- •2.Идентификатор безопасности (sid)
- •3. Маркеры и субъекты доступа. Олицетворение.
- •4. Диспетчер уз. Назначение. Виды…
- •5. Взломы паролей. Меры повышения защищенности паролей.
- •6. Защита компа во время запуска. Wsh
- •7. Dep, kpp, wpr, Изоляция сессий, aslr.
- •9. Редактор шаблонов.
- •10. Групповая политика
- •11. Родконтроль
- •12. AppLocker
- •13. Дескрипторы безопасности объекта. Dacl и acl.
- •14. Организация контроля доступа к объекту.
- •15. Особенности наследования
- •16. Efs, причины появления. Механизмы работы
- •17. Основные компоненты.
- •18. Особенности реализации функции KeyRecovery
- •19. Efs, особенности работы в сети операций копирования и перемещения
- •20. Tpm. Использование BitLocker
- •21. Принципы работы системы Bitlocker. Bitlocker to go
10. Групповая политика
Анализ, оснастка и настройка безопасности используются как средство для конфигурирования политики безопасности на отдельно взятой машине. При необходимости применить заранее настроенные параметры безопасности сразу на всех компах организации, используются «Групповая политика», которая пришла на смену системной политике, существовавшей в WindowsNT, 9x.
Групповая политика создается централизованно и наследуется группами компов и пользователей. Компьютерные параметры групповой политики начинают действовать при включении компа и загрузке ОС. Пользовательские параметры начинают действовать при входе пользователя в сеть и компьютерные пользовательские параметры содержат следующие разделы:
конфигурация программ
конфигурация Windows
администраторские шаблоны
Общее число параметров:
-Win 2000 – 900 параметров
-Win XP, Server 2003 - 1400
-Win Vista, Server 2008 - 2500
-Win7,Server2008v.2 – 3200
Настроенная политика называется объектом групповой политики GroupPolicyObject(GPO), они применяются к контейнерам групповых политик (GPC) , в роли которых могут выступать такие объектыADкак узлы замен подразделений.
Один объект GPOможет применяться к нескольким контейнерам, и к одному контейнеру могут применяться несколько объектовGPO.
GPOобрабатываются в след. порядке:
системная политика WindowsNTилиWin9x, в случае , если у нас подобная система
локально-групповая политика
политика узла или сайта
локальная политика доменов
локальная политика подразделений
локальная политика дочернего подразделения
Каждая политика накладывается на предыдущую и при конфликте – приоритет у последней приложенной политики. Можно управлять наследованием политики. Опция «Блокирование наследования политик» приведет к тому, что к данному контейнеру GPCне будут применяться политики вышележащих уровней. При включении опции «Не перекрывать» будет применяться именно данная политика независимо от последующих или нижележащих политик.
Объекты GPOнепосредственно не связаны с группами безопасности (пользователей), но с помощью разрешенияGPOмежду ними можно установить связь.
Выделяют след. виды разрешений:
полный доступ
чтение политики
запись политики
создание дочерних объектов
удаления дочерних политик
применение групповой политики
Для того , чтобы объект GPOвлиял на пользователя должен иметь разрешение чтении и применение групповой политики.
Если нужно воспрепятствовать применению политики определенной группе, то необходимо запретить соответствующее разрешение групповой политики.
GPOпериодически обновляются на контроль домена через 5 минут на обычных компах от 15 до 90 минут в зависимости от ОС. Этот период можно настроить.
До VistaGPOхранились в текстовых файлах с расширением .ADMадминских шаблонов, но у них имелся недостаток: для реализацииGPOнеобходимо для каждого языка иметь собстенный .ADM-файл.
Начиная с Vista, они хранятся в виде парыxmlфайлов. Файлы с расширением .admx– хранятся сами настройкиGPO, а в файле .adml– хранятся языковые настройки.