Вкл\Выкл свет
Создание и импортирование шаблона безопасности
Шаблоны безопасности

Теперь для примера попробуем создать свой собственный шаблон безопасности. Как правило, для этого лучше воспользоваться одним из стандартных шаблонов, а не создавать шаблон с нуля.

Создание шаблона безопасности

Чтобы создать шаблон безопасности на основе любого другого шаблона, необходимо в контекстном меню шаблона выбрать команду Сохранить как. Затем консоль управления Microsoft предложит вам указать имя нового шаблона, после чего он отобразится в дереве оснастки Шаблоны безопасности. Существует также возможность копирования отдельных разделов шаблона в другой шаблон. Для этого необходимо в контекстном меню раздела эталонного шаблона выбрать команду Копировать. После этого в контекстном меню того же раздела, но шаблона‑приемника нужно выбрать команду Вставить.

Например, чтобы быстро создать шаблон на основе шаблона Securews, но с настройками файловой системы из шаблона Rootsec, необходимо сначала создать шаблон на основе шаблона Securews (команда Сохранить как), а после этого скопировать раздел Rootsec►Файловая система в раздел Файловая система созданного вами шаблона. После этого можно самостоятельно отредактировать состояние отдельных правил политик созданного вами шаблона.

ПРИМЕЧАНИЕ

Не рекомендуется изменять состояния правил непосредственно в стандартных шаблонах. Лучше для этого создать новый шаблон на основе одного из стандартных.

Импортирование шаблона безопасности

Шаблон безопасности создан. Но что теперь с ним делать? Для ответа на данный вопрос можно воспользоваться либо оснасткой Групповая политика, либо оснасткой Анализ и настройка безопасности. Можно также воспользоваться командой командной строки secedit. exe.

■ Групповая политика – когда рассматривалась оснастка Групповая политика, были пропущены такие ее разделы, как Политики учетных записей и Локальные политики. Теперь вы знаете, что хранится в этих разделах, а также умеете создавать свои собственные шаблоны. Если вы уже создали свой шаблон с изменениями состояния правил данных разделов, то существует возможность его импортирования в групповую политику, чтобы настройки из шаблона применялись вместе с настройками групповой политики. Для этого необходимо в контекстном меню элемента Параметры безопасности консоли Групповая политика выбрать команду Импорт политики. После этого консоль управления Microsoft попросит указать путь к шаблону безопасности и использует его содержимое для настройки разделов Политики учетных записей и Локальные политики. При этом остальные настройки шаблона безопасности применяться не будут.

■ Анализ и настройка безопасности – с помощью данной оснастки можно не только применить к компьютеру любой созданный шаблон (в отличие от Групповой политики оснастка использует все содержимое шаблона, а не только настройки разделов Политики учетных записей и Локальные политики), но и проанализировать текущие настройки компьютера с настройками из шаблона безопасности. Оснастка Анализ и настройка безопасности имеет GUID‑номер {011BE22D‑E453‑11D1‑945A‑00C04FB984F9}. После ее добавления к консоли управления Microsoft в дереве консоли отобразится единственный элемент – Анализ и настройка безопасности. Если вы раньше никогда не использовали данную оснастку, то перед началом работы с ней необходимо создать базу данных текущих настроек безопасности компьютера. Для этого в контекстном меню оснастки необходимо выбрать команду Открыть базы данных и в отобразившемся диалоге ввести имя новой базы данных. После этого консоль управления Microsoft предложит указать имя шаблона безопасности, настройки которого будут импортированы в созданную базу данных (если вы используете уже существующую базу, то можно очистить ее содержимое перед импортом настроек шаблона безопасности).

ПРИМЕЧАНИЕ

Несмотря на то, что создаваемая база данных хранит информацию о настройках компьютера в неудобном для чтения виде, тем не менее злонамеренные пользователи смогут ее использовать для анализа текущих настроек безопасности компьютера.

После создания или открытия базы данных настроек шаблона в контекстном меню оснастки станут доступными команды Анализ компьютера и Настроить компьютер.

Если вы хотите только определить, соответствуют ли текущие настройки безопасности настройкам, содержащимся в открытой базе данных шаблона безопасности, то необходимо воспользоваться командой Анализ компьютера. После этого консоль управления Microsoft предложит вам указать путь к текстовому файлу, в который будет записан журнал процесса анализа компьютера. Затем в дереве оснастки отобразятся разделы, аналогичные разделам шаблонов безопасности. Эти разделы будут хранить описание текущего состояния (на вашем компьютере) установленных в шаблоне безопасности правил. Если текущие настройки состояния правила на вашем компьютере соответствуют настройкам из шаблона, то напротив правила будет установлен зеленый флажок. Если же настройки состояния правила в шаблоне безопасности отличаются от текущих настроек на вашем компьютере, то напротив соответствующего правила будет установлен красный крестик (рис. 11.12).

Рис. 11.12. Анализ текущей настройки безопасности компьютера

Чтобы установить настройки компьютера в соответствии с настройками из открытой базы данных, необходимо выбрать команду Настроить компьютер. После этого консоль управления Microsoft также предложит вам указать путь к текстовому файлу, используемому для хранения журнала процесса настройки компьютера.

С помощью команды Secedit. exe можно выполнить как настройку и создание шаблонов безопасности, так и анализ текущих настроек компьютера на основе шаблона безопасности или применение шаблона безопасности. Если работа с данной программой заинтересовала вас, то предлагаю воспользоваться стандартной справкой по данной программе, которую можно открыть с помощью команды secedit. exe /?.

/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Всего комментариев: 0
Имя *:
Email *:
Код *: