5.5. Групповая политика

Одним из важнейших новшеств в подсистеме защиты Windows является групповая политика (group policy) — совокупность объектов активного каталога, описывающих те или иные аспекты конфигурации операционной системы, а также индивидуальных настроек отдельных пользователей и групп. Групповая политика включает в себя большинство элементов политики безопасности Windows, в частности:

  • • распределение привилегий между пользователями;
  • • параметры подсистемы аутентификации, включая параметры протокола Kerberos;
  • • политику аудита;
  • • параметры системных журналов, включая журнал аудита;
  • • параметры сервисов, включая режим запуска (автоматический/ ручной/запуск запрещен) и дескриптор защиты сервиса;
  • • список агентов восстановления EFS;
  • • шаблоны настроек отдельных прикладных и системных программ (Internet Explorer, Task Scheduler, Windows Installer ит.п.). В типичных конфигурациях Windows групповая политика содержит около 200-400 элементов, для удобства администрирования они объединены в древовидную иерархическую структуру контейнеров.

Каждый компьютер, работающий под управлением Windows, имеет собственную групповую политику. Исключение составляют контроллеры доменов, которые разделяют между собой общую групповую политику, единую для всех контроллеров одного домена. Также существует единая групповая политика для всего домена в целом.

В домене могут быть выделены особые группы пользователей и компьютеров, называемые организационными единицами (organizational units). Организационные единицы отличаются от обычных групп тем, что им могут назначаться собственные групповые политики. Это позволяет одномоментно назначать одинаковые настройки всем компьютерам, входящим в состав одной организационной единицы. Тем самым организационные единицы упрощают администрирование большой сети. Организационные единицы могут включаться одна в другую, групповые политики вышележащих организационных единиц наследуются нижележащими организационными единицами. Также групповые политики могут назначаться сайтам.

Каждый элемент групповой политики может быть либо не определен, либо иметь некоторое значение. Тип и диапазон возможных значений различаются для разных элементов групповой политики. Так, значение элемента Computer ConfigurationWindows SettingsSecurity SettingsAccount PoliciesPassword PolicyPassword must meet complexity requirements может принимать значения «да» или «нет», значением элемента Computer ConfigurationWindows SettingsSecurity SettingsAccount PoliciesPassword PolicyEnforce password history является целое число от 0 до 24, а значение элемента Computer ConfigurationWindows SettingsScriptsStartup представляет список текстовых строк переменной длины.

Значение элемента групповой политики, определенное в некоторой организационной единице, автоматически наследуется всеми нижележащими организационными единицами. Например, если администратор домена присвоил элементу Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesAudit PolicyAudit logon events групповой политики домена значение «Failure», неудачные попытки входа пользователей в систему будут регистрироваться в журнале аудита каждого компьютера домена.

Если значение элемента групповой политики, унаследованное от групповой политики вышележащей организационной единицы, вступает в противоречие с значением того же элемента, определенного в нижележащей организационной единице, то конфликт разрешается по следующим правилам:

  • • если администраторы обеих организационных единиц не указали никаких особых правил разрешения данного конфликта, то действует унаследованное значение;
  • • если администратор нижележащей организационной единицы установил на данную групповую политику флаг «не наследовать сверху», а администратор вышележащей организационной единицы не установил порядок разрешения данного конфликта, то действует значение, определенное администратором нижележащей организационной единицы;
  • • если администратор вышележащей организационной единицы установил на данную групповую политику флаг «наследовать вниз в любом случае», то унаследованное значение данного элемента групповой политики действует в любом случае, независимо от того, что определил в отношении данного элемента администратор нижележащей организационной единицы. Групповая политика позволяет администраторам организационных единиц централизованно управлять политикой безопасности большой сети. Если есть необходимость изменить некоторый аспект политики безопасности всего дерева, администратору корня дерева достаточно всего лишь настроить соответствующим образом групповой политики корня дерева и внесенные им изменения будут автоматически реплицированы на все компьютеры дерева. При этом администраторы нижележащих организационных единиц, несогласные с решением более высокого администратора, могут (если это явно не запрещено администратором вышележащей организационной единицы) отменить это решение в части, касающейся подведомственных им организационных единиц леса.

Обычно администраторы организационных единиц высокого уровня оставляют большинство полей групповой политики незаполненными. Это дает администраторам организационных единиц низшего уровня свободу выбора в настройке политики безопасности своих организационных единиц.

Элементы групповой политики сгруппированы в древовидную иерархическую структуру, аналогичную структуре файловой системы или реестра. Групповая политика, назначенная компьютеру, домену, организационной единице или сайту, включает в себя два больших раздела:

  • • Computer Configuration (конфигурация компьютера) — содержит политики, действующие на всю операционную систему в целом;
  • • User Configuration (конфигурация пользователя) — содержит политики, действующие на индивидуальные настройки пользователей, работающих с данным компьютером.

Пользователям и группам, не являющимся организационными

единицами, может назначаться «неполноценная» групповая политика, содержащая только раздел User Configuration. Эта групповая политика считается более высокоприоритетной, чем групповая политика компьютера.

Многие элементы групповых политик проецируются в реестр Windows, т. е. при изменении значения элемента групповой политики автоматически меняется соответствующее значение реестра Windows. При этом политики из раздела Computer Configuration проецируются в ключ реестра HKEY.LOCAL.MACHINE, а политики из раздела User Configuration — в HKEY.CURRENT.USER. Например, элемент групповой политики User ConfigurationWindows Settings Internet Explorer MaintenanceBrowser User InterfaceBrowser Title проецируется в значение Window Title ключа реестра HKEY.CUR- RENT_USERSoftwareMicrosoft Internet ExplorerMain. При каждом обновлении элемента групповой политики автоматически обновляется соответствующее значение реестра, это называется применением групповой политики. Применение групповой политики происходит не только при внесении в нее изменений, но и автоматически, по умолчанию задан полуторачасовой интервал между обновлениями. Кроме того, политики из раздела Computer Configuration применяются при кажом старте операционной системы, а политики из раздела User Configuration — при каждом входе пользователя в систему. Впрочем, эксперименты показывают, что применение групповой политики часто происходит реже, чем заявлено в документации Microsoft.

В Windows 2000 применение групповых политик происходило в синхронном режиме — на компьютерах, входящих в состав домена, загрузка операционной системы не завершалась до применения всех политик из разделов Computer Configuration, вход пользователя в систему не завершался до применения всех политик из разделов User Configuration. Это приводило к неприятным задержкам, и, начиная с Windows ХР, на рабочих станциях применение групповых политик проходит асинхронно. В результате в течение первых минут после авторизации пользователя конфигурация операционной системы может регулироваться устаревшими групповыми политиками. На серверах, начиная с Windows 2003, политики Computer Configuration применяются синхронно, а политики User Configuration — асинхронно.

Если прикладная или системная программа считывает свои конфигурационные данные точно в тот момент, когда происходит применение групповой политики, возможна ситуация, когда некоторые данные, считанные программой, относятся к обновленной групповой политике, а некоторые другие данные — к старой, необнов- ленной политике. Для предотвращения таких ситуаций предназначены специальные системные функции EnterCriticalPolicySection и LeaveCriticalPolicySection, расположенные в библиотеке userenv.dll. Перед считыванием своей конфигурации из реестра программа должна вызвать функцию EnterCriticalPolicySection, а по завершении считывания — функцию LeaveCriticalPolicySection. Между этими двумя вызовами гарантируется, что групповая политика в это время применяться не будет. Интервал времени между этими вызовами не должен превосходить десяти минут, в противном случае операционная система ведет себя так, будто программа вызвала LeaveCriticalPolicySection.

Если пользователь, обладающий соответствующими полномочиями, вручную модифицирует значение реестра, на которое проецируется элемент групповой политики, это изменение будет действовать только до следующего применения групповой политики, затем оно будет отменено.

Каждый из двух разделов групповой политики распадается на три подраздела:

  • • Software Settings — содержит политики, используемые сторонним программным обеспечением, не входящим в состав дистрибутива Windows. Чаще всего этот подраздел пуст;
  • • Windows Settings — содержит политики, описывающие настройки различных компонент Windows. Большинство политик, содержащихся в данном подразделе, связаны с безопасностью операционной системы;
  • • Administrative Templates — содержит политики, позволяющие автоматизировать управление большой сетью, применяя одни и те же настройки к разным компьютерам сети. В отличие от подраздела Windows Settings, в подразделе Administrative Templates по умолчанию все политики не определены. Администратор может определять эти политики либо вручную, с помощью консоли администрирования Windows (ММС), либо с использованием заранее подготовленных файлов административных шаблонов (ADM-файлов).

В качестве примера перечислим политики подраздела Administrative Templates, которые могут быть применены к подсистеме печати Windows (Computer Configuration/Administrative Templates/ Printers):

  • • допустима ли печать документов веб-сервером по запросам пользователей Internet (не поддерживается начиная с Windows 2003);
  • • должны ли новые принтеры автоматически публиковаться в активном каталоге (не поддерживается начиная с Windows Vista, в более ранних версиях по умолчанию — да);
  • • какую веб-ссылку должен выводить Проводник Windows вместо заданной по умолчанию ссылки «Получение справки о выводе на печать», указывающей на сайт Microsoft;
  • • какое максимальное количество принтеров каких типов должен отображать Проводник Windows на странице сканирования сети, если установлена связь с контроллером домена (поддерживается начиная с Windows Vista). По умолчанию заданы следующие значения: 20 принтеров активного каталога, 10 принтеров Bluetooth, TCP/IP-принтеры и веб-принтеры не отображать;
  • • какое максимальное количество принтеров каких типов должен отображать Проводник Windows на странице сканирования сети, если не удается установить связь с контроллером домена (поддерживается начиная с Windows Vista). По умолчанию заданы следующие значения: 50 ТСР/1Р-принтеров, 50 веб- принтеров, 10 принтеров Bluetooth;
  • • следует ли формировать задание на печать на стороне клиента (по умолчанию) или на стороне сервера (поддерживается начиная с Windows Vista);
  • • следует ли показывать недоступные принтеры в списке принтеров активного каталога (по умолчанию — нет);
  • • разрешено ли использование на данном компьютере драйверов принтера, работающих в режиме ядра (т. е. именно драйверов, а не библиотек). По умолчанию в Windows ХР и ранее драйверы принтера, работающие в режиме ядра, разрешены, в Windows 2003 — запрещены, а начиная с Windows Vista такие драйверы запрещены в любом случае, независимо от состояния данного элемента групповой политики;
  • • какое место размещения сетевых принтеров считать ближайшим (по умолчанию определяется автоматически на основе IP- адреса компьютера);
  • • следует ли учитывать атрибут «размещение» объекта «принтер» при поиске сетевых принтеров (по умолчанию — нет);
  • • следует ли включать сетевые принтеры в карту сетевого окружения, поддерживаемую сервисом Computer Browser (по умолчанию — тогда и только тогда, когда отсутствует связь с контроллером домена);
  • • в каких случаях следует удалять из активного каталога недоступные принтеры: никогда (по умолчанию), когда принтер недоступен, но доступен сервер печати, к которому этот принтер должен быть подключен, либо всегда;
  • • как часто следует проверять доступность сетевых принтеров (по умолчанию — каждые восемь часов);
  • • какой относительный приоритет должен присваиваться потоку сервера активного каталога, отслеживающему недоступные принтеры (по умолчанию — обычный относительный приоритет, THREAD_PRIOR.ITY_NOR.MAL);
  • • сколько раз принтер должен не ответить на запрос, чтобы быть признанным недоступным (по умолчанию — три раза);
  • • регистрировать ли в журнале результаты проверки доступности сетевых принтеров (поддерживается начиная с Windows ХР, по умолчанию — нет);
  • • можно ли публиковать информацию о сетевых принтерах в активном каталоге (по умолчанию — да);
  • • может ли сервер печати обслуживать удаленных клиентов (поддерживается начиная с Windows 2003, по умолчанию — да, если к компьютеру подключен хотя бы один сетевой принтер);
  • • как часто сервер печати должен проверять доступность сетевых принтеров, подключенных к данному компьютеру (по умолчанию — только один раз, при старте сервера печати). Физически групповые политики хранятся в контейнере /CN=

Policies/CN=System/DC=HMn-AOMeHa активном каталога. Каждому объекту групповой политики соответствует объект класса group- PolicyContainer, имя (CN) которого представляет собой текстовое представление GUID данной групповой политики (этот GUID отличается от атрибута objectGUID объекта групповой политики). Групповая политика может содержать ссылки на ассоциированные с нею файлы (например, на скрипт, который должен автоматически выполняться перед завершением работы операционной системы), путь к месту хранения этих файлов хранится в атрибуте gPCFileSysPath объекта групповой политики. По умолчанию эти файлы хранятся на контроллере домена в директории зуэтоДимя_доменаРоИспез {СиГО_групповой_политики}. Внутри каждого контейнера групповой политики располагаются подконтейнеры с именами (CN) Machine и User, в них хранятся, соответственно, разделы Computer Configuration и User Configuration данной групповой политики.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >