Безопасность в системе Windows Vista. Основные службы и механизмы безопасности
Методическое пособие - Компьютеры, программирование
Другие методички по предмету Компьютеры, программирование
?руппы Пользователи удаленного рабочего стола и Администраторы.
В этом примере пользователь, учетная запись которого принадлежит к группе Пользователи удаленного рабочего стола, может входить в систему переносного компьютера через службу терминалов, так как подразделение Переносные компьютеры является дочерним подразделением подразделения Компьютеры с Windows Vista, а политика дочернего подразделения имеет приоритет.
Если включить параметр политики Не перекрывать в объекте групповой политики подразделения Компьютеры с Windows Vista, только пользователи, учетные записи которых принадлежат к группе Администраторы, смогут входить в систему переносного компьютера через службу терминалов. Это происходит потому, что параметр Не перекрывать предотвращает переопределение примененной ранее политики политикой дочернего подразделения.
Внедрение политик безопасности
Для внедрения схемы безопасности двух сред, описанных в данном руководстве, необходимо использовать консоль управления групповыми политиками и ее сценарии. Консоль управления групповыми политиками интегрирована в операционную систему, поэтому не требуется загружать и устанавливать ее каждый раз, когда требуется управлять объектами групповой политики на другом компьютере. В отличие от рекомендаций по безопасности для предыдущих версий операционной системы Windows рекомендации в данном руководстве для Windows Vista значительно автоматизируют тестирование и внедрение схемы безопасности в среде EC. Эти рекомендации были разработаны и протестированы, чтобы обеспечивать наиболее эффективный процесс и снизить накладные расходы, связанные с внедрением.
Внимание! Все процедуры, указанные в этом руководстве, необходимо выполнять на клиентском компьютере под управлением Windows Vista, который подключен к домену с Active Directory. Кроме того, пользователь, выполняющий эти процедуры, должен иметь привилегии администратора домена. При использовании операционных систем Microsoft Windows XP или Windows Server 2003 параметры безопасности, относящиеся к Windows Vista, не будут отображаться в консоли управления групповыми политиками.
Чтобы внедрить схему безопасности, необходимо выполнить три основные задачи:
1. создать среду EC;
2. использовать консоль управления групповыми политиками для связи политики VSG EC Domain Policy с доменом;
3. использовать консоль управления групповыми политиками для проверки результата.
В этом разделе главы описаны данные задачи и процедуры, а также функции сценария GPOAccelerator.wsf, который автоматически создает рекомендуемые объекты групповой политики.
Сценарий GPOAccelerator.wsf
Наиболее важное средство, которое устанавливается руководством по безопасности Windows Vista, это сценарий GPOAccelerator.wsf. Основная возможность этого сценария автоматическое создание всех объектов групповой политики, которые требуются для применения рекомендаций. При этом не требуется тратить время на редактирование параметров политики вручную или на применение шаблонов. Для клиентских компьютеров в среде EC сценарий создает следующие четыре объекта групповой политики:
VSG EC Domain Policy для домена;
VSG EC Users Policy для пользователей;
VSG EC Desktop Policy для настольных компьютеров;
VSG EC Laptop Policy для переносных компьютеров.
Внимание! Чтобы успешно внедрить схему безопасности для среды EC, тщательно протестируйте ее перед развертыванием в рабочей среде.
Проверка схемы в лабораторной среде. Используйте сценарий GPOAccelerator.wsf в тестовой среде для создания структуры подразделений, создания объектов групповой политики и их автоматической связи с подразделениями. После завершения тестирования можно использовать сценарий в рабочей среде.
Развертывание схемы в рабочей среде. При внедрении решения в рабочей среде необходимо сначала создать подходящую структуру подразделений или изменить существующий набор подразделений. После этого можно использовать сценарий GPOAccelerator.wsf для создания объектов групповой политики и затем связать их с соответствующими подразделениями в среде.
Проверка схемы в лабораторной среде
Объекты групповой политики для данного руководства были тщательно протестированы. Тем не менее важно выполнить собственное тестирование в существующей среде. Чтобы сэкономить время, можно использовать сценарий GPOAccelerator.wsf для создания рекомендуемых объектов групповой политики и структуры подразделений, а затем автоматически связать объекты групповой политики с подразделениями.
Задача 1: создание среды EC
Сценарий GPOAccelerator.wsf находится в папке Windows Vista Security Guide\GPOAccelerator Tool, которую создает установщик Microsoft Windows (MSI-файл).
Примечание. Чтобы выполнить сценарий, как описано в следующей процедуре, папка GPOAccelerator Tool и ее вложенные папки должны находиться на локальном компьютере.
Чтобы создать объекты групповой политики и связать их с соответствующими подразделениями в среде:
1. Войдите с учетной записью администратора домена в систему компьютера под управлением Windows Vista, который присоединен к домену с Active Directory, в котором будут создаваться объекты групповой политики.
2. Нажмите кнопку Пуск системы Windows Vista, выберите пункты Все программы и Windows Vista Security Guide.
3. Откройте папку GPOAccelerator Tool\Security Group Policy Objects.
4. Щелкните правой кнопкой мыши файл Command-line Here.cmd и выберите пункт Запуск от имени администратора, чтобы открыть командную строку со всеми привилегиями администратора домена.
Примечание. Если