ЛАБОРАТОРНА РОБОТА № 5. Налагодження безпеки комп’ютера з використанням групової політики

Мета: Ознайомитися з призначенням і навчитися використовувати оснащення Групповые политики для налагодження параметрів безпеки MS Windows XP.

Зауваження. Для виконання завдання лабораторної роботи потрібно зайти в систему з обліковим записом Администратор або як член групи Администраторы.

Теоретичні відомості

1. Основні поняття

Політика – спосіб автоматизації роботи адміністратора по настройці робочих столів. Залежно від контексту, може позначати групову політику, системну політику Windows XP/2000 або конкретний параметр об’єкта групової політики.

Групова політика – оснащення консолі MMC, використовуване для редагування об’єктів групової політики.

Об’єкт групової політики (Group Policy Object – GPO) – набір параметрів групової політики. Об’єктами групової політики головним чином є документи, що створюються оснащенням Групповая политика, службовою програмою Windows. Об’єкти групової політики зберігаються на рівні домена і роблять вплив на користувачів і комп’ютери вузлів, доменів і підрозділів. Крім того, кожен комп’ютер з операційною системою Windows  має ту єдину групу параметрів, що зберігається локально, яка називається локальним об’єктом групової політики.

 

2. Загальні відомості про групову політику

Windows XP/2000 підтримує декілька способів налагодження комп’ютера. За допомогою компонентів панелі управління можна змінювати зовнішній вигляд робочого столу, звуковий супровід конкретних подій в програмі, а також форму і швидкість переміщення курсору миші.

Інший метод налагодження зв’язаний з використанням групової політики. Оснащення Групповая политика  це основний інструмент адміністратора для визначення і управління параметрами роботи програм, мережних ресурсів і операційної системи для користувачів і комп’ютерів організації. У середовищі Active Directory групова політика застосовується до користувачів або комп’ютерів на основі їх приналежності до вузлів, доменів або організаційних підрозділів.

У середовищі домена мережі групові політики допомагають адміністраторам настроювати комп’ютери мережі. У середовищі, що включає один автономний комп’ютер або декілька комп’ютерів, об’єднаних в робочу групу, також можна проводити налагодження комп’ютера з використанням групової політики.

Оскільки до будь-якого комп’ютера або користувача можна застосовувати рівні, що перекриваються, політик, групова політика при вході в систему створює результуючу політику.

Адміністратори можуть управляти компонентами оснащення Групповая политика, перерахованими в табл. 5.1.

Таблиця 5.1

Компоненти оснащення «Групповая политика»

Компонент 

Опис 

Адміністративні шаблони 

Встановлює політику на основі реєстру

Параметри безпеки 

Налагоджує безпеку для доменів, комп’ютерів і користувачів

Установка програм

Призначає або публікує програми для користувачів, яким вони потрібні

Сценарії 

Указує сценарії входу/виходу користувачів з системи і завантаження/завершення роботи комп’ютера

Перенаправлення папки 

Поміщає в мережу спеціальні папки, такі як Мои документы

 

Для додавання на консоль MMC (Microsoft Management Console) оснащення Групповая политика і її використання в збереженій консолі необхідно бути адміністратором.

Також можна відкрити оснащення або скористатися MMC.

3. Об’єкти групової політики

Параметри політики зберігаються в об’єктах групової політики. Оснащення Групповая политика можна розглядати як додаток, для якого типом документів є об’єкти групової політики (як, наприклад, текстовий редактор використовує файли .doc або .txt).

Локальні і нелокальні об’єкти групової політики

Існує два типи об’єктів групової політики. Нелокальні об’єкти групової політики зберігаються на контролері домена і доступні тільки в середовищі Active Directory. Вони застосовуються до користувачів або комп’ютерів в сайті, домені або підрозділі, пов’язаному з об’єктом групової політики.

Локальні об’єкти групової політики зберігаються на локальному комп’ютері. На комп’ютері існує тільки один локальний об’єкт групової політики, що містить набір параметрів, доступних в нелокальному об’єкті групової політики. У разі конфлікту, параметри локального об’єкта будуть перезаписані нелокальними параметрами або застосовані спільно.

 

4. Політика локальної групи

На кожному комп’ютері, що працює під управлінням Windows  ХР або Windows XP/2000, є тільки один локальний об’єкт групової політики. У таких об’єктах параметри групової політики зберігаються на окремих комп’ютерах, незалежно від того, чи є вони частиною оточення Active Directory або мережного оточення.

Локальні об’єкти групової політики містять деякі параметри нелокальної групової політики, звичайно це параметри безпеки. У локальних об’єктах групової політики не підтримується політика перенаправлення папок і установки програмного забезпечення.

Оскільки їх параметри можуть бути перезаписані об’єктами групової політики, пов’язаними з сайтами, доменами і підрозділами, то локальні об’єкти групової політики є найменше значною частиною оточення Active Directory. За відсутності мережі (або в мережі, що не має контролера домена ) параметри локального об’єкта групової політики важливіші, оскільки вони не перезаписуються іншими об’єктами групової політики.

Для редагування локального об’єкта групової політики, що зберігається на локальному комп’ютері, відкрийте оснащення Групповая политика. Клацніть вузол Групповая политика для відкриття локального об’єкта.

Якщо необхідно редагувати локальний об’єкт групової політики, що зберігається на іншому комп’ютері в мережі, відкрийте групову політику як автономне оснащення консоль управління MMC і виберіть необхідний об’єкт групової політики..

Локальний об’єкт групової політики розташований за адресою systemroot\System32\GroupPolicy.

4.1. Використання групової політики на комп’ютері

Середовище робочого столу можна настроювати, включаючи або вимикаючи ті або інші параметри політики. Наприклад, за допомогою групової політики можна видалити значки з робочого столу, змінити вміст меню Пуск і спростити структуру панелі управління. Можна також додавати сценарії, які повинні будуть виконуватися на комп’ютері при його запуску і завершенні роботи, при вході користувачів в систему і виході з неї; допускається навіть налагодження оглядача Internet Explorer.

Встановлювати політики з метою налагодження комп’ютера можна для таких основних компонентів:

– операційна система Windows XP;

– програвач Windows Media;

– Internet Explorer;

– NetMeeting.

4.2. Використання групової політики на комп’ютері, що входить в мережний домен

Якщо комп’ютер входить в корпоративну мережу, у адміністратора мережі може виникнути необхідність налагодити комп’ютер з використанням відповідних параметрів групової політики. Ці параметри групової політики, вживані адміністратором мережі, мають вищий пріоритет, ніж будь-які інші параметри групової політики, встановлені користувачем на комп’ютері.

Додаткові відомості про параметри групової політики, які були застосовані до конкретного комп’ютера, можна знайти в центрі довідки і підтримки.

5. Способи відкриття оснащення «Групповая политика»

Залежно від необхідних дій і планованих об’єктів застосування, оснащення Групповая политика можна відкрити декількома способами. Способи відкриття оснащення Групповая политика перераховані в табл. 5.2.

 

Способи відкриття оснащення «Групповая политика»

Застосування групової політики до 

Потрібні дії 

Локальний комп’ютер

У консолі групової політики змінити локальний об’єкт групової політики, як описано в розділі «Редагування об’єкта групової політики»

Інший комп’ютер 

Відкрити локальний об’єкт групової політики, що зберігається на мережному комп’ютері під управлінням Windows  ХР, як описано в розділі «Відкриття групової політики як автономного оснащення MMC» і перейти до мережного комп’ютера. Для цього необхідно бути адміністратором мережного комп’ютера

Сайт 

Відкрити групову політику, як описано в розділі «Відкриття групової політики з оснащення «Active Directory – сайты и службы», і пов’язати об’єкт групової політики з потрібним сайтом

Домен 

Відкрити групову політику, як описано в розділі «Відкриття групової політики з оснащення «Active Directory – пользователи и компьютеры»», і пов’язати об’єкт групової політики з потрібним доменом

Підрозділ 

Відкрити групову політику, як описано в розділі, і пов’язати об’єкт групової політики з потрібним підрозділом. Крім того, є можливість пов’язати об’єкт групової політики з підрозділом, що займає вище положення в ієрархії Active
Directory, таким чином, що підрозділ зможе успадковувати параметри групової політики

Будь-який існуючий об’єкт або набір об’єктів групової політики 

Створити і зберегти власну консоль управління MMC

 

5.1. Відкриття оснащення «Групповая политика» як автономного оснащення MMC

  1. Відкрийте консоль управління (MMC).
  2. У меню Консоль виберіть команду Добавить или удалить оснастку.
  3. На вкладці Изолированая оснастка натисніть кнопку Добавить.
  4. У діалоговому вікні Додати ізольоване оснащення виберіть оснащення Групповая политика і натисніть кнопку Добавить.
  5. Для редагування локального об’єкта групової політики або пошуку необхідного об’єкта в діалоговому вікні Выбор объекта групповой политики виберіть Локальный компьютер або натисніть кнопку Обзор для пошуку необхідного об’єкта групової політики.
  6. Натисніть кнопку Готово, кнопку Закрыть, а потім – кнопку OK. Вибраний об’єкт групової політики буде відкритий для зміни в оснащенні Групповая политика.

Примітка. Щоб зберегти консоль групової політики і мати можливість вибирати, який об’єкт групової політики відкривається в ній при запуску з командного рядка, в діалоговому вікні Выбор объекта групповой политики встановіть прапорець Разрешить изменение фокуса «Оснастки групповой политики» при запуске из командной строки. Применяется только при сохранении консоли.

5.2. Перегляд відомостей про політику

Для перегляду відомостей про політику

  1. Натисніть кнопку Пуск і виберіть команду Справка і поддержка.
  2. У групі Выберите задание клацніть посилання Использование служебных программ для просмотра информации о компьютере и диагностики неполадок.
  3. У списку Инструменты клацніть посилання Дополнительные сведения о системе.
  4. У списку Дополнительные сведения о системе клацніть посилання Просмотр сведений о политике.

 

Відомості про політику аудиту можна переглянути у вікні Групповая политика (рис. 5.1) за маршрутом:

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\

Локальные политики\Политика аудита

 


Рис. 5.1. Вікно «Групповая политика»

 

У відкритому оснащенні Групповая политика є два параметри у вузлі Политика локального компьютера: Конфигурация компьютера і Конфигурация пользователя. За допомогою параметра Конфигурация компьютера можна встановлювати політики, які застосовуватимуться до комп’ютера незалежно від того, хто використовує його для входу в мережу. За допомогою параметра Конфигурация пользователя можна встановлювати політики, які застосовуватимуться до кожного користувача, що працює на комп’ютері.

5.3. Відкриття групової політики з оснащення «Active Directory – сайты и службы»

Для запуску оснащення Active Directory – сайты и службы відкрийте Подключение к удаленному рабочему столу контролера домена Windows 2000 або рядового сервера, на якому встановлені засоби адміністрування Windows 2000. Для виконання даної процедури необхідно увійти до системи на сервері як адміністратор домена.

  • Відкрийте оснащення Active Directory – сайты и службы.
  • У дереві консолі виберіть сайт, для якого необхідно задати групову політику.

    Розташування:

Active Directory – сайти і служби

[ім’я_контроллера_домена.ім’я_домена]

Сайти

ім’я сайту

  • Виберіть Свойства і відкрийте вкладку Групповая политика.
  • У списку, що розкривається, виберіть наявний об’єкт групової політики, а потім натисніть кнопку Заменить

    або для створення нового об’єкта групової політики натисніть кнопку Создать, а потім натисніть кнопку Заменить.

5.4. Відкриття групової політики з оснащення «Active Directory – пользователи и компьютеры»

Для запуску оснащення Active Directory – пользователи и компьютеры відкрийте Подключение к удаленному рабочему столу контролера домена Windows 2000 або рядового сервера, на якому встановлені засоби адміністрування Windows 2000. Для виконання даної процедури необхідно увійти до системи на сервері як адміністратор домена.

  • Відкрийте оснащення Active Directory – пользователи и компьютеры.
  • У дереві консолі клацніть правою кнопкою миші домен або підрозділ, для яких потрібно задати групову політику.

    Розташування:

    Користувачі і комп’ютери Active Directory [ім’я_контроллера_домена.ім’я_домена]

    домен

    підрозділ

    дочірній підрозділ

  • Виберіть Свойства і відкрийте вкладку Групповая политика.
  • У списку, що розкривається, виберіть наявний об’єкт групової політики, а потім натисніть кнопку Заменить

    або для створення нового об’єкта групової політики натисніть кнопку Создать, а потім натисніть кнопку Заменить.

