Чтобы установить это приложение необходимо включить параметр локальной политики безопасности

Содержание
  1. Как настроить локальную политику безопасности Windows 10 и работать с ней
  2. Зачем в Windows нужна локальная политика безопасности
  3. Какая версия Windows 10 подходит для настроек групповой политики
  4. Почему в Windows Home/Starter нет инструмента GPEdit
  5. Где находится и как работает локальная политика безопасности
  6. Запуск редактора локальной политики безопасности Windows 10
  7. Функционал редактора групповой политики
  8. Как выключить локальную политику безопасности
  9. Локальная политика безопасности Windows 10 не включается
  10. Видео: как установить редактор групповой политики в Windows
  11. Настройка параметров политики безопасности
  12. Настройка параметра с помощью консоли Local Security Policy
  13. Настройка параметра политики безопасности с помощью консоли Редактор локальной групповой политики
  14. Настройка параметра контроллера домена
  15. Чтобы установить это приложение необходимо включить параметр локальной политики безопасности
  16. Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав
  17. Справочники
  18. Возможные значения
  19. Рекомендации
  20. Местонахождение
  21. Значения по умолчанию
  22. Управление политикой
  23. Необходимость перезапуска
  24. Вопросы безопасности
  25. Уязвимость
  26. Противодействие
  27. Возможное влияние
  28. Администрирование параметров политики безопасности
  29. Изменения в администрировании параметров
  30. Использование привязки к локальной политике безопасности
  31. Использование средства командной строки secedit
  32. Использование диспетчера соответствия требованиям безопасности
  33. Использование мастера конфигурации безопасности
  34. Работа с диспетчером конфигурации безопасности
  35. Конфигурация и анализ безопасности
  36. Анализ безопасности
  37. Конфигурация безопасности
  38. Шаблоны безопасности
  39. Расширение параметров безопасности до групповой политики
  40. Локальная политика безопасности
  41. Использование диспетчера конфигурации безопасности
  42. Применение параметров безопасности
  43. Импорт и экспорт шаблонов безопасности
  44. Анализ результатов безопасности и просмотра
  45. Устранение несоответствий безопасности
  46. Автоматизация задач конфигурации безопасности
  47. Работа с инструментами групповой политики

Как настроить локальную политику безопасности Windows 10 и работать с ней

windows

Если вы посчитали, что, настроив на своём сервере антивирусы, вы на 100% обезопасили себя и своих клиентов от каких бы то ни было инцидентов, то это ещё не всё. Вам не помешают групповые настройки, исключающие любые ошибки.

Зачем в Windows нужна локальная политика безопасности

Групповая (локальная) политика безопасности (ГПБ/ЛПБ) — это программные средства, обеспечивающие согласованную и максимально эффективную работу компьютеров компании или учреждения. Иметь высокую производительность труда, экономя время и ресурсы — это о вас, если на ПК и ноутбуках под управлением Windows работают настройки группового соединения: вместе эти компьютеры образуют единое целое, помогающее вашей конторе расти и развиваться дальше. Для этого требуется их подключение к одному домену.

Какая версия Windows 10 подходит для настроек групповой политики

Вам нужна Professional/Enterprise — её используют работники частных фирм и госслужащие. Дело в том, что в версии Home/Starter, предназначенной для обычных пользователей, нет компонента gpedit.exe (англ. Group Politics Editor) — нужна его принудительная установка.

Почему в Windows Home/Starter нет инструмента GPEdit

В Home/Starter ГПБ представлена лишь службой «Клиент групповой политики», которую можно отключить совсем. Да и зачем она, если доступ к расширенным настройкам закрыт? Сделано это для предотвращения изменений, вносимых в настройки ОС вредоносным ПО под именем администратора.

Где находится и как работает локальная политика безопасности

Локальные средства безопасности «десятки» управляются службой «Клиент групповой политики». Если эта служба отключена, средство Group Politics Editor не запустится или будет давать сбои в настройке.

Запуск редактора локальной политики безопасности Windows 10

Дайте команду «Пуск — Выполнить» и введите в открывшейся строке команду gpedit.msc.

zapuskaem redaktor lpb v windows 10

Подтвердите ввод, нажав OK

Запустить редактор также можно, введя «gpedit» в поиске главного меню Windows 8/10.

Функционал редактора групповой политики

Настройка сервиса ГПБ включает в себя:

glavnye nastroyki group politics editor

Основное окно редактора показывает все настройки групповой политики

Как выключить локальную политику безопасности

Необходимо выключить службу «Клиент групповой политики». Но она «вшита» в Windows 7/8/10 настолько прочно, что остановить и деактивировать её с помощью встроенного мастера настройки служб, вызываемого из диспетчера задач, нельзя.

Самый действенный способ — вмешаться в реестр системы. Сделайте следующее:

vhod v prava dostupa k processu kgp windows gpsvc

В редакторе реестра находим папку «gpsvc», нажимаем «Разрешения»

smena vladelca prav dlya processa kgp windows

Без изменения имени вы не сможете добраться до полного доступа к процессу gpsvc

naznachenie neogranichennyh prav dlya sluzhby gruppovoy politiki windows

Отметьте все разрешения, удалите лишних пользователей из настройки дополнительного доступа в графе «Группы или пользователи»

izmenenie avtostarta klienta gruppovoy politiki windows

В папке gpsvc измените ключ Start, введя значение 4, и система отключится

Это ещё не всё! Вам будет мешать сообщение в трее о неработе службы «Клиент групповой политики».

soobshchenie windows o deaktivacii kgp

Оно будет появляться каждый раз, уберите его

Чтобы его убрать, сделайте следующее:

1 5

Запустите редактор реестра и удалите из него папку GPClient

Предварительно сохраните эту папку в отдельный файл реестра. Это делается на случай, если работу службы нужно быстро восстановить, не переустанавливая Windows. После удаления папки перезапустите компьютер — уведомление больше не появится.

Локальная политика безопасности Windows 10 не включается

Причины, по которым не включается служба, следующие:

Видео: как установить редактор групповой политики в Windows

Службы и процессы групповой безопасности Windows — полезный инструмент, здорово выручающий в работе. Когда он не нужен, его легко выключить.

Источник

Настройка параметров политики безопасности

Область применения

Описывает действия по настройке параметра политики безопасности на локальном устройстве, на устройстве, соединяемом с доменом, и на контроллере домена.

Для выполнения этих процедур необходимо иметь права администраторов на локальном устройстве или иметь соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена.

Если локальный параметр недоступен, это указывает на то, что GPO в настоящее время контролирует этот параметр.

Настройка параметра с помощью консоли Local Security Policy

Чтобы открыть локализованную политику безопасности на экране Начните, введите secpol.mscи нажмите кнопку ENTER.

В Параметры панели безопасности консоли сделайте одно из следующих:

При нажатии параметра политики в области сведений дважды щелкните политику безопасности, которую необходимо изменить.

Измените параметр политики безопасности и нажмите кнопку ОК.

Настройка параметра политики безопасности с помощью консоли Редактор локальной групповой политики

Для выполнения этих процедур необходимо иметь соответствующие разрешения на установку и использование консоли управления Microsoft (MMC) и обновление объекта групповой политики (GPO) на контроллере домена.

Откройте редактор локальной групповой политики (gpedit.msc).

В дереве консоли нажмите кнопку Конфигурациякомпьютера, нажмите кнопку Windows Параметрыи нажмите кнопку Безопасность Параметры.

Выполните одно из следующих действий.

В области сведений дважды щелкните параметр политики безопасности, который необходимо изменить.

Если эта политика безопасности еще не определена, выберите поле Определение этих параметров политики.

Измените параметр политики безопасности и нажмите кнопку ОК.

Если вы хотите настроить параметры безопасности для многих устройств в сети, вы можете использовать консоль управления групповой политикой.

Настройка параметра контроллера домена

Следующая процедура описывает настройку параметра политики безопасности только для контроллера домена (от контроллера домена).

Чтобы открыть политику безопасности контроллера домена в дереве консоли, найдите GroupPolicyObject [ComputerName] Политика, щелкните Конфигурация компьютера, нажмите кнопку Windows Параметры, а затем нажмите кнопку Параметры .

Выполните одно из следующих действий.

В области сведений дважды щелкните политику безопасности, которую необходимо изменить.

Если эта политика безопасности еще не определена, выберите поле Определение этих параметров политики.

Измените параметр политики безопасности и нажмите кнопку ОК.

Источник

Чтобы установить это приложение необходимо включить параметр локальной политики безопасности

Сообщения: 12426
Благодарности: 2328

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

moderator

Сообщения: 16708
Благодарности: 3212

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

moderator

Сообщения: 16708
Благодарности: 3212

Возможные значения.

• Включено (по умолчанию для дома). Когда установочный пакет приложения обнаруживает необходимость повышения прав, пользователю предлагается ввести имя пользователя и пароль учетной записи администратора. Если пользователь вводит правильные учетные данные, операция продолжается с соответствующими правами.

• Отключено (по умолчанию для организации). Установочный пакет приложения не обнаруживает необходимость повышения прав и не выдает запрос пользователю. В организациях, использующих стандартные пользовательские настольные компьютеры и технологии делегированной установки, такие как GPSI (Group Policy Software Install) или SMS, этот параметр политики следует отключить. В этом случае обнаружение установщика является ненужным.

Источник

Контроль учетных записей пользователей: обнаружение установки приложений и запрос на повышение прав

Область применения

Описывает передовую практику, расположение, значения, управление политикой и соображения безопасности для управления учетной записью пользователя: обнаружение установок приложений и запрос на параметры политики безопасности высоты.

Справочники

Этот параметр политики определяет поведение обнаружения установки приложений для всей системы. Некоторые программы могут пытаться установить себя после получения разрешения на запуск. Пользователь может разрешить запуск программы, так как ей доверяют. Затем пользователю предложено установить неизвестный компонент. Эта политика безопасности предоставляет еще один способ идентификации и остановки этих попыток установки программного обеспечения, прежде чем они смогут нанести ущерб.

Возможные значения

Включено

Обнаруживаются пакеты установки приложений, которые требуют повышения привилегий для установки, и пользователю предложены административные учетные данные.

Отключено

Пакеты установки приложений, для установки в которые требуется повышение привилегий, не обнаруживаются, и пользователю не требуются административные учетные данные.

Рекомендации

Местонахождение

Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\Security Options

Значения по умолчанию

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики Значение по умолчанию
Default Domain Policy Не определено
Политика контроллера домена по умолчанию Не определено
Параметры по умолчанию для автономного сервера Включено
Dc Effective Default Параметры Включено
Действующие параметры по умолчанию для рядового сервера Включено
Действующие параметры по умолчанию для клиентского компьютера Включено

Управление политикой

В этом разделе описываются функции и средства, доступные для управления этой политикой.

Необходимость перезапуска

Нет. Изменения в этой политике становятся эффективными без перезапуска устройства при локальном сбережении или распространении через групповую политику.

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Уязвимость

Некоторые вредоносные программы могут попытаться установить себя после получения разрешения на запуск, например, вредоносного программного обеспечения с доверенным оболочкой приложения. Пользователь может разрешить запуск программы, так как ей доверяют. Затем пользователю предложено установить неизвестный компонент. Эта политика предоставляет еще один способ ловушки программного обеспечения, прежде чем он может нанести ущерб.

Противодействие

Включить управление учетной записью пользователя: обнаружение установок приложений и запрос на параметр высоты.

Возможное влияние

Пользователи должны предоставить административные пароли для установки программ.

Источник

Администрирование параметров политики безопасности

Область применения

В этой статье обсуждаются различные методы администрирования параметров политики безопасности на локальном устройстве или в небольшой или средней организации.

Параметры политики безопасности должны использоваться в рамках общей реализации системы безопасности, чтобы обеспечить безопасность контроллеров доменов, серверов, клиентских устройств и других ресурсов в организации.

Политики параметров безопасности — это правила, которые можно настроить на устройстве или нескольких устройствах с целью защиты ресурсов на устройстве или сети. Расширение Параметры редактора локальной групповой политики (Gpedit.msc) позволяет определять конфигурации безопасности как часть объекта групповой политики (GPO). GPOs связаны с контейнерами Active Directory, такими как сайты, домены и организационные подразделения, и они позволяют администраторам управлять настройками безопасности для нескольких компьютеров с любого устройства, подключенного к домену.

Параметры безопасности могут управлять:

Сведения о каждом параметре, включая описания, параметры по умолчанию, а также соображения управления и безопасности, см. в справке о параметрах политики безопасности.

Для управления конфигурациями безопасности для нескольких компьютеров можно использовать один из следующих вариантов:

Изменения в администрировании параметров

Со временем были внедрены новые способы управления настройками политики безопасности, которые включают новые функции операционной системы и добавление новых параметров. В следующей таблице перечислены различные средства администрирования параметров политики безопасности.

Средство или функция Описание и использование
Оснастка политики безопасности Secpol.msc
Оснастка MMC, предназначенная для управления только настройками политики безопасности.
Средство командной строки редактора безопасности Secedit.exe
Настраивает и анализирует системную безопасность, сравнивая текущую конфигурацию с указанными шаблонами безопасности.
Диспетчер соответствия требованиям безопасности Загрузка инструмента
Ускоритель решений, который помогает планировать, развертывать, оперировать и управлять базовыми показателями безопасности для Windows и серверных операционных систем, а также приложений Майкрософт.
Мастер настройки безопасности Scw.exe
SCW — это средство, основанное на роли, доступное только на серверах: его можно использовать для создания политики, которая включает службы, правила брандмауэра и параметры, необходимые для выбранного сервера для выполнения определенных ролей.
Средство диспетчера конфигурации безопасности Этот набор инструментов позволяет создавать, применять и изменять безопасность локального устройства, организационного подразделения или домена.
Групповая политика Gpmc.msc и Gpedit.msc
Консоль управления групповой политикой использует редактор объекта групповой политики для разоблачения локальных параметров безопасности, которые затем можно включить в объекты групповой политики для распространения по всему домену. Редактор локальной групповой политики выполняет аналогичные функции на локальном устройстве.
Политики ограниченного использования программ
См. правила администрирования политики ограничения программного обеспечения
Gpedit.msc
Политики ограничения программного обеспечения (SRP) — это функция, основанная на групповой политике, которая определяет программы, работающие на компьютерах в домене, и контролирует возможность их запуска.
Администрирование AppLocker
См. в приложении Администрирование AppLocker
Gpedit.msc
Предотвращает влияние вредоносных программ (вредоносных программ) и неподтверганных приложений на компьютеры в вашей среде, а также не позволяет пользователям в организации устанавливать и использовать несанкционированные приложения.

Использование привязки к локальной политике безопасности

Привязка к локальной политике безопасности (Secpol.msc) ограничивает представление объектов локальной политики следующими политиками и функциями:

Локальные политики могут быть перезаписаны, если компьютер присоединяется к домену.

Привязка к локальной политике безопасности является частью набора средств Диспетчер конфигурации безопасности. Сведения о других средствах в этом наборе инструментов см. в разделе Работа с диспетчером конфигурации безопасности в этом разделе.

Использование средства командной строки secedit

Средство командной строки secedit работает с шаблонами безопасности и предоставляет шесть основных функций:

Использование диспетчера соответствия требованиям безопасности

Диспетчер соответствия требованиям безопасности — это загружаемый инструмент, который помогает планировать, развертывать, эксплуатировать и управлять базовыми показателями безопасности для Windows и серверных операционных систем, а также для приложений Майкрософт. Он содержит полную базу данных рекомендуемых параметров безопасности, методов настройки базовых показателей и возможность реализации этих параметров в нескольких форматах, включая пакеты XLS, GPOs, Desired Configuration Management (DCM) или протокол автоматизации контента безопасности (SCAP). Диспетчер соответствия требованиям безопасности используется для экспорта базовых данных в среду для автоматизации процесса развертывания и проверки соответствия требованиям безопасности.

Администрирование политик безопасности с помощью диспетчера соответствия требованиям безопасности

Использование мастера конфигурации безопасности

Ниже рассматриваются следующие аспекты использования SCW:

ScW доступен только на Windows Server и применим только к установкам сервера.

К SCW можно получить доступ через диспетчер сервера или с помощью scw.exe. Мастер проходит через конфигурацию безопасности сервера, чтобы:

Мастер политики безопасности настраивает службы и сетевую безопасность в зависимости от роли сервера, а также настраивает параметры аудита и реестра.

Дополнительные сведения о SCW, включая процедуры, см. в см. в руб. Мастер конфигурации безопасности.

Работа с диспетчером конфигурации безопасности

Набор инструментов Диспетчер конфигурации безопасности позволяет создавать, применять и изменять безопасность локального устройства, организационного подразделения или домена.

Процедуры по использованию диспетчера конфигурации безопасности см. в см. в руб. Диспетчер конфигурации безопасности.

В следующей таблице перечислены функции диспетчера конфигурации безопасности.

Средства диспетчера конфигурации безопасности Описание
Конфигурация и анализ безопасности Определяет политику безопасности в шаблоне. Эти шаблоны можно применить к групповой политике или локальному компьютеру.
Шаблоны безопасности Определяет политику безопасности в шаблоне. Эти шаблоны можно применить к групповой политике или локальному компьютеру.
Расширение Параметры до групповой политики Редактирует отдельные параметры безопасности на домене, сайте или организационном подразделении.
Локальная политика безопасности Редактирует отдельные параметры безопасности на локальном компьютере.
Secedit Автоматизирует задачи конфигурации безопасности по командной подсказке.

Конфигурация и анализ безопасности

Конфигурация и анализ безопасности — это оснастка MMC для анализа и настройки локальной системной безопасности.

Анализ безопасности

Состояние операционной системы и приложений на устройстве динамическое. Например, может потребоваться временно изменить уровни безопасности, чтобы можно было немедленно устранить проблему администрирования или сети. Однако это изменение часто может быть неперевещённым. Это означает, что компьютер может больше не соответствовать требованиям безопасности предприятия.

Регулярный анализ позволяет отслеживать и обеспечивать достаточный уровень безопасности на каждом компьютере в рамках корпоративной программы управления рисками. Вы можете настроить уровни безопасности и, самое главное, обнаружить все недостатки безопасности, которые могут возникать в системе с течением времени.

Конфигурация безопасности и анализ позволяют быстро анализировать результаты анализа безопасности. Он представляет рекомендации наряду с текущими настройками системы и использует визуальные флаги или замечания, чтобы выделить все области, в которых текущие параметры не соответствуют предлагаемому уровню безопасности. Конфигурация безопасности и анализ также предоставляет возможность устранить любые несоответствия, выявленные при анализе.

Конфигурация безопасности

Конфигурация безопасности и анализ также можно использовать для непосредственной настройки локальной системной безопасности. С помощью личных баз данных можно импортировать шаблоны безопасности, созданные с помощью шаблонов безопасности, и применять эти шаблоны на локальном компьютере. Это немедленно настраивает систему безопасности с уровнями, указанными в шаблоне.

Шаблоны безопасности

С помощью оснастки шаблонов безопасности для консоли управления Майкрософт можно создать политику безопасности для устройства или сети. Это единственная точка входа, в которой можно учесть весь диапазон системной безопасности. Оснастка Шаблоны безопасности не вводит новые параметры безопасности, она просто организует все существующие атрибуты безопасности в одном месте, чтобы облегчить администрирование безопасности.

Импорт шаблона безопасности в объект групповой политики облегчает администрирование домена, настроив безопасность для домена или организационного подразделения одновременно.

Чтобы применить шаблон безопасности к локальному устройству, можно использовать конфигурацию и анализ безопасности или средство командной строки secedit.

Шаблоны безопасности можно использовать для определения:

Расширение параметров безопасности до групповой политики

Организационные подразделения, домены и сайты связаны с объектами групповой политики. Средство параметров безопасности позволяет изменять конфигурацию безопасности объекта групповой политики, в свою очередь, затрагивая несколько компьютеров. С помощью параметров безопасности можно изменить параметры безопасности многих устройств в зависимости от объекта групповой политики, который вы измените, с одного устройства, присоединившись к домену.

Параметры безопасности или политики безопасности — это правила, настроенные на устройстве или нескольких устройствах для защиты ресурсов на устройстве или сети. Параметры безопасности могут управлять:

Конфигурацию безопасности на нескольких компьютерах можно изменить двумя способами:

Локальная политика безопасности

Политика безопасности — это сочетание параметров безопасности, влияющих на безопасность на устройстве. Вы можете использовать местную политику безопасности для редактирования политик учетных записей и локальных политик на локальном устройстве

С помощью локальной политики безопасности можно управлять:

Если локальное устройство присоединяется к домену, вы можете получить политику безопасности из политики домена или из политики любого организационного подразделения, в которое вы входите. Если вы получаете политику из более чем одного источника, конфликты решаются в следующем порядке приоритета.

Если вы измените параметры безопасности на локальном устройстве с помощью локальной политики безопасности, вы непосредственно измените параметры на устройстве. Поэтому параметры вступает в силу немедленно, но это может быть только временным. Фактически параметры будут действовать на локальном устройстве до следующего обновления параметров безопасности групповой политики, когда параметры безопасности, полученные из групповой политики, переопределяют локальные параметры, где бы ни были конфликты.

Использование диспетчера конфигурации безопасности

Процедуры использования диспетчера конфигурации безопасности см. в см. в руб. Диспетчер конфигурации безопасности How To. В этом разделе содержатся сведения в этом разделе о:

Применение параметров безопасности

После изменения параметров безопасности параметры обновляются на компьютерах в организационном подразделении, связанном с объектом групповой политики:

Приоритет политики, когда на компьютере применяется несколько политик

Для параметров безопасности, определенных более чем одной политикой, наблюдается следующий порядок приоритета:

Например, на рабочей станции, присоединяемой к домену, локальные параметры безопасности будут переопределяться политикой домена, где бы ни возник конфликт. Точно так же, если та же самая рабочих станция входит в организационную единицу, параметры, примененные в политике подразделения организации, переопределяют как домен, так и локальные параметры. Если рабочие станции входят в состав более чем одного организационного подразделения, то наиболее высокий порядок приоритета имеет подразделение организации, которое немедленно содержит рабочие станции.

Используйте gpresult.exe, чтобы узнать, какие политики применяются к устройству и в каком порядке.
Для учетных записей домена может быть только одна политика учетных записей, которая включает политики паролей, политики блокировки учетных записей и политики Kerberos.

Сохранение в параметрах безопасности

Параметры безопасности могут сохраняться, даже если параметр больше не определен в применяемой политике.

Сохранение параметров безопасности возникает, когда:

Все параметры, применяемые с помощью локальной политики или объекта групповой политики, хранятся в локальной базе данных на вашем устройстве. Всякий раз, когда параметр безопасности изменен, компьютер сохраняет значение параметра безопасности в локальной базе данных, которая сохраняет историю всех параметров, которые были применены к устройству. Если политика сначала определяет параметр безопасности, а затем больше не определяет этот параметр, то параметр берет на себя предыдущее значение в базе данных. Если предыдущее значение не существует в базе данных, то параметр не вернется к чему-либо и остается определенным как есть. Такое поведение иногда называется «татуировка».

Параметры реестра и файлов будут поддерживать значения, применяемые в политике, до тех пор, пока этот параметр не будет установлен для других значений.

Фильтрация параметров безопасности на основе членства в группе

Вы также можете решить, какие пользователи или группы будут или не будут применять объект групповой политики к ним независимо от того, на каком компьютере они вошли, отказав им применять групповую политику или читать разрешения на этот объект групповой политики. Оба этих разрешения необходимы для применения групповой политики.

Импорт и экспорт шаблонов безопасности

Конфигурация безопасности и анализ обеспечивают возможность импорта и экспорта шаблонов безопасности в базу данных или из нее.

Если в базу данных анализа внесены какие-либо изменения, эти параметры можно сохранить, экспортив их в шаблон. Функция экспорта предоставляет возможность сохранения параметров базы данных анализа в качестве нового файла шаблона. Этот файл шаблона можно использовать для анализа или настройки системы или его можно импортировать в объект групповой политики.

Анализ результатов безопасности и просмотра

Конфигурация и анализ безопасности выполняют анализ безопасности, сравнивая текущее состояние системной безопасности с базой данных анализа. При создании база данных анализа использует по крайней мере один шаблон безопасности. Если вы решите импортировать несколько шаблонов безопасности, база данных объединит различные шаблоны и создаст один композитный шаблон. Он устраняет конфликты в порядке импорта; последний импортируемый шаблон имеет приоритет.

Конфигурация безопасности и анализ отображают результаты анализа по области безопасности, используя визуальные флаги для отображения проблем. Он отображает текущие параметры конфигурации системы и базы для каждого атрибута безопасности в областях безопасности. Чтобы изменить параметры базы данных анализа, щелкните правой кнопкой мыши запись и нажмите кнопку Свойства.

Визуальный флаг Значение
Красный X Запись определяется в базе данных анализа и в системе, но значения параметров безопасности не совпадают.
Зеленый знак проверки Запись определяется в базе данных анализа, а также в системе и значениях параметров.
Знак вопроса Запись не определена в базе данных анализа и, следовательно, не была проанализирована.
Если запись не проанализирована, может быть, что она не была определена в базе данных анализа или что пользователь, который выполняет анализ, может не иметь достаточного разрешения для выполнения анализа на определенном объекте или области.
Восклицательный пункт Этот элемент определяется в базе данных анализа, но не существует в фактической системе. Например, может существовать ограниченная группа, которая определяется в базе данных анализа, но фактически не существует в анализируемой системе.
Нет выделения Элемент не определяется в базе данных анализа или в системе.

Если вы решите принять текущие параметры, соответствующее значение в базовой конфигурации изменено, чтобы соответствовать им. Если изменить параметр системы в соответствие с базовой конфигурацией, изменение будет отражено при настройке системы с помощью конфигурации и анализа безопасности.

Чтобы избежать продолжения маркировки параметров, которые были исследованы и определены как разумные, можно изменить базовую конфигурацию. Изменения внося в копию шаблона.

Устранение несоответствий безопасности

Расхождения между базой данных анализа и настройками системы можно устранить с помощью:

Автоматизация задач конфигурации безопасности

Позвонив secedit.exe по командной подсказке из пакетного файла или автоматического расписания задач, вы можете использовать его для автоматического создания и применения шаблонов и анализа системной безопасности. Вы также можете динамически запустить его из командной подсказки. Secedit.exe полезно, если у вас есть несколько устройств, на которых необходимо анализировать или настраивать безопасность, и вам необходимо выполнять эти задачи в нечасовые часы.

Работа с инструментами групповой политики

Group Policy — это инфраструктура, которая позволяет указать управляемые конфигурации для пользователей и компьютеров с помощью параметров групповой политики и параметров групповой политики. Для параметров групповой политики, затрагивающих только локальное устройство или пользователя, можно использовать редактор локальной групповой политики. Вы можете управлять настройками групповой политики и предпочтениями групповой политики в среде служб домена Active Directory (AD DS) через консоль управления групповой политикой (GPMC). Средства управления групповой политикой также включены в пакет средств администрирования удаленного сервера, чтобы предоставить вам возможность администрирования параметров групповой политики с рабочего стола.

Источник

Справочник по обустройству дома и дачи
Adblock
detector