответа по умолчанию для согласования
  с серверами, запрашивающими безопасность.
  Только запрошенный протокол и трафик
  с этим сервером будут безопасными.

После установки
операционной системы ни одна из политик
не назначена. Пользователь может
активизировать (назначить) одну и только
одну из существующих политик.

Ниже, в качестве
справочной информации, приводятся
настройки, которые используются Microsoft
для трех стандартных вариантов политики
безопасности IPSec.

При изучении
вопросов, связанных с установлением
защищенного соединения IPSес индивидуальные
рекомендации необходимы для случая,
если компьютер, который необходимо
задействовать в схеме защищенного
соединения, имеет несколько IP-адресов.
Кроме того, для случая работы в домене
локальная политика безопасности
компьютера может перекрываться политикой
безопасности, определяемой контроллером
домена.

Таблица
1 – Настройки стандартных политик
безопасности IP в ОС Windows 7

Политика безопасности IP Правило безопасности IP	Клиент (только ответ)	Безопасность сервера (требовать безопасность)	Сервер (запрос безопасности)
Динамический	Динамический	Весь ICMP-трафик	Весь IP-трафик	Динамический	Весь ICMP-трафик	Весь IP-трафик
Методы проверки подлинности	Kerberos V5	Kerberos V5	Kerberos V5	Kerberos V5	Kerberos V5	Kerberos V5	Kerberos V5
Тип подключения	Все сетевые подключения	Все сетевые подключения	Все сетевые подключения	Все сетевые подключения	Все сетевые подключения	Все сетевые подключения	Все сетевые подключения
Методы безопасности (Действия фильтра/Методы безопасности)	Использование протокола ESP(3DESилиDES) и (SHA1 илиMD5)   Использование протоколаAH(SHA1 илиMD5)	Использование протокола ESP (3DES или DES) и (SHA1 или MD5)   Использование протокола AH (SHA1 или MD5)	Разрешить (Блокирование согласования безопасности IP — поток данных защищать не требуется)	Согласовывать — использование протокола ESP (3DES или DES) и (SHA1 или MD5), Принимать небезопасную связь, но отвечать с помощью IPSec	Использование протокола ESP (3DES или DES) и (SHA1 или MD5)   Использование протокола AH (SHA1 или MD5)	Разрешить (Блокирование согласования безопасности IP — поток данных защищать не требуется)	Разрешать связь с компьютером, не поддерживающим IPSec Согласование — использование протоколаESP(3DESилиDES) и (SHA1 илиMD5), принимать небезопасную связь, но отвечать с помощьюIPSec
Список фильтров	–	–	ICMP (Мой IP <-> Любой IP)	Любой протокол (Мой IP <-> Любой IP)	–	ICMP (Мой IP <-> Любой IP)	Любой протокол (Мой IP <-> Любой IP)

Назначение
и отключение IPSec-соединения с использованием
стандартных настроек Windows

Для организации
аутентифицированного и закрытого обмена
данными между двумя компьютерами по
протоколу IPSec необходимо активизировать
на одной стороне политику «Безопасность
сервера», на другой – «Клиент» в разделе
«Политики безопасности IP на Локальный
компьютер». Это можно сделать, выбрав
пункт локального меню (вызываемого по
правой кнопке «мыши») «Назначить»,
предварительно выбрав строку с нужной
политикой.

Стандартные
политики предназначены для использования
в рамках одного домена. В противном
случае защищённое соединение не будет
установлено.

Связывающиеся
стороны должны быть уверены, что настройки
используемых политик остались неизменными
с момента установки операционной
системы. Вместе с тем теоретически
существует ненулевая вероятность, что
после выполнения согласования
поддерживаемых криптографических
алгоритмов и ключевых данных, соединение
будет организовано только с использованием
протокола аутентификации, которое
предполагает активизацию механизмов
только авторства и целостности
передаваемых пакетов, в то время как
само содержимое пакетов будет передаваться
по сети в открытом виде. Это создаёт
предпосылки к тому, что все данные,
которыми обмениваются компьютеры,
организовавшие «защищенный» канал,
будут перехвачены.

Чтобы
удалить назначение политики IPSec, нужно
щёлкнуть на активной политике правой
кнопкой «мыши» и выбрать команду «Снять».
Кроме того, можно отключить на компьютере
службу «Агент политики IPSEC». Это позволит
обеспечить гарантированное отключение
использования политики безопасности
IPSec, которая может управляться на уровне
контроллера домена.

Редактирование
общих настроек политики безопасности
IP

Необходимо выберать
закладку «Общие» в окне «Свойства».

Рисунок 10 – Окно
свойств политики безопасности IP
двух узлов

В поле «Проверять
политику на наличие изменений каждые:
« должно быть записано значение 180 мин.,
щёлкнуть кнопку «Дополнительно…». При
этом открывается окно «Параметры обмена
ключами».

Установитьпараметры,
как показано на рисунке 11, и щёлкнуть
«Методы».

Рисунок 11 – Окно
параметров обмена ключами

При этом откроется
окно «Методы безопасности при обмене
ключами», в котором нужно удалить все
строки, кроме одной с параметрами:

• «Тип
  (Type)»
  – IKE;

• «Шифрование
  (Encryption)»
  – 3DES;

• «Целостность
  (Integrity)» – SHA1;

• «Группа Диффи-Хелмана
  (Diffie-Hellman …)» – Средняя (2).

Рисунок 12 – Окно
методов безопасности при обмене ключами

Настройки
новой политики безопасности IP

Для настройки
новой политики ниже будет подробно
описана последовательность действий,
определяемая следующими шагами:

1. Создание новой
   политики безопасности IP.

2. Определение нового
   правила:

• списка IP-фильтров
  (назначение используемых сетевых
  протоколов и адресов взаимодействующих
  хостов);

• действия фильтра
  (выбор используемых криптографических
  алгоритмов);

• методов проверки
  подлинности (назначение способа
  установления доверительных отношений
  между компьютерами);

• типа подключения
  (удалённый доступ, локальная сеть);

• параметров туннеля
  (использовать или нет туннельный вариант
  протокола IPSec).

Групповые политики — это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.

Изменять групповые политики можно с помощью Редактора локальной групповой политики.

В редакциях операционной системы Windows 7 Starter, Home Basic и Home Premium редактор локальной групповой политики недоступен. Также он недоступен в редакциях Home Windows 8 и 10.

Групповые политики в Windows 10 позволяют управлять различными штатными средствами системы:

1. Политики для настройки встроенного брандмауэра Windows;
2. Политики для управления электропитанием;
3. Политики для настройки панели управления, панели задач и др.
4. Политики для настройки антивирусной защиты;
5. Политики для управления подключаемых устройств;
6. Политики для настройки штатных средств шифрования
7. Политики для настройки штатного браузера;
8. Политики для настройки беспроводных сетей и многое многое другое.

Для настройки параметров в операционной системе MS Windows 10 используется оснастка Редактор локальной групповой политики. Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.

Оснастку Редактор объектов групповой политики можно запустить, например, введя в окне Выполнить, либо в поисковой строке gpedit.msc.

Рис.1 Окно Выполнить

Оснастка Локальная политика безопасности входит в состав оснастки Редактор

Для удобства можно добавить ярлык оснастки на рабочий стол. Для этого необходимо открыть C:WindowsSystem32 , выбрать правой клавишей мыши gpedit и отправить ярлык на рабочий стол.

Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики

Чтобы работать с объектами локальной групповой политики, необходимо войти в систему с учетной записью администратора.

Содержание

Структура редактора групповой политики

Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.

В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.

Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.

Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.

Рис.3 Редактор локальной групповой политики

Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.

Рис.4 Настройка частоты обновления политик

Рис.5 Настройка частоты обновления политик

Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:

• осуществить перезагрузку операционной системы
• использовать утилиту gpupdate.exe для принудительного обновления групповой политики. Для этого необходимо либо в окне Выполнить, либо в командной строке ввести gpupdate /force и нажать ОК.

Рис.6 Обновление политик в командной строке

С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.

Например, для выполнения обновления политик для пользователя, необходимо ввести gpupdate /target:user .

Рис.7 Обновление политик для пользователя в командной строке

Пример последовательности действий при редактировании определенной политики

Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:

• Войти в систему под учетной записью администратора.
• Запустить Редактор локальной групповой политики
  • Открыть окно Выполнить,
  • Ввести gpedit.msc,
  • Нажать Enter.
• Последовательно развернуть элементы Конфигурация пользователя >Административные шаблоны >Панель управления в окне Редактора локальной групповой политики.

Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления

• Дважды щелкнуть ЛКМ по параметру политики Отображать только указанные объекты панели управления.
• Выбрать значение Включено.

Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления

• Нажать кнопку Показать, чтобы вызвать диалоговое окно Вывод содержания.
• Ввести имя апплета или апплетов, которые необходимо показывать в Панели управления, и нажать Enter.

Рис.10 Список разрешенных элементов панели управления

• Нажать OK.
• Закрыть редактор локальной групповой политики
• Проверить результат

Для некоторых политик, чтобы изменения вступили в силу сразу, необходимо в окне Выполнить ввести gpupdate /force .

Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики

Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики

Изменения, которые вносятся через редактор локальной групповой политики, будут применены для всех учетных записей, зарегистрированных в системе, включая учетную запись администратора, который инициировал изменения.

Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:

• стандартная локальная групповая политика, позволяющая изменять системные и пользовательские настройки, которые будут применены для всех пользователей операционной системы;
• групповая политика для администраторов и не администраторов. Эта групповая политика содержит только конфигурационные параметры пользователя и применяется в зависимости от того, является ли используемая учетная запись пользователя членом локальной группы Администраторы или нет;
• групповая политика для конкретного пользователя. Эта групповая политика содержит только конфигурационные параметры конкретного пользователя

Последовательность действий при добавлении объектов групповой политики через консоль управления (Microsoft Management Console, MMC)

Добавление объекта групповой политики первого уровня

• В окне Выполнить ввести MMC и нажать Enter
• Открыть меню Файл и выбрать опцию Добавить или удалить оснастку

Рис.13 Добавление оснастки через консоль управления

• Найти и выделить Редактор объектов групповой политики и нажать кнопку Добавить

Рис.14 Диалоговое окно Добавление и удаление оснасток

• В открывшемся мастере групповой политики в поле Объект групповой политики оставить по умолчанию Локальный компьютер (первый уровень, стандартная локальная политика) и нажать кнопку Готово.

Рис.15 Диалоговое окно выбора объекта групповой политики

Добавление объекта групповой политики второго уровня

• В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
• В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
• На вкладке Пользователи выбрать Администраторы и нажать кнопку ОК и Готово

Рис.16 Настройка объекта групповой политики второго уровня

Добавление объекта групповой политики третьего уровня

• В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
• В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
• На вкладке Пользователи выбрать нужную учетную запись.
• Нажать ОК, чтобы закрыть диалоговое окно Добавление и удаление оснасток.

Рис.17 Консоль управления

• Для удобства, используя команды в главном меню Файл >Сохранить как, сохранить файл консоли управления на рабочем столе для последующего редактирования политик.

Теперь, используя данную консоль, можно настраивать политики для определенных пользователей.

Локальная политика безопасности в Windows 10

В операционных системах семейства Windows присутствует множество оснасток и политик, представляющих собой набор параметров для настройки различных функциональных составляющих ОС. Среди них находится оснастка под названием «Локальная политика безопасности» и отвечает она за редактирование защитных механизмов Виндовс. В рамках сегодняшней статьи мы обсудим компоненты упомянутого инструмента и расскажем о их влиянии на взаимодействие с системой.

Настройка «Локальной политики безопасности» в Windows 10

Как вы уже знаете из предыдущего абзаца, упомянутая политика состоит из нескольких компонентов, каждый из которых собрал в себе параметры по регулированию защищенности самой ОС, пользователей и сетей при обмене данными. Логично будет уделить время каждому разделу, поэтому давайте сразу же начнем детальный разбор.

Запускается «Локальная политика безопасности» одним из четырех способов, каждый будет максимально полезен определенным юзерам. В статье по следующей ссылке вы можете ознакомиться с каждым методом и выбрать подходящий. Однако хотим обратить ваше внимание, что все приведенные сегодня скриншоты сделаны в самом окне инструмента, а не в редакторе локальных групповых политик, из-за чего следует учитывать особенности интерфейсов.

Политики учетных записей

Начнем с первой категории под названием «Политики учетных записей». Разверните ее и откройте раздел «Политика паролей». Справа вы видите перечень параметров, каждый из которых отвечает за ограничения или выполнение действий. Например, в пункте «Минимальная длина пароля» вы самостоятельно указываете количество знаков, а в «Минимальный срок действия пароля» — количество дней на блокировку его изменения.

Дважды щелкните на одном из параметров, чтобы открыть отдельное окно с его свойствами. Как правило, здесь присутствует ограниченное количество кнопок и настроек. Например, в «Минимальный срок действия пароля» вы только выставляете количество дней.

