Руководство по безопасности для системы Windows Vista

Глава 5. Specialized Security – Limited Functionality

Опубликовано 7 февраля 2007 г.

Набор базовых показателей Specialized Security – Limited Functionality (SSLF), описанный в этом руководстве, позволяет создать среду с повышенной безопасностью для компьютеров под управлением системы Windows Vista™. Безопасность этой среды настолько важна, что существенное уменьшение функциональности и возможностей управления считается приемлемым. Набор базовых показателей Enterprise Client (EC) обеспечивает расширенную безопасность и достаточную функциональность операционной системы и приложений для большинства организаций.

Предупреждение.

Параметры безопасности SSLF не предназначены для большинства предприятий. Эта конфигурация разработана для организаций, в которых безопасность важнее функциональности.

При тестировании и развертывании параметров конфигурации SSLF на клиентские компьютеры ИТ-персоналу организации, возможно, придется обрабатывать больше звонков в службу поддержки из-за ограничений функциональности, вызванных этими параметрами. Хотя конфигурация такой среды повышает уровень защиты данных и сети, она также препятствует запуску некоторых служб, которые могут требоваться организации. К таким службам относятся службы терминалов, которые позволяют нескольким пользователям интерактивно подключаться к рабочим столам и приложениям на удаленных компьютерах, а также служба факсов, которая дает пользователям возможность отправлять и принимать факсы по сети с помощью компьютеров. Полный список служб, которые нельзя запустить в среде SSLF, см. в разделе "Ограниченные службы" этой главы.

Необходимо заметить, что набор базовых показателей SSLF не является дополнением к набору базовых показателей EC: он обеспечивает совершенно другой уровень безопасности. По этой причине не применяйте одновременно наборы базовых показателей SSLF и EC к одним и тем же компьютерам под управлением системы Windows Vista. Необходимо сначала определить требуемый уровень безопасности среды, а затем решить, какой набор базовых показателей применять — EC или SSLF. Различия между наборами базовых показателей EC и SSLF указаны в приложении A "Параметры групповой политики, связанные с безопасностью". Другим ресурсом для сравнения значений параметров является файл Windows Vista Security Guide Settings.xls, который также прилагается к этому руководству.

Внимание!   Если планируется использовать в среде набор базовых показателей SSLF, необходимо выполнить тщательное тестирование компьютеров в среде после применения параметров безопасности SSLF, чтобы убедиться в том, что они не ограничивают необходимые функции.

На этой странице

Среда со специализированной безопасностью Среда с ограниченной функциональностью Средство GPOAccelerator Дополнительные сведения

Среда со специализированной безопасностью

Организациям, в которых используются компьютеры и сети, особенно если они подключаются к внешним ресурсам, таким как Интернет, необходимо учитывать вопросы безопасности при планировании систем и сети, а также настройке и развертывании компьютеров. Такие возможности, как автоматизация процессов, удаленное управление, удаленный доступ, круглосуточная доступность, доступ из любой точки мира, а также независимость программного обеспечения от устройств позволяют предприятиям работать более эффективно и рационально в условиях жесткой конкуренции. Тем не менее из-за них возможно нарушение безопасности компьютеров организации.

В большинстве случаев администраторы принимают необходимые меры, чтобы предотвратить несанкционированный доступ к данным, прерывание обслуживания и ненадлежащее использование компьютеров. Некоторые организации, такие как военные, государственные, финансовые или местные правительственные учреждения обязаны защищать все или некоторые из своих служб, систем и данных, для которых назначен специальный уровень безопасности. Набор базовых показателей SSLF предназначен для обеспечения такого уровня безопасности для этих организаций. Сведения о параметрах SSLF см. в приложении A "Параметры групповой политики, связанные с безопасностью".

К началу страницы

Среда с ограниченной функциональностью

Специализированная безопасность, которая реализуется при использовании набора базовых показателей SSLF, может ограничивать функциональность среды, так как она позволяет использовать только те функции, которые необходимы для выполнения требуемых задач. Доступ можно получать только к утвержденным приложениям, службам и средам инфраструктуры. Сокращаются возможности настройки, так как набор базовых показателей отключает многие страницы свойств, с которыми могут быть знакомы пользователи.

В следующих разделах рассмотрены примеры ограничения функциональности и повышения безопасности, к которому приводит использование базовых показателей SSLF:

• Ограниченные службы и доступ к данным

• Ограниченный доступ к сети

• Надежная защита сети

• Ограниченные службы

Ограниченные службы и доступ к данным

Некоторые параметры набора базовых показателей SSLF могут не позволять действительным пользователям получать доступ к службам или данным, если они забудут пароль или введут его неверно. Кроме того, при использовании этих параметров может увеличиться количество обращений в службу поддержки. Тем не менее повышенная безопасность, которая обеспечивается благодаря этим параметрам, усложняет атаки злоумышленников на компьютеры под управлением Windows Vista в этой среде. К параметрам набора базовых показателей SSLF, которые потенциально препятствуют доступу пользователей к службам и данным, относятся:

• параметры, отключающие учетные записи администратора;

• параметры, ужесточающие требования к паролям;

• параметры, требующие более строгой блокировки учетных записей;

• параметры, требующие более строгой политики для следующих параметров Назначение прав пользователя: Вход в качестве службы и Вход в качестве пакетного задания.

Примечание.   Сведения о параметрах наборов базовых показателей EC и SSLF см. в приложении A "Параметры групповой политики, связанные с безопасностью". Другим ресурсом для сравнения значений параметров является файл Windows Vista Security Guide Settings.xls, который также прилагается к этому руководству.

Ограниченный доступ к сети

Надежность сети и возможность подключения систем очень важны для успешного ведения бизнеса. Операционные системы Майкрософт обеспечивают расширенные возможности работы в сети, которые позволяют подключать системы, поддерживать подключение и восстанавливать разорванные подключения. Хотя эта возможность позволяет поддерживать подключение к сети, злоумышленники могут с помощью нее нарушить работу компьютеров в сети или поставить под угрозу их систему безопасности.

Администраторы обычно приветствуют возможности, которые помогают поддерживать сетевую связь. Тем не менее в некоторых случаях основной задачей может быть обеспечение безопасности данных и служб. В таких специализированных средах допускается ухудшение связи для обеспечения защиты данных. К параметрам набора базовых показателей SSLF, которые повышают защиту сети, но могут потенциально препятствовать доступу пользователей к ней, относятся:

• параметры, ограничивающие доступ к клиентским системам в сети;

• параметры, скрывающие системы из списков обзора;

• параметры, управляющие исключениями брандмауэра Windows;

• параметры, реализующие безопасность подключения (например подпись пакетов).

Надежная защита сети

Обычной стратегией атаки сетевых служб является использование атаки типа "отказ в обслуживании". Такая атака делает невозможным подключение к данным или службам либо перегружает системные ресурсы и ухудшает производительность. Набор базовых показателей SSLF защищает доступ к системным объектам и назначению ресурсов, обеспечивая защиту от этого типа атаки. К параметрам набора базовых показателей SSLF, которые позволяют предотвратить атаки типа "отказ в обслуживании", относятся:

• параметры, контролирующие назначение квоты памяти для процессов;

• параметры, управляющие созданием объектов;

• параметры, контролирующие возможность отладки программ;

• параметры, управляющие профилированием процессов.

Все эти меры безопасности повышают вероятность того, что параметры безопасности набора базовых показателей SSLF будут препятствовать выполнению приложений или ожидаемому доступу пользователей к службам и данным. По этой причине необходимо тщательно протестировать набор параметров базовых показателей SSLF после его внедрения и до его развертывания в рабочей среде.

Ограниченные службы

Набор базовых показателей SSLF также предотвращает автоматический запуск некоторых приложений и программ. Кроме того, не выполняется обработка областей реестра Run и Run Once. Набор базовых показателей SSLF также отключает автоматическое воспроизведение компакт-дисков.

Службы, которые отключаются набором базовых показателей SSLF, перечислены ниже.

• Обозреватель компьютеров (Browser). Эта служба обновляет список компьютеров в сети и предоставляет его компьютерам, назначенным в качестве обозревателей. Если служба отключена, этот список не будет обновляться. Все службы, явным образом зависящие от данной службы, перестанут работать.

• Служба факсов (Fax). Эта служба позволяет пользователям отправлять и получать факсы, используя ресурсы факса на своих компьютерах или в сети.

• Служба FTP-публикации (MSFtpsvc). Эта служба обеспечивает поддержку подключения по протоколу FTP и администрирования через оснастку IIS.

• Служба индексирования (CiSvc). Эта служба индексирует содержимое файлов и свойства на локальных и удаленных компьютерах. Она также обеспечивает быстрый доступ к файлам с помощью гибкого языка запросов.

• Служба IIS Admin (IISADMIN). Эта служба позволяет выполнять администрирование веб- и FTP-служб с помощью оснастки IIS.

• Служба диспетчера сеанса справки для удаленного рабочего стола (RDSessMgr). Эта служба управляет службой удаленного помощника и контролирует ее. Если эта служба отключена, удаленный помощник недоступен.

