Active Directory для Windows Server 2003

         

Конфигурирование других параметров безопасности


В дополнение к политике безопасности уровня домена групповые политики обеспечивают большое количество связанных с безопасностью параметров настройки. Как и в случае с политиками Account Policies, многие из этих параметров настройки конфигурируются при выборе контейнера Computer Conf iguration\Windows Settings\Security Settings. Некоторые дополнительные параметры настройки конфигурируются при выборе контейнера User Configuration\Windows Settings\Security Settings. На рисунке 13-6 показаны опции, находящиеся в каждой из папок Security Settings (Параметров настройки безопасности), в таблице 13-6 они суммированы для каждого заголовка.

Рис. 13-6. Дополнительные политики, имеющиеся в папке Security Settings

Использование групповых политик для настройки безопасности компьютеров вашей сети значительно облегчает создание и поддержание безопасной сетевой среды. Намного легче конфигурировать безопасность, используя групповые политики, чем иметь дело с каждой рабочей станцией индивидуально. Все, что вы должны сделать, - это создать централизованные политики безопасности, сконфигурировать их в объекте GPO и связать его с контейнерным объектом Active Directory. В следующий раз, когда будет применяться объект GPO, защита будет сконфигурирована на всех компьютерах в контейнере. Использование групповых политик облегчит постоянное управление параметрами настройки защиты для ваших компьютеров. Параметры настройки защиты, которые устанавливаются политиками, непрерывно обновляются. Даже если пользователь изменит конфигурацию защиты на рабочей станции, политика будет повторно применена в следующем цикле обновления. Изменить параметры настройки защиты просто, потому что вы можете изменить групповую политику и применить параметры настройки ко всем компьютерам, на которые воздействует данная политика.

Табл. 13-6. Параметры настройки защиты в групповых политиках

Опция конфигурации

Пояснение

Local Policies\Audit Policy (Локальные политики\Политика аудита)

Используется для конфигурирования параметров настройки аудита. Можно устанавливать политику аудита для таких опций, как действия по управлению учетными записями, события входа в систему, изменения политик, использование привилегий и системных событий.



Local Policies\User Rights Assignment (Локальные полити-ки\Назначение прав пользователей)

Используется для конфигурирования прав пользователей на компьютерах, подверженных воздействию этой политики. Можно устанавливать разнообразные политики, включая конфигурирование локального входа в систему, доступа к компьютеру из сети, резервного копирования файлов и папок, входа в систему для служебных целей и т.п.

Local Policies\Security Options (Локальные политики\Опции безопасности)

Используется для конфигурирования опций безопасности для компьютеров, на которые воздействует эта политика. Можно конфигурировать переименование учетной записи локального администратора, управление установкой принтера, установкой драйверов, не имеющих подписи, возможностью хранения паспорта Microsoft .NET на рабочих станциях и т.п.

Event Log (Журнал регистрации событий)

Используется для конфигурирования параметров журнала регистрации событий для всех компьютеров, на которые воздействует данная политика. Можно конфигурировать максимальный размер журнала, разрешение на просмотр, сохранение всех журналов.

Restricted Groups (Ограниченные группы)

Используется для ограничения членства локальных групп на компьютерах, которые повержены воздействию данной политики. Эта опция обычно используется для конфигурирования членства в группе локальных администраторов на компьютерах с системами Windows 2000 или более поздних. Если эта опция используется для конфигурирования членства локальной группы, то все пользователи или группы, которые являются частью локальной группы, но не входят в список членов, подверженных влиянию этой политики, будут удалены при следующем обновлении политики.

System Services (Системные службы)

Используется для управления службами на компьютерах: для определения автоматически запускаемых службы или для выключения служб.

Registry (Системный реестр)

Используется для конфигурирования защиты на ключах системного реестра. Вы можете добавить любой ключ системного реестра к политике, а затем применит определенную защиту к этому ключу.

File System(Файловая система )

Используется для конфигурирования защиты на файлах и папках. Можно добавить любые файлы или папки к политике, а затем применить управление доступом и аудит для этих объектов файловойсистемы.

Wireless Network (IEEE 802.11) Policies (Политика беспроводных сетей)

Используется для создания беспроводных сетевых политик, которые затем могут использоваться для управления требованиями безопасности для компьютеров, использующих беспроводные сетевые подключения.

Public Key Policies (Политика открытых ключей). Эта установка включена как в раздел Computer Configuration, так и в раздел User Configuration. Раздел User Configuration включает только опцию Enterprise Trust (Доверительные отношения предприятия).

Используется для конфигурирования политик, связанных с цифровыми сертификатами и с управлением сертификатами. Можно также создавать агентов восстановления данных, использующихся для восстановления файлов, которые были зашифрованы на локальных рабочих станциях с помощью системы шифрования файлов (Encrypting File System - EFS).

IP Security Policies On Active Directory (domainname) (Политика IP безопасности в Active Directory)

Используется для конфигурирования политик IP-безопасности (IP Security - IPSec). Можно сконфигурировать политику, точно определяющую, какой сетевой трафик должен быть защищен с помощью IPSec, на каком компьютере она должна использоваться в обязательном порядке.

Примечание. Политики Software Restriction (Ограничения программного обеспечения) включены в раздел Security Settings как для параметров настройки User Configuration, так и для Computer Configuration. Они будут подробно рассмотрены в следующем разделе.



Содержание раздела