Администраторы для контроля использования программ операционной системы и сетевых ресурсов пользователями и компьютерами применяют групповую политику. Групповая политика обычно задается целиком для сети и домена реализуется в Active Directory, где можно также задать политику для сайта или организационной единицы. На локальном компьютере оснаска Групповая политики, называется «Политика локальный компьютер». Параметры безопасности включают политики учетных записей и локальные политики.
Локальные политики:
1. Аудит
2. Назначение прав пользователя
3. Параметры безопасности ПК
Настройка политики учетных записей.
В рамках этой политики рассматривается блокировка учетных записей системы, безопасность пользовательских паролей, улучшение защиты персонального компьютера, удлинение максимального периода действия пароля и другие параметры паролей связанные с чередованием и историей. Для запуска политики учетных записей, сначала нужно раскрыть политику локальный компьютер в разделе администрирования, затем выбрать конфигурацию компьютера, затем конфигурацию Windows. Для настройки параметров из меню действия запускается команда свойства. Параметры:
1. Требовать неповторяймостей паролей (0-24). Число определяет по истечении какого количества паролей пользователь использовать старый пароль.
2. Максимальный срок действия пароля (0-999), по умолчанию 42 дня
3. Минимальный срок действия пароля (0-999) который должен пройти установки пароля, прежде чем пользователю чем пользователю будет разрешено сменить пароль. Значение 0 позволяет менять пароль немедленно. При хранении истории паролей, этот параметр не может быть равен 0. Параметр этот надо обязательно устанавливать, чтобы пользователь не смог немедленно изменить свой новый пароль на старый.
4. Минимальная длина пароля
5. Пароль должен отвечать требованиям сложности (вкл\выкл)
6. Хранение всех пользователей в домене, использование обратное шифрование.
Тщательное планирование и настройка
Права назначаются группе или отдельным пользователям и определяют доступные способы регистрации в системе. Права которые можно назначать:
1. Доступ к компьютеру или сети. Разрешает подключаться к компьютеру через сеть. Назначается для групп Администраторы, Опытные пользователи и для группы Все. Отдельно определяется право на отказ в доступе к компьютеру через сеть и по умолчанию никому не назначается.
2. Запрет на доступ к компьютеру или сети.
3. Право на вход в качестве пакетного задания. Разрешает пользователю входить в сеть с помощью пакетных средств. На всех компьютерах по умолчанию это право определена для группы Администраторы.
4. Право на отказ во входе в качестве пакетного задания. По умолчанию никому не назначается.
5. Вход в систему в качестве службы. Этим правом могут воспользоваться и службы и компьютеры и пользователи. Могут зарегистрироваться в системе в качестве службы. Для запуска служб настроены учетные записи Local System, Local Service & Network Service. Эти учетные записи имеют право на вход в качестве службы. Если на компьютер устанавливается служба запускающуюся под отдельную учетную запись, это право необходимо установить для службы дополнительно.
6. Отказ на вход в качестве службы. По умолчанию никому не назначается. Дает возможность заблокировать любую учетную запись.
7. Вход в систему через службу терминалов (Terminal Service). Дается разрешение на регистрацию с использованием службы терминалов. На обычных компьютерах этим правом обладают группы администраторов и удаленного доступа, а на контролере домена только группа Администраторы.
8. Запрет на вход в систему через службу терминалов.
Параметры безопасности
Позволяют настроить эффективную систему безопасности персонального компьютера в соответствии с требованиями. 60 дополнительных параметров безопасности объединяются в следующие категории:
1. Аудит
2. Доступ к сети
3. Завершение работы
4. Интерактивный вход в систему
5. Клиент сети Microsoft
6. Консоль восстановления
7. Контролер домена
8. Сервер сети Microsoft
9. Сетевая безопасность
10. Сетевой доступ
11. Системная криптография
12. Системные объекты
13. Устройства
14. Учетные записи
15. Участник домена
Разберем подробно из некоторых параметров.
Интерактивный вход в систему. Количество предыдущий подключений к кешу. Этот параметр определяет сколько раз пользователь может зарегистрироваться в домене используя кешированную информацию учетной записи. По умолчанию этот параметр определяется как 10. Информация кешируется локально, поэтому если сервер недоступен пользователь все равно сможет зарегистрироваться в домене, поскольку его регистрация проверена по записям локального кеша.
Сетевой доступ: не разрешать сохранение учетных данных или цифровых паспортов.NET для сетевой проверки подлинности пользователя. Этот параметр предотвращает сохранения сертификатов и паспортов.
Очистка файла подкачки виртуальной памяти при выключении компьютера. По умолчанию этот файл в системе Windows не очищается, а это значит, что есть возможность перехвата данных из файла подкачки неавторизированным пользователями.
Отмена требования нажатия ctrl+alt+del при входе в систему. Чтобы повысить безопасность системы этот параметр нужно отключить.
Предотвращения вывода последнего имени пользователя в окне регистрации.
Завершение работы компьютера без регистрации в системе.