    6. Засоби командного рядка для оснащення «Групповая политика»

З командного рядка для оснащення «Групповая политика» доступні такі засоби.

Засіб Gpresult. Цей засіб може використовуватися для перегляду політики, яка застосовується. Звичайний засіб Gpresult
використовується для усунення неполадок.

Засіб Gpupdate. Цей засіб викликає негайне оновлення політики, надаючи можливість указувати в командному рядку деякі параметри. Засіб Gpupdate
є кращою заміною команди Windows 2000 secedit /refreshpolicy. (див. лабораторну роботу №8)

6.1. Засіб Gpresult

Засіб Gpresult відображає параметри групової політики і результуючу політику (RSOP), що діє на комп’ютері для вказаного користувача або комп’ютера після входу в систему.

Синтаксис

gpresult [/s
комп’ютер [/u домен\ користувач /p пароль]] [/user ім’я_кінцевого_користувача] [/scope {user|computer}] [/v] [/z]

Параметри

/s комп’ютер – ім’я або IP-адреса віддаленого комп’ютера. (Не використовуйте зворотну косу межу.) За умовчанням використовується локальний комп’ютер.

/u домен\користувач – виконання команди з дозволами обліковому запису користувача, який вказаний як користувач або домен\користувач. За умовчанням використовуються дозволи поточного користувача комп’ютера, з якого поступила ця команда, що увійшов.

/p пароль – пароль облікового запису користувача, заданого параметром /u.

/ user ім’я_кінцевого_користувача – ім’я користувача, для якого потрібно проглянути дані RSOP.

/ scope {user|computer} – відображення результатів для параметра user або computer. Допустимими значеннями параметра /scope є user або computer. Якщо опустити параметр /scope, результати gpresult будуть видані для параметрів user і computer.

/v – виведення докладних відомостей про політику.

/z – виведення всіх доступних відомостей про групову політику. Оскільки при використанні цього параметра видається більше відомостей, чим при використанні параметра /v, рекомендується перенаправляти вивід в текстовий файл (наприклад gpresult /z >policy.txt).

/? – відображення довідки в командному рядку.

Приклади

Далі наведені приклади використання команди gpresult:

gpresult /user targetusername /scope computer
gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user targetusername /scope USER
gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user targetusername /z >policy.txt
gpresult /s srvmain /u maindom\hiropln /p p@ssW23

Застосування параметрів безпеки

6.2. Відкриття групової політики з командного рядка засобом Gpedit

Іноді потрібно відкрити оснащення Групповая политика шляхом натиснення кнопки Пуск вибору команди Выполнить і введення команди. Крім того, запуск оснащення Групповая политика можливий з командного рядка вікна MS-DOS. У наступній таблиці наведено декілька прикладів команд для запуску оснащення Групповая политика за різних умов. Для цього використовується засіб gpedit.

Для відкриття групової політики з командного рядка потрібно:

1. Натиснути кнопку Пуск і вибрати команду Выполнить.

2. Ввести gpedit.msc і натиснути кнопку ОК.

Приклади

gpedit.msc /gpcomputer:”Ім’я_даного_комп’ютера” – використовується для редагування групової політики локального комп’ютера.

gpedit.msc /gpcomputer: “Ім’я_даного_комп’ютера.WingTipToys.com” – використовується для редагування локального об’єкта групової політики на локальному комп’ютері, при цьому ім’я комп’ютера задане у форматі DNS, а не в старому форматі NETBIOS.

gpedit.msc /gpobject:”LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9}, CN=Policies,CN=System,DC=WingTipToys, DC=com” – можна редагувати об’єкт групової політики, заснований на Active Directory.

Примітки:

  • лапки обов’язкові;
  • після /gpcomputer: пропуск відсутній;
  • код GUID для об’єкта групової політики в останньому прикладі взято з попереднього прикладу.     

6.3. Редагування об’єкта групової політики

Для відкриття оснащення Групповая политика натисніть кнопку Пуск, виберіть команду Выполнить, введіть gpedit.msc і натисніть кнопку OK. Зміни, внесені до об’єкта групової політики, зберігаються автоматично.

Щоб змінити об’єкт локальної групової політики

  1. Відкрийте оснащення Групповая политика.
  2. У дереві консолі двічі клацніть папку на панелі відомостей для перегляду її політик.
  3. На панелі відомостей двічі клацніть імена політик для відкриття діалогового вікна їх властивостей і зміни їх параметрів.

     

    7. Застосовність комп’ютерної політики

Комп’ютерна політика застосована при зміні параметрів безпеки. Вони оновлюються на комп’ютерах, пов’язаних з об’єктом групової політики:

  • після перезапуску комп’ютера, параметри безпеки на ньому оновлюються;
  • параметри безпеки оновлюються кожні 90 хвилин на робочій станції або сервері і кожні 5 хвилин на контролері домена. Крім того, незалежно від наявності змін ці параметри оновлюються кожні 16 годин.

Для примусового оновлення параметрів безпеки на комп’ютері, а також налагодження групової політики застосовується засіб командного рядка gpupdate.

7.1. Пріоритет політики, коли застосовані декілька політик

Для параметрів безпеки, визначених для декількох політик, визначений наступний порядок пріоритету, від вищого до нижчого.

  • Підрозділ.
  • Домен.
  • Сайт.
  • Політика локального комп’ютера.

Наприклад, при виникненні конфлікту пріоритет політики домена вищий, ніж локальної політики безпеки для робочої станції, яка визначена на домені. Аналогічно, якщо ця ж робоча станція є членом підрозділу, параметри безпеки, визначені для політики підрозділи, мають більший пріоритет, чим параметри безпеки домена і локальні параметри. Якщо робоча станція входить в декілька підрозділів, у підрозділу, який негайно зв’язується з робочою станцією, пріоритет політики вищий.

7.2. Постійність дії параметрів безпеки

Параметри безпеки можуть продовжувати діяти навіть, якщо вони вже не визначені в політиці, до якої вони спочатку були застосовані.

Постійність дії параметрів безпеки виникає в наступних випадках:

  • параметр не був заздалегідь визначений на локальному комп’ютері в той час, як політика вже була застосована;
  • параметр визначений для об’єкта реєстру в гілці вузла Реєстр;
  • параметр визначений для об’єкта файлової системи.

Кожного разу при застосуванні групової політики в базі зберігаються локальні параметри безпеки. Якщо об’єкт групової політики визначає параметр безпеки, а потім не визначає його, для параметра встановлюється початкове локальне значення, збережене в базі. За відсутності значення в базі, у параметра немає налагодження, до якого можна повернутися, і параметр залишається визначений, як спочатку. Іноді таку поведінку називають tattooing.

Налагодження реєстру і файлів зберігає параметри безпеки, застосовані політикою, до тих пір, поки значення параметрів не зміниться.

7.3. Фільтрування параметрів безпеки відповідно до членства в групах

Можна вибрати комп’ютери, до яких необхідно застосувати об’єкт групової політики, заборонивши дозволи на цей об’єкт або в Применение групповой политики, або в Чтение. (Обидва дозволи потрібні для застосування групової політики.)

Практичне завдання

1. Налагодити групову політику у MS Windows XP.

Варіант 1. Як автономного оснащення MMC.

Варіант 2. За допомогою команди gpedit.

Варіант 3. За допомогою оснащення Active Directory – пользователи и компьютеры.

Варіант 4. За допомогою оснащення Active Directory – сайты и службы.

2. Переглянути відомості про політику.

Варіант 1. Як автономного оснащення MMC.

Варіант 2. За допомогою команди gpresult.

Варіант 3. За допомогою оснащення Active Directory – пользователи и компьютеры.

Варіант 4. За допомогою оснащення Active Directory – сайты и службы.

3. Пояснити застосовність політики.

4. Описати параметри налагодження групової політики у MS Windows XP.

Контрольні запитання

  • Що таке політика?
  • Що таке групова політика?
  • Що таке об’єкт групової політики?
  • Якими компонентами оснащення Групповая политика можна керувати?
  • Де розміщується локальний об’єкт групової політики?
  • Які існують способи відкриття оснащення Групповая политика?
  • Які засоби командного рядка застосовуються для оснащення Групповая политика?
  • Як застосовується комп’ютерна політика?
  • Який порядок пріоритетів визначається для декількох політик?
  • Яким чином визначається постійність дії параметрів безпеки?
завантаження...
WordPress: 23.07MB | MySQL:26 | 0,529sec