Материал: 11

Міністерство освіти і науки України

Харківський національний університет

радіоелектроніки

Звіт з роботи №11

з дисципліни «Основи побудови та захисту сучасних операційних систем»

з теми: «Надаштування локальной груповой полiтики об’екiв»

Харків 2019

Мета: за допомогою ПК з Windows 10 дослiдити та надаштувати локальну групову полiтику об’ектiв.

Всi дослiди проводились на ОС Windows 10 v10.0.14393.

Эссе на тему: «Локальная групповая политика объектов»

Локальная групповая политика безопасности это один из инструментов администрирования Windows. С его помощью можно настроить и определить значительное количество параметров своего компьютера, установить ограничения пользователей, запретить запускать или устанавливать программы, включить или отключить функции ОС и многое другое.

Редактор локальной групповой политики недоступен в Windows 7 home edition, Windows 8 SL (версия с одним языком), которые предустановлены на новые ПК для уменьшения затрат на покупку лицензированного ПО. Для настройки локальной групповой политики безопасности потребуется версия, начиная с professional. Запустить редактор локальной групповой политики можно в windows 10 через поиск windows, ввести «gpedit.msc». Также его можно запустить через консоль управления (ее можно открыть через выполнить mmc, или же это ввести в поиске). Также основные настройки можно проводить в Локальных политиках безопасности, вместо Редактора локальной групповой политики.

Локальную групповую политику можно настроить для конкретного пользователя так и для всего ПК. Категории и параметры для настройки одинаковые. Параметры, указанные для конкретного пользователя, имеют более высокий приоритет чем для всего ПК, поэтому только параметры, которые не заданы наследуются от политики для ПК в политику для пользователя.

Конфигурация программ отвечает за параметры настройки приложений на ПК.

Конфигурация Windows отвечает за настройку системы и безопасности.

Политика разрешения имен позволяет устанавливать правила, которые могут применятся к подразделениям Active Directory.

Сценарии запуска/завершения работы позволяют подключать скрипты, которые встраиваются в работу и, допустим, вместо завершения работы, сначала будет дана команда завершения работы. Потом будет исполнен скрипт, потом будет исполнено завершение работы.

Развернутые принтеры управляют работой и настройкой безопасности для сетевых принтеров.

Параметры безопасности включают все категории настройки в программе Локальная политика безопасности.

QoS на основе политики управляет сетевым трафиком, которые позволяет настраивать проводные сети. Данные параметры позволяют настраивать приоритеты и управлять скоростью передачи для исходящего трафика на основе множества факторов.

Административные шаблоны отвечают за настройку программ, в ней есть несколько категорий, в которых можно настроить настройки для компонентов windows, для меню Пуск, для панели управления, а также есть список всех параметров, которые возможно настроить. Еще локальная групповая политика позволяет создавать и взаимодействовать с созданными ранее шаблонами для быстрой настройки и создания пре сетов.

1 Налаштування локальной полiтики безпеки

1. Полiтика облiкових записiв

   1. Полiтика паролiв

Журнал паролiв вiдповiдає за кiлькiсть паролiв, через яку можно буде поставити пароль, що був. Срок дiї вiдповiдає за кiлькiсть днiв, через яку треба буде змiнити пароль, якщо днiв прошло бiльше, то користувач блокуеться, мiнiмальний срок дiї пароля – кiлькiсть днiв через яку можна змiнити пароль самостiйно.

2. Полiтика блокування облiкових записiв

Політика блокування облікового запису відповідає в свою чергу за дії системи при неодноразово неправильному введенні пароля, можна налаштувати повторне час введення пароля, тривалість блокування записи.

2. Локальнi полiтики

   1. Полiтика аудита

Політика аудиту відповідає за ведення лог журналів при успішних чи невдалих спробах доступу до файлів, папок, зміна налаштувань і політик, управління обліковими записами, спробами входу в систему та iнше. Ведення журнала аудита потрiбно для забезпечення захисту ПК вiд несанкцiонованого доступа.

2. Назначення прав користувачiв

Категорiя прав користувачів відповідає за те, які дії можуть виконувати конкретні користувачі, а які не можуть. Які користувачі можуть зміна часового поясу мітки об'єкта, підключатися до ПК з мережі, налаштовувати архівацію, завершувати роботу ПК і тд.

3. Параметри безпеки

В параметрах безпеки наводиться настройки політик безпеки, в ній можна налаштувати затирання файлу підкачки, виключення системи при неможливості внесення інформації. в лог журналу, налаштування шифрування, інтерактивного входу і тд.

3. Брандмауер Windows в режимi пiдвищеной безпеки

В параметрах брандмауера можно налаштувати параметри для конкретных типiв мереж, чи буде вiн блокувати пiдключення, вказати ведення лог журналу.

4. Полiтики диспетчера списка мереж

В диспетчерi списка мереж треба налаштувати вiдображення всiх типiв мережевих пiдключень, та дозволи для користувачiв, мають вони право змiнювати iм’я мережi, чий ого значок. Для коректного вiдображення треба заборонити змiну параметрiв для всiх типiв мереж.

5. Полiтика вiдкритого ключа

Полiтика що до шифрування ОС чи ФС, не обов’язковий параметр для ПК органiзацiї, бiльше потрiбно для особистого ПК.

6. Полiтика обмеженого використання програм

Дана полiтика потрiбна для захисту користувачiв вiд запуска шкiдливих файлiв. Спочатку налаштовуються типи файлiв, що можуть виконуватись, потiм для яких користувачiв, а потiм довiрених виробникiв, програми котрих можно запускати.

7. Полiтика управлiння програмами

Полiтика управлiння програмами представлена програмою applocker, в якiй можна створювати окремi набори правил для виконуваних файлiв, для файлiв оновлення windows, для скриптiв, а також для упакованих програм. В правилi можно вказати що воно робитиме, для яких користувачiв, а також для яких виробникiв чи до якой папки воно матиме застосування.

8. Конфiгурацiя розширеной полiтики аудита

Для забезпечення безпеки достатньо звичайного аудита. Але також можна налаштувати аудит для змiнних носiїв. Також пiдiйде налаштування аудита доступа використання привiгелiй, що зачипають конфеденцiйнi данi.

Висновок: пiд час лабораторной роботи я за допомогою ПК з Windows 10 дослiдив та вiдредагував локальну групову полiтику об’ектiв.

Пiд час налаштування локальной груповой полiтики налашовувати потрiбно полiтику для ПК. Спочатку проводиться налаштування Параметрiв безпеки – Полiтики облiкових записiв, потiм налаштовуються права користувачiв, для якой треба заборонити интерактивний вхiд (якщо не використовуеться). В назначення прав треба заборонити доступ до пк iз-за мережi, також закрити доступ для гостя.

Потiм для всiх пк треба налаштувати полiтику аудита, а також ведення журналу аудита.

В полiтицi обмеженого доступа треба налаштувати рiвнi безпеки, для звичайних користувачiв це рiвень – звичайний користувач, для адмiнiстратора – необмежений. Також треба вказати довiрених виробникiв по. Це заборонить запуск непiдписаних програм.