Текст книги "Microsoft Windows XP Professional. Опыт сдачи сертификационного экзамена 70-270"

Если компьютер входит в домен, он будет подвержен влиянию объектов групповой политики, которые определены для вышестоящих в иерархии Active Directory структур. Применение объектов групповой политики происходит в следующем порядке:

1. Локальный объект групповой политики. Для каждого компьютера с Windows ХР Professional существует только один локальный объект групповой политики.

2. Сайт. Объекты групповой политики, связанные с сайтом, обрабатываются в порядке, указанном администратором.

3. Домен. Если с доменом связано несколько объектов групповой политики, они обрабатываются в порядке, указанном администратором.

4. Подразделение. Объекты групповой политики, связанные с наивысшим подразделением в иерархии Active Directory, обрабатываются в первую очередь, затем обрабатываются объекты групповой политики, связанные с дочерним подразделением, и т. д. Последними обрабатываются объекты групповой политики, связанные с подразделением, содержащим компьютер или пользователя.

Таким образом, первыми обрабатываются локальные объекты групповой политики, а объекты групповой политики, связанные с подразделением, членами которого являются компьютер или пользователь, обрабатываются последними, перезаписывая объекты групповой политики, созданные ранее.

Следует учитывать, что для любого объекта групповой политики, связанного с сайтом, доменом или подразделением (но не с объектом локальной политики) можно установить параметр Не перекрывать, так что ни один из параметров политики не будет перезаписан. Если параметр Не перекрывать установлен более чем для одного объекта групповой политики, приоритет имеет объект, наивысший в иерархии Active Directory или наивысший в иерархии, заданной администратором на каждом определенном уровне в Active Directory.

Кроме того, может быть установлен параметр Блокировать наследование политики. Этот параметр устанавливается непосредственно для сайта, домена или подразделения, а не для объектов групповой политики. Однако если для вышестоящего в иерархии объекта установлен параметр Не перекрывать, он отменяет действие параметра Блокировать наследование.

При применении политики на нескольких уровнях (например, на уровнях сайта, домена и подразделения) может возникать конфликт результатов. Оснастка Результирующая политика (RSoP, Resultant Set of Policies) помогает установить конечный набор применяемых политик и определить приоритет политик, упрощая устранение неполадок.

Использование результирующей политики может понадобиться в следующих случаях:

□ необходимо изучить неверные или измененные параметры политики;

□ необходимо просмотреть, как группы безопасности влияют на параметры политики;

□ необходимо изучить, как локальная политика влияет на групповую политику.

Кроме того, иногда возникает необходимость опросить систему для разрешения проблем развертывания или поиска недостатков системы безопасности. Для этого необходимо указать учетные записи пользователя и компьютера, при работе с которыми имеются неполадки.

При выполнении запроса RSoP в отчете сообщается обо всех приложениях, доступных для установки, папках, которые будут перенаправлены, включая цель перенаправления, а также сведения о каждом параметре политики, который будет использован для пользователя или компьютера, и о влиянии группы безопасности на данную политику. Кроме того, отображаются существующие неполадки.

Для отображения параметров групповой политики и результирующей политики для пользователя или компьютера кроме оснастки RSoP существует также и средство командной строки – утилита Gpresult.exe. Программа Gpresult предоставляет следующие основные сведения об операционной системе, пользователе и компьютере:

□ Сведения об операционной системе:

• тип (Windows ХР Professional, Windows 2000 Profesisonlal, Windows 2000 Server или Windows Server 2003);

• номер сборки и сведения о пакетах обновлений;

• сведения об установленных службах терминалов и режиме их использования.

□ Сведения о пользователе:

• имя пользователя и расположение в службе каталогов Active Directory (если применяется);

• имя и тип домена;

• имя узла;

• сведения о профиле пользователя – локальный или перемещаемый, его расположение;

• членство в группах безопасности;

• привилегии безопасности.

□ Сведения о компьютере:

• имя компьютера и расположение в службе каталогов Active Directory (если применяется);

• имя и тип домена;

• имя узла;

• применяемая политика.

Утилита Gpresult также предоставляет следующие сведения о групповой политике:

□ время последнего применения политики и имя контроллера домена, применившего политику – для пользователя и для компьютера;

□ полный список примененных объектов групповой политики и сведения о них, включая сводку по содержимому каждого объекта;

□ используемые параметры реестра и сведения о них;

□ перенаправленные папки и сведения о них;

□ сведения об управлении программным обеспечением, включая сведения о назначенных и опубликованных приложениях;

□ сведения о дисковых квотах;

□ параметры безопасности IP (IPSec);

□ используемые сценарии.

Кроме всего прочего, групповая политика может использоваться для управления настройками безопасности Windows ХР Professional. Параметры безопасности настраиваются в разделе Конфигурация Windows, который имеется как в разделе Конфигурация компьютера, так и в разделе Конфигурация пользователя. Основная часть параметров безопасности настраивается для компьютера. Для пользователя возможно настраивать только политики открытого ключа.

Узел Параметры безопасности, находящийся в разделе Конфигурация компьютера, позволяет управлять следующими политиками безопасности:

□ Политика учетных записей. Содержит настройки, относящиеся к учетным записям пользователей, такие как политика паролей, политика блокировки учетных записей и политика протокола Kerberos.

□ Локальная политика. Содержит настройки политики аудита, назначенные права пользователей и параметры безопасности локального компьютера.

□ Журнал событий. Определяет параметры, управляющие ведением журналов регистрации событий: системного журнала, журнала приложений и журнала безопасности.

□ Политика открытого ключа. Содержит настройки политики для управления параметрами безопасности, имеющими отношение к шифрованию с открытым ключом, такими как доверенные центры сертификации и агенты восстановления данных.

□ Политики ограниченного использования программ. Содержит параметры, управляющие возможностью выполнения программного обеспечения на локальном компьютере.

□ Политики безопасности IP. Определяет настройки протокола безопасности IPSec.

□ Группы с ограниченным доступом. Разрешает администратору регулировать членство в группах с особыми требованиями к безопасности.

□ Системные службы. Содержит список установленных на компьютере служб и позволяет управлять их поведением.

□ Реестр. Позволяет администратору определять разрешения на доступ к разделам реестра и параметры аудита реестра.

□ Файловая система. Позволяет администратору устанавливать разрешения на доступ к объектам файловой системы и параметры аудита этих объектов.

Эти параметры позволяют установить требуемый уровень безопасности на системах Windows ХР Professional. Однако вместо установки каждого параметра вручную можно воспользоваться готовыми шаблонами безопасности.

Групповая политика в среде Active Directory предоставляет возможность автоматической установки и настройки программ пользователям домена. С помощью групповой политики можно централизованно управлять следующими функциями.

□ Установка приложений. Практически любые приложения могут быть установлены и настроены с помощью групповой политики. При большом количестве клиентских компьютеров процесс установки новых приложений становится намного проще.

□ Обновление и исправление приложений. При выходе обновлений или программ-заплаток для операционной системы или приложений администратор может централизованно устанавливать их на клиентские компьютеры.

□ Удаление приложений. Если программа больше не используется, она может быть удалена со всех пользовательских компьютеров. При этом не требуется производить какие-либо действия на клиентских компьютерах.

При установке приложения важным моментом является выбор, будет ли программа назначена (assign) пользователю, или же она будет опубликована (publish) в Active Directory.

Если программа назначается, ее значок появляется в главном меню или на рабочем столе пользователя. Когда пользователь первый раз запускает это приложение, оно автоматически устанавливается на его компьютер. Если пользователь потом удалит это приложение с помощью компонента Панели управления Установка и удаление программ, то при следующем входе в систему значок приложения появится снова, и при попытке запуска приложения с помощью этого ярлыка оно опять установится. Преимуществом такого подхода является то, что пользователь не сможет случайно удалить приложение – оно установится снова, без всякого вмешательства администратора.

Если приложение публикуется, оно появляется в списке программ компонента Установка и удаление программ, и пользователь должен выбрать его из списка, чтобы установить. Для опубликованных приложений значки в главном меню или на рабочем столе пользователя не появляются, а удаление такого приложения ничем не отличается от удаления обычных программ. Назначать приложения можно в том случае, если они могут быть полезны пользователю для работы, но не являются обязательными, и пользователь вправе сам решать, производить установку или нет.

В крупных компаниях задачами администрирования обычно занимаются разные сотрудники, находящиеся в разных помещениях, в различных городах и странах. При этом возникает необходимость предоставить право выполнения некоторых административных задач пользователям, не являющимся администраторами домена. Для этого существует возможность делегирования административных полномочий, необходимых для выполнения задач групповой политики. Делегировать независимо друг от друга можно три задачи групповой политики:

□ изменение объектов групповой политики;

□ создание объектов групповой политики;

□ связывание объектов групповой политики.

Возможность делегирования имеется только для нелокальных объектов групповой политики.

Примечание

Хотя вопросы делегирования полномочий, как и вопросы применения групповой политики в целом, относятся к администрированию серверных операционных систем, тем не менее, на экзамене по Windows ХР Professional встречаются такие задания, которые требуют знания принципов действия этих технологий. Например, см.вопрос 4 в конце этой главы.

7.2. Наблюдение за событиями системы

Событие (Event) в операционных системах Windows – это любое произошедшее действие, потенциально значимое для системы или пользователей, записываемое в журналы событий (Event Log). Для просмотра событий используется средство Просмотр событий (Event Viewer).

Рис. 7.2. Средство просмотра событий

Чтобы запустить средство просмотра событий (рис. 7.2), откройте Панель управления, затем Администрирование и, наконец, Просмотр событий. Кроме того, можно воспользоваться командой eventvwr.msc.

В журналах событий отображаются сведения о неполадках оборудования, приложений и системы, а также различные уведомления и предупреждения. Кроме того, имеется возможность просмотра событий безопасности Windows ХР Professional.

На компьютере под управлением Windows ХР Professional ведется запись событий в журналы трех видов:

□ Журнал приложений (Application Log) – содержит данные, относящиеся к работе приложений и программ. Записи этого журнала создаются самими приложениями. События, вносимые в журнал приложений, определяются разработчиками соответствующих приложений. Журнал приложений представлен файлом %systemroot%system32configAppEvent.Evt;

□ Журнал системы (System Log) – содержит записи о событиях, внесенные компонентами системы Windows ХР Professional. Например, в журнале системы регистрируются сбои при загрузке драйвера или других системных компонентов при запуске системы. В Windows ХР Professional жестко зафиксированы типы событий, заносимых в системный журнал. Журнал системы представлен файлом %systemroot%system32configSysEvent.Evt;

□ Журнал безопасности (Security Log) – содержит записи о таких событиях, как успешные и безуспешные попытки доступа в систему, а также о событиях, относящихся к использованию ресурсов, например о создании, открытии и удалении файлов и других объектов. Выбор событий, сведения о которых заносятся в журнал безопасности, делает администратор. Например, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности. Журнал безопасности хранится в файле %systemroot%system32configSecEvent.Evt.

По умолчанию все пользователи могут просматривать журналы приложений и системы. Журналы безопасности доступны только системному администратору.

Примечание

На компьютере под управлением операционной системы Windows серверного класса, настроенном как контроллер домена, ведется запись в два дополнительных журнала: журнал службы каталогов и журнал службы репликации файлов. Если компьютер работает как DNS-сервер, имеется также журнал DNS-сервера.

Записи ведутся службой Журнал событий. Эта служба обеспечивает поддержку сообщений журналов событий, выдаваемых Windows-программами и компонентами системы, и просмотр этих сообщений. Служба журналов событий запускается автоматически при запуске Windows ХР Professional и не может быть остановлена.

Примечание

Чтобы узнать, какие компоненты системы генерируют события, записывающиеся в журналы, посмотрите соответствующие ключи системного реестра, хранящиеся В разделе HKLMSystemCurrentControlSetServicesEventlog.

Журналы системы и приложений включают записи трех типов, описанные в табл. 7.1.

Таблица 7.1. Типы событий журналов системы и приложений

Типы событий, записываемые в журнал безопасности, отличаются от типов, приведенных в табл. 7.1. Да и само наблюдение за событиями безопасности происходит не так, как наблюдение за работой системы и приложений, и требует отдельного рассмотрения.

Отслеживание действий пользователей путем регистрации событий определенных типов в журнале безопасности называется аудитом. Каждая запись в журнале безопасности содержит сведения о выполненном действии, о пользователе, который его выполнил, а также о дате и времени события. Можно проводить аудит как успешных, так и неудачных попыток выполнения некоторых действий. При этом в журнал безопасности будут заноситься записи обо всех пользователях, которые пытались выполнить разрешенные или запрещенные для них действия.

По умолчанию аудит событий не ведется, и его необходимо включить в оснастке Групповая политика. Для этого следует выполнить команду Gpedit.msc (или открыть эту оснастку любым другим способом) и открыть последовательно в иерархическом списке консоли – Конфигурация компьютера, Конфигурация Windows, Параметры безопасности, Локальные политики, Политика аудита.

Политика аудита позволяет выбрать типы событий безопасности, подлежащих аудиту. При возникновении такого события в журнал безопасности компьютера будет добавлена соответствующая запись.

Windows ХР Professional позволяет настраивать аудит следующих событий безопасности.

□ Аудит входа в систему – определяет, подлежит ли аудиту каждая попытка пользователя войти в систему или выйти из нее на данном компьютере, или подключиться к нему через сеть.

□ Аудит доступа к объектам – определяет, подлежит ли аудиту событие доступа пользователя к объекту – например, к файлу, папке, разделу реестра, принтеру и т. п., – для которого задана собственная системная таблица управления доступом.

□ Аудит доступа к службе каталогов – определяет, подлежит ли аудиту событие доступа пользователя к объекту каталога Active Directory, для которого задана собственная системная таблица управления доступом.

□ Аудит изменения политики – определяет, подлежит ли аудиту каждый факт изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.

□ Аудит использования привилегий – определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом. По умолчанию, даже если для этой политики задан аудит успехов или отказов, аудиту не подлежат попытки использования следующих прав пользователей:

• обход перекрестной проверки;

• отладка программ;

• создание маркерного объекта;

• замена маркера уровня процесса;

• создание журналов безопасности;

• архивирование файлов и каталогов;

• восстановление файлов и каталогов.

□ Аудит отслеживания процессов – определяет, подлежат ли аудиту такие события, как активизация программы, завершение процесса, повторение дескрипторов и косвенный доступ к объекту.

□ Аудит системных событий – определяет, подлежат ли аудиту события перезагрузки или отключения компьютера, а также события, влияющие на системную безопасность или на журнал безопасности.

□ Аудит событий входа в систему – определяет, подлежит ли аудиту каждая попытка пользователя войти в систему или выйти из нее на другом компьютере при условии, что данный компьютер используется для проверки подлинности учетной записи. Если для этой политики на контроллере домена ведется учет успешных политик, попытки входа в систему на рабочих станциях не будут подлежать аудиту.

□ Аудит управления учетными записями – определяет, подлежат ли аудиту все события, связанные с управлением учетными записями на компьютере. К таким событиям относятся, в частности, следующие:

• создание, изменение или удаление учетной записи пользователя или группы;

• переименование, отключение или включение учетной записи пользователя;

• задание или изменение пароля.

Рис. 7.3. Включение аудита входа в систему

Аудит каждого типа событий безопасности включается отдельно. Для включения аудита следует открыть нужный тип события, например, аудит входа в систему (рис. 7.3), в оснастке Групповая политика и установить флажки Успех и/или Отказ, в зависимости от того, какого рода действия вы хотите отслеживать.

Включать аудит следует только для необходимых событий. Во-первых, это избавит систему от лишней нагрузки, а во-вторых, чем меньше записей в журнале безопасности, тем проще за ними следить.

Определяя, какие именно события должны подлежать аудиту, следует учитывать не только то, что вы можете следить за тем, кто и когда получал доступ к ресурсам, но и то, что аудит позволяет обнаруживать имеющиеся и потенциальные слабости в системе безопасности.

Например, частые неудачные попытки войти в систему могут указывать на то, что кто-то пытается подобрать чужой пароль, а частый отказ в доступе к файлам или папкам – на то, что неправильно настроены разрешения на доступ к файлам.

Для того чтобы отслеживать доступ к объектам, недостаточно просто включить политику аудита, нужно еще и установить параметры аудита для определенного объекта.

Рис. 7.4. Настройка аудита объекта

Для каждого файла или папки, которые подлежат аудиту, необходимо выполнить следующие действия:

1. Открыть окно свойств нужного файла или папки.

2. На вкладке Безопасность нажать кнопку Дополнительно.

3. На вкладке Аудит (рис. 7.4) нажать кнопку Добавить и выбрать пользователя или группу, для которых должны отслеживаться попытки доступа к выбранному объекту.

4. Для каждого разрешения на доступ (рис. 7.5) установить отслеживание успешных и/или неуспешных попыток.

Рис. 7.5. Выбор действий для аудита

Примечание

Включение аудита файлов и папок возможно только для тома, использующего файловую систему NTFS.

В дополнение к графическому средству просмотра событий можно использовать программы командной строки для создания и выполнения запросов в журналах событий и связи программ с занесенными в журнал событиями. Для управления журналами событий из командной строки служат следующие программы.

□ Eventcreate.exe – позволяет создать особое событие в указанном журнале событий.

□ Eventquery.vbs – выводит список событий и их свойств из одного или нескольких журналов событий.

□ Eventtriggers.exe – позволяет управлять выводом и настройкой триггеров событий на локальном или удаленном компьютере. Может принимать следующие параметры:

• Eventtriggers /create – создание нового триггера событий, который отслеживает выполнение определенных условий в журнале событий и действует в соответствии с ними.

• Eventtriggers /delete – удаление триггера событий из системы.

• Eventtriggers /query – запрос и отображение свойств и параметров триггера событий системы.

Выполненная без ключей команда Eventtriggers возвращается список триггеров событий.