• Служба маршрутизации и удаленного доступа (RemoteAccess). Эта служба обеспечивает маршрутизацию в локальной и глобальной сети.

• Служба SNMP-ловушек (SNMPTRAP). Эта служба получает ловушки, создаваемые локальными или удаленными агентами SNMP, и пересылает эти сообщения программам управления SNMP, запущенным на клиентских компьютерах.

• Служба SNMP (SNMP). Эта служба включает агенты, которые отслуживают активность сетевых устройств и передают сведения о ней консоли сетевого управления.

• Служба обнаружения SSDP (SSDPSRV). Эта служба позволяет выполнять обнаружение устройств UPnP в домашней сети.

• Служба планировщика заданий (Schedule). Эта служба позволяет пользователям настраивать автоматические задачи и устанавливать расписание их выполнения на компьютере. Если эта служба отключена, запланированные задачи не будут выполняться. Все службы, явным образом зависящие от данной службы, перестанут работать.

• Служба Telnet (TlntSvr). Эта служба позволяет удаленным пользователям входить в систему других компьютеров и запускать программы. Служба поддерживает различные клиенты TCP/IP Telnet, в том числе компьютеры на базе ОС UNIX и Windows. Если эта служба отключена, удаленный доступ пользователей к программам может оказаться невозможным. Все службы, явным образом зависящие от данной службы, перестанут работать.

• Служба служб терминала (TermService). Эта служба позволяет нескольким пользователям интерактивно подключаться к рабочим столам или приложениям на удаленных компьютерах. Служба предоставляет фоновое программное обеспечение для удаленного рабочего стола (включая удаленный рабочий стол для администраторов), быстрое переключение пользователей, службу удаленного помощника и сервер терминалов.

• Служба узла универсальных PnP-устройств (Upnphost). Эта служба обеспечивает поддержку UPnP-устройств.

• Служба веб-публикации (W3SVC). Эта служба поддерживает веб-подключения и администрирование через оснастку IIS.

Функциональность системы Windows Vista, работающей на клиентских компьютерах, контролируется набором базовых показателей SSLF таким образом, что все функции, которые не требуются для работы, отключаются. Это отражает существенное изменение предыдущих политик безопасности: данный подход позволяет отключить все службы и программы, которые могут нанести вред операционной системе, вместо того чтобы определять, какие функции требуются пользователям, и отключать все другие функции.

Внедрение политик безопасности

Решение SSLF, описанное в этом руководстве, использует консоль управления групповыми политиками и ее сценарии. Консоль управления групповыми политиками интегрирована в операционную систему, поэтому не требуется загружать и устанавливать ее каждый раз, когда требуется управлять объектами групповой политики на другом компьютере.

Внимание!   Все процедуры, указанные в этом руководстве, необходимо выполнять на клиентском компьютере под управлением Windows Vista, который подключен к домену со службой каталогов Active Directory®. Кроме того, пользователь, выполняющий эти процедуры, должен иметь привилегии администратора домена. При использовании операционных систем Microsoft Windows® XP или Windows Server® 2003 параметры безопасности, относящиеся к Windows Vista, не будут отображаться в консоли управления групповыми политиками.

Чтобы внедрить схему безопасности, необходимо выполнить три основные задачи:

1. создать среду SSLF;

2. использовать консоль управления групповыми политиками для связи политики VSG SSLF Domain Policy с доменом;

3. использовать консоль управления групповыми политиками для проверки результата.

В этом разделе главы описаны данные задачи и процедуры, а также функции сценария GPOAccelerator.wsf, который автоматически создает рекомендуемые объекты групповой политики.

Сценарий GPOAccelerator.wsf

Сценарий GPOAccelerator.wsf, который распространяется с этим руководством, создает необходимые объекты групповой политики. При этом не требуется тратить время на редактирование параметров политики вручную или на применение шаблонов. Чтобы установить среду SSLF, сценарий создает следующие четыре объекта групповой политики:

• VSG SSLF Domain Policy для домена;

• VSG SSLF Users Policy для пользователей;

• VSG SSLF Desktop Policy для настольных компьютеров;

• VSG SSLF Laptop Policy для переносных компьютеров.

Внимание!   Чтобы успешно внедрить схему безопасности для среды SSLF, тщательно протестируйте ее перед развертыванием в рабочей среде.

Сценарий GPOAccelerator.wsf можно использовать для выполнения описанных ниже задач.

• Проверка схемы в лабораторной среде. Используйте сценарий GPOAccelerator.wsf в тестовой среде для создания структуры подразделений, создания объектов групповой политики и их автоматической связи с подразделениями. После завершения тестирования можно использовать сценарий в рабочей среде.

• Развертывание схемы в рабочей среде. При внедрении решения в рабочей среде необходимо сначала создать подходящую структуру подразделений или изменить существующий набор подразделений. После этого можно использовать сценарий GPOAccelerator.wsf для создания объектов групповой политики и затем связать их с соответствующими подразделениями в среде.

Проверка схемы в лабораторной среде

Объекты групповой политики для данного руководства были тщательно протестированы. Тем не менее важно выполнить собственное тестирование в существующей среде. Чтобы сэкономить время, можно использовать сценарий GPOAccelerator.wsf для создания рекомендуемых объектов групповой политики и образца структуры подразделений, а затем автоматически связать объекты групповой политики с подразделениями.

Задача 1: создание среды SSLF

Сценарий GPOAccelerator.wsf находится в папке Windows Vista Security Guide\GPOAccelerator Tool, которую создает MSI-файл установщика Microsoft Windows.

**Примечание.   **Чтобы выполнить сценарий, как описано в следующей процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.

Чтобы создать объекты групповой политики и связать их с соответствующими подразделениями в среде

1. Войдите с учетной записью администратора домена в систему компьютера под управлением Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться объекты групповой политики.

2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.

3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора домена.

   Примечание.   Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.

5. В командной строке введите cscript GPOAccelerator.wsf /SSLF /LAB и нажмите клавишу ВВОД.

6. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку "Да", чтобы продолжить, или "Нет" для выхода) нажмите кнопку Yes (Да).

   Примечание.   Это действие может занять несколько минут.

7. В окне с сообщением The SSLF Lab Environment is created (Создана лабораторная среда SSLF) нажмите кнопку ОК.

8. В окне с сообщением Make sure to link the SSLF Domain GPO to your domain (Свяжите объект групповой политики домена SSLF с доменом) нажмите кнопку OK и выполните следующую задачу для связи политики VSG SSLF Domain Policy.

   Примечание.   Групповая политика уровня домена включает параметры, которые применяются ко всем компьютерам и пользователям в этом домене. Важно уметь определять необходимость связи объекта групповой политики домена, так как он применяется ко всем пользователям и компьютерам. По этой причине сценарий GPOAccelerator.wsf не выполняет автоматическую связь объекта групповой политики домена с доменом.

Задача 2: использование консоли управления групповыми политиками для связи политики VSG SSLF Domain Policy с доменом

Теперь можно выполнить связь объекта групповой политики домена с доменом. Ниже приведены инструкции по использованию консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для связи политики VSG SSLF Domain Policy с доменом.

Чтобы связать политику VSG SSLF Domain Policy

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить. (Или нажмите клавишу с эмблемой Windows + R.)

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

4. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG SSLF Domain Policy (Политика домена VSG SSLF) и нажмите кнопку OK.

5. В области сведений выберите пункт VSG SSLF Domain Policy (Политика домена VSG SSLF) и нажмите кнопку Move link to top (Переместить ссылку наверх).

Внимание!   Установите для параметра Link Order (Порядок ссылок) объекта VSG SSLF Domain Policy значение 1. В противном случае с доменом будут связаны другие объекты групповой политики, такие как Default Domain Policy GPO (Объект групповой политики домена по умолчанию), что приведет к переопределению параметров руководства по безопасности Windows Vista.

Задача 3: использование консоли управления групповыми политиками для проверки результата

Консоль управления групповыми политиками можно использовать для проверки результатов выполнения сценария. Ниже описана процедура использования консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для проверки объектов групповой политики и структуры подразделений, которые создает сценарий GPOAccelerator.wsf.

Чтобы проверить результаты выполнения сценария GPOAccelerator.wsf

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить.

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. Щелкните нужный лес, выберите пункт Domains (Домены) и домен.

4. Щелкните и разверните узел Vista Security Guide SSLF Client OU (Подразделение клиентов Vista Security Guide SSLF) и откройте каждое из пяти подразделений, указанных ниже.

5. Убедитесь в том, что структура подразделений и связи объекта групповой политики соответствуют изображенным на следующем рисунке.

   

   Рисунок 5.1. Структура подразделений и связи объектов групповой политики, созданные сценарием GPOAccelerator.wsf, в консоли управления групповыми политиками

Все объекты групповой политики, созданные сценарием GPOAccelerator.wsf, полностью заполняются параметрами, рекомендуемыми в этом руководстве. После этого можно использовать средство "Active Directory — пользователи и компьютеры", чтобы проверить схему путем перемещения пользователей и компьютеров в соответствующие подразделения. Сведения о параметрах, содержащихся в каждом объекте групповой политики, см. в приложении A "Параметры групповой политики, связанные с безопасностью".

Развертывание схемы в рабочей среде

Чтобы сэкономить время, можно использовать сценарий GPOAccelerator.wsf для создания объектов групповой политики для среды SSLF. После этого можно связать объекты групповой политики с соответствующими подразделениями в существующей структуре. В крупных доменах с большим количеством подразделений необходимо продумать использование существующей структуры подразделений для развертывания объектов групповой политики.

В крупных доменах с большим количеством подразделений необходимо продумать использование существующей структуры подразделений для развертывания объектов групповой политики. По возможности необходимо разделять подразделения компьютеров и пользователей. Кроме того, требуются отдельные подразделения для настольных и переносных компьютеров. Если такая структура невозможна в существующей среде, вероятно, потребуется изменить объекты групповой политики. Чтобы определить необходимые изменения, используйте сведения о параметрах в приложении A "Параметры групповой политики, связанные с безопасностью".

Примечание.   Как указано в предыдущем разделе, можно использовать сценарий GPOAccelerator.wsf с параметром /LAB в тестовой среде для создания образца структуры подразделений. Тем не менее при гибкой структуре подразделений можно также использовать этот параметр в рабочей среде, чтобы создать базовую структуру подразделений и автоматически связать объекты групповой политики. После этого можно изменить структуру подразделений вручную в соответствии с требованиями среды.

Задача 1: создание объектов групповой политики

Объекты групповой политики SSLF, описанные в этом руководстве, создаются с помощью сценария GPOAccelerator.wsf. Сценарий GPOAccelerator.wsf находится в папке Windows Vista Security Guide\GPOAccelerator Tool, которую создает MSI-файл установщика Microsoft Windows.

Примечание.   Каталог GPOAccelerator Tool можно скопировать с компьютера, на котором установлено это средство, на другой компьютер, где требуется выполнить сценарий. Чтобы выполнить сценарий, как описано в следующей процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.

Чтобы создать объекты групповой политики в производственной среде

1. Войдите с учетной записью администратора домена в систему компьютера под управлением Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться объекты групповой политики.

2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.

3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора домена.

   Примечание.   Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.

5. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

6. В командной строке введите cscript GPOAccelerator.wsf /SSLF и нажмите клавишу ВВОД.

7. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку "Да", чтобы продолжить, или "Нет" для выхода) нажмите кнопку Yes (Да).

   Примечание.   Это действие может занять несколько минут.

8. В окне с сообщением The SSLF GPOs are created (Объекты групповой политики SSLF созданы) нажмите кнопку OK.

9. В окне с сообщением Make sure to link the SSLF GPOs to the appropriate OUs (Свяжите объекты групповой политики SSLF с соответствующими подразделениями) нажмите кнопку OK.

Задача 2: использование консоли управления групповыми политиками для проверки результата

Можно использовать консоль управления групповыми политиками, чтобы убедиться в том, что сценарий успешно создал все объекты групповой политики. Ниже описана процедура использования консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для проверки объектов групповой политики, которые создает сценарий GPOAccelerator.wsf.

Чтобы проверить результаты выполнения сценария GPOAccelerator.wsf

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить.

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. Щелкните нужный лес, выберите пункт Domains (Домены) и домен.

4. Щелкните и разверните узел Group Policy Objects (Объекты групповой политики), а затем проверьте, соответствуют ли четыре объекта групповой политики VSG SSLF изображенным на следующем рисунке.

   

   Рисунок 5.2. Объекты групповой политики SSLF, созданные сценарием GPOAccelerator.wsf, в консоли управления групповыми политиками

После этого можно использовать консоль управления групповыми политиками для связи каждого объекта групповой политики с соответствующим подразделением. Последняя задача в процессе описывает, как это сделать.

Задача 3: использование консоли управления групповыми политиками для связи объектов групповой политики с подразделениями

Следующая процедура описывает, как использовать консоль управления групповыми политиками на клиентском компьютере под управлением Windows Vista для выполнения этой задачи.

Чтобы связать объекты групповой политики в производственной среде

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить.

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

4. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG SSLF Domain Policy (Политика домена VSG SSLF) и нажмите кнопку OK.

5. В области сведений выберите пункт VSG SSLF Domain Policy (Политика домена VSG SSLF) и нажмите кнопку Move link to top (Переместить ссылку наверх).

   Внимание!   Установите для параметра Link Order (Порядок ссылок) объекта VSG SSLF Domain Policy значение 1. В противном случае с доменом будут связаны другие объекты групповой политики, такие как Default Domain Policy GPO (Объект групповой политики домена по умолчанию), что приведет к переопределению параметров руководства по безопасности Windows Vista.

6. Щелкните правой кнопкой мыши узел Windows Vista Users OU (Подразделение пользователей Windows Vista) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

7. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG SSLF Users Policy (Политика пользователей VSG SSLF) и нажмите кнопку OK.

8. Щелкните правой кнопкой мыши узел Desktop OU (Подразделение настольных компьютеров) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

9. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG SSLF Desktop Policy (Политика настольных компьютеров VSG SSLF) и нажмите кнопку OK.

10. Щелкните правой кнопкой мыши узел Laptop OU (Подразделение переносных компьютеров) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

11. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG SSLF Laptop Policy (Политика переносных компьютеров VSG SSLF) и нажмите кнопку OK.

12. Повторите эти действия для всех других созданных подразделений пользователей или компьютеров, чтобы связать их с соответствующими объектами групповой политики.

Примечание.   Можно также перетащить объект групповой политики из узла Group Policy Objects (Объекты групповой политики) в подразделение. Тем не менее операция перетаскивания поддерживается только для объектов в том же домене.

Чтобы подтвердить связи объектов групповой политики с помощью консоли управления групповыми политиками

• Разверните узел Group Policy Objects (Объекты групповой политики) и выберите объект групповой политики. В области сведений откройте вкладку Scope (Область) и просмотрите сведения в столбцах Link Enabled (Связь включена) и Path (Путь).

— Или —

• Выберите подразделение и затем в области сведений откройте вкладку Linked Group Policy Objects (Связанные объекты групповой политики) и просмотрите сведения в столбцах Link Enabled (Связь включена) и GPO (Объект групповой политики).

Примечание.   Консоль управления групповыми политиками можно использовать для отмены связи объектов групповой политики или их удаления. После этого можно удалить ненужные подразделения с помощью консоли управления групповыми политиками или консоли "Active Directory — пользователи и компьютеры". Чтобы полностью отменить все изменения, внесенные сценарием GPOAccelerator.wsf, необходимо вручную удалить файлы SSLF-VSGAuditPolicy.cmd, SSLF-ApplyAuditPolicy.cmd и SSLF-AuditPolicy.txt из общей папки NETLOGON одного из контроллеров домена. Дополнительные сведения об этих файлах см. в разделе "Политика аудита" приложения A "Параметры групповой политики, связанные с безопасностью".

Все объекты групповой политики, созданные сценарием GPOAccelerator.wsf, полностью заполняются параметрами, рекомендуемыми в этом руководстве. После этого можно использовать средство "Active Directory — пользователи и компьютеры", чтобы проверить схему путем перемещения пользователей и компьютеров в соответствующие подразделения. Сведения о параметрах, содержащихся в каждом объекте групповой политики, см. в приложении A "Параметры групповой политики, связанные с безопасностью".

Миграция объектов групповой политики в другой домен (необязательно)

При изменении объектов групповой политики в этом решении или создании собственных объектов групповой политики и необходимости использовать их в нескольких доменах требуется выполнить миграцию объектов групповой политики. Для миграции объекта групповой политики из одного домена в другой необходимо планирование, но основная процедура достаточно проста. Во время планирования следует обратить внимание на две важных особенности данных объектов групповой политики.

• Сложность данных. Данные, составляющие объект групповой политики, имеют сложную структуры и хранятся в нескольких местах. При использовании консоли управления групповыми политиками для миграции объекта групповой политики обеспечивается надлежащая миграция всех нужных данных.

• Данные, относящиеся к домену. Некоторые данные в объекте групповой политики могут относиться к конкретному домену и стать недопустимыми при прямом копировании в другой домен. Чтобы решить эту проблему, таблицы миграции консоли управления групповыми политиками позволяют изменять относящиеся к домену данные в объекте групповой политики на новые значения во время миграции. Это требуется делать только в том случае, если объект групповой политики содержит идентификатор (ИД) безопасности или пути UNC, которые относятся только к конкретному домену.

Дополнительные сведения о миграции объектов групповой политики см. в справке консоли управления групповыми политиками. В техническом документе Миграция объектов групповой политики между доменами с помощью консоли управления групповыми политиками (на английском языке) также содержатся дополнительные сведения о миграции объектов групповой политики между доменами.

К началу страницы

Средство GPOAccelerator

С данным руководством распространяются сценарии и шаблоны безопасности. В этом разделе приводятся общие сведения о данных ресурсах. Важнейшим средством, которое выполняет основной сценарий для этого руководства по безопасности, является GPOAccelerator.wsf, расположенное в папке Windows Vista Security Guide\GPOAccelerator Tool\Security Group Policy Objects. В этом разделе рассказывается, как изменить консоль управления групповыми политиками для просмотра параметров объекта групповой политики, а также описываются структура подкаталогов и типы файлов, которые распространяются с руководством. Другим ресурсом для сравнения значений параметров является файл Windows Vista Security Guide Settings.xls, который также прилагается к этому руководству.

Консоль управления групповыми политиками и расширения SCE

Решение, представленное в этом руководстве, использует параметры объекта групповой политики, которые не отображаются в стандартном пользовательском интерфейсе консоли управления групповыми политиками в Windows Vista или редакторе конфигураций безопасности (SCE). Эти параметры с префиксом MSS: были разработаны группой Microsoft Solutions for Security для предыдущего руководства о безопасности.

Внимание!   Расширения SCE и сценарий GPOAccelerator.wsf предназначены только для запуска на компьютерах под управлением Windows Vista. Эти средства не будут правильно работать при запуске на компьютере под управлением системы Windows XP или Windows Server 2003.

По этой причине необходимо расширить эти средства, чтобы просматривать параметры безопасности и при необходимости редактировать их. Для этого сценарий GPOAccelerator.wsf автоматически обновляет компьютер при создании объектов групповой политики. Чтобы администрировать объекты групповой политики руководства по безопасности Windows Vista с другого компьютера под управлением Windows Vista, используйте следующую процедуру для обновления SCE на этом компьютере.

Чтобы изменить SCE для вывода параметров MSS

1. Убедитесь в том, что выполнены указанные ниже условия.

   • Используемый компьютер присоединен к домену с Active Directory, в котором созданы объекты групповой политики.

   • Установлен каталог Windows Vista Security Guide\GPOAccelerator Tool.

   Примечание.   Каталог GPOAccelerator Tool можно скопировать с компьютера, на котором установлено это средство, на другой компьютер, где требуется выполнить сценарий. Чтобы выполнить сценарий, как описано в этой процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.

2. Войдите на компьютер с учетной записью администратора.

3. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.

4. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

5. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора.

   Примечание.   Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.

6. В командной строке введите cscript GPOAccelerator.wsf /ConfigSCE и нажмите клавишу ВВОД.

7. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку "Да", чтобы продолжить, или "Нет" для выхода) нажмите кнопку Yes (Да).

8. В окне с сообщением The Security Configuration Editor is updated (Редактор конфигураций безопасности обновлен) нажмите кнопку OK.

Внимание!   Это сценарий только изменяет SCE так, чтобы отображались параметры MSS, он не создает объекты групповой политики или подразделения.

Следующая процедура удаляет дополнительные параметры безопасности MSS, а затем устанавливает для параметров средства SCE значения по умолчанию для Windows Vista.

Чтобы присвоить параметрам средства SCE значения по умолчанию для Windows Vista

1. Войдите на компьютер с учетной записью администратора.

2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.

3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора.

   Примечание.   Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.

5. В командной строке введите cscript GPOAccelerator.wsf /ResetSCE и нажмите клавишу ВВОД.

6. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку "Да", чтобы продолжить, или "Нет" для выхода) нажмите кнопку Yes (Да).

   Примечание.   При выполнении этой процедуры параметрам редактора конфигураций безопасности назначаются значения по умолчанию для Windows Vista. Все параметры, добавленные в редактор конфигураций безопасности, будут удалены. Это повлияет только на отображение этих параметров в редакторе конфигураций безопасности. Настроенные параметры групповых политик не удаляются.

7. В окне с сообщением The Security Configuration Editor is updated (Редактор конфигураций безопасности обновлен) нажмите кнопку OK.

Предыдущие параметры безопасности

Если необходимо создать собственную политику безопасности, а не использовать или изменить политики, предоставляемые с данным руководством, можно импортировать нужные параметры безопасности с помощью шаблонов безопасности. Шаблоны безопасности — это текстовые файлы, содержащие значения параметров безопасности. Они являются подкомпонентами объектов групповой политики. Параметры политики, содержащиеся в шаблонах безопасности, можно изменять в оснастке "Редактор объектов групповой политики" консоли управления (MMC). В отличие от предыдущих версий операционной системы Windows, ОС Windows Vista не включает предварительно заданные шаблоны безопасности, хотя при необходимости можно использовать существующие шаблоны.

Шаблоны безопасности входят в MSI-файл установщика Windows, который распространяется с этим руководством. В папке GPOAccelerator Tool\Security Templates находятся следующие шаблоны для среды EC:

• VSG SSLF Desktop.inf

• VSG SSLF Domain.inf

• VSG SSLF Laptop.inf

Внимание!   Для развертывания решения, описанного в этом руководстве, не требуются шаблоны безопасности. Шаблоны являются альтернативой решению на основе консоли управления групповыми политиками и включают только параметры безопасности компьютера из раздела Конфигурация компьютера\Конфигурация Windows\Параметры безопасности. Например, с помощью шаблона безопасности нельзя управлять параметрами Internet Explorer или брандмауэра Windows в объектах групповой политики, а также параметрами пользователя.

Работа с шаблонами безопасности

Чтобы использовать шаблоны безопасности, необходимо сначала расширить SCE таким образом, чтобы настраиваемые параметры безопасности MSS отображались в пользовательском интерфейсе . Дополнительные сведения см. в предыдущем разделе данной главы "Консоль управления групповыми политиками и расширения SCE". Если шаблоны можно просматривать, для их импорта в созданные объекты групповой политики при необходимости можно использовать следующую процедуру.

Чтобы импортировать шаблон безопасности в объект групповой политики

1. Откройте редактор объектов групповой политики для объекта групповой политики, который требуется изменить. Для этого в консоли управления групповыми политиками щелкните правой кнопкой мыши объект групповой политики и выберите пункт Изменить.

2. В редакторе объектов групповой политики перейдете к папке Конфигурация Windows.

3. Разверните папку Конфигурация Windows и выберите пункт Параметры безопасности.

4. Щелкните правой кнопкой мыши папку Параметры безопасности и выберите пункт Импортировать политику.

5. Откройте папку Security Templates в папке Windows Vista Security Guide.

6. Выберите шаблон безопасности, который необходимо импортировать, и нажмите кнопку Открыть.

   После выполнения последнего действия этой процедуры параметры из файла копируются в объект групповой политики.

Можно также использовать шаблоны безопасности, которые распространяются с руководством, чтобы изменить локальную политику безопасности на автономных клиентских компьютерах под управлением Windows Vista. Сценарий GPOAccelerator.wsf упрощает применение шаблонов.

Чтобы применить шаблоны безопасности для создания локальной групповой политики на автономных клиентских компьютерах под управлением Windows Vista

1. Войдите в систему компьютера под управлением Windows Vista с учетной записью администратора.

2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.

3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора.

   Примечание.   Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.

5. В командной строке введите cscript GPOAccelerator.wsf /SSLF /Desktop или cscript GPOAccelerator.wsf /SSLF /Laptop и нажмите клавишу ВВОД.

   Эта процедура изменяет параметры локальной политики безопасности, используя значения в шаблонах безопасности для среды EC.

Чтобы восстановить значения параметров по умолчанию для локальной групповой политики в Windows Vista

1. Войдите в систему клиентского компьютера под управлением Windows Vista с учетной записью администратора.

2. Нажмите кнопку "Пуск" Windows Vista, выберите пункты Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.

   Примечание.   Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.

3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

4. В командной строке введите cscript GPOAccelerator.wsf /Restore и нажмите клавишу ВВОД.

   Эта процедура восстанавливает значения по умолчанию для параметров локальной политики безопасности в Windows Vista.

К началу страницы

Дополнительные сведения

Ниже приведены ссылки на дополнительные сведения по вопросам, связанным с безопасностью Windows Vista.

• Администрирование групповых политик с помощью консоли управления групповыми политиками на веб-узле Microsoft.com (на английском языке).

• Управление средой предприятия с помощью консоли управления групповыми политиками на веб-узле Microsoft.com (на английском языке).

• Миграция объектов групповой политики между доменами с помощью консоли управления групповыми политиками на веб-узле Microsoft.com (на английском языке).

• Пошаговое руководство для знакомства с возможностями групповой политики на веб-узле Microsoft TechNet® (на английском языке).

• Пошаговое руководство по мастеру делегирования управления на веб-узле TechNet (на английском языке).

• Обзор новых и расширенных параметров групповой политики на веб-узле TechNet (на английском языке).

• Центр справки и поддержки Windows Vista на веб-узле Microsoft.com (на английском языке).

• Технический документ Улучшения безопасности Windows Vista и видеоматериал на эту тему, предоставляемый по запросу, на веб-узле Microsoft.com (на английском языке).

Загрузить

Получите руководство по безопасности Windows Vista

Уведомления об обновлении

Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках

Обратная связь

Отправляйте свои комментарии и предложения

К началу страницы