Zasady grup w Windows

Transkrypt

SYSTEMY OPERACYJNE – WWW.EDUNET.TYCHY.PL
Zasady grup w Windows
Administratorzy Windows mogą tak skonfigurować system, żeby wymuszał hasła o wysokim poziomie bezpieczeństwa oraz kontrolował dostęp do plików, drukarek czy komputera.
Czynności te są możliwe dzięki usłudze ZASADY GRUPY.
Zabezpieczanie systemu pracującego pod kontrolą Windows nie opiera się wyłącznie na
przypisaniu skomplikowanego hasła do konta Administratora albo uruchomieniu wbudowanej
zapory połączenia internetowego.
Na czym polegają Zasady grup
Zasady grupy to zespół ustawień konfigurujących system operacyjny. Ustawienia te
dotyczą między innymi takich elementów, jak:

ustawienia aplikacji Windows,

ustawienia zabezpieczeń,

ustawienia Pulpitu,

ustawienia środowiska systemu.
Główne zadanie ZASAD GRUP to ujednolicenie i zabezpieczenie środowiska pracy użytkowników. Dodatkowo dzięki nim można rozpowszechniać oprogramowanie w sieci oraz wypływać na to, do jakich elementów Windows użytkownicy będą mieli dostęp.
Najlepiej wykorzystanie ZASAD GRUP sprawdza się w sieciach pracujących pod kontrolą
Windows Server z usługą Active Directory. W takich środowiskach administrator określa dla
wszystkich stacji jedną zasadę, która podczas startu zostanie automatycznie zastosowana do
każdego komputera.
W sieciach bezdomenowych, opartych na grupach roboczych, wdrożenie zasad grup jest
nieco utrudnione, ale w pełni możliwe. Kłopot polega na tym, że w sieciach peer-to-peer nie ma
wyspecjalizowanego serwera, który by nadzorował rozpowszechnienie ustawień.
Rodzaje zasad
Ustawienia przypisywane przez zasady mogą być określane na różnych poziomach. Jeśli
system pracuje w domenie, zasady grupy są utrzymywane przez usługi katalogowe (Active Directory). Podczas startu Windows pobiera je z serwera i wplata w rejestr. Active Directory
gromadzą informacje o zasobach sieci, np. komputerach oraz użytkownikach.
Windows, który nie pracuje w domenie wykorzystuje założenia lokalne, przechowywane
na każdym komputerze. Swoim zasięgiem założenia lokalne obejmują wyłącznie własną stację i
zalogowanego użytkownika. Jeśli komputer jest podłączony do domeny, wówczas ewentualne
ustawienia sieciowe biorą górę i nadpisują ustawienia lokalne.
Opr.: Grzegorz Szymkowiak
Windows przechowuje zasady grupy w rejestrze. Część parametrów zapisana jest w katalogu katalog_systemowy\system32\GroupPolicy. Pobierane stamtąd dane są wpisywane w rejestr podczas startu komputera lub logowania użytkownika.
ZASADY GRUPY obejmują użytkowników oraz komputer. Każdemu z nich przypisane
są niezależne ustawienia, które odnoszą się do poszczególnych elementów systemu.
Co konfigurują zasady
Struktura ZASAD GRUPY przypomina nieco układ katalogów i plików. Każdy z obiektów
zasad, węzeł użytkownika czy komputera, zawiera trzy foldery:

Ustawienia oprogramowania

Ustawienia systemu Windows

Szablony administracyjne
USTAWIENIA OPROGRAMOWANIA to folder pozwalający na konfigurację oprogramowania w domenach sieci Windows. Przypisanie oprogramowania do folderu Konfiguracja komputera powoduje, że aplikacja będzie dostępna na wszystkich maszynach, do których zastosowano
Zasady grupy. Inne znaczenie ma przypisanie aplikacji do konfiguracji użytkownika - oprogramowanie zostanie udostępnione tylko osobom, do których odnosi się zasada.
USTAWIENIA SYSTEMU WINDOWS - zasady dotyczące obiektu komputer zawierają
dwa elementy:

Konfiguracje skryptów

Ustawienia zabezpieczeń.
Jeśli sięgniemy do ikony Skrypty, będziemy mogli przypisać w niej pliki, które mają być
uruchamiane podczas startu i zamykania systemu. Analogicznie w części związanej z użytkownikiem można określić pliki wykonywane podczas logowania i wylogowania z systemu.
Dzięki opcjom dostępnym w Ustawieniach zabezpieczeń można m.in. konfigurować:

ustawienia haseł,

ustawienia praw,

zasady inspekcji.
W węźle obejmującym konfigurację użytkownika umieszczony został dodatkowo folder
Konserwacja programu Internet Explorer. Pozwala on na dostosowanie takich parametrów
przeglądarki internetowej, jak opcje połączenia, lista ulubionych witryn czy parametry zabezpieczeń.
SZABLONY ADMINISTRACYJNE – zawiera najwięcej opcji bezpośrednio związanych ze
środowiskiem pracy komputera oraz użytkownika.
Dla komputera będą to parametry modyfikujące:

Składniki systemu Windows,

System,

Sieć,

Drukarki.
W części dotyczącej użytkownika wymienione są grupy:

Składniki systemu Windows,

menu Start i pasek zadań,

Pulpit,

Panel sterowania,

Foldery udostępnione,

Sieć i System.
Narzędzia do konfiguracji zasad
W Windows do konfigurowania zasad grupy służy przede wszystkim przystawka konsoli
MMC - Zasady grupy (gpedit.msc). Pozwala ona na ustawienie wszystkich parametrów zasad,
zarówno dla środowiska domenowego, jak i lokalnego.
Kolejnym narzędziem są Zasady zabezpieczeń lokalnych (secpol.msc). Ta przystawka
MMC stanowi jedynie wycinek Zasad grupy, obejmujący zabezpieczenia lokalne komputera.
Jeśli część zadań związanych z zasadami grupy będą wykonywane poprzez skrypty lub poprzez zdalne podłączenie do systemu niezbędne będą narzędzia wiersza poleceń. Administrator
ma do dyspozycji:

gpresult.exe - służy do wyświetlania konfiguracji oraz do generowania wynikowego zestawienia zasad. Zastosowanie Gpresult jest niezmiernie istotne, gdy zasady
spływają z wielu źródeł. Można wówczas w prosty sposób ustalić, które ustawienia
są efektywne.

secedit.exe - służy do analizowania i przypisywania ustawień zasad zgromadzonych w plikach szablonów. Jeżeli administrator zechce zastosować szablon, przeanalizować jego użycie czy sprawdzić poprawność składni, wystarczy wpisać secedit.exe z odpowiednim parametrem. Narzędzie sprawdza się najlepiej w zadaniach
związanych z nadawaniem zasad na komputerach zdalnych.

gpupdate.exe - służy do odświeżania zasad przypisanych użytkownikowi lub komputerowi. Domyślnie system automatycznie aktualizuje zmiany nanoszone w założeniach systemowych co określony interwał. Zarówno komputery, jak i użytkownicy
mają po 90 minut. Polecenie gpupdate.exe służy do wymuszenia natychmiastowej
aktualizacji zasad.
Konfiguracja zabezpieczeń
W systemie niepodłączonym do sieci najważniejszą rolą ZASAD GRUP jest wpływanie na ustawienia zabezpieczeń.
Po uruchomieniu ustawień zabezpieczeń widać pięć obiektów: Zasady konta, Zasady lokalne, Zasady kluczy publicznych, Zasady ograniczeń oprogramowania i Zasady zabezpieczeń
IP.
W Windows folder Zasady kluczy publicznych jest związany z systemem szyfrowania
plików (EFS). Jeśli dane zostaną zaszyfrowane, nawet kradzież dysku nie pozwala na dostęp do
informacji. Zaszyfrowane pliki mogą być otwierane jedynie przez osoby, które je zaszyfrowały,
albo przez tzw. agenta odzyskiwania danych. Folder Zasady kluczy publicznych służy właśnie do określania, które konto w systemie operacyjnym ma pełnić funkcję agenta.
Zasady ograniczeń oprogramowania zabezpieczają system przed uruchamianiem nieuprawnionych programów. Zastosowanie tej funkcji pozwala administratorom określić, które
aplikacje użytkownicy mogą uruchamiać na swoich stacjach, a których nie. Dostęp do Internetu
wiąże się z poważnym zagrożeniem, automatycznego instalowania i uruchamiania szkodliwych
programów, więc ta opcja jest wyjątkowo przydatna. Aplikacje konfiguruje się, stosując określone przez administratora reguły.
Istnieją dwa sposoby korzystania z zasad ograniczeń dla oprogramowania. Jeśli administratorzy zidentyfikowali całe oprogramowanie, które powinno uzyskać zezwolenie na uruchomienie, mogą użyć zasady ograniczeń dla oprogramowania polegającej na ograniczeniu grupy
wykonywanych aplikacji tylko do listy zaufanych aplikacji. Jeśli administratorzy nie wiedzą, z jakich aplikacji będą korzystali użytkownicy, będą musieli działać aktywnie i określać
ograniczenia dla niewłaściwych aplikacji w miarę ich pojawiania się.
Administrator identyfikuje oprogramowanie za pomocą jednej z poniższych reguł:

Reguła sumy kontrolnej - suma kontrolna to rodzaj cyfrowego odcisku palca w
sposób unikatowy identyfikującego program lub plik. Plik może mieć zmienioną nazwę lub zostać przeniesiony do innego folderu albo na inny komputer, a mimo to
zachowa tą samą sumę kontrolną.

Reguła ścieżki - reguła ścieżki umożliwia identyfikację programu na podstawie
nazwy jego pełnej ścieżki, na przykład C:\Program Files\Microsoft Office\Office\excel.exe, lub na podstawie nazwy ścieżki prowadzącej do folderu programu, na przykład C:\Windows\System32 (dotyczyłoby to wszystkich programów
w tym katalogu oraz jego podkatalogach).

Reguła certyfikatu - reguła certyfikatu umożliwia identyfikację oprogramowania
na podstawie certyfikatu wydawcy użytego do cyfrowego podpisania programu.
Administrator może na przykład skonfigurować regułę certyfikatu, na mocy której
będzie mogło być instalowane tylko oprogramowanie podpisane przez firmę Microsoft lub dział informatyczny organizacji użytkownika.

Reguła strefy - reguła strefy umożliwia identyfikację oprogramowania pochodzącego z Internetu, lokalnego intranetu, zaufanych witryn lub stref witryn ograniczonych.
Zasady zabezpieczeń IP pozwalają, dzięki zastosowaniu protokołu IPSec, na ochronę informacji przesyłanych przez sieć. Jeśli na przykład jest zagrożenie podsłuchania komunikacji
sieciowej, użytkownicy systemów Windows mogą zdefiniować odpowiednie reguły weryfikujące
integralność lub szyfrujące przesyłane dane. Domyślnie system oferuje trzy rodzaje zasad protokołu IPSec: Klient, Serwer oraz Serwer z zabezpieczeniami. Włączenie jednej z tych opcji nakazuje Windows stosować bezpieczną komunikację na odpowiednim poziomie.
Protokół IP nie ma domyślnego Mechanizmu zabezpieczeń i pakiety IP można łatwo odczytywać, modyfikować, odtwarzać i fałszować. Bez odpowiednich zabezpieczeń zarówno sieci prywatne, jak i publiczne są narażone na monitorowanie i uzyskiwanie dostępu przez osoby nieuprawnione. O ile ataki wewnętrzne mogą być wynikiem minimalnych zabezpieczeń intranetu lub
nawet braku takich zabezpieczeń, zewnętrzne ryzyko dla sieci prywatnych wynika z połączenia
zarówno z Internetem, jak i ekstranetami. Kontrola dostępu użytkownika przy użyciu hasła nie
zapewni ochrony danych przesyłanych w sieci.
W efekcie zespół Internet Engineering Task Force (IETF) opracował mechanizm IPSec, zapewniającą uwierzytelnianie danych, integralność danych, poufność danych oraz ochronę przed
odtwarzaniem.
Przed przesłaniem jakichkolwiek danych komputer obsługujący mechanizm IPSec uzgadnia
poziom zabezpieczeń, jaki ma zostać zapewniony podczas sesji komunikacyjnej. W czasie procesu uzgadniania następuje określenie:

metody uwierzytelniania

metody określania sumy kontrolnej

metody tunelowania (opcjonalnie)

metody szyfrowania (również opcjonalnie).
Tajne klucze szyfrowania są określane lokalnie na każdym komputerze przy użyciu aktualnie wymienianych informacji. Rzeczywiste klucze nigdy nie są przesyłane. Po wygenerowaniu
klucza następuje uwierzytelnienie tożsamości, po czym może rozpocząć się bezpieczna wymiana
danych.
Zasada konta
W zabezpieczaniu komputerów niebagatelną rolę odgrywają hasła dostępu. Im mocniejsze
hasło, tym trudniej je złamać. Zasady konta przechowywane w Lokalnych zasadach zabezpieczeń pozwalają na skonfigurowanie parametrów związanych z siłą haseł oraz blokowaniem dostępu do stacji.
Aby komputer wymuszał stosowanie mocnych zasad zabezpieczeń, należy skorzystać z
opcji dostępnych w Zasadach haseł. Pozwalają one określić: złożoność, długość hasła, okres
jego ważności oraz pamiętanie historii haseł. Opcja Hasło musi spełniać wymagania co do złożo-
ności jest jednym z bardziej istotnych ustawień systemu. Jej włączenie powoduje, że użytkownicy mają obowiązek stosować hasła o wysokim poziomie skomplikowania. Aby system je zaakceptował, wymagane jest spełnienie trzech, czterech warunków: hasło musi zawierać co
najmniej jedną wielką literą, małą literę, cyfrę lub znak spoza grupy znaków alfanumerycznych.
Poniżej zasad związanych z hasłami znajdują się zasady blokady konta. Ich ustawienie
powoduje, że użytkownicy mają ograniczoną możliwość popełniania błędów podczas logowania.
Folder ten zawiera jedynie trzy opcje: czas trwania blokady konta, próg blokady konta oraz
czas, po jakim licznik blokady konta ma zostać wyzerowany. Jeśli ustalono, że próg blokady to
trzy pomyłki, a czas w obu wypadkach to 15 minut, użytkownicy logujący się do systemu w ciągu 15 minut będą mogli pomylić się jedynie dwa razy, trzecia pomyłka zakończy się zablokowaniem konta na 15 minut.
Prawa i uprawnienia
Prawa użytkowników Windows to zespół zasad określających, jakie czynności w obrębie
systemu operacyjnego, mogą wykonywać użytkownicy i grupy. Nie należy mylić praw z uprawnieniami do obiektów. Uprawnienia są ściśle związane z czynnościami dozwolonymi dla użytkowników w odniesieniu do danego obiektu (folder, drukarka itp.). Można na przykład określić,
który użytkownik ma uprawnienie do drukowania na wskazanej drukarce, a który nie. Prawa
natomiast są związane z działalnością wykonywaną w obrębie całego komputera, np.
prawo do zamykania systemu.
W folderze Przypisywanie praw użytkownika można nadawać użytkownikom szereg
przywilejów realizacji poszczególnych zadań.
Szablony administracyjne
Ustawienia wprowadzane przez Zasady zabezpieczeń lokalnych nie są jedynym źródłem zwiększania bezpieczeństwa systemu. Wiele przydatnych opcji znajduje się w folderze
Szablony administracyjne. Jednak większość z nich nie wpływa bezpośrednio na ochronę systemu, ale pozwala ograniczyć dostęp do obiektów Windows.
Generalnie ustawienia w szablonach administracyjnych mogą istotnie ograniczyć to, co
użytkownicy będą widzieli na pulpicie oraz do czego będą mieli dostęp.
Szablony Zasad Grup
Konfigurowanie Zasad grupy jest uciążliwe. W celu ułatwienia i przyśpieszenia konfiguracji systemu można się posłużyć szablonami Zasad grupy.
Szablony to zdefiniowane przez projektantów firmy Microsoft ustawienia zasad, zapisane
w pliku. Wystarczy je zaimportować do systemu i cała konfiguracja jest zakończona.
Do pracy z szablonami potrzebne są dwie przystawki konsoli MMC: Konfiguracja i analiza zabezpieczeń oraz Szablony zabezpieczeń.
Przystawka Szablony zabezpieczeń służy do modyfikacji oraz tworzenia własnych ustawień zasad grupy. Fizycznie szablony to pliki z rozszerzeniem INF, przechowywane w katalogu
folder_systemowy\security\templates.
W celu włączenia przygotowanych ustawień należy się posłużyć przystawką Konfiguracja
i analiza zabezpieczeń. Dzięki niej nie tylko łatwo można skonfigurować opcje dla systemu,
ale także przeanalizować, jakie różnice występują między ustawieniami komputera a tym, co
zostanie przypisane przez szablon. Po załadowaniu przystawki konieczne jest utworzenie bazy
danych analizy.
Wskazówki przy korzystaniu z GPEDIT.MSC

Przystawkę GPEDIT uruchamia się wyłącznie z poziomu konta ujętego w grupie
Administratorzy

Ustawienia dokonywane w przystawce GPEDIT są przechowywane w pliku REGISTRY.POL zapisanym w katalogu %windir%\SYSTEM32\GROUPPOLICY - w folderze MACHINE, jeśli zmodyfikowano ustawienia globalne (Konfiguracja komputera), i/lub w folderze USER, jeżeli zmieniono ustawienia indywidualne (Konfiguracja użytkownika)

W systemie plików NTFS ścieżka %windir%\SYSTEM32\GROUPPOLICY jest dostępna tylko dla administratorów

Ustawienia zgromadzone we wspomnianych plikach REGISTRY.POL z folderów
USER i MACHINE obowiązują zasadniczo każdego użytkownika logującego się w
systemie
W związku z powyższymi zasadami powstają dwa problemy:
1. Restrykcje powinny obejmować tylko konta użytkowników bez
uprawnień administracyjnych. Te jednak można wyłącznie określić z poziomu kont administratorów
2. Nie należy rozszerzać ograniczeń z pliku REGISTRY.POL na konta, które
nie powinny podlegać ograniczeniom
Ograniczenie uprawnień użytkowników bez ograniczenia administratora
1. Zalogować się do komputera jako administrator
2. Nałożyć oczekiwane restrykcje (Konfiguracja użytkownika – Szablony administracyjne)
3. Wylogować się z konta administratora i zalogować się na wszystkie konta,
które mają zostać objęte restrykcjami
4. Ponowne zalogować się na konto administratora i skopiować plik REGISTRY.POL (%Systemroot%\System32\GroupPolicy\User) np. na dysk wymienny
5. Ponownie otworzyć Zasady Grup i wyłączyć wszystkie pozycje, które zostały
włączone. Po wykonaniu tej czynności Edytor zasad tworzy nowy plik REGISTRY.POL
6. Zamknąć Zasady Grup i skopiować plik REGISTRY.POL np. z dysku wymiennego do %Systemroot%\System32\GroupPolicy\User
7. Wylogować się i ponownie zalogować jako administrator
8. Zalogować się jako użytkownicy i sprawdzić działanie wprowadzonych zasad
Odtwarzanie oryginalnych zasad
1. Zalogować się jako administrator
2. Usunąć plik REGISTRY.POL z folderu %Systemroot%\System32\GroupPolicy\User
lub zmienić jego nazwę. Po wylogowaniu z systemu lub powtórnym uruchomieniu
komputera system ochrony plików systemu Windows utworzy inny domyślny plik
REGISTRY.POL.
3. Uruchomić Zasady grup i przestawić wszystkie elementy „Wyłączone” lub „Włączone” na „Nie skonfigurowane”
4. Wylogować się z komputera, a następnie ponownie zalogować jako administrator.
5. Zalogować się na kontach, którym należy cofnąć restrykcje

Zasady grup w Windows

Transkrypt

Podobne dokumenty

Konfiguracja Windows do pracy w sieci

Przywracanie systemu Windows 8*/8.1

Metody wykrywania wirusów

Rola i zadania systemu operacyjnego

Elementy sprzętowe oraz programowe sieci

Windows Vista - Resolving display issues

Zmiana ustawień Zapory Systemu Windows (Firewall)