Книга "Недокументированные возможности Windows XP. Библиотека пользователя", Глава 3. Консоль управления Microsoft. Часть 10. Оснастки Windows XP: Шаблоны безопасности.

Оснастка ШАБЛОНЫ БЕЗОПАСНОСТИ является довольно интересной оснасткой, с помощью которой можно создать свой собственный шаблон безопасности или отредактировать уже существующие шаблоны безопасности. Шаблоны безопасности представляют собой файлы, содержащие различные настройки параметров реестра и файловой системы Windows XP. Файлы шаблонов безопасности можно легко импортировать в систему, чтобы настройки, в них содержащиеся, были применены к данному компьютеру.

Шаблоны безопасности нельзя применить к компьютерам, операционная система которых установлена на дисках, отформатированных не в файловую систему NTFS.

Оснастка ШАБЛОНЫ БЕЗОПАСНОСТИ не входит ни в одну стандартную консоль, поэтому для получения доступа к ней необходимо воспользоваться консолью управления Microsoft mmc.exe. Оснастка ШАБЛОНЫ БЕЗОПАСНОСТИ имеет GUID-номер {5ADF5BF6-E452-11D1-945A-00C04FB984F9}, поэтому, если оснастка с таким номером будет запрещена с помощью групповых политик, тогда вы не сможете запустить оснастку ШАБЛОНЫ БЕЗОПАСНОСТИ (она просто исчезнет из списка доступных для открытия оснасток).

После открытия оснастки перед вами отобразится окно, подобное приведенному на рисунке 3.27.

Рисунок 1

Элемент дерева Шаблоны безопасности по умолчанию содержит в себе подраздел c:\windows\security\templates. А этот подраздел, в свою очередь, содержит в себе набор стандартных шаблонов безопасности. Все отображаемые в оснастке шаблоны безопасности находятся в каталоге файловой системы c:\windows\security\templates. При этом стоит сказать, что каталог, из которого берутся шаблоны безопасности, не статичен. То есть, путь к каталогу можно изменить с помощью реестра (соответственно изменится и название подраздела элемента ШАБЛОНЫ БЕЗОПАСНОСТИ). Для изменения пути к каталогу шаблонов безопасности, необходимо изменить название подраздела C:/WINDOWS/SECURITY/TEMPLATES из ветви реестра HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SECEDIT\TEMPLATE LOCATIONS.

Также вы можете создать и свой собственный подраздел в ветви реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations. Созданный вами подраздел будет отображаться в оснастке наряду со стандартным подразделом. Чтобы создать новый подраздел с помощью механизмов оснастки, нужно выбрать в меню Действие команду Новый путь для поиска шаблонов…

Подраздел C:/WINDOWS/security/templates ветви реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations может содержать в себе параметр строкового типа Description, определяющий описание содержимого каталога. Это описание отображается в столбце Описание правой панели оснастки.

Все шаблоны безопасности, отображенные в оснастке, изменяют одни и те же параметры файловой системы и реестра (просто каждый шаблон устанавливает свои собственные значения этих параметров), поэтому мы с вами сначала подробно рассмотрим изменяемые шаблонами параметры, а потом рассмотрим отличия в значениях этих параметров для разных шаблонов безопасности. Для рассмотрения параметров мы воспользуемся шаблоном безопасности SETUP SECURITY. Этот шаблон используется сразу после установки операционной системы Windows XP для настройки доступа к файловой системе компьютера и ветвям реестра по умолчанию.

Шаблоны безопасности являются обычными файлами с расширением .inf, расположенными в каталоге C:/WINDOWS/security/templates (по умолчанию). При этом, название inf-файла используется в оснастке Шаблоны безопасности как название шаблона. То есть, шаблон Setup security является inf-файлом с именем Setup security.inf.

Все шаблоны безопасности содержат в себе следующие подразделы: ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ, ЛОКАЛЬНЫЕ ПОЛИТИКИ, ЖУРНАЛ СОБЫТИЙ, ГРУППЫ С ОГРАНИЧЕННЫМ ДОСТУПОМ, СИСТЕМНЫЕ СЛУЖБЫ, РЕЕСТР и ФАЙЛОВАЯ СИСТЕМА. Давайте вкратце рассмотрим каждый из этих подразделов.

Политики учетных записей Политики учетных записей по умолчанию содержат в себе три политики. Это ПОЛИТИКА БЛОКИРОВКИ УЧЕТНОЙ ЗАПИСИ, ПОЛИТИКИ ПАРОЛЕЙ и ПОЛИТИКА KERBEROS.

Политики паролей С помощью политики паролей можно настроить параметры создания паролей для учетных записей пользователей компьютера, а также определить параметры хранения паролей пользователей. Для этого применяются следующие правила.

Скорее всего, все приведенные ниже правила хранятся в ветви реестра HKEY_LOCAL_MACHINE\SECURITY.

• МАКСИМАЛЬНЫЙ СРОК ДЕЙСТВИЯ ПАРОЛЯ — указывает количество дней, в течение которого будут действовать пароли пользователей. При истечении указанного срока дней пользователи должны сменить пароль. Для шаблона безопасности SETUP SECURITY это правило равно 42 дням.
• МИНИМАЛЬНАЯ ДЛИНА ПАРОЛЯ — определяет, из скольких символов должен состоять (как минимум) создаваемый пароль, чтобы система разрешила его использование. Для шаблона безопасности SETUP SECURITY это правило равно 0 символам.
• МИНИМАЛЬНЫЙ СРОК ДЕЙСТВИЯ ПАРОЛЯ — указывает количество дней, которое должно истечь, чтобы пользователь смог сменить пароль. Если указанное количество дней не истекло, тогда пользователю будет запрещено изменять пароль. Значение данной политики должно быть меньше значения политики МАКСИМАЛЬНЫЙ СРОК ДЕЙСТВИЯ ПАРОЛЯ. Для шаблона безопасности SETUP SECURITY это правило равно 0 дням.
• ПАРОЛЬ ДОЛЖЕН ОТВЕЧАТЬ ТРЕБОВАНИЯМ СЛОЖНОСТИ — если данное правило установлено, тогда система не разрешит создание паролей, содержащих в себе только цифры или только буквы. Также при использовании данного правила все пароли должны содержать в себе символы в разных регистрах, символы, не принадлежащие к алфавитно-цифровой клавиатуре (например, символы &, $, !), а также пароли должны содержать не меньше шести символов. Для шаблона безопасности SETUP SECURITY это правило отключено.
• ТРЕБОВАТЬ НЕПОВТОРЯЕМОСТИ ПАРОЛЕЙ — значение данного правила определяет количество паролей, которые должны быть добавлены в базу данных SAM (содержит в себе хеши паролей всех учетных записей пользователей), после чего система разрешит в качестве пароля задать уже использовавшийся ранее пароль. Для шаблона безопасности SETUP SECURITY это правило равно 0 паролей.
• ХРАНИТЬ ПАРОЛИ ВСЕХ ПОЛЬЗОВАТЕЛЕЙ В ДОМЕНЕ, ИСПОЛЬЗУЯ ОБРАТИМОЕ ШИФРОВАНИЕ — если данное правило будет включено, тогда система будет создавать пароли пользователей с возможностью их расшифровки (так называемое, обратимое шифрование). Создание паролей с возможностью их расшифровки может потребоваться некоторым приложениям для аутентификации пользователя (например, это необходимо протоколу CHAP). Но перед установкой этого правила следует учесть, что такой способ хранения паролей резко снижает уровень безопасности компьютера. Для шаблона безопасности SETUP SECURITY это правило отключено.

Политика блокировки учетной записи С помощью данной политики можно определить правила поведения системы в случае нескольких попыток неудачного ввода пароля при аутентификации пользователя.

• БЛОКИРОВКА УЧЕТНОЙ ЗАПИСИ НА — значение данного параметра определяет количество минут, на которое будет выполняться блокировка учетной записи после нескольких попыток неудачного ввода пароля. Значение данного правила может находиться в диапазоне от 1 до 99999 (если значение будет равно 0, тогда учетная запись будет заблокирована до тех пор, пока администратор компьютера ее не разблокирует самостоятельно). Для шаблона безопасности SETUP SECURITY это правило не определено.
• ПОРОГОВОЕ ЗНАЧЕНИЕ БЛОКИРОВКИ — значение данного правила определяет количество попыток неверного ввода пароля, после которых учетная запись будет заблокирована. Возможные значения лежат в пределах от 0 до 999. Для шаблона безопасности SETUP SECURITY это правило 0 ошибок.
• СБРОС СЧЕТЧИКА БЛОКИРОВКИ ЧЕРЕЗ — значение данного правила определяет количество минут, после истечения которых счетчик неверных попыток ввода пароля будет обнулен. Значение данного правила может находиться в пределах от 1 до 99999. Для шаблона безопасности SETUP SECURITY это правило не определено.

Политика Kerberos Данная политика определяет настройки протокола Kerberos, используемые при входе пользователя в систему. В контексте данной книги настройки данной политики рассмотрены не будут, так как они относятся к компьютерам, находящемся в домене, а это большая редкость на домашних компьютерах.

Локальные политики Подраздел ЛОКАЛЬНЫЕ ПОЛИТИКИ содержит в себе три подраздела: ПОЛИТИКА АУДИТА, НАЗНАЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЯ и ПАРАМЕТРЫ БЕЗОПАСНОСТИ.

Политика аудита Данная политика позволяет определить события, факты происхождения которых будут записываться в журнал БЕЗОПАСНОСТЬ оснастки ПРОСМОТР СОБЫТИЙ. Можно указать запись в журнал БЕЗОПАСНОСТЬ сведений об успешных или неудачных попытках выполнения следующих операций: вход в систему, доступ к объектам, имеющим собственный SACL (например, к принтерам, файлам, папкам), доступ к каталогам Active Directory и других. Для шаблона безопасности SETUP SECURITY все события аудита, кроме аудита доступа к службе каталога (этот аудит не определен), отключены.

Назначение прав пользователя С помощью данной политики можно определить права различных пользователей или групп пользователей на выполнение различных операций с объектами и компонентами операционной системы. Например, с помощью данной политики можно определить пользователей, которым разрешено входить локально в систему, разрешено входить в систему через службу терминалов, разрешено выполнять архивирование файлов и каталогов и т.д.

Параметры безопасности С помощью данной политики можно настроить очень многие параметры реестра, относящиеся к безопасности компьютера. Довольно часто в Интернет можно прочитать советы об изменении тех или иных параметров реестра, настраивающих безопасность компьютера. Многие из параметров, указанных в таких советах, можно изменить и с помощью политики ПАРАМЕТРЫ БЕЗОПАСНОСТИ. Например, к наиболее часто упоминаемым в Интернет способам настройки безопасности с помощью реестра, которые также можно изменить и с помощью политики ПАРАМЕТРЫ БЕЗОПАСНОСТИ являются следующие.

• Очистка файла подкачки pagefile.sys при завершении работы компьютера. Для шаблона SETUP SECURITY данное правило отключено.
• Сообщение, отображаемое перед входом пользователя в систему. Для шаблона SETUP SECURITY данное правило не определено.
• Посылать незашифрованный пароль сторонним SMB-серверам. Для шаблона SETUP SECURITY данное правило отключено.
• Запретить изменение паролей учетных записей пользователей. Для шаблона SETUP SECURITY данное правило не определено.
• Пути в реестре, доступные через удаленное подключение. Для шаблона SETUP SECURITY данное правило не определено.
• Разрешить анонимный доступ к общим ресурсам. Для шаблона SETUP SECURITY данное правило не определено.
• Отключение или переименование учетных записей администратора и гостя. Для шаблона SETUP SECURITY эти правила не определены (кроме отключения учетной записи гостя, по умолчанию эта запись отключена).

При этом большинство правил списка ПАРАМЕТРЫ БЕЗОПАСНОСТИ хранятся в реестре (то есть, вы и сами можете добавить к данному списку свои правила изменения параметров реестра, чтобы изменять их с помощью шаблона безопасности). Для этого предназначена ветвь реестра HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SECEDIT\REG VALUES. Данная ветвь содержит в себе список подразделов, названия которых соответствуют пути к изменяемому правилом параметру реестра (данный путь должен начинаться не с корневого раздела ветви, а с класса, в котором хранится объект операционной системы (операционная система Windows XP является объектно-ориентированной), например, класс MACHINE определяет корневой раздел HKEY_LOCAL_MACHINE). Данные подразделы содержат в себе следующие параметры.

• DISPLAYNAME — значение данного параметра строкового типа определяет название правила, отображаемое в списке политики ПАРАМЕТРЫ БЕЗОПАСНОСТИ.
• DISPLAYCHOICES — значение данного параметра строкового типа определяет описание возможного состояния правила (если для установки правила используется список состояний), а также значение, которое будет присваиваться параметру при установке соответствующего состояния правила.
• DISPLAYTYPE — значение данного параметра DWORD-типа определяет способ указания состояния правила. Данный параметр может принимать следующие значения: 1 — отобразить счетчик для указания состояния правила; 2 — поле для ввода значения; 3 — раскрывающийся список (для выбора возможного состояния из списка); 4 — список для выбора состояния; 6 — два флажка, с помощью которых можно включить или отключить правило;
• VALUETYPE — значение данного параметра DWORD-типа определяет тип изменяемого данным правилом параметра реестра. Ниже приведены возможные значения. 1 — строковой тип параметра. 3 — тип параметра REG_BINARY. 4 — тип параметра REG_DWORD. 7 — тип параметра REG_MULTI_SZ.

На рисунке 3.28 можно видеть пример описания правила в реестре.

Рисунок 2

Журнал событий С помощью данной политики можно настроить параметры стандартных журналов системы, доступ к которым можно получить с помощью оснастки ПРОСМОТР СОБЫТИЙ. Например, с помощью данной политики можно определить максимальные размеры файлов стандартных журналов системы, количество дней хранения этих файлов, а также запретить или разрешить просмотр системных журналов для учетной записи ГОСТЬ. Все параметры реестра, изменяемые этой политикой, мы уже рассмотрели в разделе о настройках оснастки ПРОСМОТР СОБЫТИЙ.

Группы с ограниченным доступом С помощью данной политики можно добавить в группу временного пользователя (для повышения его прав на некоторое время). При этом, после перезагрузки данный пользователь будет удален из группы. Тем самым администратор может делегировать на время права некоторым пользователям не заботясь о снятии делегированных прав с пользователя — это выполнит система. Для добавления ограниченного пользователя в группу, нужно создать саму группу, в которую будет добавляться пользователь. Для этого нужно в контекстном меню подраздела ГРУППЫ С ОГРАНИЧЕННЫМ ДОСТУПОМ выбрать команду ДОБАВИТЬ ГРУППУ…. После этого система предложит вам ввести или выбрать из списка группу, а после этого предложит добавить в нее новых пользователей.

Системные службы С помощью данной политики можно указать тип запуска служб, установленных на компьютере, или вообще отключить запуск некоторых служб.

Реестр С помощью данного подраздела можно указать права доступа к различным ветвям реестра. Чтобы указать права доступа к ветви реестра, необходимо сначала добавить в данный подраздел ветвь реестра. Для этого необходимо в контекстном меню подраздела РЕЕСТР выбрать команду ДОБАВИТЬ РАЗДЕЛ…. После этого консоль управления Microsoft предложит вам указать права для доступа к данной ветви реестра.

Файловая система С помощью данного подраздела можно указать права доступа к различным каталогам файловой системы Windows XP. Чтобы указать права доступа к каталогу, необходимо сначала добавить в подраздел ФАЙЛОВАЯ СИСТЕМА путь к каталогу. Для этого необходимо в контекстном меню подраздела выбрать команду ДОБАВИТЬ ФАЙЛ…. После этого консоль управления Microsoft предложит вам указать права для доступа к данному каталогу или файлу, а после этого предложит указать, будут ли определенные вами права распространятся на все вложенные в каталог папки.

А теперь давайте рассмотрим другие стандартные шаблоны безопасности и их отличие от шаблона по умолчанию.

Compatws.inf Настройки шаблона по умолчанию ограничивают группу ПОЛЬЗОВАТЕЛИ, запрещая ей доступ ко многим ветвям реестра, и каталогам файловой системы. В добавок к группе ПОЛЬЗОВАТЕЛИ, шаблон по умолчанию создает группу ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ, обладающую большими правами в операционной системе. Создание двух разных групп необходимо для повышения безопасности. Тем не менее, не рекомендуется использовать группу ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ, так как она в системе имеет очень многие права, которые можно использовать не только на благо, но и во вред. В частности, пользователи из группы опытных имеют больше шансов осуществить различные методы взлома, направленные на получение прав администратора или системы.

Хотя в некоторых случаях без использования группы ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ обойтись нельзя. В частности, когда пользователи компьютера должны иметь права на установку программ, не сертифицированных для Microsoft. Такие программы используют для своей установки ветви реестра и каталоги файловой системы, доступ к которым закрыт для обычных пользователей. Если необходимо, чтобы пользователи могли устанавливать такие программы, тогда желательно установить шаблон безопасности COMPATWS, а не использовать группу ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ. Данный шаблон специально разрабатывался для предоставления группе ПОЛЬЗОВАТЕЛИ специальных прав, которых достаточно для установки большинства программ (при этом, другие права, доступные группе ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ, группе ПОЛЬЗОВАТЕЛИ не передаются, то есть, в остальном группа ПОЛЬЗОВАТЕЛИ остается ограниченной). Также при установке шаблона COMPATWS все члены группы ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ удаляются из этой группы, а группе опытные пользователи предоставляются следующие права на каталоги файловой системы.

• %programfiles% — чтение/запись/чтение и выполнение/список содержимого файлов/изменение.
• %systemroot%\downloaded program files — чтение/запись/чтение и выполнение/список содержимого файлов/изменение.
• %systemroot%\temp — чтение/запись/чтение и выполнение/список содержимого файлов/изменение.
• %systemroot%\sysvol — права не определены ни для одной из групп.

Также шаблон безопасности COMPATWS изменяет права на ветви реестра из корневого раздела HKEY_CLASSES_ROOT. Но в данном случае скорее происходит не повышение прав группы ПОЛЬЗОВАТЕЛИ на содержимое данной ветви, а понижение прав группы ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ, чтобы они не могли выполнять запись в данный корневой раздел реестра.

Securews.inf Настройки данного шаблона повышают общую безопасность рабочей станции. Также существует шаблон безопасности SECUREDC, выполняющий аналогичные действия для контроллера домена. В контексте данной книги мы рассмотрим шаблон SECUREWC, так как второй шаблон предназначен для компьютеров, находящихся в домене и являющихся контролерами доменов, что довольно редко на домашних компьютерах. Итак, основные отличая шаблона SECUREWC от шаблона по умолчанию заключаются в следующем.

• Минимальная длина пароля 8 символов.
• Минимальный срок действия пароля 2 дня.
• Пароль должен отвечать требованиям безопасности.
• Требовать неповторяемость 24 последних паролей.
• Блокировка учетной записи на 30 минут.
• Пороговое значение ошибок ввода пароля равно 5.
• Сброс счетчика блокировки через 30 минут.
• Выполняется аудит следующих событий: неправильный ввод пароля при входе в систему, аудит всех событий входа в систему и управления учетными записями, а также любое изменение политик и отказ системы в предоставлении привилегий учетной записи пользователя.
• Изменений в доступе к реестру и файловой системе нет. Изменения в параметрах безопасности мы не рассматриваем, хотя если кратко, то изменения в основном заключаются в отказе от протоколов аутентификации LM и NTLM.

Hisecws.inf Данный шаблон определяет повышенный уровень безопасности рабочей станции. Как и предыдущие два шаблона, этот шаблон имеет своего двойника, предназначенного для настройки повышенного уровня безопасности контроллера домена (HISECDC). Основные отличия шаблона HISECWS от шаблона SECUREWC заключаются в следующем.

• Блокировка учетной записи на 0 минут (то есть, до ее явной разблокировки администратором).
• Аудит всех событий безопасности, кроме событий отслеживания процессов (отключен) и событий доступа к службе каталогов Active Directory (не определено).
• Изменений в доступе к реестру и файловой системе нет. Изменения параметров безопасности, в основном, заключаются в требовании подписывания передаваемых по сети данных.

Rootsec.inf Данный шаблон безопасности служит лишь одной цели — присвоению прав доступа к системному диску по умолчанию. Именно этот шаблон применяется для настройки прав на доступ к системному диску при установке операционной системы.

Notssid.inf Данный шаблон безопасности предназначен лишь для исключения доступа учетной записи Terminal Server к файловой системе и реестру Windows XP. Если сервер терминалов не используется, тогда можно применить данный шаблон безопасности, для исключения SID сервера терминалов из прав доступа к объектам системы, хотя, как подчеркивает Microsoft, присутствие SID сервера терминалов никоим образом не влияет на безопасность компьютеров.

А теперь давайте для примера попробуем создать свой собственный шаблон безопасности. Как правило, для этого лучше воспользоваться одним из стандартных шаблонов, а не создавать шаблон с нуля.

Создание шаблона безопасности Чтобы создать шаблон безопасности на основе любого другого шаблона, необходимо в контекстном меню шаблона выбрать команду СОХРАНИТЬ КАК…. После этого консоль управления Microsoft предложит вам указать имя нового шаблона, после чего он отобразится в дереве оснастки ШАБЛОНЫ БЕЗОПАСНОСТИ. Также существует возможность копирования отдельных подразделов шаблона в другой шаблон. Для этого необходимо в контекстном меню подраздела эталонного шаблона выбрать команду КОПИРОВАТЬ. После этого необходимо в контекстном меню того же подраздела, но шаблона-приемника, выбрать команду ВСТАВИТЬ.

Например, чтобы быстро создать шаблон на основе шаблона SECUREWS, но с настройками файловой системы из шаблона ROOTSEC, необходимо сначала создать шаблон на основе шаблона SECUREWS (команда СОХРАНИТЬ КАК), а после этого выполнить копирование подраздела ROOTSEC/ФАЙЛОВАЯ СИСТЕМА в подраздел ФАЙЛОВАЯ СИСТЕМА созданного вами шаблона. После этого можно самостоятельно отредактировать состояние отдельных правил политик созданного вами шаблона.

Не рекомендуется изменять состояния правил непосредственно в стандартных шаблонах. Лучше для этого создать новый шаблон на основе одного из стандартных.

Импортирование шаблона безопасности Шаблон безопасности мы создали. Но что нам теперь с ним делать? Для ответа на данный вопрос можно воспользоваться либо оснасткой ГРУППОВАЯ ПОЛИТИКА, либо оснасткой АНАЛИЗ И НАСТРОЙКА БЕЗОПАСНОСТИ. Также можно воспользоваться командой командной строки secedit.exe.

Групповая политика Когда мы рассматривали оснастку ГРУППОВАЯ ПОЛИТИКА, мы пропустили такие ее подразделы, как ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ и ЛОКАЛЬНЫЕ ПОЛИТИКИ. Теперь мы знаем, что хранится в этих подразделах, а также умеем создавать свои собственные шаблоны. Если вы уже создали свой шаблон с изменениями состояния правил данных подразделов, тогда существует возможность его импортирования в групповую политику, чтобы настройки из шаблона применялись вместе с настройками групповой политики. Для этого необходимо в контекстном меню элемента ПАРАМЕТРЫ БЕЗОПАСНОСТИ консоли ГРУППОВАЯ ПОЛИТИКА выбрать команду ИМПОРТ ПОЛИТИКИ. После этого консоль управления Microsoft попросит указать путь к шаблону безопасности и использует его содержимое для настройки подразделов ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ и ЛОКАЛЬНЫЕ ПОЛИТИКИ. При этом остальные настройки шаблона безопасности применяться не будут.

Анализ и настройка безопасности С помощью данной оснастки можно не только применить к компьютеру любой созданный шаблон (в отличие от ГРУППОВОЙ ПОЛИТИКИ, данная оснастка использует все содержимое шаблона, а не только настройки подразделов ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ и ЛОКАЛЬНЫЕ ПОЛИТИКИ), но и проанализировать текущие настройки компьютера с настройками из шаблона безопасности. Оснастка АНАЛИЗ И НАСТРОЙКА БЕЗОПАСНОСТИ имеет GUID-номер {011BE22D-E453-11D1-945A-00C04FB984F9}. После добавления данной оснастки к консоли управления Microsoft, в дереве консоли отобразится единственный элемент — АНАЛИЗ И НАСТРОЙКА БЕЗОПАСНОСТИ. Если вы раньше никогда не использовали данную оснастку, тогда перед началом работы с ней, необходимо создать базу данных текущих настроек безопасности компьютера. Для этого в контекстном меню оснастки необходимо выбрать команду ОТКРЫТЬ БАЗЫ ДАННЫХ… и в отобразившемся диалоге ввести имя новой базы данных. После этого консоль управления Microsoft предложит указать имя шаблона безопасности, настройки которого будут импортированы в созданную базу данных (если вы используете уже существующую базу, тогда можно очисть ее содержимое перед импортом настроек шаблона безопасности).

Несмотря на то, что создаваемая база данных содержит информацию о настройках компьютера в неудобном для чтения виде, тем не менее, злонамеренные пользователи смогут ее использовать для анализа текущих настроек безопасности компьютера.

После создания или открытия базы данных настроек шаблона, в контекстном меню оснастки станут доступными команды АНАЛИЗ КОМПЬЮТЕРА… и НАСТРОИТЬ КОМПЬЮТЕР….

Если вы хотите только определить, соответствуют ли текущие настройки безопасности настройкам, содержащимся в открытой базе данных шаблона безопасности, тогда необходимо воспользоваться командой АНАЛИЗ КОМПЬЮТЕРА…. После этого консоль управления Microsoft предложит вам указать путь к текстовому файлу, в который будет записан лог процесса анализа компьютера. После этого в дереве оснастки отобразятся подразделы, аналогичные подразделам шаблонов безопасности. Эти подразделы будут содержать в себе описание текущего состояния (в вашем компьютере) установленных в шаблоне безопасности правил. Если текущие настройки состояния правила в вашем компьютере соответствуют настройкам из шаблона, тогда напротив правила будет установлена зеленая галочка. Если же настройки состояния правила в шаблоне безопасности отличаются от текущих настроек в вашем компьютере, тогда напротив соответствующего правила будет установлен красный крестик (рис. 3.29).

Рисунок 3

Чтобы установить настройки компьютера в соответствии с настройками из открытой базы данных, необходимо выбрать команду НАСТРОИТЬ КОМПЬЮТЕР…. После этого консоль управления Microsoft также предложит вам указать путь к текстовому файлу, используемому для хранения лога процесса настройки компьютера.

Secedit.exe С помощью данной команды можно выполнить как настройку и создание шаблонов безопасности, так и анализ текущих настроек компьютера на основе шаблона безопасности или применение шаблона безопасности. Если работа с данной программой заинтересовала вас, тогда предлагаю воспользоваться стандартной справкой по данной программе, которую можно открыть с помощью команды secedit.exe /?.

Продолжение следует