Параметры политики безопасности

В этом справочном разделе описываются типичные сценарии, архитектура и процессы, связанные с параметрами безопасности.

Параметры политики безопасности — это правила, которые администраторы настраивают на компьютере или нескольких устройствах с целью защиты ресурсов на устройстве или в сети. Расширение "Параметры безопасности" оснастки редактора локальной групповой политики позволяет определять конфигурации безопасности в составе объекта групповой политики (GPO). Объекты групповой политики связаны с контейнерами Active Directory, такими как сайты, домены и подразделения, и позволяют администраторам управлять параметрами безопасности для нескольких устройств с любого устройства, присоединенного к домену. Параметры политики безопасности используются как часть общей системы безопасности и позволяют обеспечить защиту контроллеров домена, серверов, клиентов и других ресурсов вашей организации.

Параметры безопасности могут управлять:

  • проверкой подлинности пользователей в сети или на устройстве;

  • ресурсами, права доступа к которым есть у пользователей;

  • регистрацией действий пользователя или группы в журнале событий;

  • членством в группе.

Для управления конфигурациями безопасности для нескольких устройств можно использовать один из следующих способов.

  • изменить конкретные параметры безопасности в GPO;

  • использовать оснастку «Шаблоны безопасности» для создания шаблона безопасности, содержащего политики безопасности, которые необходимо применить, а затем импортировать шаблон безопасности в объект групповой политики. Шаблон безопасности — это файл, который представляет конфигурацию безопасности. Его можно импортировать в объект групповой политики, применить к локальному устройству или использовать для анализа безопасности.

Дополнительные сведения об управлении конфигурациями безопасности см. в разделе Администрирование параметров политики безопасности.

Расширение «Параметры безопасности» в редакторе локальной групповой политики включает следующие типы политик безопасности.

  • Политики учетных записей. Эти политики определяются на устройствах и влияют на то, как учетные записи пользователей могут взаимодействовать с компьютером или доменом. Политики учетных записей включают следующие типы политик.

    • Политика паролей. Эти политики определяют параметры для паролей, такие как применение и срок действия. Политики паролей используются для учетных записей домена.

    • Политика блокировки учетных записей. Эти политики определяют условия и длительность блокировки учетной записи в системе. Политики блокировки учетных записей используются для доменных или локальных учетных записей.

    • Политика Kerberos. Эти политики применяются для учетных записей пользователей домена; они определяют связанные с Kerberos параметры, такие как срок действия и применение билета.

  • Местные политики. Эти политики применяются к компьютеру и включают следующие типы параметров политики.

    • Политика аудита. Содержит параметры безопасности, которые управляют регистрацией событий безопасности в журнале безопасности на компьютере, а также указывает, какие типы событий безопасности следует регистрировать (успех, отказ или и то, и другое).

      Примечание  

      Для устройств под управлением Windows 7 или более поздних версий мы рекомендуем использовать параметры из раздела "Конфигурация расширенной политики аудита", а не параметры политики аудита из раздела "Локальные политики".

       
    • Назначение прав пользователя. Определите пользователей или группы, которые имеют права или привилегии входа на устройстве.

    • Параметры безопасности. Определите параметры безопасности для компьютера, например имена учетных записей администратора и гостя, доступ к дисководам и приводам компакт-дисков, установка драйверов, попытки входа и т. д.

  • Брандмауэр Windows в режиме повышенной безопасности. Укажите параметры для защиты устройств в сети при помощи брандмауэра с возможностью отслеживания состояний, который позволяет определять, какому трафику можно разрешить проходить между устройством и сетью.

  • Политики диспетчера списка сетей. Укажите параметры, которые можно использовать для настройки различных аспектов вывода списка и отображения сетей на одном или на нескольких устройствах.

  • Политики открытого ключа. Укажите параметры для управления шифрованной файловой системой, защитой данных и шифрованием диска BitLocker в дополнение к определенным путям сертификатов и параметрам служб.