Во вкладке «Объяснение» находится детальное описание каждого параметра от разработчиков. Обычно оно расписано достаточно широко, но большая часть информации является бесполезной или же очевидной, поэтому ее можно опустить, выделив только основные моменты лично для себя.

Во второй папке «Политика блокировки учетной записи» присутствует три политики. Здесь доступна установка времени до сброса счетчика блокировки, пороговое значение блокировки (количество ошибок ввода пароля при входе в систему) и продолжительность блокировки профиля пользователя. О том, как устанавливаются каждые параметры, вы уже узнали из информации выше.

Локальные политики

В разделе «Локальные политики» собрано сразу несколько групп параметров, разделенных по директориям. Первая имеет название «Политика аудита». Если говорить просто, аудит — процедура слежения за действиями юзера с дальнейшим занесением их в журнал событий и безопасности. Справа вы видите несколько пунктов. Их названия говорят сами за себя, поэтому отдельно останавливаться на каждом нет никакого смысла.

Если значение установлено «Нет аудита», действия отслеживаться не будут. В свойствах же на выбор предоставляется два варианта — «Отказ» и «Успех». Поставьте галочку на одном из них или сразу на обоих, чтобы сохранять успешные и прерванные действия.

В папке «Назначение прав пользователя» собраны настройки, позволяющие предоставить группам юзеров доступ для выполнения определенных процессов, например, вход в качестве службы, возможность подключения к интернету, установка или удаление драйверов устройств и многое другое. Ознакомьтесь со всеми пунктами и их описанием самостоятельно, в этом нет ничего сложного.

В «Свойства» вы видите перечень групп пользователей, которым разрешено осуществление заданного действия.

В отдельном окне происходит добавление групп юзеров или только некоторых учетных записей из локальных компьютеров. От вас требуется лишь указать тип объекта и его размещение, а после перезагрузки компьютера все изменения вступят в силу.

Раздел «Параметры безопасности» посвящен обеспечению защищенности двух предыдущих политик. То есть здесь вы можете настроить аудит, который будет отключать систему при невозможности добавления соответствующей записи аудита в журнал, либо же установить ограничение на количество попыток ввода пароля. Параметров здесь насчитывается более тридцати. Условно их можно разделить на группы — аудиты, интерактивный вход в систему, контроль учетных записей, сетевой доступ, устройства и сетевая безопасность. В свойствах вам разрешено активировать или отключать каждую из этих настроек.

Монитор брандмауэра Защитника Windows в режиме повышенной безопасности

«Монитор брандмауэра Защитника Windows в режиме повышенной безопасности» — один из самых сложных разделов «Локальной политики безопасности». Разработчики попытались упростить процесс наладки входящих и исходящих подключений с помощью добавления Мастера настройки, однако начинающие пользователи все равно с трудом разберутся со всеми пунктами, но эти параметры и крайне редко нужны такой группе юзеров. Здесь доступно создание правил для программ, портов или предопределенных соединений. Вы блокируете либо разрешаете подключение, выбрав при этом сеть и группу.

В этом же разделе происходит определение типа безопасности подключения — изоляция, сервер-сервер, туннель или освобождение от проверки подлинности. Останавливаться на всех настройках нет смысла, ведь это пригодится только опытным администраторам, а они в состоянии самостоятельно обеспечить надежность входящих и исходящих соединений.

Политики диспетчера списка сетей

Обратите внимание на отдельную директорию «Политики диспетчера списка сетей». Количество отображаемых здесь параметров зависит от активных и доступных интернет-соединений. Например, пункт «Неопознанные сети» или «Идентификация сетей» будет присутствовать всегда, а «Сеть 1», «Сеть 2» и так далее — в зависимости от реализации вашего окружения.

В свойствах вы можете указать имя сети, добавить разрешения для пользователей, установить собственный значок или задать расположение. Все это доступно для каждого параметра и должно применяться отдельно. После выполнения изменений не забывайте их применять и перезагружать компьютер, чтобы они вступали в силу. Иногда может потребоваться и перезагрузка роутера.

Политики открытого ключа

Полезным раздел «Политики открытого ключа» будет только для тех, кто использует компьютеры на предприятии, где для осуществления криптографических операций или других защищенных манипуляций задействованы открытые ключи и центры спецификаций. Все это позволяет гибко производить контроль доверительных отношений между устройствами, обеспечив стабильную и безопасную сеть. Внесения изменений зависят от активного на предприятии центра доверенности.

Политики управления приложениями

В «Политики управления приложениями» находится инструмент «AppLocker». Он включает в себя множество самых разнообразных функций и настроек, позволяющих регулировать работу с программами на ПК. Например, он позволяет создать правило, ограничивающее запуск всех приложений, кроме указанных, либо установить ограничение на изменение файлов программами, задав отдельные аргументы и исключения. Полную информацию по поводу упомянутого инструмента вы можете получить в официальной документации компании Microsoft, там все расписано максимально детально, с объяснением каждого пункта.

Что же касается меню «Свойства», то здесь применение правил настраивается для коллекций, например, исполняемые файлы, установщик Windows, сценарии и упакованные приложения. Каждое значение может применяться принудительно, в обход другим ограничениям «Локальной политики безопасности».

Политики IP-безопасности на «Локальный компьютер»

Настройки в разделе «Политики IP-безопасности на «Локальный компьютер»» имеют некое сходство с теми, что доступны в веб-интерфейсе роутера, например, включение шифрования трафика либо его фильтрация. Пользователь сам создает неограниченное количество правил через встроенный Мастер создания указывает там методы шифрования, ограничения на передачу и прием трафика, а также активирует фильтрацию по IP-адресам (разрешение или запрет на подключение к сети).

На скриншоте ниже вы видите пример одного из таких правил связи с другими компьютерами. Здесь присутствует список IP-фильтров, их действие, методы проверки, конечная точка и тип подключения. Все это задается пользователем вручную, исходя из его потребностей в обеспечении фильтрации передачи и приема трафика с определенных источников.

Конфигурация расширенной политики аудита

В одной из предыдущих частей сегодняшней статьи вы уже были ознакомлены с аудитами и их настройкой, однако существуют еще дополнительные параметры, которые вынесены в отдельный раздел. Здесь уже вы видите более обширное действие аудитов — создание/завершение процессов, изменение файловой системы, реестра, политик, управление группами учетных записей пользователей, приложений и многое другое, с чем можете ознакомиться самостоятельно.

Корректировка правил осуществляется точно так же — нужно лишь отметить галочкой «Успех», «Отказ», чтобы запустить процедуру слежения и записи в журнал безопасности.

На этом ознакомление с «Локальной политикой безопасности» в Windows 10 завершено. Как видите, здесь присутствует множество самых полезных параметров, позволяющих организовать хорошую защиту системы. Мы настоятельно советуем перед внесением определенных изменений внимательно изучить описание самого параметра, чтобы понять его принцип работы. Редактирование некоторых правил иногда приводит к серьезным проблемам работы ОС, поэтому делайте все крайне осторожно.

Тема: «Базовая настройка сервера»

Цель работы: научиться устанавливать операционную систему и совершать первоначальную настройку.

Необходимое оборудование:

Персональный компьютер.

Необходимое программное обеспечение:

Программное обеспечение виртуализации VMware Workstation.

.iso – образ диска с операционной системой Windows Server 2016.

Ход работы:

Этап установки

1. Запустить виртуальную машину и дождаться начала установки.

2. Выбрать язык локализации и раскладку клавиатуры.

3. Нажать кнопку «Установить».

4. Ввести лицензионный ключ продукта, либо нажать кнопку «У меня нет ключа», для активации пробного режима.

5. Выбрать устанавливаемую версию операционной системы. В данном случае: Datacenter 2016 (с возможностями рабочего стола).

6. Поскольку производится «чистая» установка операционной системы, выбрать — Выборочная.

7. Подготовить жесткий диск для установки. Создать разделы и выбрать раздел, на который будет произведена установка.

Это слайд-шоу требует JavaScript.

8. Нажать кнопку далее и дождаться окончания установки.

Это слайд-шоу требует JavaScript.

9. После перезагрузки нужно создать пароль администратора.

10. Затем войти с его помощью в систему.

Этап базовой настройки

11. Задать IP-адрес сети, в которой установлена машина(адрес можно узнать у преподавателя).

12. Для удобства в дальнейшем — изменить имя машины.

и перезагрузить её.

Контрольный вопрос. Назовите преимущества использования виртуальной машины при изучении операционных систем.

 Наверх

                                                                                 Практическая работа №2>