Alkalmazás GPO beállítani a biztonsági, az ablakok is pro
Informatikai infrastruktúra a vállalat
Csoportházirend segítségével kezelni a biztonsági konfigurációs
Azt is meg fogja vizsgálni számos biztonsági házirend-beállítások alapján Group Policy, és megpróbálja a legtöbbet azok előnyeit. De először meg kell érteni, hogyan kell rendelni biztonsági irányelveket domén - azaz, hogyan kell beállítani a biztonsági beállításokat a GPO (csoportházirend-objektum, GPO), kapcsolódó AD tartomány (GPO lehet AD-vel kapcsolatos oldalakat, tartományok, illetve szervezeti egységek - OU).
biztonságpolitika a domain
- automatikus kikapcsolás felhasználói regisztrációs idő;
- Átnevezése rendszergazdai fiók;
- Átnevezése vendég fiók.
Ez a három politika alatt találhatók Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity lehetőségek az GPO.
Felmerül a kérdés, hogy miért a Microsoft megköveteli, hogy a politikák felhasználói fiókok és biztonságpolitika, a három már a GPO, kapcsolódik a tartományhoz. Köztudott, hogy ha a domain szerver van rendelve az AD tartományvezérlő, az alapértelmezett AD megtartja a DC a szervezeti egység Tartomanyvezerlok. Azonban, ha mozog a DC másik szervezeti egység OU, akkor képes lesz arra, hogy megkapja a különféle biztonsági politika. Szabályzat felhasználói fiókok és ezek közül három a biztonsági politikát kell hangolni az összes DC, így a Microsoft tette szoftver GPO feldolgozó kódot úgy, hogy ezek a politikák figyelembe venni, kivéve, ha azok kapcsolódnak a tartományhoz. Ez biztosítja, hogy az összes DC, helyszíntől függetlenül, megkapja ugyanazt a politikát. Egyéb biztonsági irányelvek, mint például ellenőrzési irányelvei és korlátozott csoportja eltérő lehet a DC a különböző szervezeti egységben. Tisztában kell lennie az adott politika, ha azt szeretnénk, hogy mozog egy szervezeti egysége DC Tartomanyvezerlok.
Ajánlott megközelítések
Amikor az épület egy új AD tartomány belül két GPO: Default Domain Policy, és Domain házirend, társított OU Tartomanyvezerlok. Ezek GPO segítségével a Windows adminisztrátorok beállíthatják a tartományi fiók és az egyéb biztonsági politika, de egyes szakértők javasoljuk, hogy ne befolyásolja a kész GPO. Ezért sok rendszergazda nem tudja, hogy kell használni a biztonsági politika, vagy jobb, hogy a saját. Elvileg mindkét megközelítés.
Telepítéskor biztonsági politika a tartományi szintű betartásának szükségességét két szabályt. Mint már említettük, a politika tartományra kiterjedő figyelembe lehet rendelni csak GPO kapcsolódik a tartományhoz. Ha azt szeretnénk, hogy alkalmazni egyéb tartomány biztonsági politika (például adja meg a biztonsági napló mérete szabvány minden tartomány DC), akkor meg kell rendelni a politika a GPO, kapcsolódik a tartományvezérlő szervezeti egysége (feltételezzük, hogy a DC nem lett távolítva a szervezeti egység). A Windows feldolgozza a GPO érdekében, helyben, majd a helyek, domainek, és OU, így a biztonsági politika határozza meg a GPO társított Tartomanyvezerlok OU, feldolgozott utolsó hatálytalanítja mindazokat politikával kapcsolatos területeken.
Ez a szabály azonban ütközhet egy másik szabály: Nem felülíró kapcsoló üzemmódban a GPO, kapcsolódik a tartományhoz. Mód Nincs felülírása alján GPO hierarchia nem vonható vissza ellenkezőleg, egy magasabb szintű politika. Ha szeretné, hogy a politika volt a fő minden esetben fokoznia kell No felülírása a tartomány társított GPO, amely meghatározza politika a számlákat. De ha ugyanazt a GPO kapcsolódó domain adagolására használjuk más biztonsági politikák (például az ellenőrzési politika), akkor törli az ellenőrzési beállítások meghatározott GPO, kapcsolódó OU Tartomanyvezerlok. Ezért azt javasoljuk, hogy ne más funkciók hozzárendelése a GPO, amely meghatározza politika számlákat. Így beadása GPO és politikák tartományi fiókok is át lehet ruházni a biztonsági szakemberek, amely fenntartja a jogot arra, hogy a szükséges biztonsági házirendek közvetlenül a számítógépekhez.
Ha megváltoztatja a helyi GPO biztonsági politika hiányában a biztonsági politika AD-vel kapcsolatos változások történtek a meglévő SAM-adatbázist a helyi gépen, és nem esik bele a fájlt, ami a fájl szerkezetét a helyi GPO% systemroot% system32grouppolicy, mint ahogy az a többi paraméter helyi GPO.
Garantált alkalmazás biztonsági politika
A közös jellemzője, GSE, hogy nem végez ismételt GPO-feldolgozás, ha az objektum nem változott, mivel az idő az előző feldolgozás. A Windows kezeli politika a számítógépen, mint például biztonsági politika, ha elkezd (vagy ki) a rendszer, és a politika a felhasználó - a regisztráció során, vagy a felhasználó kijelentkezik. Az ilyen események úgynevezett aktív folyamatokat. Amellett, hogy a két folyamat a Windows kezeli politika a háttérben minden 90 percben (egy kis eltérés) munkaállomásokon és önálló szerver a domain, és 5 percenként - tartományvezérlőkön. Azonban CSE át feldolgozása GPO az aktív vagy a háttérben, ha még nem változott a legutóbbi ciklusban. Ezért, ha a felhasználó valahogy hozzájárul a helyi konfigurációs változásokat, amelyek ellentétesek a politika AD-vel kapcsolatos GPO tárgy, ez a helyi módosítás érvényben marad mindaddig, amíg valaki nem változtatja meg a GPO, a kontroll a politika - talán hosszú idő után . Emiatt a biztonsági CSE rendszeresen frissíti a biztonsági politika, függetlenül attól, hogy a GPO megváltozott. Paraméter MaxNoGPOListChangesInterval HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonGPExtensions szakasz meghatározza a frissítési időköz. Standard érték - 960 perc (16 óra), de az intervallum növelhető vagy csökkenthető megváltoztatásával a beállításazonosítót. Ha azt szeretnénk, hogy maximálisan kihasználják a szigorú biztonsági politika, a CSE lehet állítani, hogy a biztonsági házirend feldolgozása minden ciklusban, függetlenül attól, GPO változásokat. Természetesen további feldolgozás növeli a feldolgozási terhelést, de a feldolgozás csak akkor végezhető külön gépen, az idejében változás a biztonsági beállításokat a kritikus szerverek és munkaállomások.
Változtatni a viselkedését a CSE a számítógépen nyissa meg a csoportházirend-szerkesztő, és megy a szakasz Computer ConfigurationAdministrative TemplatesSystemGroup PolicySecurity Policy feldolgozása a GPO, feldolgozni a számítógéppel. Még ha a csoportházirend-objektumok nem változtak, válassza folyamat (2. képernyő). Ezt követően, a rendszer frissíti a biztonsági házirendek során minden háttér és a prioritás a feldolgozási ciklus.
Átnéztem néhány mechanizmusok a biztonsági irányelvek alapján GPO. A mi feladatunk -, hogy maximalizálja erőssége a Windows biztonsági politika.
A használata a Windows biztonsági politika
Hiányosságok a Windows
Tanulmányozva a mintákat, akkor észrevehetjük, hogy sok ilyen biztonsági beállításai a tartályban Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options GPO objektumot. Hívom ezt a biztonságpolitika területén Oldal védelem réseket (sérülékenység védelmi oldal), mivel ez tárolja a paraméterek célja, hogy megszüntesse során észlelt működési periódus a Windows gyengeségeit.
Politikai program megszorítások
Elmagyarázni, hogyan kell használni a szoftvert politikai megszorítások, a legegyszerűbb módja, hogy elemezze a mintát. Tegyük fel, hogy meg kell tiltani az összes felhasználó AD-tartománynak végezzen olyan alkalmazások futnak a Temporary Internet Files mappát a felhasználó profilját. Ez a mappa ideiglenesen tárolja letöltött fájlokat a böngésző Microsoft Internet Explorer (IE); ezért kell korlátozni futtatását.
Biztonsági szintek mappa tartalmaz két paramétert, amelyek közül az egyik kell kiválasztani, Szabálytalan és korlátlan. Alapértelmezésben a korlátlan mód, amelyben a felhasználók futtatni programokat, kivéve kifejezetten tilt szoftver korlátozás politika. A Nem engedélyezett mód, a felhasználók nem fut semmilyen program, kivéve a kifejezetten megengedi szoftver korlátozás politika. Ez a példa a kiválasztott alapértelmezett módban korlátlan.
A fő program alkotói korlátozás politika kiegészítő szabályok mappát. Ha rákattint az egér jobb gombjával, akkor létrehozhat egy szabályt megfelelően a négy fenti kritériumoknak. Ebben a példában, meg kell, hogy olyan szabályt, amely megtiltja a kivégzést olyan programokat a Temporary Internet Files mappát a felhasználó profilját. Ezért hoztam létre egy új szabályt a kijelölt pályán útvonal% userprofile% helyi beállítások emporary internetes fájlokat, majd állítsa be ezt a szabályt Szabálytalan biztonsági üzemmód (a képernyő 5).
Ezt követően irányelv életbe lépett, a rendszer nem hajtja végre a mappában Temporary Internet Files bármely alkalmazás, amelynek típusa felsorolt kijelölt fájltípust. Nyilvánvaló, hogy a politika a szoftver korlátai lehetnek egy hatékony eszköz, amely nem teszi lehetővé ismeretlen szoftver kódot, hogy kárt okoz a hálózati környezetben.
További biztonsági funkciók
Általában csoportházirend kiváló finomhangolása Windows biztonság, így az érdeke a rendszergazda, hogy vizsgálja meg, hogy képesek a tökéletességet.
Ossza meg képeit barátaival és kollégáival