Локальная политика безопасности windows 11 где находится
Перейти к содержимому

Локальная политика безопасности windows 11 где находится

  • автор:

Разрешить локальный вход — параметр политики безопасности

Описывает рекомендации, расположение, значения, управление политиками и рекомендации по безопасности для параметра политики разрешить локальный вход в систему.

Справочные материалы

Этот параметр политики определяет, какие пользователи могут запускать интерактивный сеанс на устройстве. Пользователи должны иметь это право на вход через сеанс служб удаленных рабочих столов, который выполняется на устройстве-члене Windows или контроллере домена.

Примечание: Пользователи, которые не имеют этого права, по-прежнему могут начать удаленный интерактивный сеанс на устройстве, если у них есть право Разрешить вход через службы удаленных рабочих столов .

Возможные значения

  • Определяемый пользователей список учетных записей
  • Не определено

По умолчанию члены следующих групп имеют это право на рабочих станциях и серверах:

  • Администраторы
  • Операторы архива
  • Пользователи

По умолчанию члены следующих групп имеют это право на контроллерах домена:

  • Операторы учетных записей
  • Администраторы
  • Операторы архива
  • Контроллеры домена предприятия
  • Операторы печати
  • Операторы серверов

Рекомендации

  1. Ограничьте это право для законных пользователей, которые должны войти в консоль устройства.
  2. При выборочном удалении групп по умолчанию можно ограничить возможности пользователей, которым назначены определенные административные роли в вашей организации.

Расположение

Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

В следующей таблице перечислены фактические и действующие значения политики по умолчанию для последних поддерживаемых версий Windows. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики Значение по умолчанию
Default Domain Policy Не определено
Политика контроллера домена по умолчанию Операторы учетных записей
Администраторы
Операторы архива
Контроллеры домена предприятия
Операторы печати
Операторы серверов
Параметры по умолчанию для автономного сервера Администраторы
Операторы архива
Пользователи
Действующие параметры по умолчанию для контроллера домена Операторы учетных записей
Администраторы
Операторы архива
Контроллеры домена предприятия
Операторы печати
Операторы серверов
Действующие параметры по умолчанию для рядового сервера Администраторы
Операторы архива
Пользователи
Действующие параметры по умолчанию для клиентского компьютера Администраторы
Операторы архива
Пользователи

Управление политикой

Перезапуск устройства не требуется для реализации этого изменения.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Изменение этого параметра может повлиять на совместимость с клиентами, службами и приложениями. Будьте внимательны при удалении учетных записей служб, используемых компонентами и программами на устройствах-членах и контроллерах домена в домене, из политики контроллера домена по умолчанию. Кроме того, будьте осторожны при удалении пользователей или групп безопасности, которые входят в консоль устройств-членов в домене, или при удалении учетных записей служб, определенных в локальной базе данных диспетчера учетных записей безопасности (SAM) на устройствах-членах или устройствах рабочей группы. Если вы хотите предоставить учетной записи пользователя возможность локального входа в контроллер домена, необходимо сделать этого пользователя членом группы, у которой уже есть право локального входа в систему или предоставить право этой учетной записи пользователя. Контроллеры домена в домене совместно используют контроллеры домена по умолчанию групповая политика объект (GPO). Когда вы предоставляете учетной записи право разрешить локальный вход , вы разрешаете ей войти в систему локально для всех контроллеров домена в домене. Если группа Пользователи указана в параметре Разрешить локальный вход в объект групповой политики, все пользователи домена могут выполнять вход локально. Встроенная группа Пользователи содержит пользователей домена в качестве участника.

Групповая политика

групповая политика параметры применяются через объекты групповой политики в следующем порядке, что приведет к перезаписи параметров на локальном компьютере при следующем обновлении групповая политика:

  1. Параметры локальной политики
  2. Параметры политики сайта
  3. Параметры политики домена
  4. Параметры политики подразделения

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Уязвимость

Любая учетная запись с правом разрешить локальный вход пользователя может войти в консоль устройства. Если вы не ограничиваете это право для законных пользователей, которые должны войти в консоль компьютера, несанкционированные пользователи могут скачать и запустить вредоносное программное обеспечение, чтобы повысить свои привилегии.

Противодействие

Для контроллеров домена назначьте право разрешить локальный вход пользователя только группе Администраторы. Для других ролей сервера можно добавить операторы резервного копирования в дополнение к администраторам. Для компьютеров конечных пользователей также следует назначить это право группе Пользователи. Кроме того, вы можете назначить такие группы, как операторы учетных записей, операторы сервера и гости, для права локального пользователя Запретить вход в систему .

Возможное влияние

Если удалить эти группы по умолчанию, можно ограничить возможности пользователей, которым назначены определенные административные роли в вашей среде. Если вы установили необязательные компоненты, такие как ASP.NET или IIS, может потребоваться назначить право разрешить локальный вход пользователя для дополнительных учетных записей, необходимых для этих компонентов. Iis требует, чтобы это право пользователя было назначено учетной записи IUSR_ . Следует убедиться, что на делегированные действия не влияют никакие изменения, внесенные в назначение прав локального входа пользователей.

Связанные темы

Обратная связь

Были ли сведения на этой странице полезными?

Настройка параметров политики безопасности

В этой статье описаны действия по настройке параметра политики безопасности на локальном устройстве, на устройстве, присоединенном к домену, и на контроллере домена. Для выполнения этих процедур необходимо иметь права администратора на локальном устройстве или соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена.

Если локальный параметр недоступен, это означает, что этот параметр в настоящее время контролируется объектом групповой политики.

Настройка параметра с помощью консоли локальной политики безопасности

  1. Чтобы открыть локальную политику безопасности, на экране Пуск введите secpol.msc и нажмите клавишу ВВОД.
  2. В разделе Параметры безопасности дерева консоли, выполните одно из следующих действий.
    • Выберите Политики учетных записей , чтобы изменить политику паролей или политику блокировки учетных записей.
    • Выберите Локальные политики , чтобы изменить политику аудита, назначение прав пользователя или параметры безопасности.
  3. Когда вы найдете параметр политики в области сведений, дважды щелкните политику безопасности, которую вы хотите изменить.
  4. Измените параметр политики безопасности и нажмите кнопку ОК.
  • Некоторые параметры политики безопасности требуют перезапуска устройства для того, чтобы параметр вступил в силу.
  • Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Настройка параметра политики безопасности с помощью консоли редактора локальных групповых политик

Для установки и использования консоли управления (MMC) и обновления объекта групповой политики (GPO) на контроллере домена требуются соответствующие разрешения.

  1. Откройте редактор локальных групповых политик (gpedit.msc).
  2. В дереве консоли щелкните Конфигурация компьютера, выберите Параметры Windows, а затем — Параметры безопасности.
  3. Выполните одно из следующих действий.
    • Выберите Политики учетных записей , чтобы изменить политику паролей или политику блокировки учетных записей.
    • Выберите Локальные политики , чтобы изменить политику аудита, назначение прав пользователя или параметры безопасности.
  4. В области сведений, дважды щелкните параметр политики безопасности, который вы хотите изменить.

Примечание. Если эта политика безопасности еще не определена, выберите флажок Определить параметры политики.

Если вы хотите настроить параметры безопасности для многих устройств в сети, можно использовать консоль управления групповыми политиками.

Настройка параметра для контроллера домена

В следующей процедуре описывается настройка параметра политики безопасности только для контроллера домена (из контроллера домена).

  1. Чтобы открыть политику безопасности контроллера домена, в дереве консоли найдите Политика GroupPolicyObject [ComputerName] , щелкните Конфигурация компьютера, выберите Параметры Windows, а затем — Параметры безопасности.
  2. Выполните одно из следующих действий.
    • Дважды щелкните Политики учетной записи, чтобы изменить Пароль политики, Политику блокировки учетных записей или Политику Kerberos.
    • Выберите Локальные политики , чтобы изменить политику аудита, назначение прав пользователя или параметры безопасности.
  3. В области сведений, дважды щелкните политику безопасности, которую вы хотите изменить.

Примечание. Если эта политика безопасности еще не определена, выберите флажок Определить параметры политики.

  • Всегда проверяйте только что созданную политику в тестовом подразделении перед ее применением к сети.
  • Когда вы измените параметр безопасности с помощью объекта групповой политики и нажмете ОК, этот параметр вступит в силу при следующем обновлении параметров.

Связанные статьи

Параметры политики безопасности

В этом справочном разделе описаны распространенные сценарии, архитектура и процессы для параметров безопасности.

Параметры политики безопасности — это правила, которые администраторы настраивают на компьютере или нескольких устройствах для защиты ресурсов на устройстве или в сети. Расширение «Параметры безопасности» оснастки «Редактор локального групповая политика» позволяет определять конфигурации безопасности как часть объекта групповая политика (GPO). Объекты групповой политики связаны с контейнерами Active Directory, такими как сайты, домены или подразделения, и позволяют управлять параметрами безопасности для нескольких устройств с любого устройства, присоединенного к домену. Политики параметров безопасности используются в рамках общей реализации безопасности для защиты контроллеров домена, серверов, клиентов и других ресурсов в организации.

Параметры безопасности могут управлять следующими параметрами:

  • Проверка подлинности пользователя в сети или на устройстве.
  • Ресурсы, доступ к которым разрешен пользователям.
  • Следует ли записывать действия пользователя или группы в журнал событий.
  • Членство в группе.

Для управления конфигурациями безопасности для нескольких устройств можно использовать один из следующих параметров:

  • Изменение определенных параметров безопасности в объекте групповой политики.
  • Используйте оснастку «Шаблоны безопасности», чтобы создать шаблон безопасности, содержащий политики безопасности, которые требуется применить, а затем импортировать шаблон безопасности в объект групповая политика. Шаблон безопасности — это файл, представляющий конфигурацию безопасности, и его можно импортировать в объект групповой политики, применить к локальному устройству или использовать для анализа безопасности.

Дополнительные сведения об управлении конфигурациями безопасности см. в статье Администрирование параметров политики безопасности.

Расширение параметров безопасности редактора локального групповая политика включает следующие типы политик безопасности:

  • Политики учетных записей. Эти политики определяются на устройствах; они влияют на то, как учетные записи пользователей могут взаимодействовать с компьютером или доменом. Политики учетных записей включают следующие типы политик:
    • Политика паролей. Эти политики определяют параметры паролей, такие как принудительное применение и время существования. Политики паролей используются для учетных записей домена.
    • Политика блокировки учетных записей. Эти политики определяют условия и продолжительность блокировки учетной записи в системе. Политики блокировки учетных записей используются для учетных записей доменных или локальных пользователей.
    • Политика Kerberos. Эти политики используются для учетных записей пользователей домена; они определяют параметры, связанные с Kerberos, такие как время существования билетов и принудительное применение.

    Примечание. Для устройств под управлением Windows 7 и более поздних версий рекомендуется использовать параметры в разделе Конфигурация расширенной политики аудита, а не параметры политики аудита в разделе Локальные политики.

    Требования к выпуску и лицензированию Windows

    В следующей таблице перечислены выпуски Windows, поддерживающие параметры политики безопасности Windows и аудит.

    Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
    Да Да Да Да

    Параметры политики безопасности Windows и права на лицензии аудита предоставляются следующими лицензиями:

    Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
    Да Да Да Да Да

    Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

    Управление параметрами безопасности на основе политик

    Расширение параметров безопасности для групповая политика предоставляет интегрированную инфраструктуру управления на основе политик, которая помогает управлять политиками безопасности и применять их.

    Вы можете определять и применять политики параметров безопасности к пользователям, группам, сетевым серверам и клиентам с помощью групповая политика и доменные службы Active Directory (AD DS). Можно создать группу серверов с одинаковыми функциональными возможностями (например, сервер Microsoft Web (IIS), а затем групповая политика Objects можно использовать для применения общих параметров безопасности к группе. Если позже в эту группу будет добавлено больше серверов, многие из общих параметров безопасности применяются автоматически, что сокращает количество трудозатрат на развертывание и администрирование.

    Распространенные сценарии использования политик параметров безопасности

    Политики параметров безопасности используются для управления следующими аспектами безопасности: политикой учетных записей, локальной политикой, назначением прав пользователя, значениями реестра, файлами и реестрами контроль доступа списков (ACL), режимами запуска служб и т. д.

    В рамках стратегии безопасности можно создавать объекты групповой политики с политиками параметров безопасности, настроенными специально для различных ролей в организации, таких как контроллеры домена, файловые серверы, рядовые серверы, клиенты и т. д.

    Можно создать структуру подразделения, которая группировать устройства в соответствии с их ролями. Использование подразделений — лучший способ разделения конкретных требований к безопасности для различных ролей в сети. Этот подход также позволяет применять настраиваемые шаблоны безопасности к каждому классу сервера или компьютера. После создания шаблонов безопасности вы создаете новый объект групповой политики для каждого из подразделений, а затем импортируете шаблон безопасности (INF-файл) в новый объект групповой политики.

    Импорт шаблона безопасности в объект групповой политики гарантирует, что все учетные записи, к которым применяется объект групповой политики, автоматически получают параметры безопасности шаблона при обновлении параметров групповая политика. На рабочей станции или сервере параметры безопасности обновляются через регулярные интервалы (со случайным смещением не более 30 минут), а на контроллере домена этот процесс происходит каждые несколько минут, если в любом из параметров объекта групповой политики произошли изменения. Параметры также обновляются каждые 16 часов независимо от того, произошли ли какие-либо изменения.

    Эти параметры обновления зависят от версий операционной системы и могут быть настроены.

    Используя конфигурации безопасности на основе групповая политика в сочетании с делегированием администрирования, можно обеспечить применение определенных параметров безопасности, прав и поведения ко всем серверам и компьютерам в подразделении. Такой подход упрощает обновление многих серверов с помощью любых других изменений, необходимых в будущем.

