Каталог Рефератов - Безопасность в системе Windows Vista. Основные службы и механизмы безопасности

	Информационно-образоательный портал
	Рефераты, курсовые, дипломы, научные работы,



МЕНЮ\|

поиск

Безопасность в системе Windows Vista. Основные службы и механизмы безопасности

Для объекта групповой политики можно включить параметр Принудительный. Если выбран этот параметр, другие объекты групповой политики не смогут переопределять параметры, настроенные в этом объекте групповой политики.

Примечание. В Windows 2000 параметру Принудительный соответствует параметр Не перекрывать.

* Для Active Directory, сайта, домена или подразделения можно установить параметр Блокировать наследование политики. Этот параметр блокирует параметры объектов групповой политики, которые расположены выше в иерархии Active Directory, если для них не задан параметр Принудительный. Другими словами, параметр Принудительный имеет приоритет над параметром Блокировать наследование политики.

* Параметры групповой политики применяются к пользователям и компьютерам и зависят от места пользователя или компьютера в Active Directory. В некоторых случаях необходимо применять политику к объектам пользователей на основе расположения объектов компьютеров, а не пользователей. Функция замыкания на себя групповой политики позволяет администраторам применять параметры групповой политики для пользователя в зависимости от того, в систему какого компьютера он вошел. Дополнительные сведения об этом параметре см. в статье Замыкание на себя групповых политик.

Рекомендуемые объекты групповой политики

Для внедрения описанной выше схемы подразделений требуется по крайней мере четыре объекта групповой политики:

* политика для домена;

* политика для подразделения пользователей Windows Vista;

* политика для подразделения настольных компьютеров;

* политика для подразделения переносных компьютеров.

Рисунок 1.3. Пример структуры подразделений и связей объектов групповой политики для компьютеров под управлением Windows Vista

В примере на рисунке 1.3 переносные компьютеры принадлежат к подразделению «Переносные компьютеры». Сначала применяется локальная политика безопасности на переносных компьютерах. Так как в этом примере существует только один сайт, на уровне сайта не применяются объекты групповой политики, поэтому следующим применяется объект групповой политики домена. После этого применяется объект групповой политики «Переносные компьютеры».

Примечание. Политика «Настольные компьютеры» не применяется к переносным компьютерам, так как она не связана ни с одним подразделением в иерархии, которое содержит подразделение «Переносные компьютеры».

В качестве примера очередности рассмотрим сценарий, в котором параметр политики Разрешать вход в систему через службу терминалов должен применяться к следующим подразделениям и группам пользователей:
* подразделение «Компьютеры с Windows Vista» - группа Администраторы;
* подразделение «Переносные компьютеры» - группы Пользователи удаленного рабочего стола и Администраторы.

В этом примере пользователь, учетная запись которого принадлежит к группе Пользователи удаленного рабочего стола, может входить в систему переносного компьютера через службу терминалов, так как подразделение «Переносные компьютеры» является дочерним подразделением подразделения «Компьютеры с Windows Vista», а политика дочернего подразделения имеет приоритет.

Если включить параметр политики Не перекрывать в объекте групповой политики подразделения «Компьютеры с Windows Vista», только пользователи, учетные записи которых принадлежат к группе Администраторы, смогут входить в систему переносного компьютера через службу терминалов. Это происходит потому, что параметр Не перекрывать предотвращает переопределение примененной ранее политики политикой дочернего подразделения.

Внедрение политик безопасности
Для внедрения схемы безопасности двух сред, описанных в данном руководстве, необходимо использовать консоль управления групповыми политиками и ее сценарии. Консоль управления групповыми политиками интегрирована в операционную систему, поэтому не требуется загружать и устанавливать ее каждый раз, когда требуется управлять объектами групповой политики на другом компьютере. В отличие от рекомендаций по безопасности для предыдущих версий операционной системы Windows рекомендации в данном руководстве для Windows Vista значительно автоматизируют тестирование и внедрение схемы безопасности в среде EC. Эти рекомендации были разработаны и протестированы, чтобы обеспечивать наиболее эффективный процесс и снизить накладные расходы, связанные с внедрением.

Внимание! Все процедуры, указанные в этом руководстве, необходимо выполнять на клиентском компьютере под управлением Windows Vista, который подключен к домену с Active Directory. Кроме того, пользователь, выполняющий эти процедуры, должен иметь привилегии администратора домена. При использовании операционных систем Microsoft Windows® XP или Windows Server® 2003 параметры безопасности, относящиеся к Windows Vista, не будут отображаться в консоли управления групповыми политиками.

Чтобы внедрить схему безопасности, необходимо выполнить три основные задачи:

1. создать среду EC;

2. использовать консоль управления групповыми политиками для связи политики VSG EC Domain Policy с доменом;

3. использовать консоль управления групповыми политиками для проверки результата.

В этом разделе главы описаны данные задачи и процедуры, а также функции сценария GPOAccelerator.wsf, который автоматически создает рекомендуемые объекты групповой политики.

Сценарий GPOAccelerator.wsf

Наиболее важное средство, которое устанавливается руководством по безопасности Windows Vista, - это сценарий GPOAccelerator.wsf. Основная возможность этого сценария - автоматическое создание всех объектов групповой политики, которые требуются для применения рекомендаций. При этом не требуется тратить время на редактирование параметров политики вручную или на применение шаблонов. Для клиентских компьютеров в среде EC сценарий создает следующие четыре объекта групповой политики:

* VSG EC Domain Policy для домена;

* VSG EC Users Policy для пользователей;

* VSG EC Desktop Policy для настольных компьютеров;

* VSG EC Laptop Policy для переносных компьютеров.

Внимание! Чтобы успешно внедрить схему безопасности для среды EC, тщательно протестируйте ее перед развертыванием в рабочей среде.

* Проверка схемы в лабораторной среде. Используйте сценарий GPOAccelerator.wsf в тестовой среде для создания структуры подразделений, создания объектов групповой политики и их автоматической связи с подразделениями. После завершения тестирования можно использовать сценарий в рабочей среде.

* Развертывание схемы в рабочей среде. При внедрении решения в рабочей среде необходимо сначала создать подходящую структуру подразделений или изменить существующий набор подразделений. После этого можно использовать сценарий GPOAccelerator.wsf для создания объектов групповой политики и затем связать их с соответствующими подразделениями в среде.

Проверка схемы в лабораторной среде
Объекты групповой политики для данного руководства были тщательно протестированы. Тем не менее важно выполнить собственное тестирование в существующей среде. Чтобы сэкономить время, можно использовать сценарий GPOAccelerator.wsf для создания рекомендуемых объектов групповой политики и структуры подразделений, а затем автоматически связать объекты групповой политики с подразделениями.
Задача 1: создание среды EC

Сценарий GPOAccelerator.wsf находится в папке Windows Vista Security Guide\GPOAccelerator Tool, которую создает установщик Microsoft Windows (MSI-файл).

Примечание. Чтобы выполнить сценарий, как описано в следующей процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.

Чтобы создать объекты групповой политики и связать их с соответствующими подразделениями в среде:

1. Войдите с учетной записью администратора домена в систему компьютера под управлением Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться объекты групповой политики.

2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.

3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора домена.

Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.

5. В командной строке введите cscript GPOAccelerator.wsf /Enterprise /LAB и нажмите клавишу ВВОД.

6. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).

Примечание. Это действие может занять несколько минут.

7. В окне с сообщением The Enterprise Lab Environment is created (Создана лабораторная среда Enterprise) нажмите кнопку OK.

8. В окне с сообщением Make sure to link the Enterprise Domain GPO to your domain (Свяжите объект групповой политики домена Enterprise с доменом) нажмите кнопку OK и выполните следующую задачу для связи политики VSG EC Domain Policy.

Примечание. Групповая политика уровня домена включает параметры, которые применяются ко всем компьютерам и пользователям в этом домене. Важно уметь определять необходимость связи объекта групповой политики домена, так как он применяется ко всем пользователям и компьютерам. По этой причине сценарий GPOAccelerator.wsf не выполняет автоматическую связь объекта групповой политики домена с доменом.

Задача 2: использование консоли управления групповыми политиками для связи политики VSG EC Domain Policy с доменом

Теперь можно выполнить связь объекта групповой политики домена с доменом. Ниже приведены инструкции по использованию консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для связи политики VSG EC Domain Policy с доменом.

Чтобы связать политику VSG EC Domain Policy:

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить. (Или нажмите клавишу с эмблемой Windows + R.)

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

4. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку OK.

5. В области сведений выберите пункт VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку Move link to top (Переместить ссылку наверх).

Внимание! Установите для параметра Link Order (Порядок ссылок) объекта VSG EC Domain Policy значение 1. В противном случае с доменом будут связаны другие объекты групповой политики, такие как Default Domain Policy GPO (Объект групповой политики домена по умолчанию), что приведет к переопределению параметров руководства по безопасности Windows Vista.

Задача 3: использование консоли управления групповыми политиками для проверки результата

Консоль управления групповыми политиками можно использовать для проверки результатов выполнения сценария. Ниже описана процедура использования консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для проверки объектов групповой политики и структуры подразделений, которые создает сценарий GPOAccelerator.wsf.

Чтобы проверить результаты выполнения сценария GPOAccelerator.wsf:

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить.

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. Щелкните нужный лес, выберите пункт Domains (Домены) и домен.

4. Щелкните и разверните узел Vista Security Guide EC Client OU (Подразделение клиентов Vista Security Guide EC) и откройте каждое из пяти подразделений, указанных ниже.

5. Убедитесь в том, что структура подразделений и связи объекта групповой политики соответствуют изображенным на следующем рисунке.

Рисунок 1.4. Структура подразделений и связи объектов групповой политики

Все объекты групповой политики, созданные сценарием GPOAccelerator.wsf, полностью заполняются параметрами, рекомендуемыми в этом руководстве. После этого можно использовать средство «Active Directory - пользователи и компьютеры», чтобы проверить схему путем перемещения пользователей и компьютеров в соответствующие подразделения. Сведения о параметрах, содержащихся в каждом объекте групповой политики, см. в приложении A «Параметры групповой политики, связанные с безопасностью».

Развертывание схемы в рабочей среде
Чтобы сэкономить время, можно использовать сценарий GPOAccelerator.wsf для создания объектов групповой политики для среды EC. После этого можно связать объекты групповой политики с соответствующими подразделениями в существующей структуре. В крупных доменах с большим количеством подразделений необходимо продумать использование существующей структуры подразделений для развертывания объектов групповой политики.

По возможности необходимо разделять подразделения компьютеров и пользователей. Кроме того, требуются отдельные подразделения для настольных и переносных компьютеров. Если такая структура невозможна в существующей среде, вероятно, потребуется изменить объекты групповой политики. Чтобы определить необходимые изменения, используйте сведения о параметрах в приложении A «Параметры групповой политики, связанные с безопасностью».

Примечание. Как указано в предыдущем разделе, можно использовать сценарий GPOAccelerator.wsf с параметром /LAB в тестовой среде для создания образца структуры подразделений. Тем не менее при гибкой структуре подразделений можно также использовать этот параметр в рабочей среде, чтобы создать базовую структуру подразделений и автоматически связать объекты групповой политики. После этого можно изменить структуру подразделений вручную в соответствии с требованиями среды.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8

© 2003-2013
Рефераты бесплатно, курсовые, рефераты биология, большая бибилиотека рефератов, дипломы, научные работы, рефераты право, рефераты, рефераты скачать, рефераты литература, курсовые работы, реферат, доклады, рефераты медицина, рефераты на тему, сочинения, реферат бесплатно, рефераты авиация, рефераты психология, рефераты математика, рефераты кулинария, рефераты логистика, рефераты анатомия, рефераты маркетинг, рефераты релиния, рефераты социология, рефераты менеджемент.