 |
Мастер настройки безопасности Security Configuration Wizard.
|
|
|
|
Безопасность
По умолчанию в новом созданном домене есть уже одна политика безопасности которая применяется ко всему домену. Открыть для редактирования ее можно путем открытия свойств домена и перехода на вкладку «Групповая политика».
Для этого выполним следующую последовательность действий:
1) Меню Пуск
2) Администрирование
3) Active Directory – пользователи и компьютеры
Далее найдем имя нашего домена и нажмем на него правой кнопкой мыши, затем выберем «Свойства»:
В появившемся окне перейдем на вкладку «Групповая политика»:
Здесь мы видим нашу политику безопасности по умолчанию – «Default Domain Policy».
Данная политика распространяет свое действие на весь домен, все его объекты, пользователей, компьютеры, серверы. Обычно в данной групповой политике безопасности определяют такие параметры политику паролей, общие права доступа пользователей и другие политики безопасности.
Попробуем редактировать ее, для этого нажмем кнопку «Изменить»:
Любая групповая политика имеет два раздела – «Конфигурация компьютера» и «Конфигурация пользователя». Отличаются они, кроме состава параметров, еще и тем что политики «Конфигурация компьютера» применяется к настройкам связанным с настройкой операционной системы и применяется при загрузке операционной системы на компьютере добавленному в домен, еще до момента ввода пользователем пароля и логина. Групповая политика «Конфигурация пользователя» применяется к настройкам пользователя после прохождения им аутентификации в сети. Таким образом для разных пользователей, даже работающих на одном компьютере могут быть централизовано настроены разные политики.
|
|
|
Изменим требования к паролю:
Данная настройка находится в:
1) Конфигурация компьютера
2) Конфигурация Windows
3) Параметры безопасности
4) Политика паролей
При двойном щелчке на любом из параметров безопасности открываются его настройки. На вкладке «Описание данного параметра» выводится подробное описание, для чего он служит и на что влияет его включение и отключение.
Назначение прав пользователя:
Для возможности назначения прав пользователя, необходимо в навигаторе слева выбрать:
1) Конфигурация компьютера
2) Конфигурация Windows
3) Параметры безопасности
4) Локальные политики
5) Назначение прав пользователя
В правом окне появляются все, доступные для назначения права пользователей.
Двойным щелчком на любом праве пользователя, можно перейти к списку пользователей, которым будет назначено это право.
На вкладке «Описание данного параметра», также можно посмотреть подробное описание каждого права.
Каждый параметр может быть назначен как для конкретного пользователя, так и для группы пользователей!
Параметры, установленные в групповой политике уровня домена можно перекрыть (переопределить) другой политикой, которая применяется к определенному организационному юниту. Например, политику паролей, определенную к домену и соответственно к контроллеру домена, на котором аутентифицируются пользователи, можно переопределить для локальных учетных записей персональных компьютеров пользователей, применив ее к организационному юниту в котором находятся объекты службы каталогов «Компьютеры».
Просмотр событий
В ОС Windows Server 2003 имеется возможность просмотра событий – отчетов и уведомлений, собираемых во время функционирования системы.
Чтобы перейти к этой оснастке необходимо:
1) Открыть меню «Пуск»
2) Администрирование
3) Просмотр событий
В появившемся окне, после выбора в навигаторе какого-либо раздела, в окошке справа появятся все отчеты этого раздела.
Отчеты могут быть нескольких типов: Уведомления, Предупреждения и Ошибки.
К каждому отчету приведены Время и Дата составления отчета о событии.
|
|
|
Двойным щелчком по событию можно открыть его свойства, где представлено подробное описание данного события:
Периодически проверяя оснастку «Просмотр событий», администратор получает отчеты о событиях, происходящих во время функционирования системы.
Мастер настройки безопасности Security Configuration Wizard.
Научимся использовать мастер настройки безопасности. С помощью этого средства можно грамотно выполнить необходимые настройки или «быстро отскочить назад», если возникла ошибка.
Возможности:
-- отключает неиспользуемые службы и блокирует сетевые порты;
-- вводит дополнительные ограничения на подключение к портам с допустимых сетевых адресов;
-- выполняет настройку безопасности IIS, если он установлен;
-- уменьшает риск атак по протоколам SMB, LanMan и LDAP;
-- включает настройки аудита и др.
Для начала, необходимо установить компонент Windows:
1) Меню «Пуск»
2) Панель управления
3) Установка и удаление программ
4) Установка компонентов Windows
5) Поставить галочку в пункте «Мастер настройки безопасности»
6) Нажать «Далее»
Дождаться завершения установки компонента, нажать «Готово»
Запустим мастер настройки:
1) Меню «Пуск»
2) Администрирование
3) Мастер настройки безопасности
Нажать «Далее»
Создадим новую политику безопасности:
нажать «Далее»
Оставьте существующее имя сервера, нажмите «Далее», дождитесь сообщения «Обработка завершена» и нажмите «Далее».
Наш сервер выполняет роли DNS-сервера и Контроллера домена (Active Directory).
Нажмем «Далее»
Оставить все следующие страницы без изменений нажимая «Далее».
Остановитесь на странице «Подтверждение изменений для служб».
На этой странице показываются изменения служб, произошедшие в результате изменения ролей.
В нашем случае, роли не менялись, но если была подключена новая роль, то необходимо просмотреть отчет и убедиться в правильности изменений.
Пропустим следующие 2 раздела связанные с настройкой политики сети. Для этого перед тем как нажимать «Далее» необходимо поставить галочку «Пропустить этот раздел».
|
|
|
На вкладе «Параметры аудита» выберем желаемый уровень аудита:
- аудит успешных действий
или
- аудит как успешных, так и неуспешных действий.
На следующей странице просмотрим отчет – сводку о политике аудита. Нажать «Далее»
Необходимо сохранить настроенную политику безопасности в файл:
Введем в адресную строку имя для создаваемого файла, например: MyPolicy
Не нужно ставить точку и расширение после имени файла. (по умолчанию, все сохранится в файл.xml)
Нажмите «Далее».
В следующем окне будет предложен выбор:
-применить созданную политику сейчас
или
- применить позже (используя оснастку, рассмотренную вначале).
Выберите желаемый вариант и нажмите «Далее»
Завершите работу мастера, нажав «Готово».
|
|
|
