Group Policy Management

CLSID-номер оснастки: {E12BBB5D-D59D-4E61-947A-301D25AE8C23}
Библиотека: GPOAdmin.dll
Используется в стандартных консолях: gpmc.msc

Данная оснастка может использоваться только на компьютерах, подключенных к домену Active Directory. В этом случае она представляет собой более функциональную оснастку, чем стандартная оснастка GROUP POLICY OBJECT EDITOR.

Оснастка GROUP POLICY MANAGEMENT состоит из следующих оснасток и утилит Active Directory: ACTIVE DIRECTORY USERS AND COMPUTERS, ACTIVE DIRECTORY SITES AND SERVICES и RESULTANT SET OF POLICY. С ее помощью удобно управлять групповыми политиками в каждом лесе корпоративной среды. Для каждого леса отображаются следующие подразделы данной оснастки.

• DOMAINS. Содержит информацию обо всех доменах, из которых состоит данный лес.
• SITES. Содержит информацию обо всех узлах, из которых состоит данный лес.
• GROUP POLICY MODELING. Позволяет выполнить моделирование групповой политики для определенного компьютера или пользователя на основе только что измененных групповых политик (которые еще не вступили в силу).
• GROUP POLICY RESULTS. Позволяет выполнить моделирование групповой политики для определенного компьютера или пользователя на основе уже применяющихся политик.

В контексте этой книги мы не будем рассматривать данную оснастку.

Group Policy Object Editor

CLSID-номер оснастки: {8FC0B734-A0E1-11D1-A7D3-0000F87571E3}
Библиотека: GPEdit.dll
Используется в стандартных консолях: gpedit.msc

Данная оснастка представляет собой основной способ редактирования групповых политик, которые предоставляют возможность дополнительной настройки операционной системы и ее компонентов с помощью специальных параметров реестра, изменять которые могут только администраторы. Соответственно, запустить данную оснастку можно только с правами администратора.

При загрузке оснастки перед вами отобразится мастер, с помощью которого можно определить компьютер, параметры групповой политики которого вы будете изменять. Но это еще не все возможности изменения — если вы нажмете на кнопку BROWSE, тогда сможете изменить не только компьютер (рис. 4.15), но и пользователя, на которого будут распространяться изменяемые вами групповые политики. При этом заметьте, что можно выбирать не только конкретного пользователя, но и пользователей группы ADMINISTRATORS, а также пользователей всех групп, не являющихся административными. Однако учтите, что если вы выберите пользователя, тогда будут загружены только групповые политики, распространяемые на него, но не будут загружены групповые политики, распространяемые на весь компьютер.

Рис. 4.15. Выбор пользователя, групповые политики которого будут загружены

Оснастка GROUP POLICY OBJECT EDITOR состоит из множества расширений, которые вы можете по своему желанию оставить или отключить. К ним относятся следующие расширения.

• ADMINISTRATIVE TEMPLATES (COMPUTERS). Определяет, будет ли отображаться раздел оснастки Local Computer Policy/Computer Configuration/Administrative Tools.
• ADMINISTRATIVE TEMPLATES (USERS). Определяет, будет ли отображаться раздел оснастки Local Computer Policy/User Configuration/Administrative Tools.
• EXTENDED VIEW. В начале главы о консоли управления Microsoft мы с вами научились с помощью реестра запрещать отображение расширенного вида консоли управления Microsoft. Однако этого же эффекта можно достичь и с помощью редактирования расширений конкретной оснастки. Для этого достаточно запретить загрузку данного расширения.
• FOLDER REDIRECTION EDITOR (USERS). Определяет, будет ли отображаться раздел оснастки Local Computer Policy/User Configuration/Software Settings/Folder Redirection. Данный раздел отображается в оснастке только в том случае, если компьютер входит в домен Active Directory.
• INTERNET EXPLORER MAINTENANCE. Определяет, будет ли отображаться раздел оснастки Local Computer Policy/User Configuration/Windows Settings/Internet Explorer Maintenance.
• POLICY-BASED QOS. Оснастка GROUP POLICY OBJECT EDITOR загружает два таких расширения — одно для пользователя, а другое для всего компьютера. Соответственно, они определяют, будет ли отображаться раздел Policy-based QoS в разделе Computer Configuration/Windows Settings и в разделе User Configuration/Windows Settings.
• PUSHED PRINTER CONNECTION EXTENSION (COMPUTER). Определяет, будет ли отображаться раздел оснастки Local Computer Policy/Computer Configuration/Windows Settings/Deployed Printers.
• PUSHED PRINTER CONNECTION EXTENSION (USERS). Определяет, будет ли отображаться раздел оснастки Local Computer Policy/User Configuration/Windows Settings/Deployed Printers.
• SCRIPTS (LOGON/LOGOFF). Определяет, будет ли отображаться раздел оснастки Local Computer Policy/User Configuration/Windows Settings/Scripts (Logon/Logoff).
• SCRIPTS (STARTUP/SHUTDOWN). Определяет, будет ли отображаться раздел оснастки Local Computer Policy/Computer Configuration/Windows Settings/Scripts (Startup/Shutdown).
• SECURITY SETTINGS. Запрет на загрузку данного расширения удаляет раздел Security Settings как из раздела Local Computer Policy/Computer Configuration, так и из раздела Local Computer Policy/User Configuration.
• SOFTWARE INSTALLATION (COMPUTERS). Определяет, будет ли отображаться раздел оснастки Local Computer Policy/Computer Configuration/Software Settings/Software Installation. Данный раздел отображается в оснастке только в том случае, если компьютер входит в домен Active Directory.
• SOFTWARE INSTALLATION (USERS). Определяет, будет ли отображаться раздел оснастки Local Computer Policy/User Configuration/Software Settings/Software Installation. Данный раздел отображается в оснастке только в том случае, если компьютер входит в домен Active Directory.

В данном разделе книги мы не будем рассматривать такие разделы данной оснастки, как SOFTWARE SETTINGS (так как он имеет функциональное назначение только при работе в домене) и DEPLOYED PRINTERS (так как он представляет собой отдельную оснастку PRINT MANAGEMENT).

Рис. 4.16. Оснастка Group Policy Object Editor

Итак, оснастка GROUP POLICY OBJECT EDITOR состоит из следующих подразделов (рис. 4.16).

• Software Settings. Если компьютер подключен к домену, тогда с помощью данного раздела можно опубликовать или назначить пользователю определенные программы, а также перенаправить содержимое стандартных папок компьютера в другие папки.
• Windows Settings. Определяет дополнительные настройки групповых политик, с помощью которых можно повысить безопасность работы компьютера (подраздел Security Settings), определить сценарии, которые будут запускаться при входе (загрузке) или выходе (выключении) пользователя из операционной системы (подразделы Scripts), а также изменить настройки интерфейса браузера Internet Explorer (подраздел Internet Explorer Maintenance).
• Administrative Templates. Определяет административные шаблоны, являющиеся основной частью групповых политик, и позволяющие ограничить возможности работы определенных пользователей, или всех пользователей компьютера.

Далее мы рассмотрим их подробнее.

Подраздел оснастки Security Settings

По сравнению с предыдущими версиями операционной системы Windows, подраздел Security Settings оснастки GROUP POLICY OBJECT EDITOR совершенно не изменился, поэтому мы рассмотрим его лишь поверхностно.

Как и раньше, он содержит в себе подразделы Account Policies и Local Policies, которые, в свою очередь, содержат следующие дочерние подразделы.

Password Policy Как и раньше, с помощью данного раздела можно настроить такие параметры создания и хранения паролей, как максимальное и минимальное количество дней хранения паролей от учетных записей пользователей, минимальная длина пароля, должен ли пароль обязательно кроме символов содержать цифры и не символьные знаки (восклицательный, подчеркивая и т.д.), должен ли пароль храниться в базе данных SAM с использованием обратного шифрования (понижает безопасность, но может быть необходимо при взаимодействии с некоторыми устаревшими программами и операционными системами) и т.д.

Account Lockout Policy Как и раньше, с помощью данного раздела можно настроить такие параметры входа в систему, как количество неправильных попыток ввода пароля, после которых учетная запись будет заблокирована, на какое время будет заблокирована учетная запись, а также через какое время счетчик неправильных попыток входа в систему будет сброшен.

Audit Policy Как и раньше, данный раздел позволяет определить параметры аудита доступа к системе (сведения аудита заносятся в системный журнал SECURITY оснастки EVENT VIEWER). Можно выбрать следующие значения аудита: SUCCESS (определенное событие прошло успешно) и FAILURE (пользователь не имеет права совершать это событие). При этом, как и раньше, можно выполнять аудит следующих событий: вход в систему пользователя или служебных учетных записей, изменение параметров учетных записей пользователей, получение доступа к объектам (папкам, файлам и т.д.), использование административных привилегий и т.д.

User Rights Assignment Данный раздел позволяет указать учетные записи пользователей, которым будут даны дополнительные привилегии при работе в системе, или, наоборот, некоторые стандартные привилегии которых будут запрещены. Данный раздел не является чем-то новым — он присутствовал и в предыдущих версиях операционной системы Windows.

Security Options Данный раздел также не является чем-то новым. Он определяет некоторые настройки безопасности компьютера, которые должен знать и уметь изменять каждый администратор. Поэтому, если вы упустили этот момент администрирования компьютера, тогда обязательно загляните в этот раздела, чтобы просмотреть его возможности. А на страницах данной книги мы с вами рассмотрим только содержимое данного раздела, которого не было в операционной системе Windows XP.

• USER ACCOUNT CONTROL: BEHAVIOR OF THE ELEVATION PROMPT FOR ADMINISTRATORS IN ADMIN APPROVAL MODE. Данная политика позволяет определить, будет ли для администраторов компьютера отображаться диалог оповещения о необходимости запуска программы с административными правами, и если будет, тогда что он будет содержать: либо просто предупреждение, либо поле для ввода пароля администратора. По умолчанию требуется подтверждение.

  Данная политика влияет на значение параметра REG_DWORD типа ConsentPromptBehaviorAdmin ветви реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System. Если его значение равно 0, тогда диалог UAC отображаться не будет. Если его значение равно 1, тогда будет отображаться диалог с просьбой ввода пароля. Если же его значение равно 2, тогда будет отображаться диалог UAC с предупреждением.

• USER ACCOUNT CONTROL: BEHAVIOR OF THE ELEVATION PROMPT FOR STANDARD USERS. Данная политика позволяет определить, будет ли для пользователей компьютера, не имеющих прав администратора, отображаться диалог оповещения о необходимости запуска программы с административными правами, и если будет, тогда что он будет содержать: либо просто предупреждение, либо поле для ввода пароля администратора. По умолчанию требуется ввод пароля.

  Данная политика влияет на значение параметра REG_DWORD типа ConsentPromptBehaviorUser ветви реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System. Если его значение равно 0, тогда диалог UAC отображаться не будет. Если его значение равно 1, тогда будет отображаться диалог с просьбой ввода пароля. Если же его значение равно 2, тогда будет отображаться диалог UAC с предупреждением.

• USER ACCOUNT CONTROL: DETECT APPLICATION INSTALLATIONS AND PROMPT FOR ELEVATION. Данная политика определяет, будет ли UAC отображать свой диалог при обнаружении попытки установки программного обеспечения, при которой необходимы административные права. По умолчанию будет отображать.

  Данная политика влияет на значение параметра REG_DWORD типа EnableInstallerDetection ветви реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.

• USER ACCOUNT CONTROL: RUN ALL ADMINISTRATORS IN ADMIN APPROVAL MODE. Данная политика определяет, будут ли все администраторы локального компьютера работать в режиме LUA. По умолчанию администраторы не работают в режиме LUA.

  Сведения о работе механизма UAC заносятся в журнал Applications and Services/Microsoft/Windows/UAC.

  Данная политика влияет на значение параметра REG_DWORD типа EnableLUA ветви реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.

• USER ACCOUNT CONTROL: VIRTUALIZE FILE AND REGISTRY WRITE FAILURES TO PER-USER LOCATIONS. Данная политика определяет, будет ли применяться механизм виртуализации каталогов и ветвей реестра, в которые пытается записать значения определенная программа, но при этом, у пользователя нет доступа к этим каталогам и ветвям. По умолчанию применяется.

  Сведения о работе с виртуальными папками заносятся в журнал Applications and Services/Microsoft/Windows/UAC-FileVirtualization.

  Данная политика влияет на значение параметра REG_DWORD типа EnableVirtualization ветви реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.

• USER ACCOUNT CONTROL: ADMIN APPROVAL MODE FOR THE BUILT-IN ADMINISTRATOR ACCOUNT. Данная политика определяет, будет ли работать пользователь administrator в режиме LUA.

  Данная политика влияет на значение параметра REG_DWORD типа FilterAdministratorToken ветви реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.

• USER ACCOUNT CONTROL: SWITCH TO THE SECURE DESKTOP WHEN PROMPTING FOR ELEVATION. Данная политика определяет, будет ли запрещен доступ ко всем открытым окнам и рабочему столу при отображении диалога UAC. По умолчанию доступ запрещен.

  Данная политика влияет на значение параметра REG_DWORD типа PromptOnSecureDesktop ветви реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.

• USER ACCOUNT CONTROL: ONLY ELEVATE EXECUTABLES THAT ARE SIGNED AND VALIDATED. Данная политика определяет, будет ли разрешено запускать с административными правами программы, которые не имеют достоверной подписи. По умолчанию разрешено.

  Данная политика влияет на значение параметра REG_DWORD типа ValidateAdminCodeSignatures ветви реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.

• SYSTEM CRYPTOGRAPHY: FORCE STRONG KEY PROTECTION FOR USER KEYS STORED ON THE COMPUTER. Данная политика позволяет определить, будет ли применяться усиленная защита хранилища пользовательских ключей.

  Данная политика влияет на значение параметра REG_DWORD типа ForceKeyProtection ветви реестра HKLM\Software\Policies\Microsoft\Cryptography. Если значение данного параметра равно 0, тогда добавление нового пользовательского ключа в хранилище не требует подтверждения. Если значение данного параметра равно 1, тогда добавление нового пользовательского ключа в хранилище требует подтверждения. Если же значение данного параметра равно 2, тогда добавление нового пользовательского ключа в хранилище требует ввода пароля.

• SYSTEM SETTINGS: USE CERTIFICATE RULES ON WINDOWS EXECUTABLES FOR SOFTWARE RESTRICTION POLICIES. Данная политика позволяет определить, будет ли разрешено изменять параметры запуска файлов на данном компьютере на основе сертификатов файлов (по умолчанию запускаются все файлы, но можно разрешить запуск только сертифицированных файлов или файлов из определенного каталога).

  Данная политика влияет на значение параметра REG_DWORD типа AuthenticodeEnabled ветви реестра HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers.

• SYSTEM SETTINGS: OPTIONAL SUBSYSTEMS. С помощью данной политики можно изменить значение параметра optional. Этот параметр содержит в себе список подсистем операционной системы Windows Vista, которые автоматически будут загружаться в память компьютера процессом winlogon.exe при входе пользователей в систему. Естественно, что все ненужные подсистемы лучше удалить, чтобы их поддержка не понижала скорость работы операционной системы.

  Данная политика влияет на значение параметра типа REG_MULTI_SZ optional ветви реестра HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems. По умолчанию значение данного параметра равно POSIX.

• NETWORK ACCESS: RESTRICT ANONYMOUS ACCESS TO NAMED PIPES AND SHARES. Данная политика позволяет запретить анонимный доступ к нулевым каналам и расшаренным ресурсам. Это повышает безопасность компьютера, но при этом некоторые службы предыдущих версий операционной системы Windows не смогут получить сетевой доступ к операционной системе. По умолчанию доступ запрещен.

  Данная политика влияет на значение параметра REG_DWORD типа RestrictNullSessAccess ветви реестра HKLM\System\CurrentControlSet\Services\LanManServer\Parameters.

Кроме того, подраздел Security Settings содержит и такие стандартные подразделы, как Public Key Policies и Software Restrictions Policies.

С помощью подраздела Public Key Policies можно опубликовать сертификаты определенного типа, не используя рассмотренную нами ранее оснастку CERTIFICATES. Типы сертификатов, которые можно опубликовать, аналогичны типам сертификатов, отображаемых в оснастке CERTIFICATES, и были рассмотрены нами ранее. Кроме того, обратите внимание на вложенный подраздел Encrypted File System. Именно с помощью команды ADD DATA RECOVERY AGENT… контекстного меню данного подраздела можно добавить агента восстановления (на основе сертификата пользователя).

С помощью подраздела Software Restrictions Policies, как и раньше, можно определить правила, на основе которых система будет решать, можно ли пользователю запустить определенный файл или нет. Если вы решили создать такие правила, тогда сначала в контекстном меню данного подраздела выберите команду ADD SOFTWARE RESTRICTION POLICIES, после чего в подразделе Software Restrictions Policies будет создано два дочерних подраздела: Security Levels и Additional Rules.

Как и раньше, ограничивать доступ к файлам и каталогам можно на основе четырех правил.

• NEW CERTIFICATE RULE…. Позволяет ограничить доступ к сценарию или пакету установщика Windows (.msi) на основе сертификатов, которые были им выданы. Если сценарий или пакет установщика Windows не имеют указанного в правиле сертификата, тогда их использование будет запрещено. Это правило является наиболее защищенным, хотя и доступно только для сценариев и msi-файлов.
• NEW HASH RULE…. Позволяет ограничить доступ к файлам на основе хеша, которым они подписаны. Данное правило создается для определенного файла и в процессе создания правила также создается и хеш файла. Если кто-то попытается модифицировать файл, для которого определен хеш с помощью правила, тогда такой файл больше не будет разрешено запускать, так как его хеш не будет совпадать с тем, который определен правилом.

  Если же вы создается правило на основе хеша, которое будет запрещать запуск определенного файла, тогда пользователь сможет его довольно легко обойти — ему будет достаточно изменить содержимое файла, чтобы изменился и его хеш.

• NEW PATH RULE…. Позволяет ограничить доступ к файлам на основе каталога, в котором они расположены.
• NEW NETWORK ZONE RULE…. Позволяет ограничить доступ к файлам установщика Windows на основе зоны интернет, из которой был получен данный файл.

Чтобы создать одно из описанных выше правил, нужно воспользоваться контекстным меню подраздела Additional Rules.

Но перед этим необходимо изменить общий уровень доступа к файлам, используемый в системе. Возможные уровни определены в подразделе Security Levels и чтобы изменить уровень, достаточно в контекстном меню нужного уровня выбрать команду SET AS DEFAULT. Если раньше подраздел Security Levels содержал всего два возможных уровня, то в операционной системе Windows Vista таких уровней три.

• Disallowed. Если вы установите данный уровень доступа, тогда по умолчанию доступ к любым файлам компьютера для всех пользователей будет запрещен. Не забудьте только после этого создать несколько дополнительных правил, которые бы разрешали доступ пользователям к определенным каталогам.
• Basic User. Если вы установите данный уровень доступа, тогда по умолчанию доступ к любым файлам компьютера будет разрешен только с правами пользователя. Доступ с правами администратора или опытного пользователя будет запрещен.
• Unrestricted. Данный уровень доступа используется по умолчанию. При его использовании пользователям разрешен доступ ко всем файлам компьютера без ограничений (естественно, если только доступ к файлам не запрещен с помощью ACL).

Продолжение следует