Автоматизация управления политиками безопасности

Рис. 4.11. Окно Добавить изолированную оснастку

Их можно использовать для изменения конфигурации одного или нескольких компьютеров. Изменение конфигурации компьютеров допустимо при помощи оснастки Анализ и настройка безопасности средства Secedit.exe, работающего из командной строки, а также при помощи импорта шаблона в оснастку Локальная политика безопасности. По умолчанию готовые шаблоны безопасности сохранены по адресу: системный_корневой_каталог\8есигку \TempIates.

Поле установки ОС в системе могут присутствовать приведенные далее шаблоны.

Setup security.inf— "шаблон безопасности по умолчанию", содержит параметры безопасности, используемые по умолчанию, которые применяются во время установки операционной системы, включая разрешения для файлов корневого каталога системного диска. Этот шаблон можно использовать полностью или частично в целях аварийного восстановления.

Compatws.inf— "совместимый", содержит разрешения по умолчанию для рабочих станций и серверов (не контроллеров домена). Учитывается иерархия прав локальных групп: "Администраторы", "Опытные пользователи" и "Пользователи".

Secure*.inf— группа шаблонов "защита", содержит параметры повышенной безопасности.

Hisec*.inf— группа шаблонов "повышенная защита", включает в себя шаблоны, налагающие дополнительные ограничения на уровни кодировки и подписи.

Rootsec.inf— "безопасность системного корневого каталога", включает разрешения для корневого каталога Windows XP Professional. По умолчанию эти разрешения определяются шаблоном Rootsec.inf для корневого каталога системного диска. Шаблон также может быть изменен для применения этих разрешений к корневому каталогу других дисков (не системных).

Параметры шаблонов безопасности можно просмотреть и отредактировать при помощи компонента Шаблоны безопасности. Причем их редактирование аналогично редактированию реальных параметров безопасности. Файлы шаблонов с расширением inf можно просматривать как текстовые файлы.

Выбрав наиболее подходящий шаблон или создав новый, можно внести в него необходимые изменения и распространить их на другие компьютеры, не проводя редактирования параметров безопасности на каждом компьютере отдельно.

Чтобы создать новый шаблон, достаточно в окне созданной консоли выбрать в контекстном меню папки, содержащей шаблоны (рис. 4.12), опцию Создать новый шаблон, дать ему имя и добавить описание.

Для настройки безопасности системы с использованием сохраненного шаблона можно применить пакетные (командные) файлы с заготовленными заранее командами, включающие представленные в листинге 4.7 строки.

Листинг 4.7. secedit.bat

secedit /configure /db C:\WINDOWS\security\Database\abcd.sdb /cfg

с:\WINDOWS\security\templates\new.inf

pause

где:

secedit— средство командной строки для редактирования параметров безопасности;

abcd.sdb— имя базы данных, которая будет создана в процессе выполнения команды;

new. inf — примененный шаблон безопасности.

Рис. 4.12. Список шаблонов безопасности

После выполнения такого пакетного файла все определенные в шаблоне new.inf политики будут применены на компьютере, а все параметры, не определенные в шаблоне, но используемые в настройках компьютера, останутся без изменений.

Применив этот способ распространения политик безопасности, вы можете передать все необходимые изменения настроек компьютерам группы руководителей, рассмотренной ранее в этой главе.

Возможности программ Secedit и mine существенно шире, чем те, что показаны в примерах. Если вы внимательно прочтете встроенную в систему справку по работе с этими программами, то сможете проводить анализ настроек безопасности, а также редактировать групповую политику безопасности, применяемую в домене. Политики и параметры безопасности, определенные на уровне домена, имеют преимущество перед политиками и параметрами, определенными локально.

Здесь же остается добавить только, что все операции должны выполняться от имени администратора компьютера или домена. Как и в других случаях администрирования сети, ошибка, допущенная вами, может потребовать продолжительного времени на исправление. Будьте внимательны!