Группы с ограниченным доступом

Посетителей: 11229 | Просмотров: 15378 (сегодня 1) Шрифт:

Введение

Из цикла предыдущих статей, посвященных локальным политикам безопасности, вы уже узнали о многих средствах обеспечения безопасности пользователей вашей организации или домашних пользователей средствами групповых политик. Из этой статьи вы узнаете еще о четырех узлах локальных политик безопасности, а именно об управлении группами с ограниченным доступом, системных службах пользователей, которые попадают в область действия групповых политик, об ограничениях разделов системного реестра, а также о разрешениях файловой системы ваших рабочих станций. Эти политики безопасности позволят вам задать свойства для групп со специфическими требованиями, принудительно запускать или отключать службы согласно корпоративным требованиям, ограничить доступ к конкретным разделам системного реестра и управлять разрешениями доступа и параметрами аудита для файловой системы. Правильное использование этих политик безопасности позволит вам закрыть множество уязвимостей, от злоумышленников, которым все-таки удалось проникнуть в системы ваших пользователей, а также от самих пользователей, которые в связи с некомпетентностью могут нанести не менее значительный ущерб своему компьютеру и рабочим станциям организации в частности. Все четыре указанных ниже локальных политик безопасности вы не сможете найти в оснастке «Редактор локальной групповой политики» клиентских операционных систем.

Группы с ограниченным доступом

При помощи локальных политик безопасности и политик «Группы с ограниченным доступом» в частности, вы можете указать два свойства, определяющие членов данной группы, а также членства в группах для конкретной группы безопасности. Данная политика безопасности имеет особенную ценность для организаций, в которых присуща сложная иерархия групп безопасности. Как известно, группы – это важный класс объектов, поскольку они служат для единого управления коллекциями пользователей, компьютеров и других групп. Несмотря на то, что данные политики безопасности очень похожи на возможности функционала оснастки «Active Directory: Локальные пользователи и компьютеры», я рекомендую не игнорировать использование данных политик. В связи с тем, что на первый взгляд свойства «Члены группы» и «Член групп» очень похожи, между ними имеются существенные отличия.

Параметр «Член групп» указывает принадлежность данной группы к еще одной группе. Применение этого параметра гарантирует членство определяемой вами группы в указанной локальной группе. В том случае, если вы настроили локальные политики безопасности в нескольких объектах групповых политик, то для выбранных групп будет применяться каждый параметр членства группы. Например, если вы определили для группы «Отдел разработки», что пользователи данной группы являются членами группы «Разработчики», а второй объект, который привязан к дочернему подразделению, указывает что группа «Отдел тестирования» также является членом группы «Разработчики», то, в конечном счете, обе группы будут принадлежать к группе «Разработчики».

При помощи параметра «Члены группы», вы можете указать членство в определяемой группе. Данный параметр является авторитарным, и он определяет окончательный список членов. Если политика групп с ограниченным доступом определена в нескольких объектах групповых политик, то объект GPO с высшим приоритетом будет иметь преимущества над остальными объектами групповых политик.

Например, попробуем настроить группу «Отладчики» как ограниченную группу, в которую входит группа «Поддержка»:

1. Откройте консоль «Управление групповой политикой», где выберите контейнер «Объекты групповой политики» и нажмите на этом контейнере правой кнопкой мыши для отображения контекстного меню;
2. В контекстном меню выберите команду «Создать» и в отобразившемся диалоговом окне «Новый объект групповой политики» введите «Группы с ограниченным доступом», после чего нажмите кнопку «ОК»;
3. Выберите данный объект групповой политики и из контекстного меню выберите команду «Изменить»;
4. В окне оснастки «Редактор управления групповыми политиками» разверните узел Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасностиГруппы с ограниченным доступом и вызовите диалоговое окно добавления группы одним из следующих методов:
5. В дереве консоли выберите узел «Группы с ограниченным доступом», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Добавить группу»;
6. Нажмите правой кнопкой на панели сведений и из контекстного меню выберите команду «Добавить группу»;
7. Если у вас отображается панель действий, то перейдите в ней по ссылке «Дополнительные действия» и выберите команду «Добавить группу».
8. В диалоговом окне «Добавление группы» в текстовом поле «Группа» введите название необходимой группы или найдите ее, вызвав диалоговое окно «Выбор: Группы», нажав на кнопку «Обзор», после чего нажмите на кнопку «ОК»;

Рис. 1. Диалоговое окно добавления группы

В диалоговом окне «TESTDOMAINОтладчики Свойства» необходимо указать пользователей или группы, которые будут являться членами группы «Отладчики». Для этого возле области «Члены этой группы» нажмите на кнопку «Добавить». Откроется такое же окно, предназначенное для выбора группы, как и на предыдущем шаге. Выберем группу «Поддержка», которая была создана заранее. В нашем случае, группа отладчиков не должна входить в какие-либо группы, поэтому далее нажмите на кнопку «ОК».

Рис. 2. Диалоговое окно настройки группы с ограниченным доступом

Закройте оснастку «Редактор управления групповыми политиками», привяжите измененный объект групповой политики к нужному вам контейнеру и установите область действия.

Системные службы

Узел «Службы» локальных политик безопасности отвечает за централизованное управление службами ваших клиентских машин. Для повышения производительности компьютеров вашей организации вы можете определить службы, которые будут запущены автоматически, которые нужно запускать вручную, а также службы, которые принудительно будут остановлены. Для того чтобы определить параметры служб, вам нужно выполнить следующие действия:

1. Откройте консоль «Управление групповой политикой», где выберите контейнер «Объекты групповой политики» и нажмите на этом контейнере правой кнопкой мыши для отображения контекстного меню;
2. В контекстном меню выберите команду «Создать» и в отобразившемся диалоговом окне «Новый объект групповой политики» введите «Службы для компьютеров организации», после чего нажмите кнопку «ОК»;
3. Выберите данный объект групповой политики и из контекстного меню выберите команду «Изменить»;
4. В окне оснастки «Редактор управления групповыми политиками» разверните узел Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасностиСистемные службы. Область сведений системных служб вы можете увидеть ниже:

Рис. 3. Область сведений узла «Системные службы»

Как видно из предыдущей иллюстрации, по умолчанию для всех системных служб установлено состояние «Не определено». Для того чтобы настроить определенные системные службы, выберите любую службу, например, «Служба ввода планшетного ПК» и откройте ее свойства. Свойства данной службы отображены на следующей иллюстрации:

Рис. 4. Диалоговое окно свойств службы

Установите флажок «Определить следующий параметр политики», а затем установите переключатель на требуемое состояние. Нажав на кнопку «Изменить параметры» вы можете указать параметры безопасности для групп и пользователей.

По окончанию настройки режима запуска службы нажмите на кнопку «ОК». После настройки служб, область сведений будет выглядеть следующим образом:

Рис. 5. Область сведений после настройки режима запуска служб

Закройте оснастку «Редактор управления групповыми политиками», привяжите измененный объект групповой политики к нужному вам контейнеру и установите область действия.

Реестр

Используя политики из узла «Реестр» вы можете определить права доступа и аудита для различных разделов системного реестра компьютеров, которые указаны в области действия объектов групповых политик. Настройки данных политик идентичны тем настройкам, которые были описаны в статье «Работа с оснасткой «Шаблоны безопасности»». Например, для того чтобы запретить вашим пользователям изменять настройки автозапуска совместно с настройками режима запуска служб, выполните следующие действия:

1. Откройте консоль «Управление групповой политикой», где выберите контейнер «Объекты групповой политики», затем выберите объект групповой политики «Службы для компьютеров организации», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
2. В появившемся окне оснастки «Редактор управления групповыми политиками» разверните узел Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасностиРеестр и вызовите диалоговое окно «Выбор раздела реестра» из контекстного меню узла, области сведений, области действий или из меню «Действие»;
3. В диалоговом окне «Выбор раздела реестра», введите в текстовом поле «Выбранный реестр» путь к требуемому разделу (в нашем случае – MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun) или выберите необходимый раздел в области «Реестр». Данное диалоговое окно вы можете увидеть ниже:

Рис. 6. Диалоговое окно выбора раздела реестра

Нажмите на кнопку «ОК» для открытия диалогового окна управления безопасностью данного раздела. Выберите группу «Пользователи» и в области разрешений установите флажок для полного доступа на опцию «Запретить». Вы можете добавить любую группу или пользователей по нажатию на кнопку «Добавить» или настроить дополнительные параметры безопасности. Нажмите на кнопку «ОК»;

В том случае, если вы задали элемент запрета разрешений, то перед вами отобразится следующее предупреждение:

Рис. 7. Предупреждение об изменении разрешений

Прочитайте его и нажмите на кнопку «Да» для продолжения выполнения операции.

В диалоговом окне «Добавление объекта» вы можете указать разрешения для всех дочерних разделов. Выберите необходимые разрешения и нажмите на кнопку «ОК»;

Рис. 8. Диалоговое окно добавления раздела реестра

В области сведений будут отображаться все разделы реестра, для которых вы указали разрешения. По окончании добавления разделов реестра закройте оснастку «Редактор управления групповых политик»;

Рис. 9. Область сведений редактора управления групповых политик

Файловая система

При помощи этого узла вы можете настроить разрешения доступа пользователям или группам к объектам, расположенных на данном компьютере. Принцип добавления объекта файловой системы полностью идентичен добавлению разрешений на разделы реестра за исключением того, что на третьем шаге вместо диалогового окна выбора раздела реестра вам нужно будет указать файл или папку в диалоговом окне «Добавление файла или папки». На следующей иллюстрации отображено данное диалоговое окно:

Рис. 10. Диалоговое окно добавления файла или папки

Заключение

В данной статье вы узнали еще об одних локальных политиках безопасности: политиках групп с ограниченным доступом, которые предназначены для определения членов указанной группы и членства в группах, о политиках системных служб, используя которые вы можете указать режим запуска служб для своих клиентских компьютеров. Также были рассмотрены политики реестра, которые предназначены для указания разрешений к определенным разделам системного реестра и политики файловой системы, которые нужны для разрешения доступа пользователям или группам к объектам, расположенным на данном компьютере. В следующей статье вы узнаете о настройках политик проводной сети.

Группы с ограниченным доступом

С помощью данной политики можно добавить в группу временного пользователя (для повышения его прав на некоторое время). При этом после перезагрузки данный пользователь будет удален из группы. Тем самым администратор может делегировать на время права некоторым пользователям, не заботясь о снятии делегированных прав с пользователя — это выполнит система. Для добавления временного пользователя в группу нужно создать саму группу, в которую будет добавляться пользователь. Для этого нужно в контекстном меню раздела Группы с ограниченным доступом выбрать команду Добавить группу. После этого система предложит вам ввести или выбрать из списка группу, а затем предложит добавить в нее новых пользователей.

Похожие главы из других книг

Использование представлений для управления доступом к данным

Использование представлений для управления доступом к данным Представление (view) — это, по сути, определение запроса, хранящегося в базе данных. Оно подобно определению запроса в базах данных Microsoft Jet, однако отличается местом хранения: располагается в базе данных и

4.2 Функции физического уровня, управление доступом к физическому носителю и уровень связи данных

4.2 Функции физического уровня, управление доступом к физическому носителю и уровень связи данных В этой главе мы рассмотрим работу IP поверх различных технологий нижнего уровня. Однако сначала обратимся к происходящим на этих уровнях событиям (см. рис. 4.1). Рис. 4.1. Функции

14.6.1 Команды управления доступом

14.6.1 Команды управления доступом Команды и параметры, которые определяют доступ пользователя к хранилищу файлов удаленного хоста, определены в таблице 14.1.Таблица 14.1 Команды авторизации пользователя для доступа к архиву

6.3. Организация данных на устройствах с прямым и последовательным доступом

6.3. Организация данных на устройствах с прямым и последовательным доступом Под организацией данных на устройствах с прямым и последовательным доступом понимается способ их размещения (запись) на соответствующих носителях информации в этих устройствах с последующим

11.1.8. Управление доступом к методам

11.1.8. Управление доступом к методам В Ruby объект определяется, прежде всего, своим интерфейсом: теми методами, которые он раскрывает внешнему миру. Но при написании класса часто возникает необходимость во вспомогательных методах, вызывать которые извне класса опасно.

Центр управления сетями и общим доступом

Центр управления сетями и общим доступом В подавляющем большинстве случаев для работы с локальной сетью нужно перейти в Центр управления сетями и общим доступом. Именно здесь содержатся почти все основные инструменты, необходимые для настройки и администрирования

Средства управления доступом

Средства управления доступом Одно из преимуществ xinetd состоит в том, что эта программа объединяет в себе функции суперсервера и средства управления доступом, характерные для TCP Wrappers. Кроме того, настройка xinetd выполняется достаточно просто. Средства управления доступом

Управление доступом к rlogind

Управление доступом к rlogind Если вы обращаетесь к rlogind с узла, не относящегося к списку узлов, пользующихся доверием, вам придется ввести пользовательское имя и пароль. Однако не исключено, что вы захотите регистрироваться на удаленном узле, не задавая имя и пароль. Для

Управление доступом к каталогам поддерева chroot

Управление доступом к каталогам поддерева chroot Поддерево chroot реализует одностороннюю защиту — программы, выполняющиеся в рамках поддерева, не имеют доступа к ресурсам за его пределами. Поэтому вы можете ограничить доступ и в другом направлении. Для этого надо указать в

16.3.11. Директивы управления доступом к отдельным каталогам

16.3.11. Директивы управления доступом к отдельным каталогам Вы можете определить отдельные параметры для каждого каталога вашего сервера — оформление каталога, параметры доступа к этому каталогу.Блок директив DirectoryБлок директив Directory определяет свойства каталога (см.

Управление доступом

Управление доступом Основное преимущество средства алиасов в том, что оно может быть использовано в комбинации с параметром DatabaseAccess = NONE из файла firebird.conf для ограничения доступа к файлам баз данных – доступ разрешен только к файлам, указанным в aliases.conf.Алиасы баз данных

Глава 4 Управление доступом

Глава 4 Управление доступом Каждый пользователь должен работать в системе под своей учетной записью. Это позволит вам обезопасить свои файлы от чужого вмешательства и по системным журналам определить, когда и кем были произведены разрушительные действия.Обычному

18-й час Управление доступом к базе данных

Центр управления сетями и общим доступом

Центр управления сетями и общим доступом Пожалуй, один из самых главных и важных механизмов операционной системы. С его помощью организуется подключение компьютера к локальной сети и Интернету. Здесь настраиваются параметры сетевых адаптеров, сетевых служб и

Группы

Группы Фирменная «вконтактовская» изюминка, которая и перетянула туда в свое время львиную часть аудитории «Одноклассников». Что такое «группы», долго объяснять не надо – все те же форумы, болтальные сообщества. Их «В Контакте» едва ли не больше, чем пользователей (на

Группы

Группы С группами мы уже знакомы: они имеются в любой уважающей себя «социалке», например, в тех же Контактах. Фактически это самый обычный форум, болтальная тусовка, где близкие по духу слои общественности могут вволю обсасывать любую тему, словоблудствуя в рамках оной в

Локальные (или встроенные) группы безопасности создаются при установке операционной системы и служат для назначения пользователям прав доступа к различным ресурсам на отдельно взятом компьютере. Групп довольно много, но на практике используются всего две:

• Пользователи (Users) — могут запускать приложения и работать с ними, но не имеют прав на изменение параметров системы.
• Администраторы (Administrators) — имеют полные и ничем не ограниченные права доступа к компьютеру.

В группу Администраторы входит встроенная учетная запись администратора, учетная запись под которой производилась установка системы и (если компьютер входит в домен) группа Администраторы домена (Domain Admins). Все остальные локальные и доменные пользователи по умолчанию помещаются в группу Пользователи и не имеют административных полномочий на локальном компьютере.

Для того, чтобы добавить доменного пользователя в локальную группу безопасности на одном компьютере, можно особо не мудрить и воспользоваться оснасткой Локальные пользователи и группы (Local users and groups). Однако, если эту процедуру необходимо проделать с большим количеством компьютеров (например, добавить сотрудников техподдержки в группу локальных админов на всех компьютерах сети), то лучше воспользоваться групповыми политиками.

Групповые политики предоставляют два варианта добавления пользователей, и мы рассмотрим их оба. И первый способ, это:

Группы с ограниченным доступом, или Restricted Groups

Несмотря на свое название, эта политика не ограничивает доступ, а позволяет добавить доменных пользователей в локальные группы безопасности. Находится она в узле Конфигурация компьютераПолитикиПараметры безопасности (Computer configurationPoliciesSecurity Settings)

Добавить пользователей в локальные группы довольно просто, достаточно создать синоним локальной группы Администраторы и добавить туда нужную доменную группу (или отдельных пользователей). Тогда члены этой группы станут локальными администраторами и смогут входить на любую рабочую станцию с административными привилегиями.

Однако есть некоторые нюансы, а именно: если сначала добавить в Restricted Groups группу Администраторы, а затем в нее добавить доменную группу (в нашем случае HelpDesk), то локальными администраторами останутся только встроенный Администратор и добавленная нами группа HelpDesk, а все остальные, даже если они были добавлены вручную, будут из этой группы удалены. Более того, добавить обратно этих пользователей можно будет только одним способом — через Restricted Groups, при этом они станут станут локальными админами на всех компьютерах, на которые действует эта политика.

Поэтому, чтобы избежать подобных последствий, сначала добавляем в Restricted Groups доменную группу HelpDesk, а уже ее в группу Администраторы. В этом случае члены группы HelpDesk станут локальными администраторами вместе с уже заведенными пользователями и останется возможность добавлять пользователей в группу локальных администраторов вручную.

Этот способ работает на всех операционных системах, начиная с Windows 2000. Если же у вас в качестве клиентской операционной системы используется Windows 7, то можно воспользоваться вторым способом:

Предпочтения групповой политики или Group Policy Preferences

Системы на базе Windows 7 поддерживают расширения обычных групповых поли­тик, названные Предпочтениями (Preferences). Предпочтения настраиваются только в объектах групповых политик, хранящихся в доменах Active Directory на базе серверов Windows Server 2008 и 2008 R2.

С помощью предпочтений конфигурируется рабочая среда клиентских ком­пьютеров, и хотя действия, выполняемые с помощью предпочтений, можно реали­зовать посредством стандартных групповых политик, предпочтения использовать намного удобнее и проще.

Для добавления пользователей в локальные группы с помощью предпочтений идем в раздел Конфигурация компьютераНастройкаПараметры панели управления (Computer ConfigurationPreferencesControl Panel Settings) и выбираем пункт Локальные пользователи и группы (Local User and Groups)

Щелкаем правой клавишей мыши на пустом поле, и в контекстном меню выбираем пункт Создать — Локальная группа

Открывается окно свойств локальной группы, в котором мы и будем настраивать членство в группе и другие опции. В качестве действия можно выбрать один из 4 вариантов:

• Обновить (по умолчанию) — выбранные пользователи просто добавляются в локальную группу
• Заменить — выбранные пользователи добавляются в группу, при этом все остальные члены группы удаляются
• Создать — создается новая локальная группа, в которую добавляются выбранные пользователи
• Удалить — удаляются все члены выбранной локальной группы

В поле имя группы выбираем Администраторы (встроенная учетная запись), это выберет группу локальных администраторов, даже если она была переименована. Затем жмем на кнопку Добавить и в качестве членов группы выбираем доменную группу HelpDesk. Теперь осталось нажать ОК, и наша группа техподдержки будет добавлена в группу локальных админов на всех рабочих станциях домена.

А если вы хотите полностью контролировать всех участников локальной группы Администраторы, то можно отметить пункты Удалить всех пользователей-членов этой группы (Delete all member users) и Удалить все группы-члены этой группы (Delete all member groups). Теперь, даже если вручную добавить туда нового пользователя или группу, при следующей перезагрузке список членов группы будет обновлен в соответствии со списком, указанным в групповой политике.

И еще, хотя в локальные группы можно добавлять отдельных доменных пользователей, по возможности старайтесь этого избежать. Даже если добавить необходимо всего одного пользователя, лучше создать для него в домене группу безопасности и работать с ней. Это более грамотный подход с точки зрения безопасности, и кроме того это существенно облегчит процесс добавления пользователей в дальнейшем.