Базовый уровень безопасности с помощью шаблонов AGPM

Опубликовано: 10 Апреля, 2023

Корпорация Майкрософт предоставила множество различных решений для упрощения создания объектов групповой политики и их параметров, чтобы помочь администраторам быстро, надежно и эффективно настроить серверы и рабочие столы. История этих решений довольно длинная, включая такие параметры, как шаблоны безопасности, мастер настройки безопасности и последний вариант — начальные объекты групповой политики в Windows Server 2008. К сожалению, эти решения создают лишь частичный базовый набор параметров, которые не t предоставить комплексное решение. Однако теперь, когда у нас есть расширенное управление групповыми политиками (AGPM), доступна новая опция, которая выводит концепции оптимизации объектов групповой политики на совершенно новый уровень. Шаблоны GPO, включенные в AGPM, не имеют себе равных и включают гораздо больше, чем вы можете себе представить.

Шаблоны безопасности

Шаблоны безопасности существуют уже давно. Впервые они были представлены еще в Windows NT и с тех пор почти не изменились. Предпосылка шаблона безопасности заключается в том, что вы можете заранее определить и настроить параметры безопасности для различных типов компьютеров в вашей сети. После того, как эти параметры определены, вы можете распространять их через групповую политику.

Предпосылка шаблонов безопасности не только надежна, но и является фантастической идеей. К сожалению, эта концепция не оправдала себя, поскольку шаблон безопасности не включает ни все параметры безопасности, ни какие-либо другие ключевые параметры, включенные в большинство объектов групповой политики.

Чтобы дать вам представление о том, что делают эти шаблоны безопасности, сначала нам нужно понять, как к ним добраться. Вы получаете доступ к шаблонам безопасности с помощью MMC, а затем добавляете оснастку «Шаблоны безопасности». Конечным результатом будет список созданных Microsoft шаблонов безопасности, как показано на рисунке 1.

Изображение 24491
Фигура 1:
Оснастку шаблонов безопасности можно увидеть с помощью MMC

Примечание:
Сведения о том, как установить базовые параметры, которые будут использоваться в шаблонах безопасности, а также о развертывании шаблонов безопасности, см. в следующих статьях:

  • Базовый уровень с помощью шаблонов безопасности
  • Общие сведения о шаблонах безопасности Windows
  • Настройка шаблонов безопасности Windows
  • Защита серверов с помощью шаблонов безопасности

Когда вы развернете шаблон безопасности, чтобы увидеть различные области, которые можно настроить, вы увидите, что список параметров близок к полному списку в GPO, но в нем отсутствуют некоторые ключевые области конфигурации, как показано на рис. 2.

Изображение 24492
Фигура 2:
Шаблоны безопасности охватывают большинство параметров безопасности, но не все.

Шаблоны безопасности не обеспечивают достаточной широты возможностей для работы с недавно обновленными настройками объекта групповой политики, включенными в Windows XP, Windows Vista и Windows Server 2008.

Мастер настройки безопасности

Мастер настройки безопасности (SCW) был фантастической идеей, разработанной в ранние сроки Windows Server 2003. Цель состояла в том, чтобы предоставить администраторам решение, которое позволило бы среде на основе мастера устанавливать труднодоступные и понятные настройки. Мастер был очень интуитивным, предоставляя объяснения, рекомендации и предлагаемые настройки для определенных ролей, которые может обслуживать компьютер.

Дополнительные сведения об использовании и настройке SCW см. в статье:

  • Мастер настройки безопасности в Windows Server 2003 SP1

SCW обладает некоторыми мощными возможностями, но, как и шаблоны безопасности, они охватывают только часть параметров безопасности объекта групповой политики, а не все. SCW позволит вам настроить параметры в следующих областях:

  • Сетевая безопасность
  • Параметры реестра
  • Политика аудита
  • ИИС

После запуска SCW результаты можно перенести в объект групповой политики. Если вы комбинируете эти параметры с параметрами из шаблона безопасности, вы приближаетесь к базовым параметрам безопасности, но не хватает еще большего количества параметров.

Начальные объекты групповой политики

В качестве последнего варианта создания базовых параметров, которые можно использовать в объекте групповой политики, Windows Server 2008 включает начальные объекты групповой политики. Начальные объекты групповой политики разработаны аналогично шаблонам безопасности, но настраивают совершенно другую область объекта групповой политики. Начальные объекты групповой политики включают только параметры административного шаблона, расположенные в узлах «Конфигурация компьютера» и «Конфигурация пользователя» в объекте групповой политики, как показано на рисунке 3.

Изображение 24493
Рисунок 3:
Стартовые объекты групповой политики позволяют предварительно установить параметры в узлах административных шаблонов в объекте групповой политики.

Как видите, это решение не помогает предыдущим двум решениям с округлением отсутствующих в них параметров безопасности. Однако начальные объекты групповой политики помогают в общей ситуации, когда администраторы хотят иметь способ создания начальных параметров в объекте групповой политики, которые затем можно скопировать в один или несколько рабочих объектов групповой политики.

Чтобы узнать больше о Starter GPO, прочитайте эту статью:

  • Изменения, связанные с групповой политикой в Windows Server 2008. Часть 1. Что такое начальные объекты групповой политики?

Шаблоны GPO расширенного управления групповыми политиками

В качестве последнего варианта создания базового набора параметров, который может охватывать всю гамму параметров, существующих в обычном объекте групповой политики, на помощь приходит инструмент AGPM. AGPM — это инструмент, предназначенный для лучшего управления объектами групповой политики, особенно следующими функциями:

  • Автономное редактирование
  • Делегирование на основе ролей
  • Автоматическое архивирование изменений GPO
  • Откат и откат вперед к любому объекту групповой политики в истории
  • Рабочий процесс для задач управления GPO

Что отличает шаблоны GPO AGPM от других решений, так это то, что вы можете настроить каждый отдельный параметр, который может быть включен в GPO, в шаблоне GPO. Это решение не имеет абсолютно никаких ограничений на параметры, которые могут быть включены в него.

Ниже приведена краткая пошаговая процедура, которую необходимо выполнить, чтобы эффективно использовать шаблоны GPO AGPM.

  1. Создайте объект групповой политики в AGPM, который включает в себя большинство параметров, которые есть во всех объектах групповой политики определенного типа (может быть для рабочих столов, серверов, определенных учетных записей пользователей, определенных отделов и т. д.).
  2. Настройте параметры в объекте групповой политики в соответствии со своими потребностями.
  3. Используйте AGPM для создания шаблона из объекта групповой политики и его параметров, которые вы только что создали, как показано на рис. 4.
  4. Теперь, когда у вас есть новый шаблон GPO AGPM, вы можете создавать на его основе новые объекты GPO в AGPM.

Изображение 24494
Рисунок 4:
Вы можете создать шаблон объекта групповой политики из существующего объекта групповой политики в рамках AGPM.

Решением может быть один, два или десятки шаблонов объектов групповой политики, которые можно использовать при создании новых объектов групповой политики. Ключевым моментом является тот факт, что вы можете включить все настройки, которые возможны в объекте групповой политики, в шаблон объекта групповой политики. Сюда входят даже параметры из стандартной редакции PolicyMaker или новых предпочтений групповой политики, которые Microsoft включает в Windows Server 2008.

Резюме

Было предпринято много попыток облегчить создание объектов групповой политики, когда в объекте групповой политики необходимо указать множество параметров. Первоначально вам были предоставлены шаблоны безопасности, которые оказались стандартными и стабильными, но вы не получаете всех параметров безопасности, которые вы хотели бы получить в объекте групповой политики, используемом для базового уровня. Кроме того, SCW был более надежным и сложным решением, но он также не включал все параметры безопасности объекта групповой политики, даже при использовании шаблонов безопасности. В Windows Server 2008 появились начальные объекты групповой политики. Это решение даже не затрагивает параметры безопасности, а фокусируется на административных шаблонах. В качестве решения для всех этих частичных базовых решений шаблоны GPO AGPM устраняют все эти ограничения. Шаблоны GPO AGPM могут настраивать любые параметры, включая новую технологию предпочтений групповой политики (и устаревшие параметры PolicyMaker). После установки этих параметров и создания на их основе шаблонов объектов групповой политики начальное создание и настройка параметров в объекте групповой политики может быть уменьшено или даже устранено с помощью этой новой найденной функции.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023