3 С помощью консоли управления локальными параметрами безопасности определить наиболее важные компоненты локальной политики по отношению к пользователям и их стандартные настройки.
3.1 Упорядочить параметры локальной политики в соответствии с группами.
3.2 Опробовать изменение локальной политики по отношению к созданному пользователю.
Для изучения и изменения локальной политики воспользуемся оснасткой «Локальные политики безопасности».
В окне «Локальные политики безопасности»находятся основные категории политик:
Политики учетных записей
Настраивает политику блокировки паролей и учетных записей.
Локальные политики
Настраивает опции «Политика аудита», «Присвоение прав пользователей» и «Безопасность»:
Политика аудита
Настраивает аудит сервера, а также аудит успешных и/или ошибочных событий:
вход учетной записи
управление учетной записью
доступ к службе каталогов
события входа
доступ к объектам
изменение политики
использование привилегий
отслеживание процессов
системные события
Присвоение прав пользователям
Служит для указания прав определенным учетным записям пользователей или группам (объектам). Для примера запретим локальный вход под учетной записью user1. В свойствах политикиОтклонить локальный входдобавим пользователяuser1.
Теперь при попытке локального входа в систему появляется такое сообщение:
Теперь разрешим локальный вход под данной учетной записью. Для удаления объекта из политики удалим его из списка в свойствах данной политики.
Параметры безопасности
Служит для указания параметров безопасности сервера. Эти параметры напрямую не связаны с IIS (Internet Information Server), но они все же повышают общий уровень защиты сервера.
Политики открытого ключа
Поддерживают опции файловой системы Encryption File System (EFS), которая осуществляет шифрование на уровне файла. При включении EFS в этом окне настраивается информация агента восстановления.
Политики ограничения программ
Определяет программы, запускаемые на компьютере, и учетные записи пользователей, имеющих доступ к этим программам.
Политики безопасности IP
Указывает использование на сервере протокола IPsecдля шифрования канала связи в сети. Опция имеет три параметра:
Клиент (только ответ). Использует IPsecпри запросе этого протокола другим компьютером.
Сервер (только запрос). Пробует установить IPsec-соединение с вышедшим на связь компьютером. В противном случае устанавливается соединение без шифрования.
Безопасный сервер (защищенность обязательна). Принудительное использование канала связи IPsec. Если другой компьютер не использует IPsec, установка соединения не состоится.
После определения политики безопасности ее можно экспортировать с одного компьютера на другой, что позволяет создать единый шаблон и применить его к набору серверов.
Экспорт и импорт локальной политики безопасности
После настройки системы согласно определенным требованиям шаблон безопасности можно экспортировать в файл .inf для применения на других системах.
Для этого в меню параметров безопасности выберем команду Действие\Экспортировать политику. Сохраним нашу настроенную политику под именем myPolitic.inf.
Для настройки локальной политики безопасности используются файлы шаблонов посредством импортирования файла .inf, содержащего параметры. Таким образом можно настраивать компьютеры без включения вручную опций на каждом из них. Отдельные демонстрационные шаблоны безопасности поставляются с WindowsServerи находятся в папке %systemroot%\security\templates. Можно использовать эти шаблоны или создать свои собственные.
Для импортирования файла шаблона выберем команду Действие\Импортировать политику и выберем нужный infфайл. Политика безопасности будет импортирована, а ее параметры –установлены поверх существующих настроек системы.
При изменении параметра политика безопасности обновляется не сразу. Обновление происходит при загрузке системы либо каждые 5 мин (для контроллеров доменов) и каждые 90 мин (не для контроллеров доменов). Для немедленного вступления изменений в силу используется команда Перезагрузить.