Реалізація механізму локальних групових політик у ОС Windows 7. Аналіз і налаштування безпеки
Мета роботи: ознайомлення із структурою, принципом роботи
та налаштуванням об’єкта групової політики на локальному комп’ютері під управлінням ОС Windows 7. Навчитись використовувати та створювати шаблони безпеки для ефективного налаштування та аналізу типових параметрів безпеки.
Звʼязок з проектом
В додаток до вміння управляти локальними користувачами і групами будь-якої компʼютерної системи за допомогою використання готових рішень, які стосуються облікових записів користувачів, а й вміння реалізовувати спеціфічні політики та шаблони безпеки для більш тонкого налаштування прав користувачів та
захисту інформації.
Методичні
вказівки
Говорячи простими словами, групові політики ‒ це налаштування, які управляють роботою Windows. Їх можна застосовувати
для персонального налаштування інтерфейсу
Windows 7, обмеження
доступу до певних областей системи,
налаштувань безпеки і вирішення безлічі
інших завдань.
Найчастіше групові політики використовуються системними адміністраторами, яким потрібно надійно
закрити починаючим користувачам доступ до небезпечних
інструментів (напр. таких як редактор реєстру), або які
хочуть забезпечити однакове робоче середовище на декількох компʼютерах. Групові політики також ідеально підходять до ситуацій,
коли кілька користувачів спільно використовують один компʼютер. Однак, вони корисні
також і на окремих компʼютерах одного користувача.
Можливості редактора локальної групової політики наочно підтверджується не тільки тим, що
Microsoft приховує цю програму в надрах
системи, а й тим, що компанія навіть
не надає редактор локальної
групової політики в наступних версіях Windows 7:
-
Windows 7 Home
Basic (Windows 7 Домашня базова);
-
Windows 7 Home
Premium (Windows 7 Домашня розширена).
Інакше кажучи, версії Windows, які, на думку Microsoft, будуть використовуватися початківцями користувачами, навіть не містять редактор локальної групової політики ‒ просто заради безпеки.
Так що ж робити з редагуванням
політики при відсутності редактора локальної групової політики? Хоча редактор локальної групової політики пропонує простий у використанні інтерфейс для зміни багатьох налаштувань, він ‒
не єдиний засіб введення цих налаштувань
в дію. Більшість групових налаштувань відповідають налаштуванням реєстру Windows, тому в будь-якій
системі Windows 7 Home аналогічні налаштування можна виконати, змінюючи відповідні налаштування реєстру.
Запуск редактора групової
політики Windows 7
Як вже згадувалося, зміни до групових політик можна вносити,
використовуючи редактор локальної
групової політики – оснащення консолі управління Microsoft. Щоб запустити редактор локальної групової політики, виконайте такі дії:
1. Клацніть на кнопці «Пуск».
2. Введіть «gpedit.msc».
3. Натисніть клавішу
<Enter>.
Відкривається при цьому вікно «Редактор локальної групової
політики» (рис.1). Слово локальних
відображає той факт, що виконується редагування групових політик на вашому власному, а не на віддаленому, комп'ютері.
Рис. 1. Редактор локальної
групової політики Windows 7 призначений для
зміни групових політик на локальному ПК
Windows постачається з ще одним інструментом, який називається «Редактор локальних політик безпеки»
(рис. 2), що відображає тільки політики гілки
«Конфігурація компютера» => «Конфігурація Windows» => «Параметри безпеки вікна» => «Редактор локальної групової
політики». Щоб запустити «Редактор локальних політик безпеки», введіть secpol.msc і натисніть клавішу <Enter>.
Рис. 2. Редактор локальних
політик безпеки
Робота з груповими
політиками
Вікно «Редактор локальної групової політики» розділене на дві частини.
Ліва панель. Містить деревоподібну ієрархічну
структуру категорій політик,
розділених на дві основні категорії: Конфігурація комп'ютера і Конфігурація користувача. Політики
конфігурації комп'ютера застосовуються до всіх користувачів і виконуються перед
входом в систему. Політики конфігурації
користувача застосовуються тільки до поточного користувача
і, отже, не застосовуються
до тих пір, поки користувач не увійде в систему.
Права панель. Містить політики тієї категорії,
яка вибирається в лівій панелі.
Таким
чином, основна ідея даного підходу
полягає у відкритті гілок дерева для пошуку потрібної категорії. При клацанні на категорії її політики відображаються
у правій панелі. Наприклад, на рис. 2 вікно «Редактор локальної
групової політики»
показано з виділеної категорією
«Конфігурація користувача»,
«Адміністративні шаблони», «Меню "Пуск" і панель задач».
Рис. 3. При виборі
категорії в лівій
панелі політики цієї категорії
відображаються в правій панелі
Стовпець «Параметр»
відображає ім'я
політики, а стовпець «Стан»
‒ поточний стан даної політики. Клацніть на політиці, щоб побачити її
опис в лівій
частині панелі, як показано
на рис. 4. Якщо опис не відображається, клікніть на вкладці
«Розширений».
Рис. 4. Опис політики
Налаштування політики
Щоб налаштувати політику, двічі клацніть на ній або натисніть
«Змінити параметр політики».
Тип відображуваного при цьому
вікна залежить від політики.
- Для простих політик відображається вікно, подібне показаному на рис. 5,а. Ці види політик приймають одне з трьох станів:
«Не задано» (політика
не діє), «Включити» (політика діє і її налаштування активізовані) і «Відключити» (політика діє, але її параметри відключені).
- Інші політики вимагають
відображення додаткової інформації, коли дана політика включена. Наприклад, на
рис. 5,б показано вікно для політики
«Елементи», що відображаються в панелі місць. Коли опція «Включити» активізована, різні текстові
поля активізуються, і їх можна використовувати для введення шляхів
до папок, які потрібно відображати в панелі місць.
а) б)
Рис. 5. Редагування простої (а) та інших (б) політик ОС Windows 7
Шаблони безпеки
Існує ще один механізм управління конфігурацією безпеки ‒ шаблони
безпеки. Зрозуміло, за допомогою локальних політик безпеки ви можете
централізовано розгортати практично всі можливі налаштування для користувачів і
компʼютерів,
але мати уявлення про налаштування шаблонів безпеки просто необхідно, тому що
не у всіх випадках у вас вийде розгорнути на підприємстві потрібні налаштування
групових політик.
Сам по собі шаблон безпеки ‒ це заздалегідь збережений текстовий файл
з розширенням .inf, який містить набір параметрів конфігурації безпеки. Одним з основних
переваг шаблонів безпеки є гнучкість розгортання. Ви можете розгорнути шаблони
безпеки як в домені за допомогою об'єктів групової політики Active Directory, так і в невеликих офісах або домашньому оточенні (Small Office Home Office ‒ SOHO) з допомогою
оснащення «Аналіз та налаштування безпеки» або засобами утиліти командного
рядка Secedit.exe. Ще однією з
визначних особливостей даних шаблонів є те, що шаблони безпеки ‒ це
звичайні текстові файли, редагувати які ви можете навіть за допомогою
стандартної програми «Блокнот». Також не можна не відзначити той факт, що саме за допомогою
шаблонів безпеки Ви можете
провести аналіз відповідності
поточної конфігурації комп'ютера і налаштувань, що містяться у створених шаблонах безпеки.
Використання оснащення «Шаблони безпеки»
Відкрийте оснащення «Шаблони безпеки». Для цього виконайте такі дії:
- відкрийте
«Консоль управління MMC». Для цього
натисніть на кнопку «Пуск», у полі
пошуку введіть «mmc», а потім
натисніть на кнопку «Enter»;
- відкриється порожня консоль MMC. У меню «Консоль» виберіть
команду «Додати або видалити оснащення» або скористайтеся комбінацією клавіш
<Ctrl+M>;
- у діалозі «Додавання та видалення оснащення» виберіть оснащення «Шаблони безпеки» та натисніть на кнопку «Додати»;
- у діалозі «Додавання або видалення
оснащення» натисніть на
кнопку «ОК».
- для додавання
шаблону безпеки клацніть
ПКМ по створеній папці та оберіть «Створити шаблон».
- застосувати
шаблон можна за допомогою оснащення «Аналіз та налаштування безпеки» шляхом створення нової бази та імпорту даного шаблона.
При першому відкритті даного оснащення, в папці Documents вашого облікового
запису створюється папка Security з вкладеною папкою Templates. Саме в папці Templates
і зберігаються створені
вами шаблони безпеки.
Завдання до
виконання роботи
Завдання
1. Задання політики паролей.
1. Відкрити оснащення «Редактор локальної групової політики». Перейти в гілку «Конфігурація комп’ютера» => «Політика паролей», задати мінімальну
довжину пароля.
2. Після цього спробувати змінити власний пароль на такий, довжина якого менша за вказану в політиці, переконатись в неможливості такої дії. 3. Повторити такі дії з параметром «Пароль повинен відповідати
вимогам складності».
@ Відобразіть у звіті скріншоти процесу виконання завдання
та обгрунтуйте отримані результати.
Завдання
2. Задання політик блокування облікових записів.
1. Перейти
в гілку «Конфігурація комп’ютера» => «Політика блокування облікового запису», задати граничне значення блокування.
2. Після цього спробувати декілька разів зайти в систему з неправильним вводом пароля – переконатись
у спрацюванні блокування.
3. Увійти в систему як адміністратор – зняти блокування вручну з оснащення «Локальні користувачі і групи» у властивостях заблокованого облікового запису.
@ Відобразіть у звіті скріншоти процесу виконання завдання
та обгрунтуйте отримані результати.
Завдання
3. Налаштування привілеїв користувачів.
1. Перейти
в гілку «Конфігурація комп’ютера» => «Локальні політики» => «Призначення прав користувача», задати привілей на вимкнення комп’ютера тільки для групи адміністраторів.
2. Увійти до системи як користувач без адміністративних привілеїв; переконатись, що пункт «Вимкнути комп’ютер» зник з меню
«Пуск», крім того завершення
роботи системи з командного
рядка теж неможливе.
@ Відобразіть у звіті скріншоти процесу виконання завдання
та обгрунтуйте отримані результати.
Завдання
4. Налаштування параметрів панелі управління.
1. Оглянути вміст гілки «Адміністративні
шаблони» як для частини «Конфігурація комп’ютера», так і «Конфігурація
користувача». В
гілці «Панель управління»
=> «Екран» увімкнути політику видалення значка «Екран» з панелі управління.
2. Спробувати змінити параметри екрану. Переконатись, що політики діють
на усіх користувачів локальної системи.
@ Відобразіть у звіті скріншоти процесу виконання завдання
та обгрунтуйте отримані результати.
Завдання
5. Створення політик обмеженого запуску програм.
В політиці обмеженого запуску програм заборонити запуск будь-яких програм, переконатися
в забороні та зняти її.
@ Відобразіть у звіті скріншоти процесу виконання завдання.
Завдання
6. Включення діалогу стеження за завершенням роботи.
1. Щоб за допомогою групової політики включити відображення діалогу стеження за завершенням роботи перейдіть до гілки «Конфігурація комп’ютера» => «Адміністративні шаблони» => «Система».
2. Двічі клацніть на політиці «Відображати діалог стеження за завершенням роботи». Клікніть на перемикачі «Увімкнути». У списку «Діалог стеження за завершенням
роботи повинен відображатися» виберіть опцію «Завжди». Переконайтеся у зміні процесу завершення
роботи.
@ Відобразіть у звіті скріншоти процесу виконання завдання.
Завдання
7. Робота з шаблонами безпеки.
1. Відкрийти консоль mmc «Шаблони безпеки», створіть
новий шаблон безпеки.
2. На
власний розсуд задайте
політики безпеки та використовуючи оснащення «Аналіз та налаштування безпеки» застосуйте цей
шаблон.
@ Відобразіть у звіті скріншоти процесу виконання завдання
та обгрунтуйте отримані результати.
Контрольні запитання:
1.
Що таке групова політика?
2.
Які Ви знаєте способи редагування групових політик в ОС Windows 7?
3.
Які існують редактори групових політик в
ОС Windows 7 та як їх запустити?
4.
Розкажіть про оснащення «Шаблони безпеки».
5. Опишіть процес редагування групової політики.