Политики и шаблоны безопасности Windows

Большинство политик безопасности систем Windows 2000/XP можно просмотреть в панели управления, в разделе Administrative Tools/Local Security Policy (Локальная политика безопасности).

 

Политики, определяющие права доступа пользователя

Права доступа пользователя в данном контексте – это действия, которые разрешается выполнять пользователям, входящим в определенную группу безопасности. В отличие от контрольного списка разрешений и прав доступа, который контролирует доступ к определенным объектам (файлам, принтерам), права доступа пользователя касаются операций, влияющих на компьютер в целом.

Права доступа пользователя включают в себя права регистрации и различные привилегии. Права доступа пользователя отображаются на панели управления Windows 2000/XP в разделе Local Security Policy (Локальная политика безопасности) в папке Local Policies\User Rights Assignment (Локальные политики /Назначение прав пользователя).

 

Политики параметров безопасности

Заданные по умолчанию настройки политик параметров безопасности обеспечивают не очень высокий уровень безопасности, приемлемый для работы в небольших сетях и в домашних условиях. Политики параметров безопасности отображаются на панели управления Windows 2000/XP в разделе Local Security Policy в папке Security Settings\Local Policies\Security Options (Локальные политики /Параметры безопасности).

Windows 2000/XP сохраняет информацию о конфигурации политик безопасности сразу же, как только закончено их конфигурирование в панели управления (происходит изменение системного реестра).

 

Групповые политики безопасности

Групповые политики безопасности являются приоритетными настройками Windows по сравнению с настройками отдельных групп и пользователей. Если настройка групповой политики выполнена для локального компьютера, она будет применяться ко всем пользователям, зарегистрированным в системе (несмотря на различия в папках Computer Configuration и User Configuration).

Групповая политика настраивается с помощью оснастки Group Policy консоли MMC. В состав этой оснастки входят все политики безопасности, входящие в раздел панели управления Security Settings. Кроме этого раздела, для настройки групповой политики используется папка Administrative Templates.

 

Шаблоны безопасности

Шаблоны безопасности используются, когда администратор хочет установить единообразные настройки безопасности на нескольких компьютерах сети. Шаблон безопасности – это файл, который содержит описания уже сконфигурированных настроек безопасности.

По умолчанию шаблоны безопасности хранятся в виде обычных текстовых файлов с расширением .inf в папке %SystemRoot%\Security\Templates. Создание и модификация шаблонов безопасности производится из консоли ММС с помощью оснастки Security Templates (Шаблоны безопасности). Консоль ММС открывается с помощью команды ММС в режиме командной строки. Добавление оснастки в консоль производим командой Консоль /Добавить или удалить оснастку:

 

 

В открывшемся окне при нажатии кнопки «Добавить» будет выведен список оснасток:

 

 

При изменении настроек шаблона они сохраняются в файле, но применение этих настроек происходит только после специальной процедуры с использованием другой оснастки ММС.

 

Создание нового шаблона.

Чтобы создать новый шаблон, выделите мышью папку, в которой он должен находиться, и правой кнопкой мыши вызовите контекстное меню. Выберите команду New Template. Укажите имя шаблона и его описание. Чтобы создать настройки шаблона, удобнее всего скопировать в новый шаблон копию уже существующего шаблона, и затем изменить их нужным образом. Чтобы создать копию шаблона, нужно выделить его, и в контекстном меню выбрать команду Save As.

 

Применение настроек шаблона. Применение настроек шаблона происходит из консоли ММС с помощью оснастки Security Configuration And Analysis. Эта оснастка управляет базой данных настроек безопасности. Использовать ее надо так:

  1. Выберите мышью оснастку Security Configuration And Analysis и правой кнопкой мыши вызовите контекстное меню. Выберите команду Open Database.
  2. В открывшемся окне введите название новой базы и щелкните на кнопке Open (или выделите название уже существующей базы).
  3. Сделайте импорт шаблона безопасности. Для этого правой кнопкой мыши вызовите контекстное меню и выберите команду Import Template, затем выберите файл шаблона.
  4. Для применения шаблона выберите мышью оснастку Security Configuration And Analysis и правой кнопкой мыши вызовите контекстное меню. Выберите команду Configure Computer Now.

 

Второй способ применения настроек шаблона – использование утилиты Secedit.exe из командной строки. Для применения настроек шаблона команда имеет вид: