Применение групповых политик

Работая с групповыми политиками, следует учитывать, что:

• объекты GPO применяются в отношении контейнеров, а не замыкающих объектов;
• один контейнер может быть связан с несколькими объектами GPO;
• объекты GPO, связанные с одним и тем же контейнером, применяются в отношении этого контейнера в том порядке, в котором они были назначены;
• объект GPO включает в себя две составляющие: параметры, относящиеся к компьютеру, и параметры, относящиеся к пользователю;
• обработку любой из этих составляющих можно отключить;
• наследование объектов GPO можно блокировать;
• наследование объектов GPO можно форсировать;
• применение объектов GPO можно фильтровать при помощи списков ACL. (ACL — список контроля доступа, который определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.)

Разграничение прав пользователей в ОС Windows

o Ограничение их прав на использование функций отдельных компонент системы (оснастка Редактор объектов групповой политики, gpedit.msc).

o Назначение им прав на использование возможностей системы в целом, напрямую связанных с безопасностью (оснастка Локальная политика безопасности, secpol.msc).

Ограничение прав на уровне отдельного пользователя

o запрет использования средств редактирования реестра;

o запрет использования Панели управления или ее отдельных функций;

o удаление команд «Выполнить» и «Поиск» из меню Пуск;

o запрет на выполнение программ в сеансе командной строки;

o запрет блокирования компьютера и завершения работы с операционной системой (в том числе ее перезагрузки);

o возможность запуска только разрешенных приложений из отдельного списка;

o запрет на отображение структуры локальной сети;

o скрытие дисков в папке «Мой компьютер» и в окне Проводника;

o удаление меню «Файл» из Проводника и др.

Окно редактора объекта групповой политики

Редактирование значения параметра безопасности

Ограничение прав на уровне компьютера

o установка дополнительных программ или документов, которые Windows будет автоматически запускать или открывать при входе пользователя в систему;

o задание обязательного применения дисковых квот и запрещение пользователям изменять этот параметр;

o возможность Windows использовать доступ к Интернету для выполнения задач, требующих обращения к ресурсам Интернета и др.

Информация об ограничении прав

Для локальных учетных записей − в локальных профилях пользователей (разделах реестра HKEY_CURRENT_USER \ Software \ Policies (HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies) и HKEY_LOCAL_MACHINE \ Software \ Policies (HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies)). Поэтому обязательным является запрет на использование средств редактирования реестра и оснастки для редактирования объектов групповой политики непривилегированными пользователями.

Для глобальных учетных записей – в перемещаемых профилях пользователей в Active Directory. В этом случае после входа пользователя КС в домен с любого компьютера информация об установленных для него ограничениях из перемещаемого профиля на сервере заместит соответствующие разделы реестра на использованной для входа в систему рабочей станции.

Назначаемые права пользователям и группам

o Архивирование и восстановление файлов и папок.

o Изменение системного времени.

o Доступ к компьютеру из сети.

o Овладение файлами или иными объектами.

o Управление аудитом и журналом безопасности.

o Отладка программ и др.

Окно оснастки «Локальная политика безопасности»

Редактирование значения параметра безопасности

Назначение прав пользователям и группам

Эти права представляют собой права субъектов на выполнение действий, относящихся к системе в целом, а не к отдельным ее объектам. Каждому праву соответствует уникальный локальный идентификатор LUID (locally unique identifier), определяемый символической константой (например, SE_SYSTEMTIME_NAME). Для отображения пользователю содержания конкретного права с ним также связывается текстовая строка (например, «Изменение системного времени» или «Change the system time»). Внутреннее представление информации о праве зависит от конкретной реализации и не документировано.

Информация о назначенных правах пользователям и группам

Информация о правах, назначенных пользователям и группам, содержится в их учетных записях в файле SAM.

Общий недостаток механизма разграничения прав пользователей

Отсутствие возможности разграничения доступа пользователей к ресурсам компьютерной системы (отдельным файлам, папкам, разделам реестра, устройствам), т.е. определения правил на применение субъектами различных видов доступа (чтение, запись, выполнение, печать и т.д.) к объектам.