Администрирование параметров политики безопасности
Применимо к:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
В этом разделе для ИТ-специалистов обсуждаются различные методы для администрирования параметров политики безопасности на локальном компьютере или в ходе малых и средних ИТ-организации с помощьюWindows Server 2012иWindows 8.
Введение
Параметры политики безопасности следует использовать как часть общей реализации безопасности помогут защитить контроллеры доменов, серверы, клиентские компьютеры и другие ресурсы в вашей организации.
Параметры политики безопасности — это правила, которые можно настроить на компьютере или нескольких компьютерах, с целью защиты ресурсов на компьютере или в сети. Параметры безопасности расширение оснастки редактора локальных групповых политик (Gpedit.msc) позволяет задавать конфигурации безопасности в рамках из объекта групповой политики (GPO). Связанные объекты групповой политики с контейнерами Active Directory, таких как сайты, домены и подразделения, и они позволяют администраторам управлять параметрами безопасности для нескольких компьютеров с любого компьютера, присоединенного к домену.
Параметры безопасности позволяют управлять:
проверкой подлинности пользователя в сети или на компьютере;
кругом ресурсов, к которым разрешен доступ пользователю;
регистрацией действий пользователя или группы в журнале событий;
членством в группе.
Сведения о каждом параметре, включая описания, параметры по умолчанию и управления и вопросах безопасности см. в разделеСправочник по параметрам политики безопасностив центре загрузки Майкрософт.
Сведения о работе оснастки применяются параметры безопасности в разделеТехнический обзор параметров политики безопасности.
Для управления конфигурациями безопасности для нескольких компьютеров, можно использовать один из следующих параметров:
Изменение параметров безопасности в объекте групповой Политики.
Использовать оснастку «Шаблоны безопасности» для создания шаблона безопасности, который содержит политики безопасности, которые необходимо применить и затем импортировать шаблон безопасности в объект групповой политики. Шаблон безопасности является файл, который представляет конфигурацию безопасности, его можно импортировать в объект групповой Политики или применить к локальному компьютеру и может использоваться для анализа безопасности.
Что изменилось в администрируются как параметры?
Со временем новые способы управления параметрами политики безопасности были введены, которые включают новые возможности операционной системы и добавление новых параметров. В следующей таблице перечислены различные средства по безопасности может управляться параметры политики.
Средство или функция |
Описание и использование |
|---|---|
Используя оснастку «Локальная политика безопасности» |
Secpol.msc Оснастку консоли MMC, предназначенных для управления только параметры политики безопасности. |
С помощью средства командной строки Secedit |
Secedit.exe Настраивает и анализирует безопасность системы, сравнивая текущую конфигурацию для шаблонов безопасности. |
С помощью Security Compliance Manager |
Средство загрузки Решение, которое помогает планирования, развертывания, работают и управлять базовые значения безопасности для клиентов Windows и серверных операционных систем и приложений Майкрософт. |
С помощью мастера настройки безопасности |
SCW.exe Мастер настройки безопасности — это средство на основе ролей доступны только на серверах: Его можно использовать для создания политики, которая включает службы, правила брандмауэра и параметры, необходимые для выбранного сервера для выполнения конкретных ролей. |
Работа с диспетчером конфигураций безопасности |
Этот набор средств позволяет создавать, применять и изменять политику безопасности для локального компьютера, подразделения или домена. |
Работа с помощью групповой политики |
GPMC.msc и Gpedit.msc Консоль управления групповыми политиками используется редактор объекта групповой политики для предоставления локальные параметры безопасности, которые можно включить в объектах групповой политики для распространения по всему домену. Редактор локальных групповых политик выполняет схожие функции на локальном компьютере. |
Политики ограниченного использования программ В разделеАдминистрирование политики ограниченного использования программв библиотеке TechNet. |
Gpedit.msc Политики ограниченного использования программ программ (SRP) это средство на основе групповой политики, которое идентифицирует программы, работающие на компьютерах в домене, и он управляет возможностью запуска этих программ. |
AppLocker В разделеАдминистрирование AppLockerв библиотеке TechNet. |
Gpedit.msc Запрещает вредоносных программ и неподдерживаемых приложений влияли на компьютерах в вашей среде, и он не позволяет пользователям в организации от установки и использования неразрешенных приложений. |
Используя оснастку «Локальная политика безопасности»
Оснастки локальной политики безопасности (Secpol.msc) ограничивает представление объектов локальной политики для следующих политик и компоненты:
политики учетных записей;
локальные политики;
Брандмауэр Windows в режиме повышенной безопасности
политики диспетчера списка сетей;
Политики открытого ключа
Политики ограниченного использования программ
политики управления приложениями;
Политики IP-безопасности на локальном компьютере
конфигурацию расширенной политики аудита.
Если компьютер присоединен к домену, могут быть перезаписаны политик, установленных локально.
Оснастку «Локальная политика безопасности» является частью набора средств безопасности Configuration Manager. Сведения о других средствах в этом наборе инструментов см. в разделеРабота с диспетчером конфигураций безопасностив этом разделе.
С помощью средства командной строки Secedit
Средство командной строки Secedit работает с помощью шаблонов безопасности и предоставляет шесть основных функции:
ConfigureПараметра помогает устранить несоответствия безопасности между серверами, применение шаблона безопасности к серверу умыслу.
AnalyzeСравнивает параметра конфигурации безопасности сервера с выбранным шаблоном.
ImportПозволяет создать базу данных из существующего шаблона. Средство анализа и настройки безопасности также делает это.
ExportПозволяет экспортировать параметры из базы данных в шаблон параметров безопасности.
ValidateПозволяет проверить синтаксис каждого или все строки текста, созданного или добавить к шаблону безопасности. Это гарантирует, что если шаблон не удается применить синтаксис, шаблон не будет проблему.
Generate RollbackПараметр сохраняет текущие параметры безопасности сервера в шаблон безопасности, поэтому он может использоваться для восстановления большинство параметров безопасности сервера в известное состояние. Исключениями являются, применения шаблона отката не приведет к изменению списка управления доступом к файлам или при записи реестра, которые были недавно изменены с наиболее применении шаблона.
Дополнительные сведения о средстве Secedit.exe см. в разделеSecedit [LH].
С помощью Security Compliance Manager
Security Compliance Manager является загружаемое средство, помогающее планирования, развертывания, работают и управлять базовые значения безопасности Windows клиентских и серверных операционных систем и приложений Майкрософт. Он содержит рекомендуемые параметры безопасности, методы, чтобы изменить базовые значения и возможность реализации этих параметров в нескольких форматах всей базы данных, включая XLS, объекты групповой политики, пакеты управления требуемой конфигурации (DCM) или протокола содержимого автоматизации безопасности (SCAP). Security Compliance Manager используется для экспорта шаблонов в среде, чтобы автоматизировать процесс проверки развертывания и соответствие базовые безопасности.
Для администрирования политики безопасности с помощью Security Compliance Manager
Загрузите последнюю версиюSecurity Compliance Managerв центре загрузки Майкрософт.
Прочтите документацию соответствующие базовые, включенный в этот инструмент.
Загрузите и импортируйте соответствующие базовые линии. Процесс установки пошаговую процедуру выбора базовых показателей.
Открыть справку и следуйте инструкциям, Настройка, сравнения и слияния базовые значения безопасности перед развертыванием этих базовых планов.
С помощью мастера настройки безопасности
Мастер настройки безопасности (SCW) служит для пошагового создания, изменения, применения или отката политики безопасности. Политика безопасности, созданный с помощью этого мастера представляет собой XML-файл, который, при применении настраивает службы, сетевой безопасности, определенных параметров реестра и аудита политики. Мастер настройки безопасности — это средство на основе ролей: Его можно использовать для создания политики, которая включает службы, правила брандмауэра и параметры, необходимые для выбранного сервера для выполнения конкретных ролей. Например сервер может быть файлового сервера, сервера печати или контроллера домена.
Дополнительная информация по использованию мастера настройки безопасности указана ниже.
SCW отключает ненужные службы и предоставляет поддержку повышенной безопасности брандмауэра Windows.
Политики безопасности, создаваемые с помощью этого мастера, отличаются от шаблонов безопасности, которые представляют собой файлы с расширением INF. Шаблоны безопасности содержат больше параметров безопасности, чем можно настроить с помощью мастера настройки безопасности. Однако шаблон безопасности можно добавить в файл политики безопасности мастера.
Можно выполнить развертывание политики безопасности, создаваемые с помощью мастера настройки безопасности с помощью групповой политики.
Мастер настройки безопасности нельзя установить или удалить компоненты, необходимые серверу для выполнения ролей. Можно установить компоненты, связанные с ролью через диспетчер сервера.
Мастер настройки безопасности определяет зависимости ролей. При выборе роли все зависимые роли выбираются автоматически.
Все приложения, которые используют протокол IP и порты должна быть запущена на сервере при запуске мастера настройки безопасности.
В некоторых случаях необходимо подключение к Интернету для использования ссылок в справке мастера настройки безопасности.
Примечание
Мастер настройки доступны только в Windows Server и применимо только к установке сервера.
Мастер настройки может осуществляться через диспетчер сервера или запустив Scw.exe. Мастер позволяет через сервер конфигурации безопасности для:
Создайте политику безопасности, который может применяться к любому серверу в сети.
Измените существующую политику безопасности.
Примените существующую политику безопасности.
Откат последней примененной политики безопасности.
Мастер политики безопасности используется для настройки служб и сетевой безопасности на основе роли сервера, а также настраивает аудит и параметры реестра.
Дополнительные сведения о мастере настройки безопасности, включая процедуры, в разделеМастер настройки безопасности.
Работа с диспетчером конфигураций безопасности
Набор средств безопасности Configuration Manager позволяет создавать, применять и изменять политику безопасности для локального компьютера, подразделения или домена.
Процедуры по использованию диспетчера настройки безопасности см. в разделебезопасности Configuration Manager.
В следующей таблице перечислены функции безопасности Configuration Manager.
Средства диспетчера настройки безопасности |
Описание |
|---|---|
Анализ и настройка безопасности |
Определение политики безопасности в шаблоне. Эти шаблоны могут применяться к групповой политике или на локальном компьютере. |
Шаблоны безопасности |
Определение политики безопасности в шаблоне. Эти шаблоны могут применяться к групповой политике или на локальном компьютере. |
Расширение Параметры безопасности для групповой политики |
Используется для изменения отдельных параметров безопасности домена, сайта или подразделения. |
Локальная политика безопасности |
Изменение отдельных параметров безопасности на локальном компьютере. |
Автоматизация задач настройки безопасности из командной строки. |
Анализ и настройка безопасности
Анализ и настройка безопасности является оснастки MMC для анализа и настройки безопасности локальной системы.
Анализ безопасности
Состояния операционной системы и приложений на компьютере является динамическим. Например может потребоваться временно изменить уровни безопасности, чтобы сразу можно разрешить администрирования или проблемы с сетью. Однако эти изменения часто забывают. Это означает, что компьютер больше не соответствует требованиям безопасности предприятия.
Обычный анализ позволяет администратору отслеживать и поддерживать определенный уровень безопасности на каждом компьютере в рамках программы управления рисками предприятия. Администратор может настроить уровень безопасности и, что более важно, обнаружить все уязвимости, которые могут возникнуть в системе со временем.
Анализ и настройка безопасности позволяет быстро просмотреть результаты анализа безопасности. Она представляет рекомендации вместе с текущими параметрами системы и использует значки и отметки для выделения областей, в которых текущие параметры не совпадают с предложенным уровнем безопасности. Анализ и настройка безопасности также предоставляет возможность устранения несоответствий, анализе.
Конфигурация безопасности
Анализ и настройка безопасности может также использоваться для непосредственной настройки локальной системы. Используются личные базы данных можно импортировать шаблоны безопасности, которые были созданы с помощью шаблонов безопасности и применять эти шаблоны к локальному компьютеру. Это немедленно настраивает безопасность системы с уровнями, заданными в шаблоне.
Шаблоны безопасности
С помощью шаблонов безопасности оснастки консоли управления MMC можно создать политику безопасности для компьютера или сети. Это единую точку входа, в которой полная безопасность системы могут приниматься во внимание. Оснастку «Шаблоны безопасности» не предоставляет новых параметров безопасности, а упорядочивает все существующие атрибуты безопасности в одном месте для упрощения администрирования.
При импорте шаблона безопасности для объекта групповой политики облегчается администрирование домена путем настройки безопасности для домена или подразделения за один раз.
Чтобы применить шаблон безопасности на локальном компьютере, можно использовать анализ и настройка безопасности или программу командной строки Secedit.
Шаблоны безопасности можно использовать для определения:
политики учетных записей;
Политика паролей
Политика блокировки учетных записей
Политика Kerberos
локальные политики;
Политика аудита
Назначение прав пользователя
Параметры безопасности
Журнал событий: Параметры журнала событий приложений, системы и безопасности
Группы с ограниченным доступом: Членство в группах конфиденциальные
Службы системы: Параметры запуска и разрешения для системных служб
Реестр: Разрешения для разделов реестра
Файловая система: Разрешения для папок и файлов
Каждый шаблон сохраняется как текстовый INF-файла. Это позволяет копировать, вставлять, импортировать или экспортировать некоторые или все атрибуты шаблона. За исключением IP-безопасности и политики открытого ключа все атрибуты безопасности могут содержаться в шаблоне безопасности.
Расширение Параметры безопасности для групповой политики
Организационные подразделения, домены и сайты связанные объекты групповой политики. Средство настройки безопасности позволяет изменить конфигурацию безопасности для объекта групповой политики, в свою очередь, повлияет на несколько компьютеров. С помощью параметров безопасности можно изменить параметры безопасности нескольких компьютеров, в зависимости от объекта групповой политики, можно изменить, с компьютера, присоединенного к домену.
Параметры безопасности или политики безопасности — это правила, настроенные на одного или нескольких компьютеров для защиты ресурсов на компьютере или в сети. Параметры безопасности позволяют управлять:
Способ проверки подлинности пользователей в сети или на компьютере.
Ресурсы, которые пользователи могут использовать.
Ли действия пользователя или группы, записываются в журнал событий.
Членство в группе.
Можно изменить конфигурацию безопасности на нескольких компьютерах, двумя способами:
Создать политику безопасности с помощью шаблонов безопасности с помощью шаблонов безопасности и затем импортировать шаблон через параметры безопасности для объекта групповой политики.
Измените несколько выделенных параметров с параметрами безопасности.
Локальная политика безопасности
Политика безопасности представляет собой сочетание параметров безопасности, которые влияют на безопасность компьютера. Локальная политика безопасности можно использовать для изменения политики учетных записей и локальные политики на локальном компьютере.
С помощью локальной политики безопасности можно управлять:
Кто имеет доступ к компьютеру.
Ресурсы, которые пользователи могут использовать на вашем компьютере.
Ли действия пользователя или группы, записываются в журнал событий.
Если локальный компьютер присоединен к домену, не может получить политику безопасности из политики домена или подразделения, которая является членом политикой. Если вы получаете политики из нескольких источников, конфликты разрешаются в следующем порядке приоритета.
Политика подразделения
Политика домена
Политики сайтов.
Политика локального компьютера
Если изменить параметры безопасности на локальном компьютере с помощью локальной политики безопасности, то изменения вносятся непосредственно параметры на компьютере. Таким образом параметры вступают в силу немедленно, но могут иметь временный. Параметры фактически будет работать на локальном компьютере до следующего обновления параметров групповой политики безопасности, когда параметры безопасности, которые поступают от групповой политики переопределяют локальные параметры везде, где отсутствуют конфликты.
С помощью диспетчера настройки безопасности
Процедуры по использованию диспетчера настройки безопасности см. в разделебезопасности Configuration Manager как для. В этом разделе содержатся следующие сведения в этом разделе:
Применение параметров безопасности
Импорт и экспорт шаблонов безопасности
Анализ безопасности и просмотр результатов
Устранение несоответствий системы безопасности
Автоматизация задач настройки безопасности
Применение параметров безопасности
При изменении параметров безопасности, параметры обновляются на компьютерах в подразделении, связанных с вашей объекта групповой политики:
После перезапуска компьютера параметры на этом компьютере будет обновлен.
Принудительно обновить его параметры безопасности, а также все параметры групповой политики компьютера, в разделеGpupdate [LH]средство командной строки.
Приоритет политики, когда для компьютера применено несколько политик
Для параметров безопасности, которые определены несколько политик используется следующий порядок приоритета:
Политика подразделения
Политика домена
Политики сайтов.
Политика локального компьютера
Например с рабочей станции, присоединенных к домену будет переопределен в политике домена везде, где возникает конфликт параметры безопасности. Аналогичным образом Если эта же рабочая станция является членом подразделения, домена и локальные параметры переопределяют параметры политики организационное подразделение. Если рабочая станция входит в несколько подразделений, подразделение, непосредственно содержащий рабочей станции имеет наивысший порядок очередности.
Примечание
ИспользуйтеGpresult [LH]средство командной строки, чтобы узнать, какие политики применены к компьютеру и в каком порядке.
Для учетных записей домена может быть только одна политика, включающий политики паролей, политики блокировки учетных записей и политики Kerberos.
Сохранение параметров безопасности
Параметры безопасности могут продолжать действовать, даже если параметр больше не определены в политике, первоначально применены.
Сохранение параметров безопасности происходит при:
Параметр не был ранее определен для компьютера.
Параметр определен для объекта реестра.
Параметр предназначен для объекта файловой системы.
Все параметры, примененные с помощью локальной политики или объекта групповой политики хранятся в локальной базе данных на компьютере. При изменении параметров безопасности компьютера сохраняет значение параметра безопасности в локальную базу данных, где хранится история всех параметров, примененных к компьютеру. Если политика сначала определяет параметр безопасности и больше не определяет эту настройку, параметр принимает предыдущее значение в базе данных. Если предыдущее значение не существует в базе данных, параметр не вернется к любым и сохраняет текущее значение. Такое поведение иногда называют «является».
Параметры реестра и файлов будет поддерживать значения, примененные с помощью политики до этого параметра установлено значение другие значения.
Фильтрация параметров безопасности на основании членства в группах
Можно также решить, какие пользователи и группы будет или не будет применяться независимо от того, какой компьютер они войти, запретив их применение групповой политики или чтения разрешения на этот объект групповой политики объекта групповой политики. Оба эти разрешения необходимы для применения групповой политики.
Импорт и экспорт шаблонов безопасности
Анализ и настройка безопасности позволяет импортировать и экспортировать шаблоны безопасности в или из базы данных.
Если были внесены изменения в базу данных анализа, можно сохранить эти параметры путем их экспорта в шаблон. Функция экспорта предоставляет возможность сохранения анализа настройки базы данных как новый файл шаблона. Этот файл шаблона может затем использоваться для анализа или настройки системы или импортирован в объект групповой политики.
Анализ безопасности и просмотр результатов
Анализ и настройка безопасности безопасности выполняется путем сравнения текущего состояния системы безопасности в отношениибазы данных служб analysis. Во время создания базы данных анализа используется хотя бы один шаблон безопасности. Если вы решили импортировать несколько шаблонов безопасности, базы данных слияние шаблонов и создание одного сборного шаблона. Он разрешает конфликты в порядке импорта; приоритет имеет последний шаблон импортируется.
Анализ и настройка безопасности отображает результаты анализа по областям безопасности с помощью visual флаги для указания проблем. Он отображает текущие параметры системы и базовым конфигурации для каждого атрибута безопасности областей безопасности. Чтобы изменить параметры базы данных анализа, щелкните правой кнопкой мыши запись, затем щелкнитеСвойства.
Флаг Visual |
Значение |
|---|---|
Красный значок X |
Элемент определен в базе данных анализа и в системе, но значения параметров безопасности не совпадают. |
Зеленый флажок |
Элемент определен в базе данных анализа и в системе и соответствуют значения параметров. |
Вопросительный знак |
Операция не определена в базе данных анализа и, таким образом, не было проверено. Если запись не анализируется, возможно, он не был определен в базе данных анализа или, пользователь, выполняющий анализ может не имеет достаточных разрешений на анализ данного объекта или области. |
Восклицательный знак |
Этот элемент определен в базе данных анализа, но не существует в текущей конфигурации системы. Например может быть группа с ограниченным доступом, определенные в базе данных анализа, но не существует в анализируемой системе. |
Не выделено |
Элемент не определен в базе данных анализа или в системе. |
Если вы решили принять текущие параметры, соответствующие значения в основной конфигурации изменяется в соответствии с их. При изменении параметров в соответствии с базовой конфигурацией системы, изменения будут отражены при настройке системы анализа и настройки безопасности.
Во избежание дальнейшее выделение настроек, обнаружения и определены как разумного можно изменить базовую конфигурацию. Изменения вносятся в копию шаблона.
Устранение несоответствий системы безопасности
Можно устранить несоответствия между анализа базы данных и системных настроек по:
Принятие или изменение некоторых или всех отмеченных или не включенных в конфигурацию, значения, если выясняется, что уровни безопасности локальной системы допустимы контекста (или роль) этого компьютера. Затем значения этих атрибутов обновляются в базе данных и применяются к системе при нажатии кнопкинастроить компьютер теперь.
Настройка системы для значений базы данных анализа, если установлено, что система не соответствует допустимым уровням безопасности.
При импорте более подходящее для роли этого компьютера в базу данных как новой основной конфигурации и применение его к системе.
Базу данных анализа изменений в шаблон, хранящийся в базе данных, а не в файл шаблона безопасности. Файл шаблона безопасности будет изменен только в том случае, если вернуться в шаблонах безопасности и изменение этого шаблона или экспорте сохраненной конфигурации в тот же файл шаблона.
Следует использоватьнастроить компьютер теперьтолько для изменения областей безопасностиневлияют параметры групповой политики, такими как безопасность локальных файлов и папок, разделов реестра и системных служб. В противном случае, когда применяются параметры групповой политики, он получает приоритет над локальные параметры, такие как политики учетных записей. В общем случае не используйтенастроить компьютер теперьпри анализе безопасности для клиентов на основе домена, поскольку необходимо отдельно настраивать каждого клиента. В этом случае следует вернуться к шаблоны безопасности, изменить шаблон и повторно применить его к соответствующему объекту групповой политики.
Автоматизация задач настройки безопасности
Вызов Secedit.exe средство командной строки из пакетного файла или автоматического планировщика, можно использовать для автоматического создания и применения шаблонов и анализ безопасности системы. Можно также можно запускать вручную из командной строки.
Secedit.exe полезно при наличии нескольких компьютеров, на которых безопасности необходимо проанализировать или настроен, и необходимо выполнить эти задачи в нерабочее время.
Работа с помощью групповой политики
Групповая политика — это инфраструктура, которая позволяет задавать управляемые конфигурации для пользователей и компьютеров с помощью параметров и предпочтений групповой политики. Для управления параметрами групповой политики, которые влияют только на локальные компьютеры и локальных пользователей, используйте редактор локальных групповых политик. Параметрами и предпочтениями групповой политики в среде доменных служб Active Directory (AD DS) можно управлять с помощью консоли управления групповыми политиками. С помощью средств управления групповыми политиками, которые входят в пакет средств удаленного администрирования сервера, вы можете управлять параметрами групповой политики с рабочего стола.
Чтобы приступить к работе с Управление параметрами безопасности с помощью групповой политики, см. разделОбзор групповых политик.
Чтобы начать использование консоли управления групповыми политиками, см. в справке дляконсоли управления групповыми политикамив библиотеке TechNet.
Чтобы начать использование редактор локальных групповых политик, см. в справке дляредактор локальных групповых политик.