  • Политики ограниченного использования программ. Укажите параметры для определения программного обеспечения, а также для управления возможностью его запуска на локальном устройстве, в подразделении, на домене или сайте.

  • Политики управления приложениями. Укажите параметры для управления тем, какие пользователи или группы могут запускать определенные приложения в организации, на основе уникальных удостоверений файлов.

  • Политики IP-безопасности на локальном компьютере. Укажите параметры для обеспечения частной безопасной связи по IP-сетям с использованием криптографических служб безопасности. IPsec укрепляет доверие и безопасность между исходным IP-адресом и целевым IP-адресом.

  • Конфигурация расширенной политики аудита. Укажите параметры, которые управляют регистрацией событий безопасности в журнале безопасности на устройстве. Параметры раздела "Конфигурация расширенной политики аудита" обеспечивают более детальный уровень управления тем, какие действия следует отслеживать, по сравнению с параметрами политики аудита из раздела "Локальные политики".

Управление параметрами безопасности на основе политик

Расширение «Параметры безопасности» для групповой политики предоставляет встроенную инфраструктуру управления на основе политик, которая помогает реализовывать политики безопасности и управлять ими.

Вы можете определять и применять политики параметров безопасности к пользователям, группам, сетевым серверам и клиентам, используя для этого групповую политику и доменные службы Active Directory (AD DS). Можно создать группу серверов с одинаковыми функциями, например веб-серверов Microsoft (IIS), а затем использовать объекты групповой политики для применения общих параметров безопасности к этой группе. При добавлении дополнительных серверов в эту группу многие общие параметры безопасности будут применяться автоматически, что снизит трудозатраты на развертывание и администрирование.

Общие сценарии использования политик параметров безопасности

Политики параметров безопасности используются для управления следующими аспектами безопасности: политика учетных записей, локальная политика, назначение прав пользователя, значения реестра, списки управления доступом (ACL) к файлам и реестру, режимы запуска служб и так далее.

В рамках стратегии безопасности вы можете создать объекты групповой политики с политиками параметров безопасности, настроенными специально для различных ролей в вашей организации, таких как контроллеры домена, файловые серверы, рядовые серверы, клиенты и так далее.

Вы можете создать структуру подразделений (OU), в которой устройства будут сгруппированы по их ролям. Использование подразделений — лучший способ разделения определенных требований к безопасности для различных ролей в сети. Этот подход также позволяет применять настраиваемые шаблоны безопасности к каждому классу серверов или компьютеров. После создания шаблонов безопасности необходимо создать новый объект групповой политики для каждого подразделения, а затем импортировать шаблон безопасности (INF-файл) в новый объект групповой политики.

Импорт шаблона безопасности в объект групповой политики гарантирует, что любые учетные записи, к которым применяется объект групповой политики, автоматически получает параметры безопасности этого шаблона при обновлении параметров групповой политики. На рабочей станции или сервере параметры безопасности обновляются через регулярные интервалы времени (со случайным смещением не более 30 минут), а на контроллере домена этот процесс запускается каждые несколько минут, если изменения были внесены в любые применимые параметры объекта групповой политики. Кроме того, независимо от наличия изменений эти параметры обновляются каждые 16 часов.

Примечание  

Периодичность обновления зависит от версии операционной системы и подлежит настройке.

 

С помощью конфигураций безопасности на основе групповой политики в сочетании с делегированием администрирования вы можете гарантировать применение определенных параметров безопасности, прав и поведения ко всем серверам и компьютерам в подразделении. Этот подход облегчает обновление ряда серверов, если в будущем понадобятся какие-либо изменения.

Зависимости от других технологий операционной системы

На устройствах, являющихся членами домена Windows Server 2008 или более поздней версии, политики параметров безопасности зависят от следующих технологий.

  • Доменные службы Active Directory (AD DS)

    Служба каталогов на основе Windows AD DS хранит сведения об объектах в сети и предоставляет эти сведения администраторам и пользователям. Благодаря AD DS можно централизованно просматривать сетевые объекты и управлять ими, а пользователи могут получить доступ к разрешенным сетевым ресурсам с помощью технологии единого входа.

  • Групповая политика

    Инфраструктура в рамках AD DS, позволяющая управлять на основе каталогов конфигурацией параметров пользователей и устройств под управлением Windows Server. С помощью групповой политики вы можете определять конфигурации для групп пользователей и компьютеров, включая параметры политики, политики на основе реестра, установку ПО, сценарии, перенаправление папок, службы удаленной установки, обслуживание Internet Explorer и безопасность.

  • Система доменных имен (DNS)

    Иерархическая система именования, которая используется для поиска доменных имен в Интернете и частных сетях TCP/IP. DNS предоставляет службу для сопоставления доменных имен DNS с IP-адресами, а IP-адресов — с доменными именами. Это позволяет пользователям, компьютерам и приложениям выполнять запросы к DNS-серверам, чтобы удаленные системы можно было указывать по полным доменным именам, а не IP-адресам.

  • Winlogon

    Часть операционной системы Windows, которая обеспечивает поддержку интерактивного входа в систему. Winlogon создан на основе модели интерактивного входа в систему, которая состоит из трех компонентов: исполняемый файл Winlogon, поставщик учетных данных и любое количество поставщиков сети.

  • Установка

    Конфигурация безопасности взаимодействует с процессом установки операционной системы во время чистой установки или обновления предыдущих версий Windows Server.

  • Диспетчер учетных записей безопасности (SAM)

    Служба Windows, которая используется во время входа в систему. SAM содержит сведения об учетных записях пользователей, включая группы, к которым принадлежит тот или иной пользователь.

  • Локальная система безопасности (LSA)

    Защищенная подсистема, которая проверяет подлинность пользователей и позволяет им выполнить вход в локальную систему. LSA также содержит сведения обо всех аспектах локальной безопасности системы, которые в совокупности называются локальной политикой безопасности системы.

  • Инструментарий управления Windows (WMI)

    Являясь компонентом операционной системы Microsoft Windows, WMI представляет собой реализацию корпорацией Майкрософт управления предприятием на базе веб-интерфейса (WBEM), что является отраслевой инициативой, направленной на разработку стандартной технологии получения доступа к сведениям об управлении в среде предприятия. Инструментарий WMI предоставляет доступ к сведениям об объектах в управляемой среде. Благодаря WMI и интерфейсу прикладного программирования (API) WMI приложения могут запрашивать статическую информацию в репозитории общей информационной модели (CIM) и динамическую информацию, поддерживаемую различными типами поставщиков, а также вносить изменения в эту информацию.

  • Результирующая политика (RSoP)

    Расширенная инфраструктура групповой политики, которая использует WMI для упрощения планирования и отладки параметров политики. RSoP содержит открытые методы, которые показывают на примере гипотетических сценариев, к чему может привести использование расширения групповой политики и к чему привело использование расширения в реальной ситуации. Это позволяет администраторам легко определять сочетания параметров политики, которые применяются или будут применяться к пользователям или устройствам.

  • Диспетчер служб (SCM)

    Используется для настройки режимов запуска и безопасности служб.

  • Реестр

    Используется для настройки значений и безопасности реестра.

  • Файловая система

    Используется для настройки безопасности.

  • Преобразования файловой системы

    Безопасность настраивается при преобразовании администратором файловой системы из FAT в NTFS.

  • Консоль управления (MMC)

    Пользовательский интерфейс средства «Параметры безопасности» представляет собой расширение оснастки MMC редактора локальной групповой политики.

Политики параметров безопасности и групповая политика

Расширение "Параметры безопасности" редактора локальной групповой политики является частью набора средств диспетчера конфигурации безопасности. С параметрами безопасности связаны следующие компоненты: модуль конфигурации; модуль анализа; уровень интерфейса шаблона и базы данных; логика интеграции установки и средство командной строки secedit.exe. Модуль конфигурации безопасности отвечает за обработку запросов безопасности, связанных с редактором конфигурации безопасности, для системы, в которой он работает. Модуль анализа анализирует безопасность системы для определенной конфигурации и сохраняет результат. Уровень интерфейса шаблона и базы данных обрабатывает запросы на чтение и запись применительно к шаблону или базе данных (для внутреннего хранилища). Расширение "Параметры безопасности" редактора локальной групповой политики обрабатывает групповую политику для доменного или локального устройства. Логика конфигурации безопасности интегрируется с установкой и управляет безопасностью системы при чистой установке или обновлении до более новой версии операционной системы Windows. Сведения о безопасности хранятся в шаблонах (INF-файлы) или в базе данных Secedit.sdb.

На следующей схеме показаны параметры безопасности и связанные возможности.

Политики параметров безопасности и связанные функции

Компоненты, связанные с политиками безопасности
  • Scesrv.dll

    Предоставляет ключевые функции модуля безопасности.

  • Scecli.dll

    Предоставляет клиентские интерфейсы для модуля конфигурации безопасности, а также данные для результирующей политики (RSoP).

  • Wsecedit.dll

    Расширение параметров безопасности редактора локальной групповой политики. scecli.dll загружается в wsecedit.dll для поддержки пользовательского интерфейса параметров безопасности.

  • Gpedit.dll

    Оснастка MMC редактора локальной групповой политики.

Архитектура расширения «Параметры безопасности»

Расширение «Параметры безопасности» редактора локальной групповой политики является частью средств диспетчера конфигурации безопасности, как показано на следующей схеме.

Архитектура параметров безопасности

Архитектура параметров политики безопасности

Средства конфигурации и анализа параметров безопасности включают модуль конфигурации безопасности, который предоставляет конфигурацию локального компьютера (не являющегося членом домена) и конфигурацию на основе групповой политики, а также анализ политик параметров безопасности. Модуль конфигурации безопасности также поддерживает создание файлов политики безопасности. Основными функциональными возможностями модуля конфигурации безопасности являются scecli.dll и scesrv.dll.

В следующем списке описываются эти основные функциональные возможности модуля конфигурации безопасности, а также другие функциональные возможности, связанные с параметрами безопасности.

  • scesrv.dll

    Эта библиотека DLL размещается в services.exe и выполняется в контексте локальной системы. scesrv.dll предоставляет основные функциональные возможности диспетчера конфигурации безопасности, такие как импорт, настройка, анализ и распространение политики.

    Scesrv.dll выполняет настройку и анализ различных параметров системы, связанных с безопасностью, путем вызова соответствующих интерфейсов API системы, включая LSA, SAM и реестр.

    Scesrv.dll предоставляет такие интерфейсы API, как импорт, экспорт, настройка и анализ. Эта библиотека проверяет, сделан ли запрос через LRPC (Windows XP), и завершает работу с ошибкой, если вызов сделан иначе.

    Связь между компонентами расширения «Параметры безопасности» возникает с использованием следующих методов:

    • вызовы модели COM;

    • вызов локальной удаленной процедуры (LRPC);

    • протокол LDAP;

    • интерфейсы служб Active Directory (ADSI);

    • протокол SMB;

    • API-интерфейсы Win32;

    • вызовы инструментария управления Windows (WMI).

    На контроллерах домена scesrv.dll получает уведомления об изменениях, внесенных в SAM и LSA, которые должны быть синхронизированы между контроллерами домена. Scesrv.dll внедряет эти изменения в объект групповой политики «Политика контроллера домена по умолчанию» с помощью внутрипроцессных API-интерфейсов изменения шаблонов, которые содержатся в scecli.dll.

    Scesrv.dll также выполняет операции конфигурации и анализа.

  • Scecli.dll

    Это клиентский интерфейс или оболочка для scesrv.dll. scecli.dll загружается в Wsecedit.dll для поддержки оснасток MMC. Эта библиотека используется установкой для настройки безопасности системы по умолчанию и безопасности файлов, разделов реестра и служб, установленных INF-файлами API установки.

