Параметры групповой политики (часть 3)

Опубликовано: 20 Марта, 2023

Введение

Групповая политика велика! Существует так много настроек, что вы не можете эффективно расшифровать каждую настройку для каждой потребности. Имея более 5000 параметров в одном объекте групповой политики, задача понимания, тестирования и знания того, что будет делать каждый параметр, позволяет администраторам быстро разрабатывать решения, не тратя часы на исследования и настройку. Эти инструменты были разработаны корпорацией Майкрософт, и было доказано, что они экономят время и силы при разработке объектов групповой политики для различных решений в корпоративной среде. Эта статья поможет вам ознакомиться с инструментами, которые Microsoft предоставила для быстрого перехода от нуля к настройке.

Угрозы и контрмеры

Первый ресурс, который вам нужен для создания базовых показателей безопасности в рамках групповой политики, — это «Угрозы и меры противодействия» от Microsoft. Эти документы и сведения обеспечивают подробное, надежное и обширное представление практически обо всех параметрах безопасности, доступных в объекте групповой политики.

Существуют различные руководства, которые вы можете скачать для разных операционных систем. Это ключ, так как разные операционные системы имеют разные уязвимости, настройки, конфигурации, расположение настроек и т. д. Вот руководство по каждой ОС и где вы можете получить соответствующее руководство:

Windows XP: http://www.microsoft.com/en-us/download/details.aspx?id=24696.

Windows Vista: http://www.microsoft.com/en-us/download/details.aspx?id=22548.

Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=26137.

Windows 8: еще не выпущена

Windows Server 2003: http://www.microsoft.com/en-us/download/details.aspx?id=24696.

Сервер Windows 2008: http://www.microsoft.com/en-us/download/details.aspx?id=22548.

Windows Server 2008 R2: http://www.microsoft.com/en-us/download/details.aspx?id=26137.

Windows Server 2012: еще не выпущен

Существуют также онлайн-ресурсы, которые помогут вам ознакомиться с этими руководствами. Существуют специальные сайты Microsoft только для настроек безопасности, которые содержатся в руководствах. Информация аналогична, но к ней можно получить доступ через Интернет, не загружая и не просматривая документы. Для каждой операционной системы здесь вы можете прочитать информацию о настройках безопасности, содержащуюся в руководствах:

Windows XP: http://technet.microsoft.com/en-us/library/dd162275.aspx

Windows Vista: http://technet.microsoft.com/en-us/library/dd349791(v=ws.10).aspx

Windows 7: http://technet.microsoft.com/en-us/library/hh125921(WS.10).aspx

Windows 8: пока недоступно

Windows Server 2003: http://technet.microsoft.com/en-us/library/dd162275.aspx

Windows Server 2008: http://technet.microsoft.com/en-us/library/dd349791(v=ws.10).aspx

Windows Server 2008 R2: http://technet.microsoft.com/en-us/library/hh125921(WS.10).aspx

Windows Server 2012: пока недоступно

Мастер настройки безопасности (SCW)

SCW — это инструмент, который Microsoft совершенствовала годами. Инструмент изначально появился в эпоху Windows Server 2003 и продолжает обновляться, чтобы соответствовать потребностям и изменениям серверной операционной системы. Инструмент предназначен только для поддержки Windows Server, поскольку он согласуется с ролями сервера, которые теперь являются ключевым аспектом настройки Windows Server.

SCW предназначен для обхода концепции ролей сервера. Эти роли были разработаны Microsoft, чтобы помочь администраторам выбрать, какую функцию будет выполнять сервер, а также настроить другие ключевые параметры безопасности и службы, необходимые для полной настройки роли.

SCW основан на базе данных, которая на самом деле представляет собой не что иное, как определение каждой роли и функции. На рис. 1 видно, что база данных разбита на разные разделы.

Изображение 4950
Рисунок 1: База данных безопасности SCW.

В области «Роли» вы можете четко видеть, что есть очевидные роли, для управления которыми может быть настроен Windows Server. Рисунок 2 иллюстрирует некоторые из этих ролей.

Изображение 4951
Рисунок 2: Роли SCW в базе данных безопасности.

После того как вы запустите часть мастера настройки SCW, он проведет вас через различные области элементов управления SCW, которые вы хотите настроить. Ниже перечислены основные области, которые необходимо настроить для создания политики безопасности SCW.

  • Конфигурация службы на основе ролей
  • Сетевая безопасность
  • Параметры реестра
  • Политика аудита

В каждом из этих разделов есть множество конфигураций, которые позволят вам управлять брандмауэром, службами, функциями, протоколами аутентификации, анонимностью и многим другим. Когда мастер завершит работу, вы получите политику безопасности, которую можно либо применить к другому серверу с помощью SCW, либо создать объект групповой политики (GPO), который можно развернуть на многих серверах с помощью Active Directory.

Менеджер по обеспечению безопасности (SCM)

Security Compliance Manager (SCM) — это бесплатный инструмент настройки безопасности от Microsoft. Вы можете получить текущую версию (2.5) или присоединиться к оценке бета-версии (3.0). Вы можете получить обе версии по этой ссылке.

SCM основан на стандартах соответствия отраслевым стандартам и конфигурациях безопасности. Инструмент предназначен для помощи в принятии решений по безопасности на основе клиентских и серверных функций.

SCM предоставляет готовые базовые параметры, которые определяют сотни параметров безопасности для операционных систем от Microsoft. На рис. 3 показаны базовые показатели, которые поставляются с SCM версии 2.5.

Изображение 4952
Рисунок 3: Базовые параметры SCM.

SCM v3.0 включает в себя Windows 8, Windows Server 2012 и другие базовые версии.

Предоставленные базовые планы не могут быть изменены без предварительного создания их копии. После создания копии базовый план можно изменить в соответствии с требованиями вашей среды. SCM чрезвычайно мощен и включает в себя возможность настройки многих аспектов операционной системы.

SCM разработан как тройное продуктовое решение. Во-первых, SCM предназначен для того, чтобы помочь вам задокументировать, какие параметры безопасности для каждого сервера/роли должны быть установлены. Это делается с помощью настройки и хранения базовых показателей, как от Microsoft, так и пользовательских базовых показателей, которые вы создаете. Во-вторых, SCM разработан как технология, обеспечивающая настройку. Сам SCM не выполняет никаких настроек. Вместо этого базовые планы SCM можно преобразовать в объекты групповой политики. После создания объекта групповой политики его можно интегрировать в структуру Active Directory и, конечно же, распространять таким образом. В-третьих, SCM — это технология, позволяющая проводить аудит. Опять же, SCM не выполняет аудит, вместо этого базовый план может создать пакет DCM. DCM — это желаемое управление конфигурацией, для которого эти пакеты используются в SCCM (System Center Configuration Manager). Затем пакет DCM сравнивается с каждым компьютером, к которому применялся объект групповой политики, и сообщается, где есть отклонение от исходных настроек.

SCM также обеспечивает настройку параметров, которые хранятся в реестре. Настройка базовых показателей, объектов групповой политики и пакетов DCM позволяет включить практически любой параметр безопасности в документацию, конфигурацию и аудит компьютеров Windows.

Резюме

Групповая политика и безопасность системы Windows могут быть немного сложными. Без руководства или инструмента настройка этих параметров может быть сложной. Цель групповой политики — предоставить централизованную технологию для развертывания параметров на компьютерах с Windows. Каждая среда должна использовать групповую политику! Вот почему корпорация Майкрософт разработала решения, помогающие организациям более эффективно и полностью использовать групповую политику для защиты вычислительной среды. Во-первых, руководства по угрозам и мерам противодействия могут помочь в понимании того, что представляет собой каждый параметр безопасности. Мало того, что каждый параметр безопасности имеет сложность, но при неправильной настройке неправильная конфигурация может вызвать проблемы со связью или стабильностью компьютера. Затем Microsoft предоставила SCW, чтобы помочь с настройкой конфигураций безопасности Windows Server. Microsoft представила роли, а затем включила роли в SCW и саму операционную систему. Эта связь между ними помогает управлять брандмауэром, безопасностью, реестром, аудитом и другими параметрами. Наконец, SCM — лучшая конфигурация безопасности, предоставляемая Microsoft. Этот бесплатный инструмент позволяет администратору использовать стандартные конфигурации безопасности или пользовательские настройки безопасности. Независимо от того, какую технологию вы используете для обеспечения безопасности с помощью групповой политики, пожалуйста, используйте что-то, что поможет вам защитить вашу среду Windows!

 

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023