Администрирование параметров политики безопасности
В этой статье рассматриваются различные методы администрирования параметров политики безопасности на локальном устройстве или в небольшой либо средней организации.
Параметры политики безопасности следует использовать в ходе процесса реализации системы безопасности для защиты контроллеров домена, серверов, клиентских устройств и других ресурсов в вашей организации.
Политики параметров безопасности представляют собой правила, настраиваемые на одном или нескольких устройствах, для защиты ресурсов устройства или сети. Расширение "Параметры безопасности" оснастки редактора локальной групповой политики (Gpedit.msc) позволяет определять конфигурации безопасности в составе объекта групповой политики (GPO). Объекты групповой политики связаны с контейнерами Active Directory, такими как сайты, домены и подразделения, и позволяют администраторам управлять параметрами безопасности для нескольких компьютеров с любого устройства, присоединенного к домену.
Параметры безопасности могут управлять:
проверкой подлинности пользователей в сети или на устройстве;
ресурсами, права доступа к которым есть у пользователей;
регистрацией действий пользователя или группы в журнале событий;
членством в группе.
Сведения о каждом параметре, включая описания, параметры по умолчанию и информацию, связанную с управлением и обеспечением безопасности, см. в справочнике по параметрам политики безопасности.
Для управления конфигурациями безопасности для нескольких компьютеров можно использовать один из следующих способов.
изменить конкретные параметры безопасности в GPO;
использовать оснастку «Шаблоны безопасности» для создания шаблона безопасности, содержащего политики безопасности, которые необходимо применить, а затем импортировать шаблон безопасности в объект групповой политики. Шаблон безопасности — это файл, который представляет конфигурацию безопасности. Его можно импортировать в объект групповой политики, применить к локальному устройству или использовать для анализа защищенности.
Что изменилось в администрировании параметров?
Со временем были введены новые способы управления параметрами политики безопасности, которые включают в себя новые возможности операционной системы и добавление новых параметров. В следующей таблице перечислены различные инструменты для администрирования параметров политики безопасности.
| Инструмент или функция | Описание и использование |
|---|---|
Оснастка "Политика безопасности" |
Secpol.msc Оснастка консоли MMC предназначена для управления только параметрами политики безопасности. |
Программа командной строки "Редактор безопасности" |
Secedit.exe Настраивает и анализирует систему безопасности системы, сравнивая текущую конфигурацию с заданными шаблонами безопасности. |
Диспетчер соответствия требованиям безопасности (Security Compliance Manager) |
Средство скачивания Акселератор решений, который помогает планировать, развертывать, использовать и контролировать базовые параметры безопасности для клиентских и серверных ОС Windows и приложений от Майкрософт. |
Мастер настройки безопасности |
Scw.exe SCW — это инструмент на основе ролей, доступный только на серверах. Его можно использовать для создания политики, которая включает службы, правила брандмауэра и параметры, необходимые для выполнения конкретных ролей выбранным сервером. |
Диспетчер настройки безопасности |
Этот набор средств позволяет создавать, применять и изменять политику безопасности для локального устройства, подразделения или домена. |
Групповая политика |
Gpmc.msc и Gpedit.msc Консоль управления групповыми политиками использует редактор объектов групповой политики для предоставления локальных параметров безопасности, которые затем можно включить в объекты групповой политики для распространения по всему домену. Редактор локальной групповой политики выполняет схожие функции на локальном устройстве. |
Политики ограниченного использования программ См. статью Администрирование политик ограниченного использования программ. |
Gpedit.msc Политики ограниченного использования программ (SRP) — это функция на основе групповой политики, которая находит программы, работающие на компьютерах в домене, и управляет возможностью запуска этих программ. |
AppLocker См. статью Администрирование AppLocker. |
Gpedit.msc Предотвращает влияние вредоносных программ и неподдерживаемых приложений на компьютеры в вашей среде и запрещает пользователям в организации устанавливать и использовать неразрешенные приложения. |
Использование оснастки "Локальная политика безопасности"
Оснастка "Локальная политика безопасности" (Secpol.msc) ограничивает представление объектов локальной политики следующими политиками и компонентами.
Политики учетных записей.
Локальные политики.
Брандмауэр Windows в режиме повышенной безопасности.
Политики диспетчера списка сетей.
Политики открытого ключа.
Политики ограниченного использования программ.
Политики управления приложениями.
Политики IP-безопасности на локальном компьютере.
Конфигурация расширенной политики аудита.
Если компьютер присоединен к домену, политики, заданные локально, могут быть перезаписаны.
Оснастка "Локальная политика безопасности" является частью набора средств диспетчера настройки безопасности. Сведения о других средствах из этого набора см. в разделе Работа с диспетчером настройки безопасности этой статьи.
Использование программы командной строки secedit
Программа командной строки secedit работает с шаблонами безопасности и предоставляет шесть основных функций.
Параметр Configure помогает устранять несоответствия в системах безопасности между устройствами путем применения правильного шаблона безопасности к несоответствующему требованиям серверу.
Параметр Analyze сравнивает конфигурацию системы безопасности сервера с выбранным шаблоном.
Параметр Import позволяет создавать базу данных на основе существующего шаблона. Это действие также выполняется в инструменте "Анализ и настройка безопасности".
Параметр Export позволяет экспортировать параметры из базы данных в шаблон параметров безопасности.
Параметр Validate позволяет проверять синтаксис каждой или любой из строк текста, созданных в шаблоне безопасности или добавленных в него. Это гарантирует, что если шаблону не удастся применить синтаксис, шаблон не будет проблемой.
Параметр Generate Rollback сохраняет текущие параметры безопасности сервера в шаблон безопасности, чтобы использовать его для восстановления большинства параметров безопасности сервера до известного состояния. При этом следует учитывать, что примененный шаблон отката не изменит записи списка управления доступом для файлов или записи реестра, которые были изменены самым последним примененным шаблоном.
Использование диспетчера соответствия требованиям безопасности (Security Compliance Manager)
Диспетчер соответствия требованиям безопасности (Security Compliance Manager) является скачиваемым средством, которое помогает планировать, развертывать, использовать и контролировать базовые параметры безопасности для клиентских и серверных ОС Windows и приложений от Майкрософт. Он содержит полную базу данных рекомендуемых параметров безопасности, методов для настройки базовых параметров и предоставляет возможность реализовать эти параметры в нескольких форматах, включая XLS, объекты GPO, пакеты управления требуемой конфигурацией (DCM) или протокол SCAP. Диспетчер соответствия требованиям безопасности (Security Compliance Manager) используется для экспорта базовых параметров в среду с целью автоматизации процесса развертывания и проверки на соответствие базовым параметрам безопасности.
.gif "Mt634177.wedge(ru-ru,VS.85).gif")
Администрирование политик безопасности с использованием диспетчера соответствия требованиям безопасности (Security Compliance Manager)
Скачайте последнюю версию. Дополнительные сведения см. в блоге Руководство Майкрософт по безопасности.
Прочтите соответствующую документацию по базовым параметрам безопасности, входящую в состав этого средства.
Скачайте и импортируйте нужные вам базовые параметры безопасности. Выбор базовых параметров осуществляется в ходе процесса установки.
Перед развертыванием базовых параметров безопасности откройте справку и следуйте инструкциям по их настройке, сравнению и объединению.
Использование мастера настройки безопасности
Мастер настройки безопасности (SCW) служит для пошагового создания, изменения, применения или отката политики безопасности. Политика безопасности, созданная с помощью этого мастера, представляет собой XML-файл, который после применения позволяет настраивать службы, сетевую безопасность, определенные значения реестра и политику аудита. SCW — это инструмент на основе ролей. Его можно использовать для создания политики, которая включает службы, правила брандмауэра и параметры, необходимые для выполнения конкретных ролей выбранным сервером. Например, сервер может быть файловым сервером, сервером печати или контроллером домена.
Ниже приведены аспекты использования мастера.
Мастер настройки безопасности отключает ненужные службы и обеспечивает поддержку брандмауэра Windows в режиме повышенной безопасности.
Политики безопасности, создаваемые с помощью этого мастера, отличаются от шаблонов безопасности, которые представляют собой файлы с расширением INF. Шаблоны безопасности содержат больше параметров безопасности, чем можно настроить с помощью мастера настройки безопасности. Однако шаблон безопасности можно добавить в файл политики безопасности мастера.
Политики безопасности, создаваемые в мастере настройки безопасности, можно развернуть с помощью групповой политики.
Мастер настройки безопасности не устанавливает и не удаляет компоненты, необходимые серверу для выполнения своих функций. Установить относящиеся к ролям серверные компоненты можно с помощью диспетчера серверов.
Мастер настройки безопасности определяет зависимости ролей сервера. При выборе роли сервера все зависимые роли сервера выбираются автоматически.
При запуске мастера все приложения, которые используют протокол IP и порты, должны выполняться на сервере.
В некоторых случаях может потребоваться подключение к Интернету, чтобы использовать ссылки в справке мастера настройки безопасности.
Примечание
Мастер настройки безопасности доступен только в Windows Server и применим только к серверным установкам.
Доступ к мастеру настройки безопасности можно получить с помощью диспетчера серверов или путем запуска scw.exe. Мастер позволяет выполнять настройку системы безопасности сервера для реализации следующих задач.
Создание политики безопасности, которую можно применять к любому серверу в сети.
Изменение существующей политики безопасности.
Применение существующей политики безопасности.
Откат последней примененной политики безопасности.
Мастер настройки политики безопасности используется для настройки служб и сетевой безопасности на основе роли сервера, а также настраивает параметры аудита и реестра.
Дополнительные сведения о мастере настройки безопасности, включая процедуры, см. в статье Мастер настройки безопасности.
Работа с диспетчером настройки безопасности
Набор средств диспетчера настройки безопасности позволяет создавать, применять и изменять политику безопасности для локального устройства, подразделения или домена.
Процедуры по использованию диспетчера настройки безопасности см. в статье Диспетчер настройки безопасности.
В следующей таблице перечислены возможности диспетчера настройки безопасности.
| Инструменты диспетчера настройки безопасности | Описание |
|---|---|
Анализ и настройка безопасности |
Определяет политику безопасности в шаблоне. Эти шаблоны могут применяться к групповой политике или локальному компьютеру. |
Шаблоны безопасности |
Определяет политику безопасности в шаблоне. Эти шаблоны могут применяться к групповой политике или локальному компьютеру. |
Расширение "Параметры безопасности" для групповой политики |
Используется для изменения отдельных параметров безопасности домена, сайта или подразделения. |
Локальная политика безопасности |
Используется для изменения отдельных параметров безопасности на локальном компьютере. |
Secedit |
Автоматизирует настройку безопасности через командную строку. |
Анализ и настройка безопасности
"Анализ и настройка безопасности" — это оснастка консоли MMC для анализа и настройки системы безопасности локальной системы.
Анализ безопасности
Состояние операционной системы и приложений на устройстве является динамическим. Например, может потребоваться временно изменить уровни безопасности для немедленного решения административного вопроса или сетевой проблемы. Однако такие изменения часто остаются неотмененными. Это означает, что компьютер больше не соответствует требованиям к безопасности предприятия.
Благодаря регулярному анализу вы можете отслеживать и поддерживать нужный уровень безопасности на каждом компьютере в рамках программы управления рисками предприятия. Вы можете настраивать уровни безопасности и, что более важно, обнаруживать все уязвимости, которые могут со временем возникнуть в системе.
Инструмент "Анализ и настройка безопасности" позволяет быстро просматривать результаты анализа безопасности. Оно представляет рекомендации вместе с текущими параметрами системы и использует визуальные значки или отметки для выделения областей, в которых текущие параметры не совпадают с предложенным уровнем безопасности. Этот инструмент также позволяет устранять несоответствия, выявляемые в ходе анализа.
Конфигурация безопасности
Оснастка "Анализ и настройка безопасности" может также использоваться для непосредственной настройки безопасности локальной системы. Используя личные базы данных, можно импортировать шаблоны безопасности, которые были созданы с помощью оснастки "Шаблоны безопасности", и применять эти шаблоны к локальному компьютеру. Безопасность системы будет немедленно настроена с помощью уровней, указанных в шаблоне.
Шаблоны безопасности
С помощью оснастки "Шаблоны безопасности" консоли управления (MMC) можно создать политику безопасности для устройства или сети. Она является тем инструментом, в котором можно проанализировать всю структуру безопасности системы. Оснастка "Шаблоны безопасности" не предоставляет новые параметры безопасности, а просто централизованно упорядочивает все существующие атрибуты безопасности для упрощения администрирования безопасности.
При импорте шаблона безопасности в объект групповой политики облегчается администрирование домена за счет настройки безопасности для всего домена или подразделения.
Чтобы применить шаблон безопасности к локальному устройству, можно использовать оснастку "Анализ и настройка безопасности" или программу командной строки secedit.
Шаблоны безопасности можно использовать для определения следующих политик и компонентов.
Политики учетных записей.
Политика паролей.
Политика блокировки учетных записей.
Политика Kerberos.
Локальные политики.
Политика аудита.
Назначение прав пользователя.
Параметры безопасности.
Журнал событий: параметры приложений, системы и журнала событий безопасности.
Группы с ограниченным доступом: членство в группах, влияющих на безопасность.
Системные службы: параметры запуска и разрешения для системных служб.
Реестр: разрешения для разделов реестра.
Файловая система: разрешения для папок и файлов.
Каждый шаблон сохраняется как текстовый INF-файл. Это позволяет копировать, вставлять, импортировать и экспортировать некоторые или все атрибуты шаблона. В шаблоне безопасности могут содержаться все атрибуты безопасности, кроме политики IP-безопасности и политики открытого ключа.
Расширение "Параметры безопасности" для групповой политики
Подразделения, домены и сайты связаны с объектами групповой политики. Инструмент "Параметры безопасности" позволяет изменять конфигурацию безопасности объекта групповой политики, что, в свою очередь, влияет на несколько компьютеров. С помощью инструмента "Параметры безопасности" можно изменить параметры безопасности на нескольких устройствах (в зависимости от изменяемого объекта групповой политики) всего лишь с одного устройства, присоединенного к домену.
Параметры безопасности или политики безопасности — это правила, настроенные на одном или нескольких устройствах для защиты ресурсов на устройстве или в сети. Параметры безопасности могут управлять:
способом проверки подлинности пользователей в сети или на устройстве;
ресурсами, права на использование которых имеют пользователи;
регистрацией действий пользователя или группы в журнале событий;
членством в группах.
Изменить конфигурацию безопасности на нескольких компьютерах можно двумя способами.
Создать политику безопасности с помощью шаблона безопасности в инструменте "Шаблоны безопасности", а затем импортировать шаблон с помощью расширения "Параметры безопасности" в объект групповой политики.
Изменить несколько нужных параметров с помощью расширения "Параметры безопасности".
Локальная политика безопасности
Политика безопасности представляет собой сочетание параметров безопасности, которые влияют на защищенность устройства. Локальную политику безопасности можно использовать для изменения политик учетных записей и локальных политик на локальном устройстве.
С помощью локальной политики безопасности можно управлять:
тем, кто имеет доступ к устройству;
ресурсами, права на использование которых имеют пользователи;
регистрацией действий пользователя или группы в журнале событий.
Если ваше локальное устройство присоединено к домену, вы можете получить политику безопасности из политики домена или политики подразделения, членом которого вы являетесь. Если вы получаете политики из нескольких источников, конфликты разрешаются в следующем порядке приоритета.
Политика подразделения.
Политика домена.
Политика сайта.
Политика локального компьютера.
Если изменить параметры безопасности на локальном устройстве с помощью локальной политики безопасности, то изменения вносятся непосредственно в параметры на устройстве. Таким образом, параметры вступают в силу немедленно, но это может носить временный характер. Параметры фактически будут работать на локальном устройстве до следующего обновления параметров групповой политики безопасности; параметры безопасности, получаемые из групповой политики, переопределят локальные параметры при возникновении конфликтов.
Использование диспетчера настройки безопасности
Процедуры по использованию диспетчера настройки безопасности см. в статье Использование диспетчера настройки безопасности. Содержание этого раздела.
Применение параметров безопасности
Импорт и экспорт шаблонов безопасности
Анализ безопасности и просмотр результатов
Устранение несоответствий в параметрах безопасности
Автоматизация настройки безопасности
Применение параметров безопасности
После изменения параметры безопасности обновляются на компьютерах в подразделении, связанном с вашим объектом групповой политики.
После перезагрузки устройства параметры на нем будут обновлены.
Чтобы принудительно обновить параметры безопасности устройства, а также все параметры групповой политики, используйте gpupdate.exe.
Приоритет политик в случае применения к компьютеру нескольких политик
Для параметров безопасности, которые определены несколькими политиками, используется следующий порядок приоритета.
Политика подразделения.
Политика домена.
Политика сайта.
Политика локального компьютера.
Например, при возникновении конфликта локальные параметры безопасности рабочей станции, присоединенной к домену, будут переопределены политикой домена. Аналогичным образом, если эта же рабочая станция является членом подразделения, параметры, примененные из политики подразделения, переопределят параметры домена и локальные параметры. Если рабочая станция входит в несколько подразделений, наивысший приоритет получает подразделение, которое непосредственно содержит рабочую станцию.
Примечание
Используйте gpresult.exe, чтобы узнать, какие политики применяются к устройству и в каком порядке.
Для учетных записей домена может существовать только одна политика учетных записей, включающая политики паролей, политики блокировки учетных записей и политики Kerberos.
Сохранение параметров безопасности
Параметры безопасности могут продолжать действовать, даже если параметр больше не определен в политике, первоначально его применившей.
Сохранение параметров безопасности происходит в следующих случаях.
Параметр не был ранее определен для этого устройства.
Параметр предназначен для объекта реестра.
Параметр предназначен для объекта файловой системы.
Все параметры, примененные с помощью локальной политики или объекта групповой политики, хранятся в локальной базе данных на устройства. При изменении параметра безопасности компьютер сохраняет значение параметра безопасности в локальную базу данных, где хранится журнал всех параметров, примененных к устройству. Если политика сначала определяет параметр безопасности и затем больше не определяет его, параметр принимает предыдущее значение в базе данных. Если предыдущее значение не существует в базе данных, параметр не возвращается ни к каким значениям, а сохраняет текущее значение. Это поведение иногда называют "татуированием".
Параметры реестра и файлов сохраняют значения, примененные с помощью политики, до тех пор, пока для этих параметров не будут заданы другие значения.
Фильтрация параметров безопасности на основе членства в группах
Можно также решить, к каким пользователям и группам будет или не будет применен объект групповой политики независимо от того, в систему какого компьютера выполнен вход. Для этого им отказывается в разрешении на применение групповой политики или на чтение этого объекта групповой политики. Оба эти разрешения необходимы для применения групповой политики.
Импорт и экспорт шаблонов безопасности
Инструмент "Анализ и настройка безопасности" позволяет импортировать шаблоны безопасности в базу данных или экспортировать их из нее.
Если были внесены изменения в базу данных анализа, можно сохранить эти параметры путем их экспорта в шаблон. Функция экспорта позволяет сохранять параметры базы данных анализа в виде нового файла шаблона. Этот файл шаблона может затем использоваться для анализа или настройки системы либо может быть импортирован в объект групповой политики.
Анализ безопасности и просмотр результатов
Оснастка "Анализ и настройка безопасности" выполняет анализ безопасности путем сравнения текущего состояния системы безопасности и базы данных анализа. Во время создания база данных анализа использует как минимум один шаблон безопасности. Если вы решили импортировать несколько шаблонов безопасности, база данных объединит различные шаблоны и создаст один составной шаблон. Конфликты разрешаются в порядке импорта — приоритет имеет последний импортированный шаблон.
Оснастка "Анализ и настройка безопасности" отображает результаты анализа по областям безопасности с помощью визуальных значков для указания проблем. Она отображает текущие параметры системы и базовые параметры конфигурации для каждого атрибута безопасности в областях безопасности. Чтобы изменить параметры базы данных анализа, щелкните правой кнопкой мыши запись, а затем выберите пункт Свойства.
| Визуальный значок | Значение |
|---|---|
Красный значок X |
Запись определена в базе данных анализа и в системе, но значения параметров безопасности не совпадают. |
Зеленый флажок |
Запись определена в базе данных анализа и в системе и значения параметров совпадают. |
Вопросительный знак |
Запись не определена в базе данных анализа и, следовательно, не была проанализирована. Если запись не проанализирована, возможно, она не была определена в базе данных анализа, или пользователь, выполняющий анализ, может не иметь достаточных разрешений на анализ конкретного объекта или области. |
Восклицательный знак |
Этот элемент определен в базе данных анализа, но не существует в фактической системе. Например, может существовать группа с ограниченным доступом, которая определена в базе данных анализа, но фактически не существует в анализируемой системе. |
Нет значка |
Элемент не определен в базе данных анализа или в системе. |
Если вы решили принять текущие параметры, соответствующие значения в базовой конфигурации изменятся для соответствия им. При изменении параметра системы для соответствия базовой конфигурации изменение будет отражено при настройке системы с помощью оснастки "Анализ и настройка безопасности".
Во избежание дальнейшей отметки параметров, которые были изучены и определены как подходящие, можно изменить базовую конфигурацию. Изменения вносятся в копию шаблона.
Устранение несоответствий в параметрах безопасности
Можно устранить несоответствия в параметрах базы данных анализа и системы, выполнив следующие действия.
Приняв или изменив некоторые или все отмеченные или не включенные в конфигурацию значения, если определено, что уровни безопасности локальной системы являются допустимыми для контекста (или роли) этого компьютера. Затем эти значения атрибутов обновляются в базе данных и применяются к системе при нажатии кнопки Настроить компьютер.
Настроить для системы значения из базы данных анализа, если установлено, что система не соответствует допустимым уровням безопасности.
Импортировав более подходящий шаблон для этой роли компьютера в базу данных в виде новой базовой конфигурации и применив его к системе.
Изменения в базу данных анализа вносятся в шаблон, хранящийся в базе данных, а не в файл шаблона безопасности. Файл шаблона безопасности будет изменен только в том случае, если вернуться в оснастку "Шаблоны безопасности" и изменить этот шаблон или экспортировать сохраненную конфигурацию в тот же файл шаблона.
Параметр Настроить компьютер следует использовать только для изменения областей безопасности, которые не затронуты параметрами групповой политики, таких как безопасность для локальных файлов и папок, разделов реестра и системных служб. В противном случае при применении параметров групповой политики ее параметры получат приоритет над локальными параметрами, такими как политики учетных записей. В целом не используйте параметр Настроить компьютер при анализе безопасности для клиентов на основе домена, так как каждый клиент придется настраивать отдельно. В этом случае следует вернуться к шаблонам безопасности, изменить шаблон и повторно применить его к соответствующему объекту групповой политики.
Автоматизация настройки безопасности
Вызвав программу secedit.exe в командной строке из пакетного файла или автоматического планировщика заданий, ее можно использовать для автоматического создания и применения шаблонов и анализа безопасности системы. Ее также можно запускать динамически из командной строки.
Программа secedit.exe полезна при наличии нескольких устройств, на которых необходимо выполнить анализ или настройку безопасности и сделать это нужно во внерабочее время.
Работа с инструментами групповой политики
Групповая политика — это инфраструктура, которая позволяет задавать управляемые конфигурации для пользователей и компьютеров с помощью параметров и предпочтений групповой политики. Для управления параметрами групповой политики, которые влияют только на локальные устройства и локальных пользователей, используйте редактор локальной групповой политики. Параметрами и предпочтениями групповой политики в среде доменных служб Active Directory (AD DS) можно управлять с помощью консоли управления групповыми политиками (GPMC). С помощью инструментов управления групповыми политиками, которые входят в пакет средств удаленного администрирования сервера, можно управлять параметрами групповой политики с рабочего стола.