    Версия пользовательских интерфейсов конфигурации и анализа безопасности для командной строки secedit.exe использует scecli.dll.

    Scecli.dll реализует клиентское расширение групповой политики.

    Scesrv.dll использует scecli.dll для скачивания применимых файлов групповой политики из SYSVOL для применения параметров безопасности групповой политики на локальном устройстве.

    Scecli.dll регистрирует применения политики безопасности в WMI (RSoP).

    Фильтр политики Scesrv.dll использует scecli.dll для обновления объекта групповой политики "Политика контроллера домена по умолчанию" при внесении изменений в SAM и LSA.

  • Wsecedit.dll

    Расширение «Параметры безопасности» оснастки редактора объектов групповой политики. С помощью этого средства можно настроить параметры безопасности в объекте групповой политики для сайта, домена или подразделения. Вы можете также использовать расширение «Параметры безопасности» для импорта шаблонов безопасности в объект групповой политики.

  • Secedit.sdb

    Это постоянная база данных системы, которая используется для распространения политики, включая таблицу постоянных параметров в целях отката.

  • Пользовательские базы данных

    Пользовательская база данных — это любая база данных, отличная от системной базы данных, созданная администраторами для конфигурации или анализа безопасности.

  • INF-шаблоны

    Это текстовые файлы, содержащие декларативные параметры безопасности. Они загружаются в базу данных до конфигурации или анализа. Политики безопасности групповой политики хранятся в INF-файлах в папке SYSVOL контроллеров домена, откуда они скачиваются (посредством копирования файла) и объединяются в системной базе данных во время распространения политики.

Процессы и взаимодействия политики параметров безопасности

На устройстве, подсоединенном к домену, где применяется групповая политика, параметры безопасности обрабатываются вместе с групповой политикой. Не все параметры можно настраивать.

Обработка групповой политики

Если компьютер запускается и пользователь выполняет вход в систему, политика компьютера и политика пользователя применяются в следующей последовательности.

  1. Запускается сеть. Запускаются системная служба удаленного вызова процедур (RPCSS) и многосетевой UNC-провайдер (MUP).

  2. Поступает упорядоченный список объектов групповой политики для устройства. Состав этого списка может зависеть от приведенных ниже факторов.

    • является ли устройство частью домена, а значит, применима ли к нему групповая политика, предоставляемая через Active Directory;

    • расположение устройства в Active Directory;

    • был ли изменен список объектов групповой политики. Если список объектов групповой политики не был изменен, обработка не выполняется.

  3. Применяется политика компьютера. Это параметры в конфигурации компьютера из полученного списка. По умолчанию это синхронный процесс, который выполняется в следующем порядке: локальная система, сайт, домен, подразделение, дочернее подразделение и т. д. При обработке политик компьютера пользовательский интерфейс не отображается.

  4. Выполняются сценарии запуска. По умолчанию они выполняются скрыто и синхронно; каждый сценарий должен быть выполнен или завершен в связи с превышением времени ожидания, прежде чем будет запущен следующий сценарий. Время ожидания по умолчанию составляет 600 секунд. Это поведение можно изменить с помощью нескольких параметров политики.

  5. Пользователь нажимает CTRL+ALT+DEL для входа в систему.

  6. После проверки пользователя загружается профиль пользователя; он управляется действующими параметрами политики.

  7. Поступает упорядоченный список объектов групповой политики для пользователя. Состав этого списка может зависеть от приведенных ниже факторов.

    • является ли пользователь частью домена, а значит, применима ли к нему групповая политика, предоставляемая через Active Directory;

    • включена ли обработка политики с замыканием на себя и если да, то каково состояние (объединение или замена) параметра политики с замыканием на себя;

    • расположение пользователя в Active Directory;

    • был ли изменен список объектов групповой политики. Если список объектов групповой политики не был изменен, обработка не выполняется.

  8. Применяется политика пользователя. Это параметры в конфигурации пользователя из полученного списка. По умолчанию это синхронный процесс, который выполняется в следующем порядке: локальная система, сайт, домен, подразделение, дочернее подразделение и т. д. При обработке политик пользователя пользовательский интерфейс не отображается.

  9. Выполняются сценарии входа. Сценарии входа на основе групповой политики по умолчанию являются скрытыми и асинхронными. Последним выполняется сценарий объект-пользователя.

  10. Появляется пользовательский интерфейс операционной системы, указанный в групповой политике.

Хранилище объектов групповой политики

Объект групповой политики (GPO) представляет собой виртуальный объект, который определяется глобальным уникальным идентификатором (GUID) и хранится на уровне домена. Данные параметров политики в объекте групповой политики хранятся в следующих двух местах:

  • Контейнеры групповой политики в Active Directory.

    Контейнер групповой политики представляет собой контейнер Active Directory, содержащий свойства GPO, такие как сведения о версии, состояние GPO, а также список других параметров компонентов.

  • Шаблоны групповой политики в папке системного тома домена (SYSVOL).

    Шаблон групповой политики — это папка файловой системы, которая включает данные политики, указанные в ADMX-файлах, параметрах безопасности, файлах сценариев и сведениях о приложениях, доступных для установки. Шаблон групповой политики расположен в папке SYSVOL в подпапке домен\Политики.

Структура GROUP_POLICY_OBJECT предоставляет данные об объекте групповой политики в списке GPO, включая номер версии объекта групповой политики, указатель на строку, обозначающую часть Active Directory в объекте групповой политики, а также указатель на строку, определяющую путь к части файловой системы в объекте групповой политики.

Порядок обработки групповой политики

Параметры групповой политики обрабатываются в следующем порядке:

  1. Объект локальной групповой политики.

    Каждое устройство под управлением операционной системы Windows, начиная с Windows XP, имеет строго один объект групповой политики, который хранится локально.

  2. Сайт.

    Затем обрабатываются любые объекты групповой политики, которые были привязаны к сайту. Обработка выполняется синхронно и в указанном вами порядке.

  3. Домен.

    Обработка нескольких объектов групповой политики, привязанных к домену, выполняется синхронно в указанном вами порядке.

  4. Подразделения.

    Объекты групповой политики, привязанные к подразделению на самом высокой уровне иерархии Active Directory, обрабатываются в первую очередь, затем обрабатываются объекты групповой политики, привязанные к дочернему подразделению и т. д. Наконец обрабатываются объекты групповой политики, привязанные к подразделению, содержащему пользователя или устройство.

К каждому уровню подразделения в иерархии Active Directory может быть привязан один, несколько или ни одного объекта групповой политики. Если к подразделению привязано несколько объектов групповой политики, они обрабатываются синхронно в указанном вами порядке.

Этот порядок означает, что первым обрабатывается объект локальной групповой политики, а объекты групповой политики, привязанные к подразделению, которому непосредственно принадлежит компьютер или пользователь, обрабатываются в последнюю очередь, то есть переопределяют более ранние объекты групповой политики.

Это порядок обработки по умолчанию, однако администраторы могут сделать исключения в этом порядке. Объект групповой политики, который привязан к сайту, домену или подразделению (не объект локальной групповой политики) можно задать как Принудительный в отношении сайта, домена или подразделения, чтобы никакие параметры политики не могли быть переопределены. На уровне любого сайта, домена или подразделения можно выборочно пометить наследование групповой политики как Блокировать наследование. Однако привязки объектов групповой политики, помеченные как Принудительный, применяются всегда и не могут быть заблокированы.

Обработка политики параметров безопасности

В контексте обработки групповой политики политика параметров безопасности обрабатывается в следующем порядке.

  1. Во время обработки групповой политики модуль групповой политики определяет, какие политики параметров безопасности следует определять.

  2. Если в объекте групповой политики существуют политики параметров безопасности, групповая политика вызывает клиентское расширение «Параметры безопасности».

  3. Расширение «Параметры безопасности» скачивает политику из соответствующего местоположения, например с определенного контроллера домена.

  4. Расширение «Параметры безопасности» объединяет все политики параметров безопасности в соответствии с правилами приоритета. Обработка выполняется в соответствии с порядком обработки групповой политики локального компьютера, сайта, домена и подразделения, как описано выше в разделе "Порядок обработки групповой политики". Если на конкретном устройстве действуют несколько объектов групповой политики и отсутствуют конфликтующие политики, эти политики являются кумулятивными и объединяются.

    В этом примере используется структура Active Directory, приведенная на следующем рисунке. Данный компьютер является членом подразделения OU2, к которому привязан объект групповой политики GroupMembershipPolGPO. К этому компьютеру также применяется объект групповой политики UserRightsPolGPO, который привязан к подразделению OU1, стоящему выше в иерархии. В этом случае конфликтующих политик нет, поэтому устройство получает все политики, содержащиеся в объектах групповой политики UserRightsPolGPO и GroupMembershipPolGPO.

    Несколько объектов групповой политики и объединение политики безопасности

    Несколько объектов групповой политики и объединение политики безопасности

  5. Результирующие политики безопасности хранятся в secedit.sdb, базе данных параметров безопасности. Модуль безопасности получает файлы шаблона безопасности и импортирует их в secedit.sdb.

  6. Политики параметров безопасности применяются к устройствам.

На следующем рисунке показана обработка политики параметров безопасности.

Обработка политики параметров безопасности

Обработка и взаимодействие параметров политики безопасности

Объединение политик безопасности на контроллерах домена

Политики паролей, Kerberos и некоторые параметры безопасности объединяются только из объектов групповой политики, привязанных к корневому уровню домена. Это делается для синхронизации этих параметров на всех контроллерах домена. Объединяются следующие параметры безопасности:

  • Сетевая безопасность: принудительный вывод из сеанса по истечении допустимых часов работы

  • Учетные записи: состояние учетной записи «Администратор»

  • Учетные записи: состояние учетной записи «Гость»

  • Учетные записи: переименование учетной записи администратора

  • Учетные записи: переименование учетной записи гостя

Существует другой механизм, который позволяет объединять в объекте групповой политики «Политика домена по умолчанию» все изменения политики безопасности, внесенные администраторами с помощью учетных записей net. Изменения прав пользователей, внесенные с помощью API-интерфейсов LSA, фильтруются в объект групповой политики «Политика контроллеров домена по умолчанию».

Особые соображения для контроллеров домена

Если приложение, установленное на основном контроллере домена (PDC) с ролью хозяина операций (также известной как роль FSMO), вносит изменения в права пользователей или политику паролей, следует оповестить об этих изменениях, чтобы была выполнена синхронизация контроллеров домена. Scesrv.dll получает уведомление о любых изменениях, внесенных в диспетчере учетных записей безопасности (SAM) и LSA, которые должны быть синхронизированы на всех контроллерах домена, а затем встраивает эти изменения в объект групповой политики "Политика контроллера домена по умолчанию" с помощью API-интерфейсов изменения шаблонов в scecli.dll.

Применение параметров безопасности

После изменения политик параметров безопасности эти параметры обновляются на компьютерах подразделения, привязанного к нужному объекту групповой политики, в следующих случаях:

  • при перезагрузке устройства;

  • каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. Этот интервал обновления можно настроить.

  • По умолчанию параметры политики безопасности, распространяемые групповой политикой, применяются каждые 16 часов (960 минут), даже если объект групповой политики не был изменен.

Продолжительность действия политики параметров безопасности

Параметры безопасности могут продолжать действовать, даже если параметр больше не определен в политике, первоначально его применившей.

Параметры безопасности могут продолжать действовать в следующих случаях:

  • Параметр не был ранее определен для этого устройства.

  • Параметр предназначен для объекта безопасности реестра.

  • Параметры предназначены для объекта безопасности файловой системы.

Все параметры, примененные с помощью локальной политики или объекта групповой политики, хранятся в локальной базе данных на компьютере. При изменении параметра безопасности компьютер сохраняет значение параметра безопасности в локальную базу данных, где хранится журнал всех параметров, примененных к компьютеру. Если политика сначала определяет параметр безопасности и затем больше не определяет его, параметр принимает предыдущее значение в базе данных. Если предыдущее значение не существует в базе данных, параметр не возвращается ни к каким значениям, а сохраняет текущее значение. Это поведение иногда называют «татуировкой».

Параметры безопасности реестра и файлов сохраняют значения, примененные с помощью групповой политики, пока для этих параметров не будут заданы другие значения.

Разрешения, необходимые для применения политики

Разрешения на применение групповой политики и чтение необходимы для применения параметров объекта групповой политики к пользователям или группам и компьютерам.

Фильтрация политик безопасности

По умолчанию все объекты групповой политики имеют разрешения на чтение и применение групповой политики для группы пользователей «Прошедшие проверку». Группа «Прошедшие проверку» включает и пользователей, и компьютеры. Политики параметров безопасности основаны на компьютере. Чтобы определить, к каким клиентским компьютерам будет или не будет применяться объект групповой политики, можно отобрать у этих компьютеров право на применение групповой политики или чтение в отношении нужного объекта групповой политики. Изменение этих разрешений позволит ограничить область действия объекта групповой политики определенным набором компьютеров на сайте, домене или подразделении.

Примечание  

Не используйте фильтрацию политик безопасности на контроллере домена, так как это помешает применить к нему политику безопасности.

 

Перенос объектов групповой политики, содержащих параметры безопасности

В некоторых ситуациях вы можете захотеть перенести объекты групповой политики из одной среды домена в другую. Двумя наиболее распространенными сценариями являются перенос из тестовой среды в производственную и перенос из одной производственной среды в другую. Процесс копирования объекта групповой политики влияет на некоторые типы параметров безопасности.

Данные для единого объекта групповой политики хранятся в нескольких местах и в разных форматах; некоторые данные содержатся в Active Directory, другие данные хранятся в общей папке SYSVOL на контроллерах домена. Некоторые данные политики могут быть действительны в исходном домене, но недействительны в домене, куда копируется объект групповой политики. Например, идентификаторы безопасности (SID), которые хранятся в параметрах политики безопасности, часто зависят от домена. Поэтому копирование объектов групповой политики не является таким же простым процессом, как копирование папки с одного устройства на другой.

Следующие политики безопасности могут содержать субъекты безопасности; для их успешного перемещения из одного домена в другой может потребоваться некоторая дополнительная работа.

  • Назначение прав пользователя

  • Ограниченные группы

  • Службы

  • Файловая система

  • Реестр

  • GPO DACL, если необходимо сохранить этот список управления доступом во время копирования

Для обеспечения надлежащего копирования данных вы можете использовать консоль управления групповыми политиками (GPMC). При переносе объекта групповой политики из одного домена в другой консоль управления групповыми политиками обеспечивает надлежащее копирование всех необходимых данных. Консоль управления групповыми политиками также предлагает таблицы переноса, которые можно использовать для обновления данных, связанных с доменом, до новых значений в рамках процесса переноса. Консоль управления групповыми политиками устраняет многие сложности, связанные с переносом объектов групповой политики, и предоставляет простые и надежные механизмы выполнения таких операций, как копирование и архивация объектов групповой политики.

В этом разделе

ТемаОписание

Администрирование параметров политики безопасности

В этой статье рассматриваются различные методы администрирования параметров политики безопасности на локальном устройстве или в небольшой либо средней организации.

Настройка параметров политики безопасности

Описаны действия, позволяющие настроить параметр политики безопасности на локальном устройстве, на устройстве, присоединенном к домену, и на контроллере домена.

Справочник по параметрам политики безопасности

Этот справочник по параметрам безопасности содержит сведения о том, как внедрять политики безопасности и управлять ими, а также предоставляет сведения о настройках параметров и соображениях безопасности.

 

 

 

Показ: