Каталог Рефератов - Безопасность в системе Windows Vista. Основные службы и механизмы безопасности

	Информационно-образоательный портал
	Рефераты, курсовые, дипломы, научные работы,



МЕНЮ\|

поиск

Безопасность в системе Windows Vista. Основные службы и механизмы безопасности

b>Задача 1: создание объектов групповой политики

Объекты групповой политики EC, описанные в этом руководстве, создаются с помощью сценария GPOAccelerator.wsf. Сценарий GPOAccelerator.wsf находится в папке Windows Vista Security Guide\GPOAccelerator Tool, которую создает MSI-файл установщика Microsoft Windows.

Примечание. Каталог GPOAccelerator Tool можно скопировать с компьютера, на котором установлено это средство, на другой компьютер, где требуется выполнить сценарий. Чтобы выполнить сценарий, как описано в следующей процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.

Чтобы создать объекты групповой политики в производственной среде:

1. Войдите с учетной записью администратора домена в систему компьютера под управлением Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться объекты групповой политики.

2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.

3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора домена.

Примечание. Если появится запрос на ввод учетных данных для входа в систему, введите свое имя пользователя и пароль и нажмите клавишу ВВОД.

5. В командной строке введите cscript GPOAccelerator.wsf /Enterprise и нажмите клавишу ВВОД.

6. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).

Примечание. Это действие может занять несколько минут.

7. В окне с сообщением The SSLF GPOs are created (Объекты групповой политики Enterprise созданы) нажмите кнопку OK.

8. В окне с сообщением Make sure to link the Enterprise GPOs to the appropriate OUs (Свяжите объекты групповой политики Enterprise с соответствующими подразделениями) нажмите кнопку OK.

Задача 2: использование консоли управления групповыми политиками для проверки результата.

Можно использовать консоль управления групповыми политиками, чтобы убедиться в том, что сценарий успешно создал все объекты групповой политики. Ниже описана процедура использования консоли управления групповыми политиками на клиентском компьютере под управлением Windows Vista для проверки объектов групповой политики, которые создает сценарий GPOAccelerator.wsf.

Чтобы проверить результаты выполнения сценария GPOAccelerator.wsf:

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить.

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. Щелкните нужный лес, выберите пункт Domains (Домены) и домен.

4. Разверните узел Group Policy Objects (Объекты групповой политики) и убедитесь в том, что четыре созданных объекта групповой политики VSG EC соответствуют объектам на следующем рисунке.

Рисунок 1.5. Объекты групповой политики EC, созданные сценарием GPOAccelerator.wsf, в консоли управления групповыми политиками

После этого можно использовать консоль управления групповыми политиками для связи каждого объекта групповой политики с соответствующим подразделением. Последняя задача в процессе описывает, как это сделать.

Задача 3: использование консоли управления групповыми политиками для связи объектов групповой политики с подразделениями

Следующая процедура описывает, как использовать консоль управления групповыми политиками на клиентском компьютере под управлением Windows Vista для выполнения этой задачи.

Чтобы связать объекты групповой политики в производственной среде:

1. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы, Стандартные и Выполнить.

2. В поле Открыть введите gpmc.msc и нажмите кнопку ОК.

3. В дереве Domains (Домены) щелкните домен правой кнопкой мыши и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

4. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку OK.

5. В области сведений выберите пункт VSG EC Domain Policy (Политика домена VSG EC) и нажмите кнопку Move link to top (Переместить ссылку наверх).

Внимание! Установите для параметра Link Order (Порядок ссылок) объекта VSG EC Domain Policy значение 1. В противном случае с доменом будут связаны другие объекты групповой политики, такие как Default Domain Policy GPO (Объект групповой политики домена по умолчанию), что приведет к переопределению параметров руководства по безопасности Windows Vista Security Guide.

6. Щелкните правой кнопкой мыши узел Windows Vista Users OU (Подразделение пользователей Windows Vista) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

7. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Users Policy (Политика пользователей VSG EC) и нажмите кнопку OK.

8. Щелкните правой кнопкой мыши узел Desktop OU (Подразделение настольных компьютеров) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

9. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Desktop Policy (Политика настольных компьютеров VSG EC) и нажмите кнопку OK.

10. Щелкните правой кнопкой мыши узел Laptop OU (Подразделение переносных компьютеров) и выберите пункт Link an existing GPO (Связать существующий объект групповой политики).

11. В диалоговом окне Select GPO (Выбор объекта групповой политики) выберите объект групповой политики VSG EC Laptop Policy (Политика переносных компьютеров VSG EC) и нажмите кнопку OK.

12. Повторите эти действия для всех других созданных подразделений пользователей или компьютеров, чтобы связать их с соответствующими объектами групповой политики.

Примечание. Можно также перетащить объект групповой политики из узла Group Policy Objects (Объекты групповой политики) в подразделение. Тем не менее операция перетаскивания поддерживается только для объектов в том же домене.

Чтобы подтвердить связи объектов групповой политики с помощью консоли управления групповыми политиками:

* Разверните узел Group Policy Objects (Объекты групповой политики) и выберите объект групповой политики. В области сведений откройте вкладку Scope (Область) и просмотрите сведения в столбцах Link Enabled (Связь включена) и Path (Путь).

- Или -

* Выберите подразделение и затем в области сведений откройте вкладку Linked Group Policy Objects (Связанные объекты групповой политики) и просмотрите сведения в столбцах Link Enabled (Связь включена) и GPO (Объект групповой политики).

Примечание. Консоль управления групповыми политиками можно использовать для отмены связи объектов групповой политики или их удаления. После этого можно удалить ненужные подразделения с помощью консоли управления групповыми политиками или консоли «Active Directory - пользователи и компьютеры». Чтобы полностью отменить все изменения, внесенные сценарием GPOAccelerator.wsf, необходимо вручную удалить файлы EC-VSGAuditPolicy.cmd, EC-ApplyAuditPolicy.cmd и EC-AuditPolicy.txt из общей папки NETLOGON одного из контроллеров домена. Дополнительные сведения о том, как полностью отменить внедрение политики аудита, см. в разделе «Политика аудита» приложения A «Параметры групповой политики, связанные с безопасностью».

Все объекты групповой политики, созданные сценарием GPOAccelerator.wsf, полностью заполняются параметрами, рекомендуемыми в этом руководстве. После этого можно использовать средство «Active Directory - пользователи и компьютеры», чтобы проверить схему путем перемещения пользователей и компьютеров в соответствующие подразделения. Сведения о параметрах, содержащихся в каждом объекте групповой политики, см. в приложении A «Параметры групповой политики, связанные с безопасностью».

Миграция объектов групповой политики в другой домен (необязательно)

При изменении объектов групповой политики в этом решении или создании собственных объектов групповой политики и необходимости использовать их в нескольких доменах необходимо выполнить миграцию объектов групповой политики. Для миграции объекта групповой политики из одного домена в другой требуется планирование, но основная процедура достаточно проста. Во время планирования необходимо обратить внимание на две важных особенности данных объектов групповой политики.

* Сложность данных. Данные, составляющие объект групповой политики, имеют сложную структуры и хранятся в нескольких местах. При использовании консоли управления групповыми политиками для миграции объекта групповой политики обеспечивается надлежащая миграция всех

* Данные, относящиеся к домену. Некоторые данные в объекте групповой политики могут относиться к конкретному домену и стать недопустимыми при прямом копировании в другой домен. Чтобы решить эту проблему, таблицы миграции консоли управления групповыми политиками позволяют изменять относящиеся к домену данные в объекте групповой политики на новые значения во время миграции. Это требуется делать только в том случае, если объект групповой политики содержит идентификатор (ИД) безопасности или пути UNC, которые относятся только к конкретному домену.

Дополнительные сведения о миграции объектов групповой политики см. в справке консоли управления групповыми политиками. В техническом документе Миграция объектов групповой политики между доменами с помощью консоли управления групповыми политиками (на английском языке) также содержатся дополнительные сведения о миграции объектов групповой политики между доменами.

Средство GPOAccelerator

С данным руководством распространяются сценарий и шаблоны безопасности. В этом разделе приводятся общие сведения о данных ресурсах. Важнейшим средством, которое выполняет основной сценарий для этого руководства по безопасности, является GPOAccelerator.wsf, расположенное в папке Windows Vista Security Guide\GPOAccelerator Tool\Security Group Policy Objects. Кроме того, в этом разделе рассказывается, как изменить консоль управления групповыми политиками для просмотра параметров объекта групповой политики, а также описываются структура подкаталогов и типы файлов, которые распространяются с руководством. Другим ресурсом для сравнения значений параметров является файл Windows Vista Security Guide Settings.xls, который также прилагается к этому руководству.

Консоль управления групповыми политиками и расширения SCE

Решение, представленное в этом руководстве, использует параметры объекта групповой политики, которые не отображаются в стандартном пользовательском интерфейсе консоли управления групповыми политиками в Windows Vista или редакторе конфигураций безопасности (SCE). Эти параметры с префиксом MSS: были разработаны группой Microsoft Solutions for Security для предыдущего руководства о безопасности.

Внимание! Расширения SCE и сценарий GPOAccelerator.wsf предназначены только для запуска на компьютерах под управлением Windows Vista. Эти средства не будут правильно работать при запуске на компьютере под управлением системы Windows XP или Windows Server 2003.

По этой причине необходимо расширить эти средства, чтобы просматривать параметры безопасности и при необходимости редактировать их. Для этого сценарий GPOAccelerator.wsf автоматически обновляет компьютер при создании объектов групповой политики. Чтобы администрировать объекты групповой политики руководства по безопасности Windows Vista с другого компьютера под управлением Windows Vista, используйте следующую процедуру для обновления SCE на этом компьютере.

Чтобы изменить SCE для вывода параметров MSS

1. Убедитесь в том, что выполнены указанные ниже условия.

* Компьютер присоединен к домену с Active Directory, в котором созданы объекты групповой политики.

* Установлен каталог Windows Vista Security Guide\GPOAccelerator Tool.

Примечание. Каталог GPOAccelerator Tool можно скопировать с компьютера, на котором установлено это средство, на другой компьютер, где требуется выполнить сценарий. Чтобы выполнить сценарий, как описано в этой процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.

2. Войдите на компьютер с учетной записью администратора.

3. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.

4. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.

5. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора.

6. В командной строке введите cscript GPOAccelerator.wsf /ConfigSCE и нажмите клавишу ВВОД.

7. В окне с сообщением Click Yes to continue, or No to exit the script (Нажмите кнопку «Да», чтобы продолжить, или «Нет» для выхода) нажмите кнопку Yes (Да).

8. В окне с сообщением TheSecurity Configuration Editor is updated (Редактор конфигураций безопасности обновлен) нажмите кнопку OK.

Внимание! Это сценарий только изменяет SCE так, чтобы отображались параметры MSS, он не создает объекты групповой политики или подразделения.

Следующая процедура удаляет дополнительные параметры безопасности MSS, а затем устанавливает для параметров средства SCE значения по умолчанию для Windows Vista.

Чтобы присвоить параметрам средства SCE значения по умолчанию для Windows Vista:

1. Войдите на компьютер с учетной записью администратора.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8

© 2003-2013
Рефераты бесплатно, курсовые, рефераты биология, большая бибилиотека рефератов, дипломы, научные работы, рефераты право, рефераты, рефераты скачать, рефераты литература, курсовые работы, реферат, доклады, рефераты медицина, рефераты на тему, сочинения, реферат бесплатно, рефераты авиация, рефераты психология, рефераты математика, рефераты кулинария, рефераты логистика, рефераты анатомия, рефераты маркетинг, рефераты релиния, рефераты социология, рефераты менеджемент.