Вкл\Выкл свет
Содержимое шаблонов безопасности
Шаблоны безопасности

Все шаблоны безопасности содержат следующие разделы: Политики учетных записей, Локальные политики, Журнал событий, Группы с ограниченным доступом, Системные службы, Реестр и Файловая система. Вкратце рассмотрим каждый из этих разделов.

Политики учетных записей

Раздел Политики учетных записей по умолчанию содержит три политики. Это Политика блокировки учетной записи, Политика паролей и Политика Kerberos.

■ Политика паролей – с ее помощью можно настроить параметры создания паролей для учетных записей пользователей компьютера, а также определить параметры хранения паролей пользователей. Для этого применяются следующие правила.

ПРИМЕЧАНИЕ

Скорее всего, все приведенные ниже правила хранятся в ветви системного реестра HKEY_LOCAL_MACHINE\SECURITY.

• Максимальный срок действия пароля – указывает количество дней, в течение которого будут действовать пароли пользователей. По истечении указанного срока пользователи должны сменить пароль. Для шаблона безопасности Setup security это правило равно 42 дням.

• Минимальная длина пароля – определяет, из какого количества символов должен состоять (как минимум) создаваемый пароль, чтобы система раз

Решила его использование. Для шаблона безопасности Setup security это правило равно 0.

• Минимальный срок действия пароля – указывает количество дней, которое должно истечь, чтобы пользователь смог сменить пароль. Если указанное количество дней не истекло, то пользователю будет запрещено изменять пароль. Значение данной политики должно быть меньше значения политики Максимальный срок действия пароля. Для шаблона безопасности Setup security это правило равно 0.

• Пароль должен отвечать требованиям сложности – если данное правило установлено, то система не разрешит создание паролей, состоящих только из цифр или только из букв. При использовании данного правила все пароли должны содержать не меньше шести символов, находящихся в разных регистрах, а также не принадлежащих к алфавитно‑цифровой клавиатуре (например, символы «&», «$», «!»). Для шаблона безопасности Setup security это правило отключено.

• Требовать неповторяемости паролей – значение данного правила определяет количество паролей, которые должны быть добавлены в базу данных SAM (содержит хэши паролей всех учетных записей пользователей), после чего система разрешит в качестве пароля задать уже использовавшийся ранее пароль. Для шаблона безопасности Setup security это правило равно 0 паролей.

• Хранить пароли всех пользователей в домене, используя обратимое шифрование – если данное правило будет включено, то система будет создавать пароли пользователей с возможностью их расшифровки (так называемое обратимое шифрование). Создание паролей с возможностью их расшифровки может потребоваться некоторым приложениям для аутентификации пользователя (например, это необходимо протоколу CHAP). Но перед установкой этого правила следует учесть, что такой способ хранения паролей резко снижает уровень безопасности компьютера. Для шаблона безопасности Setup security это правило отключено.

■ Политика блокировки учетной записи – с помощью данной политики можно определить правила поведения системы в случае нескольких попыток неудачного ввода пароля при аутентификации пользователя.

• Блокировка учетной записи на – определяет количество минут, на которое будет выполняться блокировка учетной записи после нескольких попыток неудачного ввода пароля. Значение может находиться в диапазоне от 1 до 99999 (если значение равно 0, то учетная запись будет заблокирована до тех пор, пока администратор компьютера ее не разблокирует самостоятельно). Для шаблона безопасности Setup security это правило не определено.

• Пороговое значение блокировки – указывает количество попыток неверного ввода пароля, после которых учетная запись будет заблокирована. Возможные значения лежат в пределах от 0 до 999. Для шаблона безопасности Setup security это 0 ошибок.

• Сброс счетчика блокировки через – определяет количество минут, по истечении которых счетчик неверных попыток ввода пароля будет обнулен. Значение может находиться в пределах от 1 до 99999. Для шаблона безопасности Setup security это правило не определено.

■ Политика Kerberos – определяет настройки протокола Kerberos, используемые при входе пользователя в систему. В контексте данной книги настройки данной политики рассмотрены не будут, так как они относятся к компьютерам, находящимся в домене, а это большая редкость на домашних компьютерах.

Локальные политики

Раздел Локальные политики содержит три политики: Политика аудита, Назначение прав пользователя и Параметры безопасности.

■ Политика аудита – позволяет определить события, факты происхождения которых будут записываться в журнал Безопасность оснастки Просмотр событий. Можно указать запись в журнал Безопасность сведений об успешных или неудачных попытках выполнения следующих операций: вход в систему, доступ к объектам, имеющим собственный SACL (например, к принтерам, файлам, папкам), доступ к каталогам Active Directory и других. Для шаблона безопасности Setup security все события аудита, кроме аудита доступа к службе каталога (этот аудит не определен), отключены.

■ Назначение прав пользователя – с помощью данной политики можно определить права различных пользователей или групп пользователей на выполнение различных операций с объектами и компонентами операционной системы. Например, с помощью этой политики можно определить пользователей, которым разрешено входить локально в систему, разрешено входить в систему через службу терминалов, разрешено выполнять архивирование файлов и каталогов и т. д.

■ Параметры безопасности – с помощью данной политики можно настроить очень многие параметры реестра, относящиеся к безопасности компьютера. Довольно часто в Интернете можно прочитать советы об изменении тех или иных параметров реестра, настраивающих безопасность компьютера. Многие из параметров, указанных в таких советах, можно изменить и с помощью политики Параметры безопасности. Например, к наиболее часто упоминаемым в Интернете способам настройки безопасности с помощью реестра, которые также можно изменить и с помощью политики Параметры безопасности, относятся следующие.

• Очистка файла подкачки pagefile. sys при завершении работы компьютера. Для шаблона Setup security данное правило отключено.

• Сообщение, отображаемое перед входом пользователя в систему. Для шаблона Setup security данное правило не определено.

• Посылать незашифрованный пароль сторонним SMB‑серверам. Для шаблона Setup security данное правило отключено.

• Запретить изменение паролей учетных записей пользователей. Для шаблона Setup security данное правило не определено.

• Пути в реестре, доступные через удаленное подключение. Для шаблона Setup security данное правило не определено.

• Разрешить анонимный доступ к общим ресурсам. Для шаблона Setup security данное правило не определено.

• Отключение или переименование учетных записей администратора и гостя. Для шаблона Setup security эти правила не определены (кроме отключения учетной записи гостя, по умолчанию эта запись отключена).

При этом большинство правил списка Параметры безопасности хранятся в реестре (то есть вы и сами можете добавить к данному списку свои правила изменения параметров реестра, чтобы изменять их с помощью шаблона безопасности). Для этого предназначена ветвь реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values. Она содержит разделы, названия которых соответствуют пути к изменяемому правилом параметру реестра (данный путь должен начинаться не с корневого раздела ветви, а с класса, в котором хранится объект операционной системы (операционная система Windows XP является объектно‑ориентированной), например класс Machine определяет корневой раздел HKEY_LOCAL_MACHINE). Эти разделы хранят следующие параметры.

■ DisplayChoices – этот параметр строкового типа определяет описание возможного состояния правила (если для установки правила используется список состояний), а также значение, которое будет присваиваться параметру при установке соответствующего состояния правила.

■ DisplayName – параметр строкового типа, определяет название правила, отображаемое в списке политики Параметры безопасности.

■ DisplayType – этот параметр DWORD‑типа определяет способ указания состояния правила. Параметр может принимать следующие значения:

• 1 – отобразить счетчик для указания состояния правила;

• 2 – поле для ввода значения;

• 3 – раскрывающийся список (для выбора возможного состояния из списка);

• 4 – список для выбора состояния;

• 6 – два флажка, с помощью которых можно включить или отключить правило.

■ ValueType – этот параметр DWORD‑типа определяет тип изменяемого данным правилом параметра реестра. Возможные значения:

• 1 – строковый тип параметра;

• 3 – тип параметра REG_BINARY;

• 4 – тип параметра REG_DWORD;

• 7 – тип параметра REG_MULTI_SZ.

На рис. 11.11 можно видеть пример описания правила в реестре.

Рис. 11.11. Хранение правил политики Параметры безопасности

Журнал событий

С помощью данной политики можно настроить параметры стандартных журналов системы, доступ к которым можно получить с помощью оснастки Просмотр событий. Например, с помощью данной политики можно определить максимальные размеры файлов стандартных журналов системы, количество дней хранения этих файлов, а также запретить или разрешить просмотр системных журналов для учетной записи Гость. Все параметры реестра, изменяемые этой политикой, уже были рассмотрены в разделе о настройках оснастки Просмотр событий.

Группы с ограниченным доступом

С помощью данной политики можно добавить в группу временного пользователя (для повышения его прав на некоторое время). При этом после перезагрузки данный пользователь будет удален из группы. Тем самым администратор может делегировать на время права некоторым пользователям, не заботясь о снятии делегированных прав с пользователя – это выполнит система. Для добавления временного пользователя в группу нужно создать саму группу, в которую будет добавляться пользователь. Для этого нужно в контекстном меню раздела Группы с ограниченным доступом выбрать команду Добавить группу. После этого система предложит вам ввести или выбрать из списка группу, а затем предложит добавить в нее новых пользователей.

Системные службы

С помощью данной политики можно указать тип запуска служб, установленных на компьютере, или вообще отключить запуск некоторых служб.

Реестр

С помощью данного раздела можно указать права доступа к различным ветвям реестра. Чтобы указать права доступа к ветви реестра, необходимо сначала добавить в данный раздел ветвь реестра. Для этого необходимо в контекстном меню раздела Реестр выбрать команду Добавить раздел. После этого консоль управления Microsoft предложит вам указать права для доступа к данной ветви реестра.

Файловая система

С помощью этого раздела можно указать права доступа к различным каталогам файловой системы Windows XP. Чтобы указать права доступа к каталогу, необходимо сначала добавить в раздел Файловая система путь к каталогу. Для этого необходимо в контекстном меню раздела выбрать команду Добавить файл. После этого консоль управления Microsoft предложит вам указать права для доступа к данному каталогу или файлу, а затем определить, будут ли указанные вами права распространяться на все вложенные в каталог папки.

/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Всего комментариев: 0
Имя *:
Email *:
Код *: