Центр инноваций Microsoft МЭИ(ТУ) Модуль 5: Создание и

Центр инноваций Microsoft МЭИ(ТУ) Модуль 5: Создание и конфигурирование объектов групповой политики

Модуль 5: Создание и конфигурирование объектов групповой политики Ø Определение понятия групповой политики Ø Конфигурирование политик безопасности Ø Настройка области действия объектов групповой политики Ø Проверка применения объектов групповой политики Ø Управление объектами групповой политики Ø Конфигурирование предпочтений групповой политики Ø Конфигурирование сценариев и перенаправления папок средствами групповой политики

Занятие 1: Определение понятия групповой политики • Что такое групповая политика? • Параметры групповой политики • Как применяется групповая политика • Особые случаи применении групповой политики • Компоненты групповой политики • Административные шаблоны • Описание файлов ADM и ADMX • Описание центрального хранилища

Что такое групповая политика? Групповая политика позволяет IT специалистам автоматизировать централизованное управление пользователями и компьютерами Групповая политика используется для: • Применения стандартных настроек • Развертывания программного обеспечения • Безусловного задания настроек безопасности • Обеспечение единой среды работы пользователей Локальная групповая политика всегда воздействует на локальных и доменных пользователей и локальные рабочие станции

Параметры групповой политики Group Policy settings for Параметры users control пользователя: these settings: • • Настройки стола программ Windows безопасности рабочего Параметры компьютера: • • Настройки программ Настройки Windows Настройки безопасности Настройки компонентов операционной системы

Каким образом применяется групповая политика? Загрузка компьютера Интервал обновления: каждые 90 минут • Применяются параметры компьютера • Выполняются сценарии автозагрузки Вход пользователя в систему Интервал обновления: каждые 90 минут • Применяются параметры пользователя • Выполняются сценарии входа в систему

Особые случаи применении групповой политики • 500 килобит в секунду(Кб/с) по умолчанию • Некоторые расширения со стороны клиента не Медленные каналы связи применяются • До Windows Vista, для определения медленных каналов использовался протокол ICMP • Windows Vista и Widows 7 используют Службу сетевого расположения (NLA) • Windows XP, Windows Vista и Windows 7 Кэшированные данные учетной записи используют кэшированные для быстрого входа в систему • Некоторые настройки групповой политики требуют до двух входов в систему для их инициирования Кроме того, учитываются факторы при: • Подключениях удаленного доступа • Перемещении объекта пользователя или компьютера в AD DS

Компоненты групповой политики Контейнер для объектов групповой политики Объект групповой политики • Расположен в AD DS • Предоставляет информацию о версиях Шаблон групповой политики • Содержит параметры групповой политики • Хранит содержимое в двух разделах • Расположен а общей папке SYSVOL • Содержит предопределенные параметры групповой политики • Предоставляется в формате ADM и ADMX

Описание административных шаблонов Административные шаблоны позволяют настраивать среду операционной системы и пользовательское окружение. Шаблоны поставляются в виде файлов ADM и ADMX Шаблон раздела компьютера: • Компоненты Windows • Система • Сеть • Принтеры Шаблон раздела пользователя: • Компоненты Windows • Панель задач и меню «Пуск» • Рабочий стол • Панель управления • Общие папки • Сеть • Система

Описание файлов ADM и ADMX ADM файл: • Копируется в каждый объект групповой политики (GPO) в SYSVOL • Сложно конфигурируется ADMX файл: • Независим от языка • Не помещается в GPO • Расширяется с помощью средств XML • Может быть отредактирован в любом текстовом редакторе • Новые файлы могут добавляться в папку Policy Definitions в центральном хранилище

Описание центрального хранилища Центральное хранилище: • Общее хранилище для файлов ADMX и ADML • Располагается в SYSVOL • Должно быть создано вручную • Автоматически определяется Windows 7 и Windows Server 2008 R 2 Файлы. ADMX Компьютер под управлением Windows 7 или Windows Server 2008 R 2 Контроллер домена с SYSVOL

Занятие 2: Конфигурирование политик безопасности • Что такое политики безопасности? • Политика безопасности домена по умолчанию • Что такое политики учетных записей? • Что такое локальные политики безопасности? • Что такое политики сети? • Брандмауэр Windows в режиме повышенной безопасности • Политика контроллера домена по умолчанию • Особенности параметров политики безопасности

Что такое политики безопасности? Политики безопасности представляют из себя комплекс параметров, отвечающих за настройку различных аспектов безопасности операционной системы. Располагаются в особом разделе групповой политики

Политика безопасности домена по умолчанию • Предоставляет политики учетных записей для домена; другие параметры по умолчанию не заданы • Используется для применения параметров безопасности по всему домену • Использование доменной политики для применения параметров безопасности является наилучшей практикой. Остальные параметры могут быть заданы отдельными групповыми политиками Параметры безопасности и настройки учетных записей Полтика домена по умолчанию Домен

Что такое политики учетных записей? Политики учетных записей определяют безопасность использования учетных записей и уменьшают угрозу взлома паролей учетных записей методами прямого перебора Политики учетных записей содержат: Политики Паролей Блокировки учетных записей Kerberos Описание • Контролируют уровень сложности и срок действия паролей § Максимальный срок действия пароля: 42 дня § Минимальный срок действия пароля: 1 день § Минимальная длина пароля: 7 знаков § Пароль должен отвечать требованиям сложности: включен § Хранить пароли, используя обратимое шифрование: отключен • Определяют, сколько некорректных попыток входа в систему может быть совершено § Продолжительность блокировки учетной записи: не определено § Пороговое значение блокировки: 0 некорректных попыток входа § Время до сброса счетчика блокировки: не определено • Атрибуты политики безопасности домена для протокола Kerberos § Могут применяться только на доменном уровне

Что такое локальные политики безопасности? Локальные политики безопасности представляют параметры безопасности для учетной записи пользователя или службы на локальном компьютере ü Компьютер под управлением Windows 2000 и выше содержит локальную политику безопасности как часть локальной групповой политики ü Для обеспечения безопасности рабочей группы вы должны настроить локальные политики безопасности ü Доменная политика имеет преимущество перед локальной в случае конфликта параметров ü Вы можете предоставить права локальным пользователям средствами локальной групповой политики ü Параметры безопасности локальной политики контролируют различные аспекты безопасности компьютера

Что такое политики сети? Политики сети определяют доступные для использования сети и методы аутентификации для беспроводных соединений в Windows XP и Windows 7, аутентификацию проводных соединений в Windows 7 и Windows Server 2008 R 2 ü Политики сети для Windows XP и Windows 7 различаются ü Политики беспроводного доступа для Windows 7 содержат больше настроек ü Политики беспроводного доступа для Windows 7 могут запрещать доступ к беспроводным сетям ü Аутентификация по стандарту 802. 1 x может быть настроена средствами групповой политики ü Политики для проводного доступа к сети могут использоваться начиная с Windows Vista GPO LAN Windows 7 Wi-Fi Только Wi-Fi Windows XP

Брандмауэр Windows в режиме повышенной безопасности Централизованно управляемый полнофункциональный брандмауэр, контролирующий сетевой трафик в соответствии с настройками ü Поддерживает фильтрацию входящего и исходящего трафика ü Обладает расширенными настройками управления ü Политика IP-безопасности теперь настраивается совместно с брандмауэром Windows ü Правила настройки могут учитывать самые разнообразные критерии, такие, как имена пользователей и групп, используемые порты TCP и UDP ü Использует профили на основе сетевого расположения ü Возможен экспорт и импорт политик Правила брандмауэра контролируют входящий и исходящий трафик Windows Server 2008 R 2 Брандмауэр Интернет LAN

Политика контроллера домена по умолчанию Имеет три важных раздела для анализа и последующей настройки: ü Назначение прав пользователя: локальный вход в систему, завершение работы ü Параметры безопасности: аудит, использование устройств, сетевая безопасность ü Журнал событий: размер журнала, способ его сохранения

Особенности параметров политики безопасности При изучении параметров политики безопасности, обратите внимание на следующее: ü Политики учетных записей передаются клиенту с контроллера домена ü Контроллер домена получает настройки политики учетных записей от политики уровня домена ü Применяются параметры безопасности групповой политики, имеющей наивысший приоритет

Занятие 3: Настройка области действия объектов групповой политики • Последовательность применения групповой политики • Изменение настроек применения групповой политики • Наследование применении групповой политики и его блокирование • Фильтрация групповой политики

Последовательность применения групповой политики GPO 1 Локальная политика GPO 2 Сай т GPO 3 GPO 4 Домен GPO 5 OU OU OU

Изменение настроек применения групповой политики Пять способов изменения логики применения групповой политики по умолчанию: • Блокирование наследования • Форсирование применения • Фильтрация с использованием групп безопасности или WMI фильтров • Запрет использования объектов групповой политики • Режим замыкания при обработке групповой политики

Наследование применении групповой политики и его блокирование Домен GPOs ИТ Блокирование наследования препятствует применению политик верхнего уровня к дочерним подразделениям (контейнерам) Деканат Настройки GPO не применяются

Фильтрация групповой политики Домен GPO ИТ WMI фильтр Фильтрация затрагивает только отдельных пользователей и компьютеры в подразделениях Деканат Иван Чтение и применение групповой политики Разрешение Применение групповой политики Запрет Влад Группа

Занятие 4: Проверка применения объектов групповой политики • Что такое Group Policy Reporting? • Что такое Group Policy Modeling?

Что такое Group Policy Reporting? Group Policy reporting – это метод экспериментального планирования использования групповых политик и устранения связанных с этим проблем. Действия проводятся в режиме реального времени. • Опция доступна в консоли управления групповой политикой (GPMC) под именем Group Policy results • Также возможно использование утилиты командной строки GPResult

Что такое Group Policy Modeling? Group Policy Modeling моделирует кумулятивный эффект применения объектов групповой политики. Действия проводятся в режиме симуляции. Group Policy Modeling учитывает: • Включенность в сайт • Членство в группах безопасности • Фильтры WMI • Медленные каналы связи • Режим замыкания групповой политики • Эффекты, связанные с перемещением объектов в различные контейнеры Active Directory

Занятие 5: Управление объектами групповой политики • Задачи управления объектами групповой политики • Стартовые объекты групповой политики • Миграция объектов групповой политики

Задачи управления объектами групповой политики Задачи управления GPO включают: • Создание резервных копий GPOs • Восстановление GPOs из резервных копий • Копирование GPOs • Импорт GPOs

Стартовые объекты групповой политики • Хранят параметры административных шаблонов, на которых основываются вновь создаваемые объекты групповой политики • Могут быть экспортированы в файлы формата. cab • Могут быть импортированы в другие области структуры предприятия (домены, сайты) Экспорт в файл. cab Стартовый GPO Файл. cab Импорт в GPMC Загрузка файла с политикой

Миграция объектов групповой политики Утилита миграции ADMX позволяет преобразовывать файлы ADM в файлы нового формата ADMX. Утилита имеет графический интерфейс пользователя, доступна для скачивания с сайта Microsoft.

Занятие 6: Конфигурирование предпочтений групповой политики • Что такое предпочтения групповой политики? • Различия между параметрами и предпочтениями групповой политики • Особенности предпочтений групповой политики • Развертывание предпочтений групповой политики

Что такое предпочтения групповой политики? Предпочтения групповой политики расширяют диапазон настраиваемых параметров в объекте групповой политики ü Предпочтения не могут быть форсированы ü Предпочтения позволяют IT профессионалам настраивать и применять параметры операционной системы и приложений, которые не контролируются обычной групповой политикой

Различия между параметрами и предпочтениями групповой политики Настройки групповой политики Предпочтения групповой политики Настройки политики безусловно применяются посредством записи в области реестра, недоступные для модификации обычными пользователями Предпочтения записываются в обычные области реестра, где хранятся настройки операционной системы и приложений Обычно запрещают использование интерфейса пользователя для настроек, контролируемых групповой политикой Не принуждают операционную систему или приложение отключать интерфейс пользователя для настройки параметров Настройки политики регулярно обновляются в соответствии с заданным интервалом Интервал обновления предпочтений по умолчанию совпадает с интервалом обновления настроек групповой политики

Особенности предпочтений групповой политики Вкладка «Общие параметры» Используется для конфигурирования параметров, определяющих использование предпочтений групповой политики Возможности целевого применения Определяется, к каким именно пользователям и компьютерам применяются предпочтения

Развертывание предпочтений групповой политики Windows Server 2008 R 2 уже содержит предпочтения групповой политики, включенные как часть консоли управления групповой политикой (GPMC) ü Применение расширений требует установки средства анализа XMLLite для Windows XP и Windows Server 2003 ü Должен быть установлен набор клиентских расширений групповой политики (CSE) для всех клиентов, к которым планируется применять предпочтения политики

Занятие 7: Конфигурирование сценариев и перенаправления папок средствами групповой политики • Использование сценариев в объектах групповой политики • Что такое перенаправление папок? • Опции настройки перенаправления папок • Настройка безопасного использования перенаправляемых папок

Использование сценариев в объектах групповой политики Для выполнения ряда задач, таких, как очистка файла подкачки и удаление временных файлов при завершении работы, подключение сетевых дисков, и других задач, возможно использовать сценарии, написанные на известных интерпретируемых языках в среде Windows Script Host (WSH) или Windows Power. Shell: VBScript, JScript, . NET Сценарии в групповой политике могут быть назначены для событий: • В разделе «Конфигурация компьютера» • В разделе «Конфигурация пользователя» § Автозагрузка § Вход в систему § Завершение работы § Выход из системы

Что такое перенаправление папок? Перенаправление папок позволяет расположить папки на сервере таким образом, что они представляются расположенными на локальном компьютере Перенаправлены могут быть следующие папки: • Мои документы (Документы в Windows 7) • Application Data (App. Data в Windows 7) • Рабочий стол • Главное меню Кроме того, в Windows 7 могут быть перенаправлены: • Контакты • Загрузки • Избранное • Поиски • Ссылки

Опции настройки перенаправления папок • Базовое перенаправление папок задает общее расположение для всех пользователей Бухгалтеры • Расширенное перенаправление папок задает расположение в зависимости от членства пользователя в группах безопасности Бухгалтеры А-М Бухгалтеры Н-Я • Опции указания расположения: • Перенаправление в домашний каталог пользователя • Создание папки для каждого пользователя в корневом каталоге Старшие бухгалтеры е о чн Ли • Перенаправление в указанное расположение • Перенаправление в расположение локального профиля пользователя ое Л н ич Розова Янина

Настройка безопасного использования перенаправляемых папок Разрешения NTFS для корневого каталога Создатель/Владелец Полный доступ - только для подпапок и файлов Администраторы • Нет Группа безопасности, в которой состоит пользователь • Содержание папки/Чтение данных, Создание SYSTEM • Полный доступ папок/Дозапись данных – Только для этой папки Разрешения общего доступа для корневого каталога Создатель/Владелец Полный доступ Группа безопасности, в которой состоит пользователь • Полный доступ Разрешения NTFS для каждой перенаправленной папки Создатель/Владелец Полный доступ - только для подпапок и файлов %Username% • Полный доступ Администраторы • Нет SYSTEM • Полный доступ

Лабораторная работа 1: Создание и конфигурирование объектов групповой политики • Упражнение 1: Создание и конфигурирование объектов групповой политики • Упражнение 2: Управление областью применения групповой политики • Упражнение 3: Конфигурирование политик безопасности Информация к началу работы Виртуальные машины LAB-DC 1, LAB-CL 1 Пользователь Administrator Пароль Pa$$w 0 rd Продолжительность: 40 минут

Лабораторная работа 2: Проверка применения объектов групповой политики и управление средой • Упражнение 1: Проверка применения объектов групповой политики • Упражнение 2: Управление объектами групповой политики • Упражнение 3: Конфигурирование сценариев и перенаправления папок средствами групповой политики • Упражнение 4: Конфигурирование предпочтений групповой политики Информация к началу работы Виртуальные машины LAB-DC 1, LAB-CL 1 Пользователь Administrator Пароль Pa$$w 0 rd Продолжительность: 50 минут