ІТ-інфраструктура для вашого підприємства
Використання групової політики для управління конфігурацією системи безпеки
Ми розглянемо також ряд параметрів політик безпеки на базі Group Policy і спробуємо максимально використовувати їх переваги. Але спочатку необхідно зрозуміти, як призначити політику безпеки для домену - тобто як налаштувати параметри безпеки на об'єкті групової політики (Group Policy Object, GPO), пов'язаному з доменом AD (GPO можна пов'язати з сайтами AD, доменами або організаційними одиницями - OU).
Політики безпеки для домену
- автоматичне відключення користувачів після закінчення часу реєстрації;
- перейменування облікового запису administrator;
- перейменування облікового запису guest.
Ці три політики розташовані в розділі Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options для GPO.
Може виникнути питання, чому Microsoft вимагає, щоб політики для облікових записів і ці три політики безпеки були в GPO, пов'язаному з доменом. Як відомо, якщо сервер в домені призначається контролером домену AD, то за замовчуванням AD зберігає DC в організаційному підрозділі Domain Controllers. Однак якщо перемістити DC в інше організаційне підрозділ OU, то він зможе отримувати різні політики безпеки. Політики для облікових записів і три зазначені політики безпеки повинні бути погоджені на всіх DC, тому фахівці Microsoft склали програмний код обробки GPO таким чином, що ці політики ігноруються, крім тих випадків, коли вони пов'язані з доменом. Таким чином, гарантується, що всі DC, незалежно від місця розташування, отримують однакові політики. Інші політики безпеки, такі як політики аудиту і обмежені групи, можуть бути різними на DC в різних OU. Слід пам'ятати про цю особливість політик, якщо потрібно перемістити DC з організаційної одиниці Domain Controllers.
Рекомендовані підходи
При побудові нового домену AD всередині нього створюються два GPO: Default Domain Policy і Domain Controllers Policy, пов'язані з OU Domain Controllers. Ці GPO допомагають адміністраторам Windows налаштувати доменну обліковий запис і інші політики безпеки, але деякі фахівці не рекомендують зачіпати готові GPO. Тому багато адміністраторів не знають, чи слід використовувати їх для політик безпеки або краще побудувати власні. В принципі, можливі обидва підходи.
При розгортанні політик безпеки в масштабах домену необхідно дотримуватися два правила. Як уже зазначалося, політику для облікового запису в масштабах домену можна призначити тільки для GPO, пов'язаного з доменом. Якщо потрібно застосувати в домені інші політики безпеки (наприклад, вказати стандартний розмір журналу Security на всіх DC домену), то слід призначати ці політики в GPO, пов'язаному з Domain Controllers OU (передбачається, що DC не були видалені з цієї організаційної одиниці). Windows обробляє GPO по порядку: спочатку локально, потім в сайтах, доменах і OU, тому політики безпеки, задані в GPO, пов'язаних з Domain Controllers OU, обробляються останніми і замінюють будь-які політики, пов'язані з доменами.
Однак це правило може вступити в конфлікт з іншим правилом: включення режиму No Override в GPO, пов'язаному з доменом. У режимі No Override нижні по ієрархії GPO не можуть скасувати суперечать політики вищого рівня. Якщо необхідно, щоб політика була основною у всіх випадках, слід активізувати No Override в пов'язаному з доменом GPO, який задає політику для облікових записів. Але якщо той же пов'язаний з доменом GPO використовується для призначення інших політик безпеки (наприклад, політики аудиту), то він скасує будь-які параметри аудиту, задані в GPO, пов'язаних з OU Domain Controllers. Тому я рекомендую не покладати інших функцій на GPO, який визначає політику для облікових записів. Таким чином, адміністрування цього GPO і політики для облікових записів домену можна делегувати фахівцям з безпеки, залишивши за собою право призначати потрібні політики безпеки безпосередньо на комп'ютери.
При зміні політики безпеки локального GPO за відсутності політики безпеки, пов'язаної з AD, зміни вносяться в діючу базу даних SAM даної локальної машини, а не в набір файлів, розташованих в файлової структурі локального GPO в% systemroot% system32grouppolicy, як у випадку з іншими параметрами локального GPO.
Гарантоване застосування політики безпеки
Загальна особливість всіх GSE полягає в тому, що вони не виконують повторну обробку GPO, якщо об'єкт не змінювався за час, що минув з попередньої обробки. Windows обробляє політику для комп'ютера, наприклад політику безпеки, при запуску (або виключенні) системи, а політику для користувача - при реєстрації або завершенні сеансу користувача. Такі події називаються активними процесами. На додаток до цих двох процесів Windows обробляє політики у фоновому режимі через кожні 90 хвилин (з невеликим відхиленням) на робочих станціях і автономних серверах домена і через кожні 5 хвилин - на контролерах домену. Однак CSE пропускають обробку даного GPO як в активному, так і в фоновому режимі, якщо він не змінювався з часу останнього циклу обробки. Тому якщо користувач якимось чином вносить в локальну конфігурацію зміни, що суперечать політиці пов'язаного з AD об'єкта GPO, то це локальна зміна залишається в силі до тих пір, поки хто-небудь не змінить GPO, котра управляє цією політикою, - можливо, через багато часу . З цієї причини CSE безпеки періодично оновлюють політику безпеки, незалежно від того, чи змінювався GPO. Параметр MaxNoGPOListChangesInterval розділу HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonGPExtensions визначає інтервал оновлення. Стандартне значення - 960 хвилин (16 годин), але інтервал можна збільшити або зменшити, змінивши значення параметра реєстру. Якщо потрібно максимально суворе застосування політики безпеки, то CSE можна налаштувати на обробку політики безпеки в кожному циклі, незалежно від змін GPO. Безумовно, додаткова обробка збільшує обчислювальну навантаження, але обробку можна виконувати лише на окремих машинах, забезпечивши своєчасне зміна конфігурації системи безпеки на найважливіших серверах і робочих станціях.
Щоб змінити поведінку CSE на комп'ютері, слід відкрити Group Policy Object Editor і перейти в розділ Computer ConfigurationAdministrative TemplatesSystemGroup PolicySecurity Policy Processing для GPO, оброблюваного комп'ютером. Навіть якщо об'єкти Group Policy не змінилися, слід вибрати Process (екран 2). Після цього система буде оновлювати політику безпеки під час кожного фонового і пріоритетного циклу обробки.
Я розглянув деякі механізми розгортання політик безпеки на базі GPO. Наше завдання - максимально ефективно використовувати сильні сторони політик безпеки Windows.
Застосування політики безпеки Windows
Слабкі місця Windows
Вивчаючи шаблони, можна помітити, що в багатьох з них параметри безпеки встановлені в контейнері Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options об'єкта GPO. Я називаю цю сферу політики безпеки сторінкою захисту вразливих місць (vulnerability defense page), так як в ній зберігаються параметри, призначені для усунення виявлених за період експлуатації Windows слабких місць.
Політика програмних обмежень
Щоб пояснити, як використовується політика програмних обмежень, найпростіше проаналізувати приклад. Припустимо, нам потрібно заборонити всім користувачам домену AD виконувати будь-які додатки, що запускаються з папки Temporary Internet Files в профілі користувача. Як правило, в цій папці тимчасово зберігаються файли, завантажені браузером Microsoft Internet Explorer (IE); тому в ній слід обмежити виконання програмного коду.
Папка Security Levels містить два параметри, з яких слід вибрати один, Disallowed і Unrestricted. За замовчуванням вибирається режим Unrestricted, в якому користувачі можуть запускати всі програми, за винятком явно заборонених політикою програмних обмежень. У режимі Disallowed користувачі не можуть запускати ніяких програм, крім явно дозволених політикою програмних обмежень. В даному прикладі використовується обираний за замовчуванням режим Unrestricted.
Основні компоненти політики програмних обмежень знаходяться в папці Additional Rules. Якщо клацнути на ній правою кнопкою миші, можна буде скласти правила відповідно до чотирма описаними вище критеріями. Для даного прикладу потрібно скласти правило, яке забороняє виконання будь-яких програм з папки Temporary Internet Files в профілі користувача. Тому я створив нове правило для шляху, призначив шлях% userprofile% local settings emporary internet files, а потім встановив для цього правила режим безпеки Disallowed (екран 5).
Після того як дана політика набуде чинності, система не буде виконувати з папки Temporary Internet Files ніяких додатків, чиї типи внесені в список Designated File Types. Очевидно, що політика програмних обмежень може бути потужним засобом, який не дозволить невідомому програмного коду заподіяти шкоду мережевому середовищі.
Додаткові засоби безпеки
В цілому групові політики чудово забезпечують тонке налаштування системи безпеки Windows, так що в інтересах адміністратора вивчити їх можливості досконало.
Поділіться матеріалом з колегами і друзями