    Зависимости от других технологий операционной системы

    Для устройств, являющихся членами домена Windows Server 2008 или более поздней версии, политики параметров безопасности зависят от следующих технологий:

    • Доменные службы Active Directory (AD DS) Служба каталогов Windows AD DS хранит сведения об объектах в сети и предоставляет эти сведения администраторам и пользователям. С помощью AD DS можно просматривать сетевые объекты в сети и управлять ими из одного расположения, а пользователи могут получать доступ к разрешенным сетевым ресурсам с помощью единого входа.
    • групповая политика Инфраструктура в AD DS, которая обеспечивает управление конфигурацией на основе каталога для параметров пользователей и компьютеров на устройствах под управлением Windows Server. С помощью групповая политика можно определить конфигурации для групп пользователей и компьютеров, включая параметры политики, политики на основе реестра, установку программного обеспечения, сценарии, перенаправление папок, службы удаленной установки, обслуживание Обозреватель Интернет и безопасность.
    • Служба доменных имен (DNS) Иерархическая система именования, используемая для поиска доменных имен в Интернете и частных сетях TCP/IP. DNS предоставляет службу для сопоставления доменных имен DNS с IP-адресами и IP-адресов с доменными именами. Эта служба позволяет пользователям, компьютерам и приложениям запрашивать DNS для указания удаленных систем по полным доменным именам, а не ПО IP-адресам.
    • Winlogon Часть операционной системы Windows, которая обеспечивает поддержку интерактивного входа. Winlogon разработан на основе интерактивной модели входа, которая состоит из трех компонентов: исполняемого файла Winlogon, поставщика учетных данных и любого количества сетевых поставщиков.
    • Настройка Конфигурация безопасности взаимодействует с процессом установки операционной системы во время чистой установки или обновления с более ранних версий Windows Server.
    • Диспетчер учетных записей безопасности (SAM) Служба Windows, используемая во время входа. SAM хранит сведения об учетной записи пользователя, включая группы, к которым принадлежит пользователь.
    • Локальный центр безопасности (LSA) Защищенная подсистема, которая проверяет подлинность пользователей и выполняет вход в локальную систему. LSA также хранит сведения обо всех аспектах локальной безопасности в системе, которые в совокупности называются локальной политикой безопасности системы.
    • Инструментарий управления Windows (WMI) Особенностью операционной системы Microsoft Windows, WMI является реализация корпорацией Майкрософт Web-Based Enterprise Management (WBEM), которая является отраслевой инициативой по разработке стандартной технологии для доступа к информации об управлении в корпоративной среде. WMI предоставляет доступ к сведениям об объектах в управляемой среде. С помощью WMI и интерфейса программирования приложений WMI (API) приложения могут запрашивать и вносить изменения в статические сведения в репозитории Common Information Model (CIM) и динамической информации, поддерживаемой различными типами поставщиков.
    • Результирующий набор политик (RSoP) Расширенная инфраструктура групповая политика, использующая WMI для упрощения планирования и отладки параметров политики. RSoP предоставляет общедоступные методы, которые предоставляют сведения о том, что расширение групповая политика будет делать в ситуации «что если» и что расширение делает в реальной ситуации. Эти общедоступные методы позволяют администраторам легко определять сочетание параметров политики, которые применяются к пользователю или устройству или будут применяться к нему.
    • Service Control Manager (SCM) Используется для настройки режимов запуска службы и безопасности.
    • Реестр Используется для настройки значений реестра и безопасности.
    • Файловая система Используется для настройки безопасности.
    • Преобразования файловой системы Безопасность устанавливается, когда администратор преобразует файловую систему из FAT в NTFS.
    • Консоль управления Майкрософт (MMC) Пользовательский интерфейс средства «Параметры безопасности» является расширением оснастки MMC «Локальный редактор групповая политика».

    Политики параметров безопасности и групповая политика

    Расширение «Параметры безопасности» редактора локальных групповая политика входит в набор средств Configuration Manager безопасности. С параметрами безопасности связаны следующие компоненты: подсистема конфигурации; подсистема анализа; уровень интерфейса шаблона и базы данных; настройка логики интеграции; и средство командной строки secedit.exe. Подсистема конфигурации безопасности отвечает за обработку запросов безопасности, связанных с редактором конфигурации безопасности, для системы, в которой он работает. Подсистема анализа анализирует безопасность системы для заданной конфигурации и сохраняет результат. Уровень интерфейса шаблона и базы данных обрабатывает запросы на чтение и запись из шаблона или базы данных (для внутреннего хранилища). Расширение параметров безопасности редактора локальных групповая политика обрабатывает групповая политика с доменного или локального устройства. Логика конфигурации безопасности интегрируется с установкой и управляет безопасностью системы для чистой установки или обновления до более новой операционной системы Windows. Сведения о безопасности хранятся в шаблонах (INF-файлах) или в базе данных Secedit.sdb.

    На следующей схеме показаны параметры безопасности и связанные функции.

    Политики параметров безопасности и связанные функции
    • Scesrv.dll Предоставляет основные функциональные возможности подсистемы безопасности.
    • Scecli.dll Предоставляет клиентские интерфейсы подсистеме конфигурации безопасности и предоставляет данные результирующий набор политик (RSoP).
    • Wsecedit.dll Расширение «Параметры безопасности» в редакторе локальных групповая политика. scecli.dll загружается в wsecedit.dll для поддержки пользовательского интерфейса параметров безопасности.
    • Gpedit.dll Оснастка MMC «Редактор локального групповая политика».

    Архитектура расширения параметров безопасности

    Расширение параметров безопасности редактора локальных групповая политика является частью средств Configuration Manager безопасности, как показано на следующей схеме.

    Архитектура параметров безопасности

    Средства настройки и анализа параметров безопасности включают подсистему конфигурации безопасности, которая предоставляет локальный компьютер (не член домена) и групповая политика конфигурацию и анализ политик параметров безопасности. Подсистема конфигурации безопасности также поддерживает создание файлов политики безопасности. Основными функциями подсистемы конфигурации безопасности являются scecli.dll и scesrv.dll.

    В следующем списке описаны эти основные функции подсистемы конфигурации безопасности и другие функции, связанные с параметрами безопасности.

    • scesrv.dll Этот .dll файл размещается в services.exe и выполняется в контексте локальной системы. scesrv.dll предоставляет основные функции Configuration Manager безопасности, такие как импорт, настройка, анализ и распространение политик. Scesrv.dll выполняет настройку и анализ различных системных параметров, связанных с безопасностью, путем вызова соответствующих системных API, включая LSA, SAM и реестр. Scesrv.dll предоставляет ТАКИЕ API, как импорт, экспорт, настройка и анализ. Он проверяет, выполняется ли запрос через LRPC (Windows XP), и завершается ошибкой вызова, если это не так. Обмен данными между частями расширения «Параметры безопасности» осуществляется с помощью следующих методов:
      • Вызовы объектной модели компонентов (COM)
      • Локальный удаленный вызов процедур (LRPC)
      • Протокол LDAP
      • Интерфейсы служб Active Directory (ADSI)
      • Блок сообщений сервера (SMB)
      • API Win32
      • Вызовы инструментария управления Windows (WMI)

      На контроллерах домена scesrv.dll получает уведомления об изменениях, внесенных в SAM и LSA, которые необходимо синхронизировать между контроллерами домена. Scesrv.dll включает эти изменения в объект групповой политики контроллера домена по умолчанию с помощью API-интерфейсов изменения шаблонов внутри процесса scecli.dll. Scesrv.dll также выполняет операции конфигурации и анализа.

      Процессы и взаимодействия с политикой параметров безопасности

      Для устройства, присоединенного к домену, где администрируется групповая политика, параметры безопасности обрабатываются вместе с групповая политика. Не все параметры можно настроить.

      обработка групповая политика

      При запуске компьютера и входе пользователя политика компьютера и политика пользователя применяются в соответствии со следующей последовательностью:

      1. Сеть запускается. Запуск системной службы удаленных вызовов процедур (RPCSS) и нескольких поставщиков соглашений об именовании (MUP).
      2. Для устройства будет получен упорядоченный список объектов групповая политика. Список может зависеть от следующих факторов:
        • Является ли устройство частью домена и, следовательно, подлежит ли групповая политика через Active Directory.
        • Расположение устройства в Active Directory.
        • Изменился ли список объектов групповая политика. Если список объектов групповая политика не изменился, обработка не выполняется.
      3. Применяется политика компьютера. Эти параметры находятся в разделе Конфигурация компьютера из собранного списка. Этот процесс является синхронным по умолчанию и выполняется в следующем порядке: локальный, сайт, домен, подразделение, дочернее подразделение и т. д. При обработке политик компьютеров пользовательский интерфейс не отображается.
      4. Скрипты запуска выполняются. Эти скрипты по умолчанию скрыты и синхронны; каждый скрипт должен завершиться или истекает время ожидания перед запуском следующего скрипта. Время ожидания по умолчанию составляет 600 секунд. Для изменения этого поведения можно использовать несколько параметров политики.
      5. Для входа пользователь нажимает клавиши CTRL+ALT+DEL.
      6. После проверки пользователя загрузится профиль пользователя; он регулируется параметрами политики, которые действуют.
      7. Для пользователя получается упорядоченный список объектов групповая политика. Список может зависеть от следующих факторов:
        • Является ли пользователь частью домена и, следовательно, подлежит ли групповая политика через Active Directory.
        • Включена ли обработка политики замыкания на себя, и если да, то состояние (слияние или замена) параметра политики замыкания на себя.
        • Расположение пользователя в Active Directory.
        • Изменился ли список объектов групповая политика. Если список объектов групповая политика не изменился, обработка не выполняется.
      8. Применяется политика пользователя. Эти параметры находятся в разделе Конфигурация пользователя из собранного списка. Эти параметры синхронны по умолчанию и в следующем порядке: локальный, сайт, домен, подразделение, дочернее подразделение и т. д. При обработке политик пользователей не отображается пользовательский интерфейс.
      9. Скрипты входа выполняются. сценарии входа на основе групповая политика по умолчанию скрыты и асинхронны. Скрипт пользовательского объекта выполняется последним.
      10. Появится пользовательский интерфейс операционной системы, предписанный групповая политика.

      Хранилище объектов групповая политика

      Объект групповая политика — это виртуальный объект, который определяется глобальным уникальным идентификатором (GUID) и хранится на уровне домена. Сведения о параметрах политики объекта групповой политики хранятся в следующих двух расположениях:

      • групповая политика контейнеров в Active Directory. Контейнер групповая политика — это контейнер Active Directory, содержащий свойства объекта групповой политики, такие как сведения о версии, состояние объекта групповой политики, а также список других параметров компонентов.
      • групповая политика шаблоны в папке системного тома домена (SYSVOL). Шаблон групповая политика — это папка файловой системы, которая содержит данные политики, заданные ADMX-файлами, параметрами безопасности, файлами скриптов и сведениями о приложениях, доступных для установки. Шаблон групповая политика находится в папке SYSVOL во вложенной \Policies.

      Структура GROUP_POLICY_OBJECT предоставляет сведения о объекте групповой политики в списке объектов групповой политики, включая номер версии объекта групповой политики, указатель на строку, указывающую часть объекта групповой политики Active Directory, и указатель на строку, указывающую путь к части объекта групповой политики в файловой системе.

      порядок обработки групповая политика

      групповая политика параметры обрабатываются в следующем порядке:

      1. Локальный объект групповая политика. Каждое устройство под управлением операционной системы Windows, начиная с Windows XP, имеет только один объект групповая политика, который хранится локально.
      2. Сайта. Все объекты групповая политика, связанные с сайтом, обрабатываются далее. Обработка выполняется синхронно и в указанном порядке.
      3. Домена. Обработка нескольких связанных с доменом объектов групповая политика выполняется синхронно и в указанном порядке.
      4. Подразделений. групповая политика Сначала обрабатываются объекты, связанные с подразделением, которое находится на самом высоком уровне в иерархии Active Directory, а затем групповая политика объекты, связанные с его дочерним подразделением, и т. д. Наконец, обрабатываются объекты групповая политика, связанные с подразделением, содержащим пользователя или устройство.

      На уровне каждого подразделения в иерархии Active Directory можно связать один, несколько объектов групповая политика или нет. Если несколько объектов групповая политика связаны с подразделением, их обработка выполняется синхронно и в указанном порядке.

      Этот порядок означает, что локальный объект групповая политика обрабатывается первым, а групповая политика Объекты, связанные с подразделением организации, непосредственным членом которого является компьютер или пользователь, обрабатываются последним, что перезаписывает предыдущие объекты групповая политика.

      Этот заказ является порядком обработки по умолчанию, и администраторы могут указывать исключения из этого порядка. Объект групповая политика, связанный с сайтом, доменом или подразделением (не локальным групповая политика Object), можно задать значение Принудительно для этого сайта, домена или подразделения, чтобы ни один из его параметров политики не был переопределен. На любом сайте, домене или подразделении вы можете выборочно пометить групповая политика наследование как блочное наследование. Групповая политика ссылки объектов, для которых задано значение Принудительно, всегда применяются, и их нельзя заблокировать. Дополнительные сведения см. в разделе Групповая политика Основные сведения— часть 2. Понимание того, какие объекты групповой политики следует применить.

      Обработка политики параметров безопасности

      В контексте обработки групповая политика политика параметров безопасности обрабатывается в следующем порядке.

      1. Во время обработки групповая политика подсистема групповая политика определяет, какие политики параметров безопасности следует применить.
      2. Если в объекте групповой политики существуют политики параметров безопасности, групповая политика вызывает расширение параметров безопасности на стороне клиента.
      3. Расширение «Параметры безопасности» скачивает политику из соответствующего расположения, например из определенного контроллера домена.
      4. Расширение «Параметры безопасности» объединяет все политики параметров безопасности в соответствии с правилами приоритета. Обработка выполняется в соответствии с порядком обработки групповая политика локального узла, сайта, домена и подразделения, как описано ранее в разделе «порядок обработки групповая политика». Если для определенного устройства действует несколько объектов групповой политики и не существует конфликтующих политик, политики являются накопительными и объединяются. В этом примере используется структура Active Directory, показанная на следующем рисунке. Данный компьютер является членом OU2, с которым связан объект групповой политики GroupMembershipPolGPO . На этот компьютер также распространяется объект групповой политики UserRightsPolGPO , связанный с OU1 выше в иерархии. В этом случае конфликтующие политики не существуют, поэтому устройство получает все политики, содержащиеся в объектах групповой политики UserRightsPolGPO и GroupMembershipPolGPO . Несколько объектов групповой политики и объединение политики безопасности
      5. Результирующих политик безопасности хранятся в базе данных параметров безопасности secedit.sdb. Подсистема безопасности получает файлы шаблонов безопасности и импортирует их в secedit.sdb.
      6. Политики параметров безопасности применяются к устройствам. На следующем рисунке показана обработка политики параметров безопасности.

      Обработка политики параметров безопасности

      Объединение политик безопасности на контроллерах домена

      Политики паролей, Kerberos и некоторые параметры безопасности объединяются только из объектов групповой политики, связанных на корневом уровне в домене. Это объединение выполняется для синхронизации этих параметров во всех контроллерах домена в домене. Объединяются следующие параметры безопасности:

      • Сетевая безопасность: принудительный выход по истечении времени входа
      • Учетные записи: состояние учетной записи «Администратор»
      • Учетные записи: состояние учетной записи «Гость»
      • Учетные записи: переименование учетной записи администратора
      • Учетные записи: переименование учетной записи гостя

      Существует еще один механизм, позволяющий объединять изменения политики безопасности, внесенные администраторами с помощью сетевых учетных записей, в объект групповой политики домена по умолчанию. Изменения прав пользователей, внесенные с помощью API локального центра безопасности (LSA), фильтруются по объекту групповой политики контроллеров домена по умолчанию.

      Особые рекомендации для контроллеров домена

      Если приложение установлено на основном контроллере домена (PDC) с операциями master роли (также известной как гибкие операции с одним master или FSMO), и приложение вносит изменения в права пользователя или политику паролей, эти изменения необходимо сообщить, чтобы обеспечить синхронизацию между контроллерами домена. Scesrv.dll получает уведомление о любых изменениях, внесенных в диспетчер учетных записей безопасности (SAM) и LSA, которые необходимо синхронизировать между контроллерами домена, а затем включает изменения в объект групповой политики контроллера домена по умолчанию с помощью API изменения шаблона scecli.dll.

      При применении параметров безопасности

      После изменения политик параметров безопасности параметры обновляются на компьютерах в подразделении, связанном с объектом групповая политика, в следующих экземплярах:

      • При перезапуске устройства.
      • Каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. Этот интервал обновления можно настроить.
      • По умолчанию параметры политики безопасности, предоставляемые групповая политика, также применяются каждые 16 часов (960 минут), даже если объект групповой политики не изменился.

      Сохранение политики параметров безопасности

      Параметры безопасности могут сохраняться, даже если параметр больше не определен в первоначально примененной политике.

      Параметры безопасности могут сохраняться в следующих случаях:

      • Этот параметр ранее не был определен для устройства.
      • Параметр предназначен для объекта безопасности реестра.
      • Параметры предназначены для объекта безопасности файловой системы.

      Все параметры, примененные с помощью локальной политики или объекта групповая политика, хранятся в локальной базе данных на компьютере. При каждом изменении параметра безопасности компьютер сохраняет значение параметра безопасности в локальной базе данных, которая сохраняет журнал всех параметров, примененных к компьютеру. Если политика сначала определяет параметр безопасности, а затем больше не определяет этот параметр, то параметр принимает предыдущее значение в базе данных. Если предыдущее значение не существует в базе данных, параметр не отменить изменения ни к чему и остается определенным как есть. Это поведение иногда называют «татуировкой».

      Параметры безопасности реестра и файлов будут поддерживать значения, применяемые через групповая политика, пока для этого параметра не будут заданы другие значения.

      Разрешения, необходимые для применения политики

      Разрешения apply групповая политика и Read необходимы, чтобы параметры объекта групповая политика применялись к пользователям или группам, а также компьютерам.

      Фильтрация политики безопасности

      По умолчанию все объекты групповой политики имеют чтение и применение групповая политика разрешены для группы Прошедшие проверку подлинности пользователи. В группу Прошедшие проверку подлинности входят как пользователи, так и компьютеры. Политики параметров безопасности основаны на компьютерах. Чтобы указать, к каким клиентским компьютерам будет применяться объект групповая политика, можно запретить им разрешение Применить групповая политика или Чтение для этого объекта групповая политика. Изменение этих разрешений позволяет ограничить область объекта групповой политики определенным набором компьютеров в пределах сайта, домена или подразделения.

      Не используйте фильтрацию политик безопасности на контроллере домена, так как это помешает применению к нему политики безопасности.

      Миграция объектов групповой политики, содержащих параметры безопасности

      В некоторых ситуациях может потребоваться перенести объекты групповой политики из одной среды домена в другую. Двумя наиболее распространенными сценариями являются миграция из тестовой среды в рабочую среду и миграция из рабочей среды в рабочую среду. Процесс копирования объекта групповой политики влияет на некоторые типы параметров безопасности.

      Данные для одного объекта групповой политики хранятся в нескольких расположениях и в различных форматах; некоторые данные содержатся в Active Directory, а другие — в общей папке SYSVOL на контроллерах домена. Некоторые данные политики могут быть допустимыми в одном домене, но могут быть недопустимыми в домене, в который копируется объект групповой политики. Например, идентификаторы безопасности (SID), хранящиеся в параметрах политики безопасности, часто зависят от домена. Поэтому копировать объекты групповой политики не так просто, как взять папку и скопировать ее с одного устройства на другое.

      Следующие политики безопасности могут содержать субъекты безопасности и могут требовать дополнительных действий для их успешного перемещения из одного домена в другой.

      • Назначение прав пользователя
      • Ограниченные группы
      • Службы
      • Файловая система
      • Реестр
      • DACL объекта групповой политики, если вы решили сохранить его во время операции копирования.

      Чтобы обеспечить правильное копирование данных, можно использовать консоль управления групповая политика (GPMC). При переносе объекта групповой политики из одного домена в другой GPMC обеспечивает правильное копирование всех соответствующих данных. GPMC также предлагает таблицы миграции, которые можно использовать для обновления данных, относящихся к домену, до новых значений в процессе миграции. GPMC скрывает большую часть сложности, связанной с переносом операций GPO, и предоставляет простые и надежные механизмы для выполнения таких операций, как копирование и резервное копирование объектов групповой политики.

      В этом разделе

      Статья Описание
      Администрирование параметров политики безопасности В этой статье рассматриваются различные методы администрирования параметров политики безопасности на локальном устройстве или в организации небольшого или среднего размера.
      Настройка параметров политики безопасности Приведено описание действий по настройке параметра политики безопасности на локальном устройстве, на устройстве, которое присоединяется к домену, и на контроллере домена.
      Справочник по параметрам политики безопасности В этом справочнике по параметрам безопасности содержатся сведения о реализации политик безопасности и управлении ими, включая параметры настройки и рекомендации по безопасности.

      Администрирование параметров политики безопасности

      В этой статье рассматриваются различные методы администрирования параметров политики безопасности на локальном устройстве или в организации небольшого или среднего размера.

      Параметры политики безопасности следует использовать в рамках общей реализации безопасности, чтобы обеспечить безопасность контроллеров домена, серверов, клиентских устройств и других ресурсов в организации.

      Политики параметров безопасности — это правила, которые можно настроить на устройстве или нескольких устройствах для защиты ресурсов на устройстве или в сети. Расширение параметров безопасности оснастки «Редактор локального групповая политика» (Gpedit.msc) позволяет определять конфигурации безопасности как часть объекта групповая политика (GPO). Объекты групповой политики связаны с контейнерами Active Directory, такими как сайты, домены и подразделения, и позволяют администраторам управлять параметрами безопасности для нескольких компьютеров с любого устройства, присоединенного к домену.

      Параметры безопасности могут управлять следующими параметрами:

      • Проверка подлинности пользователя в сети или на устройстве.
      • Ресурсы, доступ к которым разрешен пользователям.
      • Следует ли записывать действия пользователя или группы в журнал событий.
      • Членство в группе.

      Сведения о каждом параметре, включая описания, параметры по умолчанию, а также рекомендации по управлению и безопасности, см. в справочнике по параметрам политики безопасности.

      Для управления конфигурациями безопасности для нескольких компьютеров можно использовать один из следующих вариантов:

      • Изменение определенных параметров безопасности в объекте групповой политики.
      • Используйте оснастку «Шаблоны безопасности», чтобы создать шаблон безопасности, содержащий политики безопасности, которые требуется применить, а затем импортировать шаблон безопасности в объект групповая политика. Шаблон безопасности — это файл, представляющий конфигурацию безопасности. Его можно импортировать в объект групповой политики или применить к локальному устройству или использовать для анализа безопасности.

      Что изменилось при администрировании параметров

      Со временем появились новые способы управления параметрами политики безопасности, включая новые функции операционной системы и добавление новых параметров. В следующей таблице перечислены различные средства, с помощью которых можно администрировать параметры политики безопасности.

      Инструмент или компонент Описание и использование
      Оснастка «Политика безопасности» Secpol.msc
      Оснастка MMC предназначена для управления только параметрами политики безопасности.
      Средство командной строки редактора безопасности Secedit.exe
      Настраивает и анализирует безопасность системы путем сравнения текущей конфигурации с указанными шаблонами безопасности.
      Диспетчер соответствия требованиям безопасности Скачивание средства
      Акселератор решений, помогающий планировать, развертывать, эксплуатировать и администрировать базовые показатели безопасности для клиентских и серверных операционных систем Windows, а также приложений Майкрософт.
      Мастер настройки безопасности Scw.exe
      SCW — это средство на основе ролей, доступное только на серверах. Его можно использовать для создания политики, которая позволяет службам, правилам брандмауэра и параметрам, необходимым для выполнения определенных ролей выбранным сервером.
      Средство Configuration Manager безопасности Этот набор инструментов позволяет создавать, применять и изменять безопасность для локального устройства, подразделения или домена.
      групповая политика Gpmc.msc и Gpedit.msc
      Консоль управления групповая политика использует редактор объектов групповая политика для предоставления локальных параметров безопасности, которые затем можно включить в объекты групповая политика для распространения по всему домену. Редактор локальной групповая политика выполняет аналогичные функции на локальном устройстве.
      Политики ограниченного использования программ
      См. статью Администрирование политик ограниченного использования программного обеспечения.      		 Gpedit.msc
      Политики ограниченного использования программного обеспечения (SRP) — это функция на основе групповая политика, которая определяет программы, выполняемые на компьютерах в домене, и управляет возможностью запуска этих программ.
      Администрирование AppLocker
      См. администрирование AppLocker      		 Gpedit.msc
      Предотвращает влияние вредоносных программ (вредоносных программ) и неподдерживаемых приложений на компьютеры в вашей среде, а также запрещает пользователям в вашей организации устанавливать и использовать несанкционированные приложения.

      Использование оснастки «Локальная политика безопасности»

      Оснастка «Локальная политика безопасности» (Secpol.msc) ограничивает представление объектов локальной политики следующими политиками и функциями:

      • Политики учетных записей
      • Локальные политики
      • Брандмауэр Windows в режиме повышенной безопасности
      • Политики диспетчера списков сетей
      • Политики открытых ключей
      • Политики ограниченного использования программ
      • Политики управления приложениями
      • Политики безопасности IP-адресов на локальном компьютере
      • Расширенная конфигурация политики аудита

      Политики, заданные локально, могут быть перезаписаны, если компьютер присоединен к домену.

      Оснастка «Локальная политика безопасности» входит в набор средств Configuration Manager безопасности. Сведения о других средствах в этом наборе инструментов см. в разделе Работа с Configuration Manager безопасности этой статьи.

      Использование программы командной строки secedit

      Программа командной строки secedit работает с шаблонами безопасности и предоставляет шесть основных функций:

      • Параметр Configure помогает устранить несоответствия в безопасности между устройствами, применяя правильный шаблон безопасности к неправильному серверу.
      • Параметр Analyze сравнивает конфигурацию безопасности сервера с выбранным шаблоном.
      • Параметр Import позволяет создать базу данных на основе существующего шаблона. Это клонирование также выполняется с помощью средства конфигурации и анализа безопасности.
      • Параметр Export позволяет экспортировать параметры из базы данных в шаблон параметров безопасности.
      • Параметр Validate позволяет проверить синтаксис каждой или любых строк текста, созданных или добавленных в шаблон безопасности. Эта проверка гарантирует, что если шаблон не сможет применить синтаксис, проблема в шаблоне не будет.
      • Параметр Generate Rollback сохраняет текущие параметры безопасности сервера в шаблон безопасности, чтобы его можно было использовать для восстановления большинства параметров безопасности сервера до известного состояния. Исключением является то, что при применении шаблон отката не изменяет записи списка управления доступом в файлах или записях реестра, которые были изменены последним примененным шаблоном.

      Использование диспетчера соответствия требованиям безопасности

      Диспетчер соответствия требованиям безопасности — это скачиваемое средство, которое помогает планировать, развертывать, эксплуатировать и администрировать базовые показатели безопасности для клиентских и серверных операционных систем Windows, а также для приложений Майкрософт. Он содержит полную базу данных с рекомендуемыми параметрами безопасности, методами настройки базовых показателей и возможностью реализации этих параметров в нескольких форматах, включая XLS, объекты групповой политики, пакеты управления требуемой конфигурацией (DCM) или протокол автоматизации содержимого безопасности (SCAP). Диспетчер соответствия требованиям безопасности используется для экспорта базовых показателей в среду для автоматизации развертывания и проверки соответствия требованиям.

      Администрирование политик безопасности с помощью диспетчера соответствия требованиям безопасности

      1. Скачайте последнюю версию. Дополнительные сведения см. в блоге о базовых показателях безопасности Майкрософт .
      2. Ознакомьтесь с соответствующей документацией по базовым показателям безопасности, включенной в это средство.
      3. Скачайте и импортируйте соответствующие базовые показатели безопасности. Процесс установки описывает выбор базовых показателей.
      4. Откройте справку и следуйте инструкциям по настройке, сравнению или слиянию базовых показателей безопасности перед развертыванием этих базовых показателей.

      Использование мастера настройки безопасности

      Мастер настройки безопасности (SCW) поможет вам создать, изменить, применить или откатить политику безопасности. Политика безопасности, созданная с помощью scW, — это файл .xml, который при применении настраивает службы, сетевую безопасность, определенные значения реестра и политику аудита. SCW — это средство на основе ролей. Его можно использовать для создания политики, которая позволяет службам, правилам брандмауэра и параметрам, необходимым для выполнения определенных ролей выбранным сервером. Например, сервером может быть файловый сервер, сервер печати или контроллер домена.

      Ниже приведены рекомендации по использованию SCW.

      • SCW отключает ненужные службы и обеспечивает поддержку брандмауэра Windows с расширенной безопасностью.
      • Политики безопасности, созданные с помощью SCW, не совпадают с шаблонами безопасности, которые представляют собой файлы с расширением INF. Шаблоны безопасности содержат больше параметров безопасности, чем параметры, которые можно задать с помощью scW. Однако шаблон безопасности можно включить в файл политики безопасности SCW.
      • Вы можете развернуть политики безопасности, созданные с помощью SCW, с помощью групповая политика.
      • ScW не устанавливает и не удаляет компоненты, необходимые серверу для выполнения роли. Функции, зависящие от ролей сервера, можно установить с помощью диспетчер сервера.
      • SCW обнаруживает зависимости роли сервера. При выборе роли сервера автоматически выбираются зависимые роли сервера.
      • Все приложения, использующие протокол IP и порты, должны выполняться на сервере при запуске SCW.
      • В некоторых случаях для использования ссылок в справке по scW необходимо подключиться к Интернету.

      Примечание. ScW доступен только в Windows Server и применим только к установкам сервера.

      Доступ к scW можно получить через диспетчер сервера или запустив scw.exe. Мастер выполняет настройку безопасности сервера, чтобы:

      • Создайте политику безопасности, которая может применяться к любому серверу в сети.
      • Изменение существующей политики безопасности.
      • Примените существующую политику безопасности.
      • Откат последней примененной политики безопасности.

      Мастер политики безопасности настраивает службы и сетевую безопасность на основе роли сервера, а также настраивает параметры аудита и реестра.

      Дополнительные сведения о scW, включая процедуры, см. в разделе Мастер настройки безопасности.

      Работа с Configuration Manager безопасности

      Набор средств «Безопасность Configuration Manager» позволяет создавать, применять и изменять безопасность для локального устройства, подразделения или домена.

      Процедуры использования Configuration Manager безопасности см. в разделе Configuration Manager безопасности.

      В следующей таблице перечислены функции Configuration Manager безопасности.

      Средства Configuration Manager безопасности Описание
      Настройка и анализ безопасности Определяет политику безопасности в шаблоне. Эти шаблоны можно применять к групповая политика или к локальному компьютеру.
      Шаблоны безопасности Определяет политику безопасности в шаблоне. Эти шаблоны можно применять к групповая политика или к локальному компьютеру.
      Расширение параметров безопасности для групповая политика Изменяет отдельные параметры безопасности в домене, на сайте или в подразделении.
      Локальная политика безопасности Изменяет отдельные параметры безопасности на локальном компьютере.
      Secedit Автоматизирует задачи по настройке безопасности в командной строке.

      Настройка и анализ безопасности

      Конфигурация и анализ безопасности — это оснастка MMC для анализа и настройки безопасности локальной системы.

      Анализ безопасности

      Состояние операционной системы и приложений на устройстве является динамическим. Например, может потребоваться временно изменить уровни безопасности, чтобы можно было немедленно устранить проблемы администрирования или сети. Однако это изменение часто может не быть изменено. Это состояние изменений означает, что компьютер может больше не соответствовать требованиям к корпоративной безопасности.

      Регулярный анализ позволяет отслеживать и обеспечивать достаточный уровень безопасности на каждом компьютере в рамках корпоративной программы управления рисками. Вы можете настроить уровни безопасности и, самое главное, обнаружить все недостатки системы безопасности, которые могут возникнуть в системе с течением времени.

      Конфигурация и анализ безопасности позволяют быстро просматривать результаты анализа безопасности. В нем представлены рекомендации наряду с текущими параметрами системы и используются визуальные флаги или примечания для выделения областей, в которых текущие параметры не соответствуют предлагаемому уровню безопасности. Конфигурация и анализ безопасности также позволяют устранять любые несоответствия, выявленные анализом.

      Конфигурация безопасности

      Конфигурация и анализ безопасности также можно использовать для прямой настройки безопасности локальной системы. Используя личные базы данных, можно импортировать шаблоны безопасности, созданные с помощью шаблонов безопасности, и применить эти шаблоны к локальному компьютеру. Эти шаблоны безопасности немедленно настраивают безопасность системы с уровнями, указанными в шаблоне.

      Шаблоны безопасности

      С помощью оснастки «Шаблоны безопасности» для консоли управления Майкрософт можно создать политику безопасности для устройства или сети. Это единая точка входа, где можно учесть полный спектр системной безопасности. Оснастка «Шаблоны безопасности» не вводит новые параметры безопасности, она просто упорядочивает все существующие атрибуты безопасности в одном месте, чтобы упростить администрирование безопасности.

      Импорт шаблона безопасности в объект групповая политика упрощает администрирование домена за счет одновременной настройки безопасности для домена или подразделения.

      Чтобы применить шаблон безопасности к локальному устройству, можно использовать конфигурацию и анализ безопасности или программу командной строки secedit.

      Шаблоны безопасности можно использовать для определения:

      • Политики учетных записей
        • Политика паролей
        • Политика блокировки учетной записи
        • Политика Kerberos
        • Политика аудита
        • Назначение прав пользователя
        • Параметры безопасности

        Каждый шаблон сохраняется в виде текстового INF-файла. Этот файл позволяет копировать, вставлять, импортировать или экспортировать некоторые или все атрибуты шаблона. За исключением политик безопасности по протоколу INTERNET и открытых ключей, все атрибуты безопасности могут содержаться в шаблоне безопасности.

        Расширение параметров безопасности для групповая политика

        Подразделения, домены и сайты связаны с объектами групповая политика. Средство параметров безопасности позволяет изменить конфигурацию безопасности объекта групповая политика, в свою очередь, затрагивая несколько компьютеров. С помощью параметров безопасности можно изменять параметры безопасности многих устройств в зависимости от того, какой объект групповая политика вы изменяете, с одного устройства, присоединенного к домену.

        Параметры безопасности или политики безопасности — это правила, настроенные на устройстве или нескольких устройствах для защиты ресурсов на устройстве или в сети. Параметры безопасности могут управлять следующими параметрами:

        • Как пользователи проходят проверку подлинности в сети или на устройстве
        • Какие ресурсы разрешено использовать пользователям
        • Регистрируются ли действия пользователя или группы в журнале событий
        • Членство в группе

        Конфигурацию безопасности на нескольких компьютерах можно изменить двумя способами:

        • Создайте политику безопасности с помощью шаблона безопасности с шаблонами безопасности, а затем импортируйте шаблон с помощью параметров безопасности в объект групповая политика.
        • Измените несколько параметров выбора с помощью параметров безопасности.

        Локальная политика безопасности

        Политика безопасности — это сочетание параметров безопасности, влияющих на безопасность на устройстве. Вы можете использовать локальную политику безопасности для изменения политик учетных записей и локальных политик на локальном устройстве.

        С помощью локальной политики безопасности можно управлять следующими параметрами:

        • Кто обращается к вашему устройству
        • Какие ресурсы пользователи имеют право использовать на вашем устройстве
        • Регистрируются ли действия пользователя или группы в журнале событий

        Если ваше локальное устройство присоединено к домену, вы можете получить политику безопасности из политики домена или из политики любого подразделения, членом которому вы являетесь. Если вы получаете политику из нескольких источников, конфликты разрешаются в следующем порядке приоритета.

        1. Политика подразделения
        2. Политика домена
        3. Политика сайта
        4. Политика локального компьютера

        Если вы изменяете параметры безопасности на локальном устройстве с помощью локальной политики безопасности, то вы напрямую изменяете параметры на своем устройстве. Таким образом, параметры вступают в силу немедленно, но это может быть только временным. Фактически эти параметры будут действовать на локальном устройстве до следующего обновления групповая политика параметров безопасности, когда параметры безопасности, полученные от групповая политика, будут переопределять локальные параметры при возникновении конфликтов.

        Использование Configuration Manager безопасности

        Инструкции по использованию Configuration Manager безопасности см. в разделе Практическое руководство по Configuration Manager безопасности. В этом разделе содержатся сведения о следующих темах:

        • Применение параметров безопасности
        • Импорт и экспорт шаблонов безопасности
        • Анализ безопасности и просмотр результатов
        • Устранение несоответствий в системе безопасности
        • Автоматизация задач конфигурации безопасности

        Применение параметров безопасности

        После изменения параметров безопасности параметры обновляются на компьютерах в подразделении, связанном с объектом групповая политика:

        • При перезапуске устройства его параметры будут обновлены.
        • Чтобы заставить устройство обновить параметры безопасности и все параметры групповая политика, используйте gpupdate.exe.

        Приоритет политики, если к компьютеру применяется несколько политик

        Для параметров безопасности, определенных несколькими политиками, наблюдается следующий порядок очередности:

        1. Политика подразделения
        2. Политика домена
        3. Политика сайта
        4. Политика локального компьютера

        Например, для рабочей станции, присоединенной к домену, локальные параметры безопасности будут переопределены политикой домена в любом случае конфликта. Аналогичным образом, если одна и та же рабочая станция является членом подразделения, параметры, примененные из политики подразделения, переопределяют как доменные, так и локальные параметры. Если рабочая станция является членом нескольких организационных подразделений, то подразделение, которое непосредственно содержит рабочую станцию, имеет наивысший приоритет.

        Используйте gpresult.exe, чтобы узнать, какие политики применяются к устройству и в каком порядке. Для учетных записей домена может быть только одна политика учетных записей, которая включает политики паролей, политики блокировки учетных записей и политики Kerberos.

        Сохраняемость в параметрах безопасности

        Параметры безопасности могут по-прежнему сохраняться, даже если параметр больше не определен в первоначально примененной политике.

        Сохраняемость в параметрах безопасности возникает в следующих случаях:

        • Этот параметр ранее не был определен для устройства.
        • Параметр предназначен для объекта реестра.
        • Параметр предназначен для объекта файловой системы.

        Все параметры, применяемые с помощью локальной политики или объекта групповая политика, хранятся в локальной базе данных на вашем устройстве. При изменении параметра безопасности компьютер сохраняет значение параметра безопасности в локальной базе данных, которая сохраняет журнал всех параметров, примененных к устройству. Если политика сначала определяет параметр безопасности, а затем больше не определяет этот параметр, то параметр принимает предыдущее значение в базе данных. Если предыдущее значение не существует в базе данных, параметр не отменить изменения ни к чему и остается определенным как есть. Это поведение иногда называют «татуировкой».

        Параметры реестра и файлов будут поддерживать значения, применяемые с помощью политики, пока для этого параметра не будут заданы другие значения.

        Фильтрация параметров безопасности на основе членства в группах

        Вы также можете решить, какие пользователи или группы будут или не будут применять к ним объект групповая политика, независимо от того, на каком компьютере они выполнили вход, запретив им разрешение Применить групповая политика или Чтение для этого объекта групповая политика. Оба этих разрешения необходимы для применения групповая политика.

        Импорт и экспорт шаблонов безопасности

        Конфигурация и анализ безопасности позволяют импортировать и экспортировать шаблоны безопасности в базу данных или из нее.

        Если вы внесли какие-либо изменения в базу данных анализа, эти параметры можно сохранить, экспортируя их в шаблон. Функция экспорта позволяет сохранять параметры базы данных анализа в виде нового файла шаблона. Затем этот файл шаблона можно использовать для анализа или настройки системы или импортировать его в объект групповая политика.

        Анализ безопасности и просмотр результатов

        Конфигурация и анализ безопасности выполняют анализ безопасности, сравнивая текущее состояние безопасности системы с базой данных анализа. Во время создания база данных анализа использует по крайней мере один шаблон безопасности. Если вы решили импортировать несколько шаблонов безопасности, база данных объединит различные шаблоны и создаст один составной шаблон. Он разрешает конфликты в порядке импорта; последний импортируемый шаблон имеет приоритет.

        Конфигурация безопасности и анализ отображают результаты анализа по областям безопасности с помощью визуальных флагов для указания проблем. В нем отображаются текущие системные и базовые параметры конфигурации для каждого атрибута безопасности в областях безопасности. Чтобы изменить параметры базы данных анализа, щелкните запись правой кнопкой мыши и выберите пункт Свойства.

        Флаг визуального элемента Значение
        Красный X Запись определена в базе данных анализа и в системе, но значения параметров безопасности не совпадают.
        Зеленый проверка знак Запись определяется в базе данных анализа, в системе и совпадают значения параметров.
        Вопросительный знак Запись не определена в базе данных анализа и, следовательно, не была проанализирована.
        Если запись не анализируется, это может быть связано с тем, что она не определена в базе данных анализа или что пользователь, выполняющий анализ, может не иметь достаточных разрешений для выполнения анализа для определенного объекта или области.
        Восклицательный знак Этот элемент определен в базе данных анализа, но не существует в фактической системе. Например, может существовать ограниченная группа, которая определена в базе данных анализа, но на самом деле не существует в анализируемой системе.
        Без выделения Элемент не определен в базе данных анализа или в системе.

        Если вы решили принять текущие параметры, соответствующее значение в базовой конфигурации изменяется в соответствии с ними. Если изменить системный параметр в соответствии с базовой конфигурацией, это изменение будет отражено при настройке системы с помощью конфигурации и анализа безопасности.

        Чтобы избежать дальнейшего пометки параметров, которые вы изучили и определили, что это разумно, можно изменить базовую конфигурацию. Изменения вносятся в копию шаблона.

        Устранение несоответствий в системе безопасности

        Расхождения между базой данных анализа и параметрами системы можно устранить следующими способами:

        • Принятие или изменение некоторых или всех значений, помеченных или не включенных в конфигурацию, если вы определили, что уровни безопасности локальной системы допустимы из-за контекста (или роли) этого компьютера. Затем эти значения атрибутов обновляются в базе данных и применяются к системе при нажатии кнопки Настроить компьютер сейчас.
        • Настройка системы для значений базы данных анализа, если вы определили, что система не соответствует допустимым уровням безопасности.
        • Импорт более подходящего шаблона для роли этого компьютера в базу данных в качестве новой базовой конфигурации и его применение к системе. Изменения в базе данных анализа вносятся в сохраненный шаблон в базе данных, а не в файл шаблона безопасности. Файл шаблона безопасности будет изменен только при возврате к шаблону безопасности и изменении этого шаблона или экспорте хранимой конфигурации в тот же файл шаблона. Используйте параметр Настроить компьютер сейчас только для изменения областей безопасности, не затронутых параметрами групповая политика, таких как безопасность в локальных файлах и папках, разделы реестра и системные службы. В противном случае при применении параметров групповая политика он будет иметь приоритет над локальными параметрами, такими как политики учетных записей. Как правило, не используйте команду Настроить компьютер сейчас при анализе безопасности для доменных клиентов, так как вам придется настраивать каждый клиент отдельно. В этом случае вернитесь к шаблонам безопасности, измените шаблон и повторно примените его к соответствующему объекту групповая политика.

        Автоматизация задач конфигурации безопасности

        Вызвав средство secedit.exe в командной строке из пакетного файла или автоматического планировщика задач, вы можете использовать его для автоматического создания и применения шаблонов, а также анализа безопасности системы. Его также можно запустить динамически из командной строки. Secedit.exe полезно, если у вас есть несколько устройств, на которых необходимо проанализировать или настроить безопасность, и вам нужно выполнять эти задачи в нерабочее время.

        Работа со средствами групповая политика

        групповая политика — это инфраструктура, которая позволяет задавать управляемые конфигурации для пользователей и компьютеров с помощью групповая политика параметров и групповая политика параметров. Для групповая политика параметров, влияющих только на локальное устройство или пользователя, можно использовать локальный редактор групповая политика. Управлять параметрами групповая политика и параметрами групповая политика в среде доменные службы Active Directory (AD DS) можно с помощью консоли управления групповая политика (GPMC). средства управления групповая политика также включены в пакет средств удаленного администрирования сервера, чтобы обеспечить возможность администрирования групповая политика параметров на рабочем столе.

        Обратная связь

        Были ли сведения на этой странице полезными?

        Похожие публикации:
        1. Как прочитать все письма в яндекс почте
        2. Как сделать бесконечный предмет в майнкрафт
        3. Как сделать матовым экран телевизора
        4. Как снять муфту компрессора кондиционера без съемника

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *