Работая с групповыми политиками, следует учитывать, что:
- объекты GPO применяются в отношении контейнеров, а не замыкающих объектов;
- один контейнер может быть связан с несколькими объектами GPO;
- объекты GPO, связанные с одним и тем же контейнером, применяются в отношении этого контейнера в том порядке, в котором они были назначены;
- объект GPO включает в себя две составляющие: параметры, относящиеся к компьютеру, и параметры, относящиеся к пользователю;
- обработку любой из этих составляющих можно отключить;
- наследование объектов GPO можно блокировать;
- наследование объектов GPO можно форсировать;
- применение объектов GPO можно фильтровать при помощи списков ACL. (ACL — список контроля доступа, который определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.)
Разграничение прав пользователей в ОС Windows
o Ограничение их прав на использование функций отдельных компонент системы (оснастка Редактор объектов групповой политики, gpedit.msc).
|
|
o Назначение им прав на использование возможностей системы в целом, напрямую связанных с безопасностью (оснастка Локальная политика безопасности, secpol.msc).
Ограничение прав на уровне отдельного пользователя
o запрет использования средств редактирования реестра;
o запрет использования Панели управления или ее отдельных функций;
o удаление команд «Выполнить» и «Поиск» из меню Пуск;
o запрет на выполнение программ в сеансе командной строки;
o запрет блокирования компьютера и завершения работы с операционной системой (в том числе ее перезагрузки);
o возможность запуска только разрешенных приложений из отдельного списка;
o запрет на отображение структуры локальной сети;
o скрытие дисков в папке «Мой компьютер» и в окне Проводника;
o удаление меню «Файл» из Проводника и др.
Окно редактора объекта групповой политики
Редактирование значения параметра безопасности
Ограничение прав на уровне компьютера
o установка дополнительных программ или документов, которые Windows будет автоматически запускать или открывать при входе пользователя в систему;
o задание обязательного применения дисковых квот и запрещение пользователям изменять этот параметр;
o возможность Windows использовать доступ к Интернету для выполнения задач, требующих обращения к ресурсам Интернета и др.
Информация об ограничении прав
Для локальных учетных записей − в локальных профилях пользователей (разделах реестра HKEY_CURRENT_USER \ Software \ Policies (HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies) и HKEY_LOCAL_MACHINE \ Software \ Policies (HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies)). Поэтому обязательным является запрет на использование средств редактирования реестра и оснастки для редактирования объектов групповой политики непривилегированными пользователями.
|
|
Для глобальных учетных записей – в перемещаемых профилях пользователей в Active Directory. В этом случае после входа пользователя КС в домен с любого компьютера информация об установленных для него ограничениях из перемещаемого профиля на сервере заместит соответствующие разделы реестра на использованной для входа в систему рабочей станции.
Назначаемые права пользователям и группам
o Архивирование и восстановление файлов и папок.
o Изменение системного времени.
o Доступ к компьютеру из сети.
o Овладение файлами или иными объектами.
o Управление аудитом и журналом безопасности.
o Отладка программ и др.
Окно оснастки «Локальная политика безопасности»
Редактирование значения параметра безопасности
Назначение прав пользователям и группам
Эти права представляют собой права субъектов на выполнение действий, относящихся к системе в целом, а не к отдельным ее объектам. Каждому праву соответствует уникальный локальный идентификатор LUID (locally unique identifier), определяемый символической константой (например, SE_SYSTEMTIME_NAME). Для отображения пользователю содержания конкретного права с ним также связывается текстовая строка (например, «Изменение системного времени» или «Change the system time»). Внутреннее представление информации о праве зависит от конкретной реализации и не документировано.
Информация о назначенных правах пользователям и группам
Информация о правах, назначенных пользователям и группам, содержится в их учетных записях в файле SAM.
Общий недостаток механизма разграничения прав пользователей
Отсутствие возможности разграничения доступа пользователей к ресурсам компьютерной системы (отдельным файлам, папкам, разделам реестра, устройствам), т.е. определения правил на применение субъектами различных видов доступа (чтение, запись, выполнение, печать и т.д.) к объектам.