| Лабораторная работа № 4. Изучение политики безопасности операционной системы Windows 2000 | |
| Автор: drug | Категория: Прочее | Просмотров: | Комментирии: 0 | 22-05-2013 15:34 |
Лабораторная работа № 4. Изучение политики безопасности операционной системы Windows 2000
1 Постановка задачи
1. Изучить структуру и назначение Active Directory и ее объектов.
2. Научиться управлять группами, компьютерами, учетными записями пользователей.
3. Изучить структуру и возможности групповых и локальных политик безопасности.
4. Научиться настраивать политику безопасности:
–политику учетных записей;
–глобальную и локальную политики безопасности;
–журнал событий и другие средства защиты и администрирования.
2 Теоретические предпосылки
Структура и назначение Active Directory и ее объектов.
Служба каталогов Active Directory является средством для именования, хранения и выборки информации в некоторой распределенной среде, доступное для приложений, пользователей и различных клиентов этой среды. Служба сетевых каталогов хранит информацию об общедоступных приложениях, файлах, принтерах и сведения о пользователях. [18]
Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности.
Единая регистрация в сети. Пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам (серверам, принтерам, приложениям, файлам и т. д.) независимо от их расположения в сети.
Безопасность информации. Средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети. Права доступа можно определять не только для каждого объекта каталога, но и каждого свойства (атрибута) объекта.
Централизованное управление. Администраторы могут централизованно управлять всеми корпоративными ресурсами.
Администрирование с использованием групповых политик. При загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик (GPO) и "привязываются" к сайтам, доменам или организационным единицам. Групповые политики определяют, например, права доступа к различным объектам каталога или ресурсам, а также множество других правил работы в системе.
Интеграция с DNS. Служба Active Directory тесно связана с DNS. Этим достигается единство в именовании ресурсов локальной сети и сети Интернет, в результате чего упрощается подключение пользовательской сети к Интернету.
Масштабируемость. Служба Active Directory может охватывать как один домен, так и множество доменов, один контроллер домена или множество контроллеров домена, т. е. она отвечает требованиям сетей любого масштаба. Несколько доменов можно объединить в дерево доменов, а несколько деревьев доменов можно связать в лес.
Стандартные интерфейсы. Для разработчиков приложений служба каталогов предоставляет доступ ко всем возможностям (средствам) каталога и поддерживает принятые стандарты и интерфейсы программирования (API). Служба каталогов тесно связана с операционной системой, что позволяет избежать дублирования в прикладных программах функциональных возможностей системы, например, средств безопасности.
Рассмотрим основные понятия, используемые в Active Directory.
Каталог состоит из элементов (entries), представляющих собой информацию, или атрибуты, связанные с некоторым реальным объектом, например компьютером, человеком или организацией.
Каждый объект принадлежит хотя бы к одному объектному классу, представляющему собой некоторое семейство объектов с определенными общими характеристиками. Класс объектов определяет тип информации, содержащейся в Active Directory для экземпляров (объектов) данного класса. Атрибуты могут быть как обязательными (mandatory) для данного класса (например, имя), так и дополнительными (optional) (пароль).
Контейнер (container) - это специфический объект службы каталогов, который, в отличие от обычных объектов, не имеет какого-либо физического представления, а служит только структурной организации других объектов каталога. Типичным примером контейнеров могут служить организационные единицы, или подразделения, используемые для упрощения администрирования отдельных групп ресурсов или пользователей в домене.
Элементы каталога организованы в виде иерархического дерева, называемого Directory Information Tree (DIT, Информационное дерево каталога или просто Дерево каталога). Элементы, находящиеся ближе к корню дерева, обычно представляют крупные объекты, например, организации или компании; элементы, располагающиеся на ветвях этого дерева (листья), представляют более простые объекты - пользователей, устройства, компьютеры.
Схема каталога (Directory Schema) - это набор правил, описывающих структуру дерева каталога, объявления и синтаксис объектных классов и типы атрибутов, входящих в каталог.
Схема каталога гарантирует, что все добавления или изменения каталога соответствуют данным правилам, и препятствует появлению некорректных элементов, ошибочных типов атрибутов или классов.
В Active Directory схема реализована как набор экземпляров объектных классов, хранящийся в самом каталоге. Этим Active Directory отличается от многих каталогов, в которых схема хранится в текстовом файле, считываемом при запуске каталога. Когда схема хранится в каталоге, пользовательские приложения могут обращаться к ней и узнавать об имеющихся объектах и свойствах. Схему Active Directory можно динамически обновлять: модифицировать и расширять.
Основные компоненты любой службы каталога - база данных, содержащая нужную информацию, и один или несколько протоколов, обеспечивающих доставку данных пользователям.
Active Directory обеспечивает хранение любой общедоступной информации. Как и другие службы каталогов, Active Directory обеспечивает некоторый механизм хранения информации и протоколы для доступа к ней.
Компьютеры на базе Windows 2000 объединяются в домены. Домены - это известное решение для администрирования групп, предоставляющее каждому пользователю учетную запись в конкретном домене. Однако, в отличие от Windows NT Server 4.0, где доменам давались простые строковые имена (имена NetBIOS), в среде Windows 2000 Server каждый домен должен иметь имя, отвечающее соглашениям именования доменов Domain Name System (DNS). В каждом домене один или несколько компьютеров должны выполнять функции контроллеров домена.
В среде Windows 2000 Server каждый контроллер домена содержит полную копию базы данных Active Directory этого домена. В Active Directory используются так называемое ядро Extended Storage Engine (ESE) и два различных протокола, обеспечивающих связь между клиентами и базой данных. Для поиска контроллера домена клиент обращается к протоколу, описанному в DNS. Для доступа к данным в Active Directory клиент использует протокол Lightweight Directory Access Protocol (LDAP).
В большинстве современных сетей TCP/IP используется служба DNS, главное назначение которой преобразовывать символьные имена в IP-адреса. Для этого каждый компьютер-сервер DNS имеет набор записей с информацией о ресурсах. Каждая запись имеет некоторый тип, определяющий характер и назначение хранящейся информации. Интеграцию служб Active Directory и DNS можно рассматривать в трех аспектах:
–домены Active Directory и домены DNS имеют одинаковую иерархическую структуру и схожее пространство имен;
–зоны (zone) DNS могут храниться в Active Directory. Если используется сервер DNS, входящий в состав Windows 2000 Server, то первичные зоны (primary zone), занесенные в каталог, реплицируются на все контроллеры домена, что обеспечивает лучшую защищенность службы DNS.
Каждый элемент Active Directory и каждый атрибут любого элемента имеют список управления доступом (ACL), который определяет права и возможности пользователей в отношении доступа к конкретным элементам и атрибутам. Например, список ACL может позволить одним пользователям читать атрибуты некоторого элемента, другим пользователям – читать и изменять некоторые из атрибутов, а остальным – запретить какой-либо доступ к элементу. Эффективное управление доступом невозможно без достоверной аутентификации клиентов, Active Directory использует для этой цели протокол Kerberos.
Управление подразделениями, компьютерами, группами и учетными записями пользователей.
Для управления учетными записями пользователей и компьютерами следует вначале войти в раздел администрирования (Administrative Tools) и выбрать Active Directory Users and Computers (рисунок 7.1).
Рисунок 7.1
Создание подразделения (организационной единицы).
Для создания подразделения, или организационной единицы (Organizational Unit, OU) следует:
1. Выделить объект типа "домен" (на рисунке 1 домен имеет название ito.net.osu.ru) и нажмать правую кнопку мыши. В появившемся меню выберать команду Создать | Подразделение (New | Organizational Unit). Можно воспользоваться панелью инструментов и кнопкой Создание нового подразделения в текущем контейнере (Create a new organizational unit in a current container) на панели инструментов.
2. В открывшемся окне указать имя создаваемого подразделения и нажмите кнопку ОК.
В результате в выбранном вами домене будет создано подразделение с заданным именем. В дальнейшем внутри него можно создать вложенные подразделения.
На рисунке 7.1 представлено несколько подразделений – comp3311a, other, Support, Domain Controllers.
Создание группы.
В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Их можно использовать для присвоения администраторам или пользователям определенных ролей или прав доступа в домене.
К встроенным относятся перечисленные ниже группы. Эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.
Локальные группы в домене:
–Администраторы (Administrators);
–Гости (Guests);
–Операторы архива (Backup Operators);
–Операторы печати (Print Operators);
–Операторы сервера (Server Operators);
–Операторы учета (Account Operators);
–Пользователи (Users);
–Репликатор (Replicator).
–Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess).
Глобальные группы:
–Администраторы домена (Domain Admins);
–Владельцы-создатели групповой политики (Group Policy Creator Owners);
–Гости домена (Domain Guests);
–Издатели сертификатов (Cert Publishers);
–Компьютеры домена (Domain Computers);
–Контроллеры домена (Domain Controllers);
–Пользователи домена (Domain Users);
Универсальные группы:
–Администраторы предприятия (Enterprise Admins);
–Администраторы схемы (Schema Admins).
Универсальные группы создаются только на контроллерах корневого (первого в лесе) домена. В зависимости от установленных на сервере служб могут быть и дополнительные встроенные группы, локальные в домене или глобальные. По умолчанию все встроенные локальные группы домена находятся в папке Builtin объекта домена (рисунок 7.2). Все встроенные глобальные группы находятся в папке Users. Встроенные группы можно переносить в другие контейнеры или подразделения в пределах домена.
Рисунок 7.2
По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.
Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.
Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.
Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.
Помимо перечисленных выше встроенных групп администратор может создать любое количество групп пользователей и предоставить им необходимый набор прав и разрешений. Для создания группы необходимо выполнить следующее:
1. Выбрать подразделение, где следует создать группу, и нажмите правую кнопку мыши. Выберать в появившемся меню команду Создать | Группа (Group), либо нажать кнопку Создание новой группы в текущем контейнере (Create New Group in a Current Container) на панели инструментов.
2. В открывшемся окне диалога Новый объект – Группа (New Object - Group) в поле Имя группы (Group name) ввести имя создаваемой группы.
3. Установить переключатель Тип группы (Group type) в одно из положений, соответствующее типу создаваемой группы: Группа безопасности (Security) или Группа распространения (Distribution). Первый тип группы служит для предоставления пользователям определенного набора прав доступа к таким ресурсам сети, как файлы и принтеры. Второй тип группы служит только для распространения информации в сети, например в качестве списков рассылки электронной почты. Следует отметить, что группы безопасности могут использоваться в качестве групп распространения.
4. Установив в одно из положений переключатель Область действия группы (Group scope), выберать подходящую область действия создаваемой группы. Область действия группы определяет, где может быть видна данная группа (уровень доступности) и какие типы объектов могут быть ее членами, и может быть выбрана как:
–локальная в домене (Domain Local): пользователи, а также глобальные и универсальные группы из всего леса, другие локальные группы из этого же домена;
–глобальная (Global): пользователи, а также глобальные и универсальные группы;
–универсальная (Universal): пользователи и глобальные группы (только в основном режиме домена).
Создание учетной записи пользователя.
Для создания в домене учетной записи пользователя, предположим с идентификатором popov_as, необходимо выполнить следующее:
1. Указать подразделение, в котором следует создать учетную запись, и нажмите правую кнопку мыши. В появившемся меню выберать команду Создать | Пользователь.
2. В окне диалога Новый объект - Пользователь (New Object - User) в поле Имя входа пользователя (User logon name) ввести уникальный идентификатор, в поле Имя (First name) - имя пользователя, в поле Фамилия (Last name) - фамилию пользователя, в поле Полное имя (Full name) автоматически появятся имя и фамилия пользователя (рисунок 7.3). После ввода всей необходимой информации нажать кнопку Далее (Next).
Рисунок 7.3
3. В следующем окне в полях ввода Пароль (Password) и Подтверждение (Confirm password) введисти с клавиатуры пароль учетной записи пользователя.
4. Если необходима принудительная смена пароля при первой регистрации в сети, установить флажок Потребовать смену пароля при следующем входе в систему (User must change password at next logon). С целью защиты от атак по подбору пароля, следует установить срок действия пароля пользователя, сбросив флажок Срок действия пароля не ограничен (Password never expires).
6. Установленный флажок Запретить смену пароля пользователем (User cannot change password) запрещает пользователю самостоятельно изменять свой пароль.
7. Если только что созданная учетная запись по каким-либо причинам должна быть заблокирована, установить флажок Отключить учетную запись (Account disabled).
8. По завершении настройки создаваемой учетной записи нажмать кнопку Далее.
9. В окне диалога, запрашивающего подтверждение правильности выполняемого действия, нажмать кнопку Готово (Finish).
Для ввода дополнительной информации или изменения некоторых данных пользователя:
1. Указать учетную запись пользователя, информацию которой следует изменить, и нажмите правую кнопку мыши. В появившемся меню выберать команду Свойства.
2. Внести необходимые изменения и нажмите кнопку ОК.
Перемещение учетной записи пользователя.
Учетную запись пользователя можно перемещать из одного подразделения в другое в пределах одного домена или между доменами. Для соответствующего перемещения учетной записи этого пользователя следует воспользоваться технологией Drag and Drop (перетаскивание), применяемой практически ко всем визуальным объекта операционной системы семейства Windows.
Добавление пользователя в группу.
1. Указать группу, в которую необходимо добавить пользователя, и нажмите правую кнопку мыши. В появившемся меню выберать команду Свойства. Появится окно свойств группы.
2. Перейти на вкладку Члены группы (Members) окна свойств и нажать кнопку Добавить.
3. Появится окно Выбор: Пользователи, Контакты или Компьютеры (Select Users, Contacts, or Computers). Здесь можно задать область выполнения запроса: весь каталог, определенный домен или определенная часть дерева подразделения внутри домена. Обратите внимание, что каталог может состоять из множества доменов.
4. Выбрать имя добавляемого пользователя и нажать кнопку Добавить. Обратите внимание, что, нажав клавишу
В результате все выбранные объекты станут членами соответствующей группы.
Удаленное управление компьютерами.
После создания объекта "компьютер" можно управлять им удаленно, диагностируя службы, работающие на этом компьютере, просматривая события и т. д.
Для того чтобы управлять компьютером удаленно:
1. В окне оснастки Active Directory- Пользователи и компьютеры укажите имя компьютера и нажать правую кнопку мыши. В появившемся меню выберать команду Управление (Manage).
2. Для выбранного компьютера будет запущена оснастка Управление компьютером (Computer Management).
Делегирование прав администрирования.
Как правило, сети больших предприятий на платформе Windows 2000 обладают чрезвычайно разветвленным деревом каталога. Большое количество ветвей, а также наличие достаточно автономных площадок организации, включенных в общее дерево каталога, усложняют управление. Администрирование сети, каталог которой состоит из десятков тысяч объектов, не может безопасно осуществляться одним или несколькими администраторами, имеющими права доступа ко всем объектам.
В подобных случаях следует применять делегирование прав администрирования. Это чрезвычайно мощный инструмент, который в больших организациях позволяет более эффективно сконфигурировать систему безопасного администрирования. С его помощью управление отдельными областями сети смогут осуществлять специально назначенные ответственные лица - администраторы. При делегировании прав администрирования очень важно наделять ответственных лиц полномочиями, позволяющими выполнять функции администратора только в пределах их зоны ответственности, они не должны иметь возможность администрировать объекты каталога, находящиеся в других частях сети организации.
Права на создание новых пользователей или групп предоставляются на уровне подразделения или контейнера, в котором будут создаваться учетные записи. Администраторы групп одного подразделения могут не иметь прав на создание и управление учетными записями другого подразделения в том же домене. Однако, если права доступа и настройки политик получены на более высоком уровне дерева каталога, они могут распространяться вниз по дереву благодаря механизму наследования прав доступа.
Делегирование управления объектами групповой политики.
С помощью инструментов управления Active Directory администратор может делегировать другим пользователям и группам право управления частью каталога. Это в полной мере относится и к объектам групповой политики, в отношении которых могут быть, в частности, делегированы следующие права:
–управление связями GPO с сайтом, доменом или подразделением (организационной единицей). Для этого с помощью инструмента управления Active Directory следует указать объект (сайт, домен или организационную единицу) и щелкнуть правой кнопкой мыши. В появившемся контекстном меню выбрать команду Делегирование управления (Delegate Control). Запустится Мастер делегирования управления (Delegation of Control Wizard). С его помощью можно выбрать объект групповой политики, группу или пользователя, которому должны быть делегированы права, а также и само право (в данном случае Управление ссылками групповой политики (Manage Group Policy links));
–создание и удаление всех дочерних объектов групповой политики. По умолчанию правом создания объектов в GPO обладают администраторы домена (Domain Admins) и администраторы предприятия (Enterprise Admins), а также операционная система. Для делегирования пользователю права управления объектами групповой политики домена необходимо включить его в группу «Создатели-владельцы групповой политики» (Group Policy Creator Owners);
–редактирование свойств объектов групповой политики. По умолчанию правом редактирования GPO обладают администраторы домена, администраторы предприятия и операционная система. Для делегирования пользователю права редактирования объекта групповой политики необходимо включить его в одну из указанных групп безопасности.
Чтобы позволить группе или пользователю управлять некоторым подразделением (контейнером):
1. Запустите Active Directory - Пользователи и компьютеры.
2. Укажите подразделение, управление которым необходимо передать, и нажмите правую кнопку мыши. В появившемся меню выберите команду Делегировать управление (Delegate control). Запустится Мастер делегирования управления (Delegation of Control Wizard). Нажмите кнопку Далее.
3. В следующем окне мастера нажмите кнопку Добавить и выберите пользователя или группу, которой вы хотите разрешить управление подразделением, нажмите кнопку ОК и затем кнопку Далее.
4. В открывшемся окне диалога мастера делегирования управления в окне со списком Делегировать следующие обычные задачи (Delegate the following common tasks) выберите одну или несколько операций, право выполнения которых делегируется указанному пользователю или группе. Если нужно делегировать право выполнения более специализированной задачи, установите переключатель Создать особую задачу для делегирования (Create a custom task to delegate). Нажмите кнопку Далее.
5. Если указана особая задача для делегирования в следующем окне, можно выбрать область применения для этой задачи: положение переключателя Этой папкой и существующими в ней объектами, созданием новых объектов в этой папке (This folder, existing objects in this folder, and creation of new objects in this folder), в этом случае вы передадите группе право на администрирование всего контейнера, или положение Только следующими объектами в этой папке (Only the following objects in the folder) и установить флажки возле нужных объектов, в этом случае группа сможет управлять только выбранными объектами. Затем нажмите кнопку Далее.
6. В открывшемся окне определяются делегируемые разрешения. Можно отображать и устанавливать общие разрешения или разрешения для отдельных свойств или дочерних объектов. В пределах контейнера можно делегировать не все, а только некоторые права администрирования: например, можно делегировать только права на модификацию (чтение-запись) выбранного контейнера без дочерних объектов. Задайте нужные разрешения и нажмите кнопку Далее.
7. В следующем окне сводки выводится информация о выбранных действиях. Можно вернуться назад и скорректировать параметры. Если все правильно, нажмите кнопку Готово.
Эффективное функционирование многопользовательской операционной системы невозможно без четкого разграничения доступа к ресурсам. Одним из средств, позволяющих настраивать параметры безопасной работы пользователей в сети в операционных системах семейства Windows (NT, 2000, XP и выше), являются политики безопасности.
Реализация политик безопасности в Windows 2000 предоставляет достаточно широкие возможности, в том числе настройку политики безопасности для всего дерева доменов. Установив политику безопасности в одном месте, администраторы могут контролировать безопасность всех рабочих станций домена. Политики безопасности в Windows 2000 реализуются с помощью средств групповых политик (group policy).
Групповая политика имеет следующие преимущества:
–основываясь на службе Active Directory системы Windows 2000, позволяет как централизованно, так и децентрализованно управлять параметрами политики;
–обладает гибкостью и масштабируемостью. Может быть применена в широком наборе конфигураций системы, предназначенных как для малого бизнеса, так и для больших корпораций;
–обладает высокой степенью надежности и безопасности;
–групповые политики расширяют и используют преимущества Active Directory. Их настройки находятся в объектах групповых политик (Group Policy Object, GPO), которые в свою очередь ассоциируются с такими контейнерами Active Directory, как сайты, домены и подразделения (организационные единицы).
Для запуска объекта Групповая политика (рисунок 7.4) следует выполнить следующие действия:
1) выбрать объект Active Directory, для которого необходимо установить групповую политику безопасности (на рисунке 7.4 – для всего контролера домена) и правой кнопкой мыши вызвать контекстное меню;
2) выбрать элемент Свойства (Properties);
3) в диалоговом окне свойств выбрать вкладку Групповая политика (Group Policy);
4) для модификации глобальной политики следует выбрать кнопку Edit, если политика еще не была создана – New и ввести имя, либо воспользоваться тем, которое предлагает система.
Рисунок 7.4
Создать групповую политику для контейнера Active Directory можно только при наличии определенного набора условий. Необходимо иметь работающий контроллер домена Windows 2000. Пользователь, который создает групповую политику, должен обладать правами на чтение и запись в системный том контроллеров домена (папка Sysvol). Кроме того, он должен иметь право модификации выбранного контейнера Active Directory.
После выбранных действий загружается корневой узел (рисунок 7.5), представляющий собой GPO, присоединенный к определенному контейнеру.
Имя этого GPO и имя контейнера, к которому он присоединен, отображаются в окне структуры в следующем формате:
Имя_политики [Имя_домена] Policy
Рисунок 7.5
Затем пространство имен подразделяется на два узла более низкого уровня: «Конфигурация компьютера» (Computer Configuration) и «Конфигурация пользователя» (User Configuration). Используя их, можно создавать и настраивать групповые политики для компьютера и пользователей.
Узел «Конфигурация компьютера» содержит параметры всех политик, определяющих работу компьютера. Они регулируют функционирование операционной системы, вид рабочего стола, задают параметры выполняемых приложений, определяют работу средств обеспечения безопасности и т. д. Групповая политика применяется к рабочей станции домена на этапе загрузки системы и в дальнейшем при выполнении циклов обновления.
Узел «Конфигурация пользователя» содержит параметры всех политик, определяющих работу пользователя на компьютере. Они регулируют вид рабочего стола как и в предыдущем случае, задают параметры выполняющихся приложений, определяют работу средств обеспечения безопасности и пользовательских сценариев входа и выхода. Групповая политика применяется к пользователю при его регистрации и в дальнейшем при выполнении циклов обновления.
Опишем некоторые расширения объекта «Групповая политика»:
–административные шаблоны. (Administrative Templates). Здесь находится групповая политика, определяющая параметры реестра, задающие работу и внешний вид рабочего стола, компонент операционной системы и приложений;
–параметры безопасности (Security Settings). Служит для настройки параметров системы безопасности компьютеров, на которые воздействует данный объект групповой политики. С помощью групповых политик можно настроить безопасность индивидуального компьютера, домена и целой сети;
–установка программ (Software Installation). Служит для централизованного управления программным обеспечением организации. С его помощью можно задавать различные режимы установки новых программ на компьютеры пользователей;
–сценарии (Scripts). Сценарии используются для автоматического выполнения набора команд при загрузке операционной системы и в процессе завершения ее работы, а также при регистрации и отключении пользователя от сети. Для выполнения сценариев, написанных на Microsoft JScript и Microsoft Visual Basic Scripting Edition, можно применять сервер сценариев (Windows Scripting Host);
–перенаправление папок (Folder Redirection). Позволяет перенаправлять обращение к специальным папкам в сеть.
С помощью расширения «Параметры безопасности» (рисунок 7.6) в GPO можно определить параметры политики безопасности, определяющие различные аспекты работы системы безопасности Windows 2000. Созданная в объекте групповой политики конфигурация воздействует на все компьютеры, находящиеся в контейнере, к которому присоединен данный GPO.
Расширение «Параметры безопасности» позволяет настраивать следующие аспекты системы безопасности компьютера:
–политики учетных записей (Account Policies). Можно настраивать политики безопасности как учетных записей в масштабах домена, так и локальных учетных записей. Здесь определяются политика паролей, политика блокировки паролей и политика Kerberos, распространяющаяся на весь домен;
–локальные политики (Local Policies). Можно настраивать политику аудита, назначать права пользователей и различные параметры безопасности, доступные для настройки в системе Windows 2000;
–журнал событий (Event Log). Можно настраивать политики безопасности, определяющие работу журналов событий приложений, системы и безопасности;
–группы с ограниченным доступом (Restricted Groups). Можно регулировать членство пользователей в специфических группах. Сюда обычно включают встроенные группы, такие как Администраторы, Операторы архива и другие, имеющие по умолчанию права администратора. В эту категорию могут быть включены и другие группы, безопасность которых требует особого внимания и членство в которых должно регулироваться на уровне политики;
–системные службы (System Services). Можно настраивать безопасность и параметры загрузки для работающих на компьютере служб. В этом разделе могут быть использованы расширения, с помощью которых можно осуществлять настройку безопасности, специфическую для данной службы. Например, расширение File Sharing Service позволяет настраивать политику безопасности для службы создания общего доступа к файлу (ограничение анонимного доступа к общим ресурсам, формирование безопасности различных сетевых общих ресурсов и т. д.);
–реестр (Registry). Можно настраивать безопасность различных разделов реестра;
–файловая система (File System). Можно настраивать безопасность определенных файлов;
–политики открытого ключа (Public Key Policies). Можно настраивать политики безопасности в отношении шифрования информации с помощью EFS, авторизации корневого сертификата в масштабах домена, авторизации доверенного сертификата и т. д.;
–политики безопасности IP (IPSEC). Позволяет настраивать политику безопасности IP для компьютеров.
Рисунок 7.6
Политики безопасности, определяемые расширением «Параметры безопасности», действуют на компьютеры и частично на пользователей. Поскольку политика безопасности Windows 2000 значительно отличается от политик предыдущих версий Windows NT, при переходе к Windows 2000 низкоуровневые политики безопасности не переносятся. Если при переходе создается новое дерево доменов, одновременно создается и новая политика безопасности, назначаемая по умолчанию. Если при переходе домен присоединяется к уже существующему дереву, политика безопасности берется от родительского домена.
Для модификации настроек безопасности щелкните на папке «Параметры безопасности», затем щелчками на соответствующих узлах откройте весь путь, ведущий к интересующим настройкам. В правом подокне окна «Групповая политика» двойным щелчком выберите настраиваемую политику и в открывшемся окне настройте ее.
Рассмотрим работу указанных расширений на конкретных примерах.
1. Настройка политики паролей.
Предположим, нам необходимо установить следующие правила политики паролей и блокировки:
–минимальная длина пароля – 8 символов;
–максимальный срок действия пароля – 30 дней;
–блокировать консоль после трех неудачных попыток входа.
Для реализации указанных правил выполним следующие действия:
1) откроем глобальную политику безопасности домена (см. выше) и расширение «Политики безопасности» (Security Settings);
2) выберем пункт «Политика учетных записей» (Account Policies), а затем политику паролей (Password Policy);
3) в правой части окна появится полный список правил, поддерживаемых политикой безопасности Windows 2000;
4) найдем требуемые правила:
а) минимальная длина пароля (Minimum password length);
б) максимальный срок действия пароля (Maximum password age);
установим требуемые значения, вызвав соответствующие диалоговые окна двойным щелчком мыши на названии правила;
5) для установки параметра блокировки перейдем в раздел политики блокировки учетных записей (Account Lockout Policy), выберем необходимое правило в правой части окна – Account lockout threshold – и установим требуемое значение – три.
2. Политика учетных записей.
Предположим, нам необходимо разрешить всем пользователям домена использовать привилегию изменения системного времени. Для этого следует выполнить:
1) откроем глобальную политику безопасности домена (см. выше) и расширение «Политики безопасности» (Security Settings);
2) выберем пункт «Локальные политики» (Local Policies), а затем политику назначения прав пользователей (User Rights Assignment);
3) в правой части окна выберем требуемое правило – Change the system time (рисунок 7.7) и добавим пользователя Все (Evryone).
Рисунок 7.7
Применение групповых политик происходит в последовательности, соответствующей иерархии GPO: сначала объект групповой политики сайта, затем домена, затем GPO, связанные с подразделениями в соответствии с их вложенностью. Порядок выполнения групповых политик можно изменить с помощью настроек, блокирующих определенные групповые политики или заставляющих их выполняться принудительно. Кроме того, на порядок выполнения групповых политик влияет применение групп безопасности.
По умолчанию настройки групповой политики, применяемые к контейнеру определенного уровня, наследуются всеми контейнерами более низких уровней и находящимися внутри них пользователями и компьютерами. Если с дочерней организационной единицей (контейнером) связан свой GPO, он может устанавливать для нее индивидуальные настройки групповых политик, отменяющие применение к ней наследуемых настроек. Если некоторые настройки групповых политик родительского контейнера не заданы (not defined), то они не наследуются и дочерними контейнерами. Если родительский контейнер обладает сконфигурированными настройками групповых политик, которые не заданы в GPO дочернего контейнера, то такие настройки наследуются.
Наследование настроек групповых политик родительского контейнера дочерним контейнером, с которым связан собственный объект групповой политики, может иметь место только в случае совместимости этих групповых политик. Например, если политика родительского контейнера задает определенную конфигурацию рабочего стола компьютера пользователя, а политика дочернего контейнера дополняет ее, пользователь увидит на своем рабочем столе все элементы, заданные обеими политиками. Если же групповая политика родительского контейнера противоречит групповой политике дочернего контейнера, выполняются только настройки GPO, связанного с дочерним контейнером.
Подобное положение вещей может быть изменено. Установка флажка Блокировать наследование политики (Block Policy inheritance), находящегося на вкладке Групповая политика окна свойств некоторого контейнера, запрещает наследование каких-либо групповых политик, установленных для родительского контейнера.
Существует средство, позволяющее установить принудительное применение групповой политики, настроенной для некоторого контейнера, всеми контейнерами более низкого уровня. Для этого на вкладке Групповая политика окна свойств контейнера следует нажать кнопку Параметры (Options). В появившемся окне диалога Параметры необходимо установить флажок Не перекрывать (No override). В этом случае дочерние контейнеры будут наследовать (т. е. не смогут переопределить) все настройки родительского контейнера, даже в том случае, если для дочерних контейнеров установлен флажок Блокировать наследование политики.
По умолчанию групповая политика применяется синхронно, т. е. политики компьютера применяются до появления окна «Вход в Windows» (Log on to Windows), а политики пользователя – до передачи операционной системой управления оболочке, интерактивно взаимодействующей с пользователем. Подобный порядок можно изменить, однако делать это не рекомендуется, поскольку асинхронное применение групповых политик может привести к непредсказуемым и нежелательным результатам.
Применение групповых политик не ограничивается только, например, моментом загрузки операционной системы компьютера или регистрацией пользователя в системе. При работе компьютера в сети групповые политики могут измениться, поэтому они применяются периодически (по умолчанию – каждые 90 минут). Длительность периода применения политик можно изменять. Если задать его равным нулю, групповые политики применяются через каждые 7 секунд. Следует учитывать, что при уменьшении периода применения групповых политик значительно увеличивается нагрузка на систему. На контроллерах доменов период применения политик равен 5 минутам.
Настройки расширений Установка программ и Переназначение папки применяются только при загрузке операционной системы или регистрации пользователя в системе, поскольку периодическое применение этих групповых политик может вызвать нежелательные результаты.
3 Вопросы и задания к лабораторной работе № 4
Вопросы:
1. Назначение Active Directory и основные возможности.
2. Какова структура Active Directory?
3. Для чего используются организационные единицы, когда и с какой целью их следует создавать?
4. Какие группы пользователей операционная система Windows 2000 создает по умолчанию?
5. Может ли один и тот же пользовать входить в разные группы?
6. В каких случаях следует использовать делегирование прав?
7. Какие права могут быть делегированы?
8. Пользователям каких групп можно делегировать права?
9. Какие виды политик безопасности поддерживаются в Windows 2000, сферы их применения?
10. Какие параметры безопасности можно настроить в глобальной политике безопасности?
11. Как взаимодействуют между собой глобальная и локальная политики безопасности?
12. Какие правила наследования политик безопасности поддерживаются?
Задания:
1. Создать новую организационную единицу (имя выбрать произвольно, например, my_unit).
2. Создать новую группу.
3. Создать в организационной единице трех новых пользователей: для всех потребовать смену пароля при входе и ограничить срок действия пароля. Одного из пользователей включить в новую группу.
4. Делегировать права на созданную организационную единицу пользователю из новой группы.
5. Установить максимальный срок действия пароля – 30 дней.
6. При вводе нового пароля требовать его неповторяемость. Хранить в системе 2 предыдущих пароля.
7. Установить минимальную длину пароля – 10 символов.
8. Установить аудит успеха для событий входа в систему.
9. Назначить возможность выключения системы только для администраторов.
10. Разрешить вход в систему только для членов группы "Администраторы" и пользователя "_________".
11. Разрешить доступ к компьютеру из сети только для пользователя "___________".
12. Блокировать консоль пользователя после ввода двух неверных паролей на 5 минут.
13. Отображать последнее имя пользователя при диалоге входа в систему.
14. Разрешить пользователю "________" изменять политику аудита системы.
1 Постановка задачи
1. Изучить структуру и назначение Active Directory и ее объектов.
2. Научиться управлять группами, компьютерами, учетными записями пользователей.
3. Изучить структуру и возможности групповых и локальных политик безопасности.
4. Научиться настраивать политику безопасности:
–политику учетных записей;
–глобальную и локальную политики безопасности;
–журнал событий и другие средства защиты и администрирования.
2 Теоретические предпосылки
Структура и назначение Active Directory и ее объектов.
Служба каталогов Active Directory является средством для именования, хранения и выборки информации в некоторой распределенной среде, доступное для приложений, пользователей и различных клиентов этой среды. Служба сетевых каталогов хранит информацию об общедоступных приложениях, файлах, принтерах и сведения о пользователях. [18]
Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности.
Единая регистрация в сети. Пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам (серверам, принтерам, приложениям, файлам и т. д.) независимо от их расположения в сети.
Безопасность информации. Средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети. Права доступа можно определять не только для каждого объекта каталога, но и каждого свойства (атрибута) объекта.
Централизованное управление. Администраторы могут централизованно управлять всеми корпоративными ресурсами.
Администрирование с использованием групповых политик. При загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик (GPO) и "привязываются" к сайтам, доменам или организационным единицам. Групповые политики определяют, например, права доступа к различным объектам каталога или ресурсам, а также множество других правил работы в системе.
Интеграция с DNS. Служба Active Directory тесно связана с DNS. Этим достигается единство в именовании ресурсов локальной сети и сети Интернет, в результате чего упрощается подключение пользовательской сети к Интернету.
Масштабируемость. Служба Active Directory может охватывать как один домен, так и множество доменов, один контроллер домена или множество контроллеров домена, т. е. она отвечает требованиям сетей любого масштаба. Несколько доменов можно объединить в дерево доменов, а несколько деревьев доменов можно связать в лес.
Стандартные интерфейсы. Для разработчиков приложений служба каталогов предоставляет доступ ко всем возможностям (средствам) каталога и поддерживает принятые стандарты и интерфейсы программирования (API). Служба каталогов тесно связана с операционной системой, что позволяет избежать дублирования в прикладных программах функциональных возможностей системы, например, средств безопасности.
Рассмотрим основные понятия, используемые в Active Directory.
Каталог состоит из элементов (entries), представляющих собой информацию, или атрибуты, связанные с некоторым реальным объектом, например компьютером, человеком или организацией.
Каждый объект принадлежит хотя бы к одному объектному классу, представляющему собой некоторое семейство объектов с определенными общими характеристиками. Класс объектов определяет тип информации, содержащейся в Active Directory для экземпляров (объектов) данного класса. Атрибуты могут быть как обязательными (mandatory) для данного класса (например, имя), так и дополнительными (optional) (пароль).
Контейнер (container) - это специфический объект службы каталогов, который, в отличие от обычных объектов, не имеет какого-либо физического представления, а служит только структурной организации других объектов каталога. Типичным примером контейнеров могут служить организационные единицы, или подразделения, используемые для упрощения администрирования отдельных групп ресурсов или пользователей в домене.
Элементы каталога организованы в виде иерархического дерева, называемого Directory Information Tree (DIT, Информационное дерево каталога или просто Дерево каталога). Элементы, находящиеся ближе к корню дерева, обычно представляют крупные объекты, например, организации или компании; элементы, располагающиеся на ветвях этого дерева (листья), представляют более простые объекты - пользователей, устройства, компьютеры.
Схема каталога (Directory Schema) - это набор правил, описывающих структуру дерева каталога, объявления и синтаксис объектных классов и типы атрибутов, входящих в каталог.
Схема каталога гарантирует, что все добавления или изменения каталога соответствуют данным правилам, и препятствует появлению некорректных элементов, ошибочных типов атрибутов или классов.
В Active Directory схема реализована как набор экземпляров объектных классов, хранящийся в самом каталоге. Этим Active Directory отличается от многих каталогов, в которых схема хранится в текстовом файле, считываемом при запуске каталога. Когда схема хранится в каталоге, пользовательские приложения могут обращаться к ней и узнавать об имеющихся объектах и свойствах. Схему Active Directory можно динамически обновлять: модифицировать и расширять.
Основные компоненты любой службы каталога - база данных, содержащая нужную информацию, и один или несколько протоколов, обеспечивающих доставку данных пользователям.
Active Directory обеспечивает хранение любой общедоступной информации. Как и другие службы каталогов, Active Directory обеспечивает некоторый механизм хранения информации и протоколы для доступа к ней.
Компьютеры на базе Windows 2000 объединяются в домены. Домены - это известное решение для администрирования групп, предоставляющее каждому пользователю учетную запись в конкретном домене. Однако, в отличие от Windows NT Server 4.0, где доменам давались простые строковые имена (имена NetBIOS), в среде Windows 2000 Server каждый домен должен иметь имя, отвечающее соглашениям именования доменов Domain Name System (DNS). В каждом домене один или несколько компьютеров должны выполнять функции контроллеров домена.
В среде Windows 2000 Server каждый контроллер домена содержит полную копию базы данных Active Directory этого домена. В Active Directory используются так называемое ядро Extended Storage Engine (ESE) и два различных протокола, обеспечивающих связь между клиентами и базой данных. Для поиска контроллера домена клиент обращается к протоколу, описанному в DNS. Для доступа к данным в Active Directory клиент использует протокол Lightweight Directory Access Protocol (LDAP).
В большинстве современных сетей TCP/IP используется служба DNS, главное назначение которой преобразовывать символьные имена в IP-адреса. Для этого каждый компьютер-сервер DNS имеет набор записей с информацией о ресурсах. Каждая запись имеет некоторый тип, определяющий характер и назначение хранящейся информации. Интеграцию служб Active Directory и DNS можно рассматривать в трех аспектах:
–домены Active Directory и домены DNS имеют одинаковую иерархическую структуру и схожее пространство имен;
–зоны (zone) DNS могут храниться в Active Directory. Если используется сервер DNS, входящий в состав Windows 2000 Server, то первичные зоны (primary zone), занесенные в каталог, реплицируются на все контроллеры домена, что обеспечивает лучшую защищенность службы DNS.
Каждый элемент Active Directory и каждый атрибут любого элемента имеют список управления доступом (ACL), который определяет права и возможности пользователей в отношении доступа к конкретным элементам и атрибутам. Например, список ACL может позволить одним пользователям читать атрибуты некоторого элемента, другим пользователям – читать и изменять некоторые из атрибутов, а остальным – запретить какой-либо доступ к элементу. Эффективное управление доступом невозможно без достоверной аутентификации клиентов, Active Directory использует для этой цели протокол Kerberos.
Управление подразделениями, компьютерами, группами и учетными записями пользователей.
Для управления учетными записями пользователей и компьютерами следует вначале войти в раздел администрирования (Administrative Tools) и выбрать Active Directory Users and Computers (рисунок 7.1).
Рисунок 7.1
Создание подразделения (организационной единицы).
Для создания подразделения, или организационной единицы (Organizational Unit, OU) следует:
1. Выделить объект типа "домен" (на рисунке 1 домен имеет название ito.net.osu.ru) и нажмать правую кнопку мыши. В появившемся меню выберать команду Создать | Подразделение (New | Organizational Unit). Можно воспользоваться панелью инструментов и кнопкой Создание нового подразделения в текущем контейнере (Create a new organizational unit in a current container) на панели инструментов.
2. В открывшемся окне указать имя создаваемого подразделения и нажмите кнопку ОК.
В результате в выбранном вами домене будет создано подразделение с заданным именем. В дальнейшем внутри него можно создать вложенные подразделения.
На рисунке 7.1 представлено несколько подразделений – comp3311a, other, Support, Domain Controllers.
Создание группы.
В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Их можно использовать для присвоения администраторам или пользователям определенных ролей или прав доступа в домене.
К встроенным относятся перечисленные ниже группы. Эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.
Локальные группы в домене:
–Администраторы (Administrators);
–Гости (Guests);
–Операторы архива (Backup Operators);
–Операторы печати (Print Operators);
–Операторы сервера (Server Operators);
–Операторы учета (Account Operators);
–Пользователи (Users);
–Репликатор (Replicator).
–Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess).
Глобальные группы:
–Администраторы домена (Domain Admins);
–Владельцы-создатели групповой политики (Group Policy Creator Owners);
–Гости домена (Domain Guests);
–Издатели сертификатов (Cert Publishers);
–Компьютеры домена (Domain Computers);
–Контроллеры домена (Domain Controllers);
–Пользователи домена (Domain Users);
Универсальные группы:
–Администраторы предприятия (Enterprise Admins);
–Администраторы схемы (Schema Admins).
Универсальные группы создаются только на контроллерах корневого (первого в лесе) домена. В зависимости от установленных на сервере служб могут быть и дополнительные встроенные группы, локальные в домене или глобальные. По умолчанию все встроенные локальные группы домена находятся в папке Builtin объекта домена (рисунок 7.2). Все встроенные глобальные группы находятся в папке Users. Встроенные группы можно переносить в другие контейнеры или подразделения в пределах домена.
Рисунок 7.2
По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.
Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.
Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.
Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.
Помимо перечисленных выше встроенных групп администратор может создать любое количество групп пользователей и предоставить им необходимый набор прав и разрешений. Для создания группы необходимо выполнить следующее:
1. Выбрать подразделение, где следует создать группу, и нажмите правую кнопку мыши. Выберать в появившемся меню команду Создать | Группа (Group), либо нажать кнопку Создание новой группы в текущем контейнере (Create New Group in a Current Container) на панели инструментов.
2. В открывшемся окне диалога Новый объект – Группа (New Object - Group) в поле Имя группы (Group name) ввести имя создаваемой группы.
3. Установить переключатель Тип группы (Group type) в одно из положений, соответствующее типу создаваемой группы: Группа безопасности (Security) или Группа распространения (Distribution). Первый тип группы служит для предоставления пользователям определенного набора прав доступа к таким ресурсам сети, как файлы и принтеры. Второй тип группы служит только для распространения информации в сети, например в качестве списков рассылки электронной почты. Следует отметить, что группы безопасности могут использоваться в качестве групп распространения.
4. Установив в одно из положений переключатель Область действия группы (Group scope), выберать подходящую область действия создаваемой группы. Область действия группы определяет, где может быть видна данная группа (уровень доступности) и какие типы объектов могут быть ее членами, и может быть выбрана как:
–локальная в домене (Domain Local): пользователи, а также глобальные и универсальные группы из всего леса, другие локальные группы из этого же домена;
–глобальная (Global): пользователи, а также глобальные и универсальные группы;
–универсальная (Universal): пользователи и глобальные группы (только в основном режиме домена).
Создание учетной записи пользователя.
Для создания в домене учетной записи пользователя, предположим с идентификатором popov_as, необходимо выполнить следующее:
1. Указать подразделение, в котором следует создать учетную запись, и нажмите правую кнопку мыши. В появившемся меню выберать команду Создать | Пользователь.
2. В окне диалога Новый объект - Пользователь (New Object - User) в поле Имя входа пользователя (User logon name) ввести уникальный идентификатор, в поле Имя (First name) - имя пользователя, в поле Фамилия (Last name) - фамилию пользователя, в поле Полное имя (Full name) автоматически появятся имя и фамилия пользователя (рисунок 7.3). После ввода всей необходимой информации нажать кнопку Далее (Next).
Рисунок 7.3
3. В следующем окне в полях ввода Пароль (Password) и Подтверждение (Confirm password) введисти с клавиатуры пароль учетной записи пользователя.
4. Если необходима принудительная смена пароля при первой регистрации в сети, установить флажок Потребовать смену пароля при следующем входе в систему (User must change password at next logon). С целью защиты от атак по подбору пароля, следует установить срок действия пароля пользователя, сбросив флажок Срок действия пароля не ограничен (Password never expires).
6. Установленный флажок Запретить смену пароля пользователем (User cannot change password) запрещает пользователю самостоятельно изменять свой пароль.
7. Если только что созданная учетная запись по каким-либо причинам должна быть заблокирована, установить флажок Отключить учетную запись (Account disabled).
8. По завершении настройки создаваемой учетной записи нажмать кнопку Далее.
9. В окне диалога, запрашивающего подтверждение правильности выполняемого действия, нажмать кнопку Готово (Finish).
Для ввода дополнительной информации или изменения некоторых данных пользователя:
1. Указать учетную запись пользователя, информацию которой следует изменить, и нажмите правую кнопку мыши. В появившемся меню выберать команду Свойства.
2. Внести необходимые изменения и нажмите кнопку ОК.
Перемещение учетной записи пользователя.
Учетную запись пользователя можно перемещать из одного подразделения в другое в пределах одного домена или между доменами. Для соответствующего перемещения учетной записи этого пользователя следует воспользоваться технологией Drag and Drop (перетаскивание), применяемой практически ко всем визуальным объекта операционной системы семейства Windows.
Добавление пользователя в группу.
1. Указать группу, в которую необходимо добавить пользователя, и нажмите правую кнопку мыши. В появившемся меню выберать команду Свойства. Появится окно свойств группы.
2. Перейти на вкладку Члены группы (Members) окна свойств и нажать кнопку Добавить.
3. Появится окно Выбор: Пользователи, Контакты или Компьютеры (Select Users, Contacts, or Computers). Здесь можно задать область выполнения запроса: весь каталог, определенный домен или определенная часть дерева подразделения внутри домена. Обратите внимание, что каталог может состоять из множества доменов.
4. Выбрать имя добавляемого пользователя и нажать кнопку Добавить. Обратите внимание, что, нажав клавишу
В результате все выбранные объекты станут членами соответствующей группы.
Удаленное управление компьютерами.
После создания объекта "компьютер" можно управлять им удаленно, диагностируя службы, работающие на этом компьютере, просматривая события и т. д.
Для того чтобы управлять компьютером удаленно:
1. В окне оснастки Active Directory- Пользователи и компьютеры укажите имя компьютера и нажать правую кнопку мыши. В появившемся меню выберать команду Управление (Manage).
2. Для выбранного компьютера будет запущена оснастка Управление компьютером (Computer Management).
Делегирование прав администрирования.
Как правило, сети больших предприятий на платформе Windows 2000 обладают чрезвычайно разветвленным деревом каталога. Большое количество ветвей, а также наличие достаточно автономных площадок организации, включенных в общее дерево каталога, усложняют управление. Администрирование сети, каталог которой состоит из десятков тысяч объектов, не может безопасно осуществляться одним или несколькими администраторами, имеющими права доступа ко всем объектам.
В подобных случаях следует применять делегирование прав администрирования. Это чрезвычайно мощный инструмент, который в больших организациях позволяет более эффективно сконфигурировать систему безопасного администрирования. С его помощью управление отдельными областями сети смогут осуществлять специально назначенные ответственные лица - администраторы. При делегировании прав администрирования очень важно наделять ответственных лиц полномочиями, позволяющими выполнять функции администратора только в пределах их зоны ответственности, они не должны иметь возможность администрировать объекты каталога, находящиеся в других частях сети организации.
Права на создание новых пользователей или групп предоставляются на уровне подразделения или контейнера, в котором будут создаваться учетные записи. Администраторы групп одного подразделения могут не иметь прав на создание и управление учетными записями другого подразделения в том же домене. Однако, если права доступа и настройки политик получены на более высоком уровне дерева каталога, они могут распространяться вниз по дереву благодаря механизму наследования прав доступа.
Делегирование управления объектами групповой политики.
С помощью инструментов управления Active Directory администратор может делегировать другим пользователям и группам право управления частью каталога. Это в полной мере относится и к объектам групповой политики, в отношении которых могут быть, в частности, делегированы следующие права:
–управление связями GPO с сайтом, доменом или подразделением (организационной единицей). Для этого с помощью инструмента управления Active Directory следует указать объект (сайт, домен или организационную единицу) и щелкнуть правой кнопкой мыши. В появившемся контекстном меню выбрать команду Делегирование управления (Delegate Control). Запустится Мастер делегирования управления (Delegation of Control Wizard). С его помощью можно выбрать объект групповой политики, группу или пользователя, которому должны быть делегированы права, а также и само право (в данном случае Управление ссылками групповой политики (Manage Group Policy links));
–создание и удаление всех дочерних объектов групповой политики. По умолчанию правом создания объектов в GPO обладают администраторы домена (Domain Admins) и администраторы предприятия (Enterprise Admins), а также операционная система. Для делегирования пользователю права управления объектами групповой политики домена необходимо включить его в группу «Создатели-владельцы групповой политики» (Group Policy Creator Owners);
–редактирование свойств объектов групповой политики. По умолчанию правом редактирования GPO обладают администраторы домена, администраторы предприятия и операционная система. Для делегирования пользователю права редактирования объекта групповой политики необходимо включить его в одну из указанных групп безопасности.
Чтобы позволить группе или пользователю управлять некоторым подразделением (контейнером):
1. Запустите Active Directory - Пользователи и компьютеры.
2. Укажите подразделение, управление которым необходимо передать, и нажмите правую кнопку мыши. В появившемся меню выберите команду Делегировать управление (Delegate control). Запустится Мастер делегирования управления (Delegation of Control Wizard). Нажмите кнопку Далее.
3. В следующем окне мастера нажмите кнопку Добавить и выберите пользователя или группу, которой вы хотите разрешить управление подразделением, нажмите кнопку ОК и затем кнопку Далее.
4. В открывшемся окне диалога мастера делегирования управления в окне со списком Делегировать следующие обычные задачи (Delegate the following common tasks) выберите одну или несколько операций, право выполнения которых делегируется указанному пользователю или группе. Если нужно делегировать право выполнения более специализированной задачи, установите переключатель Создать особую задачу для делегирования (Create a custom task to delegate). Нажмите кнопку Далее.
5. Если указана особая задача для делегирования в следующем окне, можно выбрать область применения для этой задачи: положение переключателя Этой папкой и существующими в ней объектами, созданием новых объектов в этой папке (This folder, existing objects in this folder, and creation of new objects in this folder), в этом случае вы передадите группе право на администрирование всего контейнера, или положение Только следующими объектами в этой папке (Only the following objects in the folder) и установить флажки возле нужных объектов, в этом случае группа сможет управлять только выбранными объектами. Затем нажмите кнопку Далее.
6. В открывшемся окне определяются делегируемые разрешения. Можно отображать и устанавливать общие разрешения или разрешения для отдельных свойств или дочерних объектов. В пределах контейнера можно делегировать не все, а только некоторые права администрирования: например, можно делегировать только права на модификацию (чтение-запись) выбранного контейнера без дочерних объектов. Задайте нужные разрешения и нажмите кнопку Далее.
7. В следующем окне сводки выводится информация о выбранных действиях. Можно вернуться назад и скорректировать параметры. Если все правильно, нажмите кнопку Готово.
Эффективное функционирование многопользовательской операционной системы невозможно без четкого разграничения доступа к ресурсам. Одним из средств, позволяющих настраивать параметры безопасной работы пользователей в сети в операционных системах семейства Windows (NT, 2000, XP и выше), являются политики безопасности.
Реализация политик безопасности в Windows 2000 предоставляет достаточно широкие возможности, в том числе настройку политики безопасности для всего дерева доменов. Установив политику безопасности в одном месте, администраторы могут контролировать безопасность всех рабочих станций домена. Политики безопасности в Windows 2000 реализуются с помощью средств групповых политик (group policy).
Групповая политика имеет следующие преимущества:
–основываясь на службе Active Directory системы Windows 2000, позволяет как централизованно, так и децентрализованно управлять параметрами политики;
–обладает гибкостью и масштабируемостью. Может быть применена в широком наборе конфигураций системы, предназначенных как для малого бизнеса, так и для больших корпораций;
–обладает высокой степенью надежности и безопасности;
–групповые политики расширяют и используют преимущества Active Directory. Их настройки находятся в объектах групповых политик (Group Policy Object, GPO), которые в свою очередь ассоциируются с такими контейнерами Active Directory, как сайты, домены и подразделения (организационные единицы).
Для запуска объекта Групповая политика (рисунок 7.4) следует выполнить следующие действия:
1) выбрать объект Active Directory, для которого необходимо установить групповую политику безопасности (на рисунке 7.4 – для всего контролера домена) и правой кнопкой мыши вызвать контекстное меню;
2) выбрать элемент Свойства (Properties);
3) в диалоговом окне свойств выбрать вкладку Групповая политика (Group Policy);
4) для модификации глобальной политики следует выбрать кнопку Edit, если политика еще не была создана – New и ввести имя, либо воспользоваться тем, которое предлагает система.
Рисунок 7.4
Создать групповую политику для контейнера Active Directory можно только при наличии определенного набора условий. Необходимо иметь работающий контроллер домена Windows 2000. Пользователь, который создает групповую политику, должен обладать правами на чтение и запись в системный том контроллеров домена (папка Sysvol). Кроме того, он должен иметь право модификации выбранного контейнера Active Directory.
После выбранных действий загружается корневой узел (рисунок 7.5), представляющий собой GPO, присоединенный к определенному контейнеру.
Имя этого GPO и имя контейнера, к которому он присоединен, отображаются в окне структуры в следующем формате:
Имя_политики [Имя_домена] Policy
Рисунок 7.5
Затем пространство имен подразделяется на два узла более низкого уровня: «Конфигурация компьютера» (Computer Configuration) и «Конфигурация пользователя» (User Configuration). Используя их, можно создавать и настраивать групповые политики для компьютера и пользователей.
Узел «Конфигурация компьютера» содержит параметры всех политик, определяющих работу компьютера. Они регулируют функционирование операционной системы, вид рабочего стола, задают параметры выполняемых приложений, определяют работу средств обеспечения безопасности и т. д. Групповая политика применяется к рабочей станции домена на этапе загрузки системы и в дальнейшем при выполнении циклов обновления.
Узел «Конфигурация пользователя» содержит параметры всех политик, определяющих работу пользователя на компьютере. Они регулируют вид рабочего стола как и в предыдущем случае, задают параметры выполняющихся приложений, определяют работу средств обеспечения безопасности и пользовательских сценариев входа и выхода. Групповая политика применяется к пользователю при его регистрации и в дальнейшем при выполнении циклов обновления.
Опишем некоторые расширения объекта «Групповая политика»:
–административные шаблоны. (Administrative Templates). Здесь находится групповая политика, определяющая параметры реестра, задающие работу и внешний вид рабочего стола, компонент операционной системы и приложений;
–параметры безопасности (Security Settings). Служит для настройки параметров системы безопасности компьютеров, на которые воздействует данный объект групповой политики. С помощью групповых политик можно настроить безопасность индивидуального компьютера, домена и целой сети;
–установка программ (Software Installation). Служит для централизованного управления программным обеспечением организации. С его помощью можно задавать различные режимы установки новых программ на компьютеры пользователей;
–сценарии (Scripts). Сценарии используются для автоматического выполнения набора команд при загрузке операционной системы и в процессе завершения ее работы, а также при регистрации и отключении пользователя от сети. Для выполнения сценариев, написанных на Microsoft JScript и Microsoft Visual Basic Scripting Edition, можно применять сервер сценариев (Windows Scripting Host);
–перенаправление папок (Folder Redirection). Позволяет перенаправлять обращение к специальным папкам в сеть.
С помощью расширения «Параметры безопасности» (рисунок 7.6) в GPO можно определить параметры политики безопасности, определяющие различные аспекты работы системы безопасности Windows 2000. Созданная в объекте групповой политики конфигурация воздействует на все компьютеры, находящиеся в контейнере, к которому присоединен данный GPO.
Расширение «Параметры безопасности» позволяет настраивать следующие аспекты системы безопасности компьютера:
–политики учетных записей (Account Policies). Можно настраивать политики безопасности как учетных записей в масштабах домена, так и локальных учетных записей. Здесь определяются политика паролей, политика блокировки паролей и политика Kerberos, распространяющаяся на весь домен;
–локальные политики (Local Policies). Можно настраивать политику аудита, назначать права пользователей и различные параметры безопасности, доступные для настройки в системе Windows 2000;
–журнал событий (Event Log). Можно настраивать политики безопасности, определяющие работу журналов событий приложений, системы и безопасности;
–группы с ограниченным доступом (Restricted Groups). Можно регулировать членство пользователей в специфических группах. Сюда обычно включают встроенные группы, такие как Администраторы, Операторы архива и другие, имеющие по умолчанию права администратора. В эту категорию могут быть включены и другие группы, безопасность которых требует особого внимания и членство в которых должно регулироваться на уровне политики;
–системные службы (System Services). Можно настраивать безопасность и параметры загрузки для работающих на компьютере служб. В этом разделе могут быть использованы расширения, с помощью которых можно осуществлять настройку безопасности, специфическую для данной службы. Например, расширение File Sharing Service позволяет настраивать политику безопасности для службы создания общего доступа к файлу (ограничение анонимного доступа к общим ресурсам, формирование безопасности различных сетевых общих ресурсов и т. д.);
–реестр (Registry). Можно настраивать безопасность различных разделов реестра;
–файловая система (File System). Можно настраивать безопасность определенных файлов;
–политики открытого ключа (Public Key Policies). Можно настраивать политики безопасности в отношении шифрования информации с помощью EFS, авторизации корневого сертификата в масштабах домена, авторизации доверенного сертификата и т. д.;
–политики безопасности IP (IPSEC). Позволяет настраивать политику безопасности IP для компьютеров.
Рисунок 7.6
Политики безопасности, определяемые расширением «Параметры безопасности», действуют на компьютеры и частично на пользователей. Поскольку политика безопасности Windows 2000 значительно отличается от политик предыдущих версий Windows NT, при переходе к Windows 2000 низкоуровневые политики безопасности не переносятся. Если при переходе создается новое дерево доменов, одновременно создается и новая политика безопасности, назначаемая по умолчанию. Если при переходе домен присоединяется к уже существующему дереву, политика безопасности берется от родительского домена.
Для модификации настроек безопасности щелкните на папке «Параметры безопасности», затем щелчками на соответствующих узлах откройте весь путь, ведущий к интересующим настройкам. В правом подокне окна «Групповая политика» двойным щелчком выберите настраиваемую политику и в открывшемся окне настройте ее.
Рассмотрим работу указанных расширений на конкретных примерах.
1. Настройка политики паролей.
Предположим, нам необходимо установить следующие правила политики паролей и блокировки:
–минимальная длина пароля – 8 символов;
–максимальный срок действия пароля – 30 дней;
–блокировать консоль после трех неудачных попыток входа.
Для реализации указанных правил выполним следующие действия:
1) откроем глобальную политику безопасности домена (см. выше) и расширение «Политики безопасности» (Security Settings);
2) выберем пункт «Политика учетных записей» (Account Policies), а затем политику паролей (Password Policy);
3) в правой части окна появится полный список правил, поддерживаемых политикой безопасности Windows 2000;
4) найдем требуемые правила:
а) минимальная длина пароля (Minimum password length);
б) максимальный срок действия пароля (Maximum password age);
установим требуемые значения, вызвав соответствующие диалоговые окна двойным щелчком мыши на названии правила;
5) для установки параметра блокировки перейдем в раздел политики блокировки учетных записей (Account Lockout Policy), выберем необходимое правило в правой части окна – Account lockout threshold – и установим требуемое значение – три.
2. Политика учетных записей.
Предположим, нам необходимо разрешить всем пользователям домена использовать привилегию изменения системного времени. Для этого следует выполнить:
1) откроем глобальную политику безопасности домена (см. выше) и расширение «Политики безопасности» (Security Settings);
2) выберем пункт «Локальные политики» (Local Policies), а затем политику назначения прав пользователей (User Rights Assignment);
3) в правой части окна выберем требуемое правило – Change the system time (рисунок 7.7) и добавим пользователя Все (Evryone).
Рисунок 7.7
Применение групповых политик происходит в последовательности, соответствующей иерархии GPO: сначала объект групповой политики сайта, затем домена, затем GPO, связанные с подразделениями в соответствии с их вложенностью. Порядок выполнения групповых политик можно изменить с помощью настроек, блокирующих определенные групповые политики или заставляющих их выполняться принудительно. Кроме того, на порядок выполнения групповых политик влияет применение групп безопасности.
По умолчанию настройки групповой политики, применяемые к контейнеру определенного уровня, наследуются всеми контейнерами более низких уровней и находящимися внутри них пользователями и компьютерами. Если с дочерней организационной единицей (контейнером) связан свой GPO, он может устанавливать для нее индивидуальные настройки групповых политик, отменяющие применение к ней наследуемых настроек. Если некоторые настройки групповых политик родительского контейнера не заданы (not defined), то они не наследуются и дочерними контейнерами. Если родительский контейнер обладает сконфигурированными настройками групповых политик, которые не заданы в GPO дочернего контейнера, то такие настройки наследуются.
Наследование настроек групповых политик родительского контейнера дочерним контейнером, с которым связан собственный объект групповой политики, может иметь место только в случае совместимости этих групповых политик. Например, если политика родительского контейнера задает определенную конфигурацию рабочего стола компьютера пользователя, а политика дочернего контейнера дополняет ее, пользователь увидит на своем рабочем столе все элементы, заданные обеими политиками. Если же групповая политика родительского контейнера противоречит групповой политике дочернего контейнера, выполняются только настройки GPO, связанного с дочерним контейнером.
Подобное положение вещей может быть изменено. Установка флажка Блокировать наследование политики (Block Policy inheritance), находящегося на вкладке Групповая политика окна свойств некоторого контейнера, запрещает наследование каких-либо групповых политик, установленных для родительского контейнера.
Существует средство, позволяющее установить принудительное применение групповой политики, настроенной для некоторого контейнера, всеми контейнерами более низкого уровня. Для этого на вкладке Групповая политика окна свойств контейнера следует нажать кнопку Параметры (Options). В появившемся окне диалога Параметры необходимо установить флажок Не перекрывать (No override). В этом случае дочерние контейнеры будут наследовать (т. е. не смогут переопределить) все настройки родительского контейнера, даже в том случае, если для дочерних контейнеров установлен флажок Блокировать наследование политики.
По умолчанию групповая политика применяется синхронно, т. е. политики компьютера применяются до появления окна «Вход в Windows» (Log on to Windows), а политики пользователя – до передачи операционной системой управления оболочке, интерактивно взаимодействующей с пользователем. Подобный порядок можно изменить, однако делать это не рекомендуется, поскольку асинхронное применение групповых политик может привести к непредсказуемым и нежелательным результатам.
Применение групповых политик не ограничивается только, например, моментом загрузки операционной системы компьютера или регистрацией пользователя в системе. При работе компьютера в сети групповые политики могут измениться, поэтому они применяются периодически (по умолчанию – каждые 90 минут). Длительность периода применения политик можно изменять. Если задать его равным нулю, групповые политики применяются через каждые 7 секунд. Следует учитывать, что при уменьшении периода применения групповых политик значительно увеличивается нагрузка на систему. На контроллерах доменов период применения политик равен 5 минутам.
Настройки расширений Установка программ и Переназначение папки применяются только при загрузке операционной системы или регистрации пользователя в системе, поскольку периодическое применение этих групповых политик может вызвать нежелательные результаты.
3 Вопросы и задания к лабораторной работе № 4
Вопросы:
1. Назначение Active Directory и основные возможности.
2. Какова структура Active Directory?
3. Для чего используются организационные единицы, когда и с какой целью их следует создавать?
4. Какие группы пользователей операционная система Windows 2000 создает по умолчанию?
5. Может ли один и тот же пользовать входить в разные группы?
6. В каких случаях следует использовать делегирование прав?
7. Какие права могут быть делегированы?
8. Пользователям каких групп можно делегировать права?
9. Какие виды политик безопасности поддерживаются в Windows 2000, сферы их применения?
10. Какие параметры безопасности можно настроить в глобальной политике безопасности?
11. Как взаимодействуют между собой глобальная и локальная политики безопасности?
12. Какие правила наследования политик безопасности поддерживаются?
Задания:
1. Создать новую организационную единицу (имя выбрать произвольно, например, my_unit).
2. Создать новую группу.
3. Создать в организационной единице трех новых пользователей: для всех потребовать смену пароля при входе и ограничить срок действия пароля. Одного из пользователей включить в новую группу.
4. Делегировать права на созданную организационную единицу пользователю из новой группы.
5. Установить максимальный срок действия пароля – 30 дней.
6. При вводе нового пароля требовать его неповторяемость. Хранить в системе 2 предыдущих пароля.
7. Установить минимальную длину пароля – 10 символов.
8. Установить аудит успеха для событий входа в систему.
9. Назначить возможность выключения системы только для администраторов.
10. Разрешить вход в систему только для членов группы "Администраторы" и пользователя "_________".
11. Разрешить доступ к компьютеру из сети только для пользователя "___________".
12. Блокировать консоль пользователя после ввода двух неверных паролей на 5 минут.
13. Отображать последнее имя пользователя при диалоге входа в систему.
14. Разрешить пользователю "________" изменять политику аудита системы.
Не Пропустите: