Меню Рубрики

Установка политик безопасности на сервере

Администрирование параметров политики безопасности Administer security policy settings

Относится к: Applies to

В этой статье описаны различные способы администрирования параметров политики безопасности на локальном устройстве или в масштабах малых и средних организаций. This article discusses different methods to administer security policy settings on a local device or throughout a small- or medium-sized organization.

Параметры политики безопасности следует использовать в рамках общей реализации безопасности, чтобы помочь защитить контроллеры домена, серверы, клиентские устройства и другие ресурсы в Организации. Security policy settings should be used as part of your overall security implementation to help secure domain controllers, servers, client devices, and other resources in your organization.

Политики настройки безопасности — это правила, которые можно настроить на устройстве или на нескольких устройствах, в целях защиты ресурсов на устройстве или в сети. Security settings policies are rules that you can configure on a device, or multiple devices, for the purpose of protecting resources on a device or network. Расширение «Параметры безопасности» оснастки «Редактор локальной групповой политики» (gpedit. msc) позволяет определять конфигурации безопасности как часть объекта групповой политики (GPO). The Security Settings extension of the Local Group Policy Editor snap-in (Gpedit.msc) allows you to define security configurations as part of a Group Policy Object (GPO). Объекты GPO связаны с контейнерами Active Directory, такими как сайты, домены и подразделения, и они позволяют администраторам управлять параметрами безопасности для нескольких компьютеров с любого устройства, подключенного к домену. The GPOs are linked to Active Directory containers such as sites, domains, and organizational units, and they enable administrators to manage security settings for multiple computers from any device joined to the domain.

Параметры безопасности могут управлять: Security settings can control:

  • Проверка подлинности пользователя в сети или на устройстве. User authentication to a network or device.
  • Ресурсы, к которым разрешен доступ пользователям. The resources that users are permitted to access.
  • Записываются ли в журнал событий действия пользователя или группы. Whether to record a user’s or group’s actions in the event log.
  • Участие в группе. Membership in a group.

Сведения о каждом параметре, включая описания, параметры по умолчанию, а также о вопросах управления и безопасности, приведены в статье Параметры политики безопасности. For info about each setting, including descriptions, default settings, and management and security considerations, see Security policy settings reference.

Для управления конфигурациями безопасности нескольких компьютеров можно использовать один из следующих вариантов: To manage security configurations for multiple computers, you can use one of the following options:

  • Редактирование отдельных параметров безопасности в объекте групповой политики. Edit specific security settings in a GPO.
  • С помощью оснастки «Шаблоны безопасности» Создайте шаблон безопасности, содержащий политики безопасности, которые вы хотите применить, а затем импортируйте шаблон безопасности в объект групповой политики. Use the Security Templates snap-in to create a security template that contains the security policies you want to apply, and then import the security template into a Group Policy Object. Шаблон безопасности — это файл, который представляет конфигурацию безопасности, а также может быть импортирован в GPO или применен на локальном устройстве, а также может использоваться для анализа безопасности. A security template is a file that represents a security configuration, and it can be imported to a GPO, or applied to a local device, or it can be used to analyze security.

Изменения в администрировании параметров What’s changed in how settings are administered

С течением времени появились новые способы управления параметрами политики безопасности, включая новые возможности операционной системы и добавление новых параметров. Over time, new ways to manage security policy settings have been introduced, which include new operating system features and the addition of new settings. В следующей таблице перечислены различные способы администрирования параметров политики безопасности. The following table lists different means by which security policy settings can be administered.

Инструмент или функция Tool or feature Описание и использование Description and use
Оснастка политики безопасности Security Policy snap-in Secpol. msc Secpol.msc
Оснастка MMC, предназначенная для управления только параметрами политики безопасности. MMC snap-in designed to manage only security policy settings.
Средство командной строки редактора безопасности Security editor command line tool Secedit. exe Secedit.exe
Настраивает и анализирует безопасность системы, сравнив текущую конфигурацию с определенными шаблонами безопасности. Configures and analyzes system security by comparing your current configuration to specified security templates.
Управление соответствием требованиям безопасности Security Compliance Manager Загрузка средства Tool download
Акселератор решений, который помогает планировать, развертывать, работать и управлять базовыми планами безопасности для клиентских и серверных операционных систем Windows и приложений Microsoft. A Solution Accelerator that helps you plan, deploy, operate, and manage your security baselines for Windows client and server operating systems, and Microsoft applications.
Мастер настройки безопасности Security Configuration Wizard SCW. exe Scw.exe
SCW — это средство на основе ролей, доступное только на серверах. Вы можете использовать его для создания политики, которая включает службы, правила брандмауэра и параметры, необходимые для выполнения определенных ролей на выбранном сервере. SCW is a role-based tool available on servers only: You can use it to create a policy that enables services, firewall rules, and settings that are required for a selected server to perform specific roles.
Средство управления конфигурацией безопасности Security Configuration Manager tool Этот набор инструментов позволяет создавать, применять и изменять безопасность для локального устройства, организационного подразделения или домена. This tool set allows you to create, apply, and edit the security for your local device, organizational unit, or domain.
Групповая политика Group Policy GPMC. msc и gpedit. msc Gpmc.msc and Gpedit.msc
Консоль управления групповыми политиками использует редактор объектов групповой политики для предоставления доступа к локальным параметрам безопасности, который затем может быть внедрен в объекты групповой политики для распространения в домене. The Group Policy Management Console uses the Group Policy Object editor to expose the local Security options, which can then be incorporated into Group Policy Objects for distribution throughout the domain. С помощью редактора локальной групповой политики на локальном устройстве выполняются аналогичные функции. The Local Group Policy Editor performs similar functions on the local device.
Политики ограниченного использования программ Software Restriction Policies
Дополнительные сведения см. в разделе Администрирование политик ограниченного использования программ See Administer Software Restriction Policies
Gpedit. msc Gpedit.msc
Политики ограниченного использования программ (SRP) — это функция, основанная на групповой политике, которая определяет программы, запущенные на компьютерах домена, и определяет возможность запуска этих программ. Software Restriction Policies (SRP) is a Group Policy-based feature that identifies software programs running on computers in a domain, and it controls the ability of those programs to run.
Администрирование AppLocker Administer AppLocker
Просмотр в разделе Администрирование AppLocker See Administer AppLocker
Gpedit. msc Gpedit.msc
Запрещает вредоносным программам и неподдерживаемым приложениям влиять на компьютеры в вашей среде, а также предотвращает установку и использование неавторизованных приложений для пользователей в вашей организации. Prevents malicious software (malware) and unsupported applications from affecting computers in your environment, and it prevents users in your organization from installing and using unauthorized applications.

Использование оснастки локальной политики безопасности Using the Local Security Policy snap-in

Оснастка локальной политики безопасности (secpol. msc) ограничивает просмотр объектов локальной политики следующими параметрами и политиками: The Local Security Policy snap-in (Secpol.msc) restricts the view of local policy objects to the following policies and features:

  • Политики учетных записей Account Policies
  • Локальные политики Local Policies
  • Брандмауэр Windows в режиме повышенной безопасности Windows Firewall with Advanced Security
  • Политики диспетчера списков сетей Network List Manager Policies
  • Политики открытого ключа Public Key Policies
  • Политики ограниченного использования программ Software Restriction Policies
  • Политики управления приложениями Application Control Policies
  • Политики безопасности IP на локальном компьютере IP Security Policies on Local Computer
  • Настройка политики расширенной проверки Advanced Audit Policy Configuration

Политики, заданные локально, могут быть переписаны, если компьютер присоединен к домену. Policies set locally might be overwritten if the computer is joined to the domain.

Оснастка локальной политики безопасности входит в набор средств диспетчера настройки безопасности. The Local Security Policy snap-in is part of the Security Configuration Manager tool set. Сведения о других средствах, описанных в этом наборе инструментов, приведены в разделе Работа с диспетчером настройки безопасности . For info about other tools in this tool set, see Working with the Security Configuration Manager in this topic.

Использование средства командной строки Secedit Using the secedit command-line tool

Средство командной строки Secedit работает с шаблонами безопасности и имеет шесть основных функций. The secedit command-line tool works with security templates and provides six primary functions:

  • Параметр Configure помогает устранить несоответствия системы безопасности между устройствами, применяя правильный шаблон безопасности к серверу настроенная система. The Configure parameter helps you resolve security discrepancies between devices by applying the correct security template to the errant server.
  • Параметр Analyze сравнивает конфигурацию безопасности сервера с выбранным шаблоном. The Analyze parameter compares the server’s security configuration with the selected template.
  • Параметр импорта позволяет создать базу данных на основе существующего шаблона. The Import parameter allows you to create a database from an existing template. Это также можно сделать с помощью средства настройки и анализа безопасности. The Security Configuration and Analysis tool does this also.
  • Параметр Экспорт позволяет экспортировать параметры из базы данных в шаблон параметров безопасности. The Export parameter allows you to export the settings from a database into a security settings template.
  • Параметр Validate позволяет проверять синтаксис каждой или любой строки текста, который вы создали или добавили в шаблон безопасности. The Validate parameter allows you to validate the syntax of each or any lines of text that you created or added to a security template. Это гарантирует, что если шаблон не будет применяться к синтаксису, это не приведет к возникновению проблем с шаблоном. This ensures that if the template fails to apply syntax, the template will not be the issue.
  • Параметр Generate ROLLBACK сохраняет текущие параметры безопасности сервера в шаблоне безопасности, чтобы можно было использовать для восстановления большей части параметров безопасности сервера в известное состояние. The Generate Rollback parameter saves the server’s current security settings into a security template so it can be used to restore most of the server’s security settings to a known state. Исключением является то, что при применении шаблон ROLLBACK не изменит элементы списка управления доступом для файлов или записей реестра, которые были изменены последним примененным шаблоном. The exceptions are that, when applied, the rollback template will not change access control list entries on files or registry entries that were changed by the most recently applied template.

Использование диспетчера соответствия требованиям безопасности Using the Security Compliance Manager

Диспетчер соответствия требованиям безопасности — это средство для загрузки, которое помогает планировать, развертывать, работать и управлять базовыми планами безопасности для клиентских и серверных операционных систем Windows, а также для приложений Microsoft. The Security Compliance Manager is a downloadable tool that helps you plan, deploy, operate, and manage your security baselines for Windows client and server operating systems, and for Microsoft applications. Она содержит полную базу данных рекомендуемых параметров безопасности, методы для настройки базовых показателей и возможность применения этих параметров в нескольких форматах, в том числе XLS, GPO, пакеты управления требуемой конфигурацией (DCM) или содержимое безопасности. Протокол автоматизации (СКАП). It contains a complete database of recommended security settings, methods to customize your baselines, and the option to implement those settings in multiple formats—including XLS, GPOs, Desired Configuration Management (DCM) packs, or Security Content Automation Protocol (SCAP). Диспетчер соответствия требованиям безопасности используется для экспорта базовых планов в среду для автоматизации процесса проверки подлинности при развертывании базового уровня безопасности и соответствия требованиям. The Security Compliance Manager is used to export the baselines to your environment to automate the security baseline deployment and compliance verification process.

Администрирование политик безопасности с помощью диспетчера соответствия требованиям безопасности To administer security policies by using the Security Compliance Manager

  1. Загрузите последнюю версию. Download the most recent version. Дополнительные сведения можно найти в блоге по Microsoft Security . You can find out more info on the Microsoft Security Guidance blog.
  2. Ознакомьтесь с соответствующей базовой документацией по безопасности, которая включена в этот инструмент. Read the relevant security baseline documentation that is included in this tool.
  3. Скачайте и импортируйте необходимые базовые планы безопасности. Download and import the relevant security baselines. Процесс установки этапы выделения базовой линии. The installation process steps you through baseline selection.
  4. Откройте справку и следуйте инструкциям по настройке, сравнению и слиянию базовых показателей безопасности перед развертыванием этих базовых планов. Open the Help and follow instructions how to customize, compare, or merge your security baselines before deploying those baselines.

Использование мастера настройки безопасности Using the Security Configuration Wizard

Мастер настройки безопасности (SCW) поможет вам выполнить процесс создания, изменения, применения или отката политики безопасности. The Security Configuration Wizard (SCW) guides you through the process of creating, editing, applying, or rolling back a security policy. Политика безопасности, созданная с помощью SCW, является XML-файлом, который, при применении, настраивает службы, сетевую безопасность, определенные значения реестра и политику аудита. A security policy that you create with SCW is an .xml file that, when applied, configures services, network security, specific registry values, and audit policy. SCW — это инструмент, основанный на ролях: вы можете использовать его для создания политики, которая включает службы, правила брандмауэра и параметры, необходимые для выполнения определенных ролей на выбранном сервере. SCW is a role-based tool: You can use it to create a policy that enables services, firewall rules, and settings that are required for a selected server to perform specific roles. Например, сервер может быть файлом сервера, сервером печати или контроллером домена. For example, a server might be a file server, a print server, or a domain controller.

Ниже приведены рекомендации по использованию SCW. The following are considerations for using SCW:

  • SCW отключает ненужные службы и предоставляет брандмауэр Windows с дополнительной поддержкой безопасности. SCW disables unnecessary services and provides Windows Firewall with Advanced Security support.
  • Политики безопасности, созданные с помощью SCW, не совпадают с шаблонами безопасности, которые представляют собой файлы с расширением INF. Security policies that are created with SCW are not the same as security templates, which are files with an .inf extension. Шаблоны безопасности содержат больше параметров безопасности, чем те, которые можно настроить с помощью SCW. Security templates contain more security settings than those that can be set with SCW. Тем не менее, шаблон безопасности можно включить в файл политики безопасности SCW. However, it is possible to include a security template in an SCW security policy file.
  • Вы можете развертывать политики безопасности, созданные с помощью SCW, с помощью групповой политики. You can deploy security policies that you create with SCW by using Group Policy.
  • SCW не устанавливает и не удаляет компоненты, необходимые для выполнения роли сервером. SCW does not install or uninstall the features necessary for the server to perform a role. Вы можете установить специальные возможности сервера в диспетчере серверов. You can install server role-specific features through Server Manager.
  • SCW обнаруживает зависимости ролей сервера. SCW detects server role dependencies. Если выбрать роль сервера, она автоматически выберет зависимые роли сервера. If you select a server role, it automatically selects dependent server roles.
  • Все приложения, которые используют протокол IP и порты, должны быть запущены на сервере при запуске SCW. All apps that use the IP protocol and ports must be running on the server when you run SCW.
  • В некоторых случаях для использования ссылок в справке SCW требуется подключение к Интернету. In some cases, you must be connected to the Internet to use the links in the SCW help.

SCW доступен только в Windows Server и применим только к установкам сервера. The SCW is available only on Windows Server and only applicable to server installations.

SCW можно открыть с помощью диспетчера серверов или с помощью SCW. exe. The SCW can be accessed through Server Manager or by running scw.exe. Мастер поможет вам выполнить настройку безопасности сервера следующим образом: The wizard steps you through server security configuration to:

  • Создание политики безопасности, которая может быть применена к любому серверу в сети. Create a security policy that can be applied to any server on your network.
  • Изменение существующей политики безопасности. Edit an existing security policy.
  • Применение существующей политики безопасности. Apply an existing security policy.
  • Откат последнего примененного правила безопасности. Roll back the last applied security policy.

Мастер политики безопасности настраивает службы и безопасность сети на основе роли сервера, а также настраивает аудит и параметры реестра. The Security Policy Wizard configures services and network security based on the server’s role, as well as configures auditing and registry settings.

Дополнительные сведения о SCW, в том числе о процедурах, описаны в разделе Мастер настройки безопасности. For more information about SCW, including procedures, see Security Configuration Wizard.

Работа с диспетчером настройки безопасности Working with the Security Configuration Manager

Набор средств управления конфигурацией безопасности позволяет создавать, применять и изменять безопасность для локального устройства, подразделения или домена. The Security Configuration Manager tool set allows you to create, apply, and edit the security for your local device, organizational unit, or domain.

Инструкции по использованию диспетчера настройки безопасности содержатся в разделе Диспетчер настройки безопасности. For procedures on how to use the Security Configuration Manager, see Security Configuration Manager.

В таблице ниже перечислены возможности диспетчера настройки безопасности. The following table lists the features of the Security Configuration Manager.

Средства диспетчера настройки безопасности Security Configuration Manager tools Описание Description
Анализ и настройка безопасности Security Configuration and Analysis Определяет политику безопасности в шаблоне. Defines a security policy in a template. Эти шаблоны можно применять к групповой политике или на локальном компьютере. These templates can be applied to Group Policy or to your local computer.
Шаблоны безопасности Security templates Определяет политику безопасности в шаблоне. Defines a security policy in a template. Эти шаблоны можно применять к групповой политике или на локальном компьютере. These templates can be applied to Group Policy or to your local computer.
Расширение «Параметры безопасности» для групповой политики Security Settings extension to Group Policy Редактирование отдельных параметров безопасности домена, сайта или подразделения. Edits individual security settings on a domain, site, or organizational unit.
Локальная политика безопасности Local Security Policy Изменение отдельных параметров безопасности на локальном компьютере. Edits individual security settings on your local computer.
Программы Secedit Автоматизирует задачи настройки безопасности в командной строке. Automates security configuration tasks at a command prompt.

Анализ и настройка безопасности Security Configuration and Analysis

Настройка и анализ безопасности — это оснастка MMC для анализа и настройки безопасности локальной системы. Security Configuration and Analysis is an MMC snap-in for analyzing and configuring local system security.

Анализ безопасности Security analysis

Состояние операционной системы и приложений на устройстве является динамическим. The state of the operating system and apps on a device is dynamic. Например, может потребоваться временно изменить уровни безопасности, чтобы можно было немедленно устранить проблему, связанную с администрированием или сетью. For example, you may need to temporarily change security levels so that you can immediately resolve an administration or network issue. Тем не менее, это изменение часто может отменять обратный переход. However, this change can often go unreversed. Это означает, что компьютер больше не отвечает требованиям для корпоративной безопасности. This means that a computer may no longer meet the requirements for enterprise security.

Регулярный анализ позволяет отслеживать и обеспечивать адекватный уровень безопасности на каждом компьютере в рамках программы управления рисками предприятия. Regular analysis enables you to track and ensure an adequate level of security on each computer as part of an enterprise risk management program. Вы можете настроить уровни безопасности и, что важнее, выявить изъяны системы безопасности, которые могут возникать в системе за определенный период времени. You can tune the security levels and, most importantly, detect any security flaws that may occur in the system over time.

С помощью средств анализа и настройки безопасности вы можете быстро просматривать результаты анализа безопасности. Security Configuration and Analysis enables you to quickly review security analysis results. Она представляет рекомендации вместе с текущими системными параметрами и использует визуальные флаги или замечания для выбора тех областей, в которых текущие параметры не соответствуют предполагаемому уровню безопасности. It presents recommendations alongside of current system settings and uses visual flags or remarks to highlight any areas where the current settings do not match the proposed level of security. Средства анализа и настройки безопасности также предоставляют возможность устранения несоответствий, обнаруженных в ходе анализа. Security Configuration and Analysis also offers the ability to resolve any discrepancies that analysis reveals.

Настройка безопасности Security configuration

Кроме того, с помощью средств анализа и настройки безопасности можно прямо настраивать безопасность локальной системы. Security Configuration and Analysis can also be used to directly configure local system security. С помощью личных баз данных вы можете импортировать шаблоны безопасности, созданные с помощью шаблонов безопасности, и применять эти шаблоны на локальном компьютере. Through its use of personal databases, you can import security templates that have been created with Security Templates and apply these templates to the local computer. Это немедленно настраивает безопасность системы на уровнях, заданных в шаблоне. This immediately configures the system security with the levels specified in the template.

Шаблоны безопасности Security templates

С помощью оснастки «Шаблоны безопасности» для консоли управления Майкрософт вы можете создать политику безопасности для вашего устройства или для вашей сети. With the Security Templates snap-in for Microsoft Management Console, you can create a security policy for your device or for your network. Это единственная точка входа, в которой можно учитывать весь диапазон безопасности системы. It is a single point of entry where the full range of system security can be taken into account. С помощью оснастки «Шаблоны безопасности» не появятся новые параметры безопасности, поэтому она просто организует все существующие атрибуты безопасности в одном месте, чтобы упростить администрирование безопасности. The Security Templates snap-in does not introduce new security parameters, it simply organizes all existing security attributes into one place to ease security administration.

Импорт шаблона безопасности в объект групповой политики упрощает администрирование домена, настраивая безопасность для домена или подразделения одновременно. Importing a security template to a Group Policy Object eases domain administration by configuring security for a domain or organizational unit at once.

Чтобы применить шаблон безопасности к локальному устройству, вы можете использовать оснастку «Анализ и настройка безопасности» или средство командной строки Secedit. To apply a security template to your local device, you can use Security Configuration and Analysis or the secedit command-line tool.

Шаблоны безопасности можно использовать для определения следующих параметров. Security templates can be used to define:

  • Политики учетных записей Account Policies
    • Политика паролей Password Policy
    • Политика блокировки учетной записи Account Lockout Policy
    • Политика Kerberos Kerberos Policy
  • Локальные политики Local Policies
    • Политика аудита Audit Policy
    • Назначение прав пользователя User Rights Assignment
    • Параметры безопасности Security Options
  • Журнал событий: параметры журнала событий приложения, системы и безопасности Event Log: Application, system, and security Event Log settings
  • Группы с ограниченным доступом: членство в группах, учитывающих безопасность Restricted Groups: Membership of security-sensitive groups
  • Системные службы: запуск и разрешения для системных служб System Services: Startup and permissions for system services
  • Реестр: разрешения для разделов реестра Registry: Permissions for registry keys
  • Файловая система: разрешения для папок и файлов File System: Permissions for folders and files

Каждый шаблон сохраняется как текстовый файл с расширением. INF. Each template is saved as a text-based .inf file. Это позволяет скопировать, вставить, импортировать или экспортировать некоторые или все атрибуты шаблона. This enables you to copy, paste, import, or export some or all of the template attributes. За исключением политик безопасности IP и политики открытого ключа, все атрибуты безопасности могут содержаться в шаблоне безопасности. With the exceptions of Internet Protocol security and public key policies, all security attributes can be contained in a security template.

Расширение «Параметры безопасности» для групповой политики Security settings extension to Group Policy

Организационные подразделения, домены и сайты связаны с объектами групповой политики. Organizational units, domains, and sites are linked to Group Policy Objects. С помощью средства «Параметры безопасности» можно изменить конфигурацию безопасности объекта групповой политики, в свою очередь на нескольких компьютерах. The security settings tool allows you change the security configuration of the Group Policy Object, in turn, affecting multiple computers. С помощью параметров безопасности вы можете изменять параметры безопасности многих устройств, в зависимости от того, какой объект групповой политики вы изменяете, с одного устройства, подключенного к домену. With security settings, you can modify the security settings of many devices, depending on the Group Policy Object you modify, from just one device joined to a domain.

Параметры безопасности или политики безопасности — это правила, настроенные на устройстве или на нескольких устройствах для защиты ресурсов на устройстве или в сети. Security settings or security policies are rules that are configured on a device or multiple device for protecting resources on a device or network. Параметры безопасности могут управлять: Security settings can control:

  • Способ проверки подлинности пользователей в сети или на устройстве How users are authenticated to a network or device
  • Ресурсы пользователей, которым разрешено использовать. What resources users are authorized to use.
  • Записываются ли в журнал событий действия пользователя или группы. Whether or not a user’s or group’s actions are recorded in the event log.
  • Участие в группах. Group membership.

Вы можете изменить конфигурацию безопасности на нескольких компьютерах двумя способами: You can change the security configuration on multiple computers in two ways:

  • Создайте политику безопасности с помощью шаблона безопасности с шаблонами безопасности, а затем импортируйте шаблон с помощью параметров безопасности в объекте групповой политики. Create a security policy by using a security template with Security Templates, and then import the template through security settings to a Group Policy Object.
  • Измените несколько выбранных параметров с помощью параметров безопасности. Change a few select settings with security settings.

Локальная политика безопасности Local Security Policy

Политика безопасности — это сочетание параметров безопасности, влияющих на безопасность устройства. A security policy is a combination of security settings that affect the security on a device. С помощью локальной политики безопасности можно изменять политики учетных записей и локальные политики на локальном устройстве. You can use your local security policy to edit account policies and local policies on your local device

С помощью локальной политики безопасности вы можете управлять: With the local security policy, you can control:

  • Кто получает доступ к устройству. Who accesses your device.
  • Ресурсы пользователей, разрешенные для использования на вашем устройстве. What resources users are authorized to use on your device.
  • Записываются ли в журнал событий действия пользователя или группы. Whether or not a user’s or group’s actions are recorded in the event log.

Если локальное устройство подключено к домену, вы можете получить политику безопасности из политики домена или из политики любого подразделения, с которым вы являетесь участником. If your local device is joined to a domain, you are subject to obtaining a security policy from the domain’s policy or from the policy of any organizational unit that you are a member of. Если вы получаете политику из нескольких источников, конфликты разрешаются в следующем порядке приоритета. If you are getting a policy from more than one source, conflicts are resolved in the following order of precedence.

  1. Политика организационных подразделений Organizational unit policy
  2. Политика домена Domain policy
  3. Политика сайта Site policy
  4. Политика локального компьютера Local computer policy

Если вы измените параметры безопасности на вашем локальном устройстве с помощью локальной политики безопасности, вы напрямую измените параметры на своем устройстве. If you modify the security settings on your local device by using the local security policy, then you are directly modifying the settings on your device. Таким образом, параметры вступают в силу немедленно, но это может быть временным. Therefore, the settings take effect immediately, but this may only be temporary. Фактические параметры вступят в силу на вашем локальном устройстве, пока не будут обновлены параметры безопасности групповой политики, если параметры безопасности, полученные из групповой политики, переопределят локальные настройки везде, где есть конфликты. The settings will actually remain in effect on your local device until the next refresh of Group Policy security settings, when the security settings that are received from Group Policy will override your local settings wherever there are conflicts.

Использование диспетчера настройки безопасности Using the Security Configuration Manager

Инструкции по использованию диспетчера настройки безопасности содержатся в разделе Управление конфигурациейбезопасности. For procedures on how to use the Security Configuration Manager, see Security Configuration Manager How To. В этом разделе содержатся сведения в этой статье. This section contains information in this topic about:

Применение параметров безопасности Applying security settings

После изменения параметров безопасности эти параметры будут обновляться на компьютерах в подразделении, связанных с объектом групповой политики. Once you have edited the security settings, the settings are refreshed on the computers in the organizational unit linked to your Group Policy Object:

  • При перезапуске устройства параметры этого устройства будут обновляться. When a device is restarted, the settings on that device will be refreshed.
  • Чтобы принудительно обновить параметры безопасности для устройства, а также все параметры групповой политики, используйте gpupdate. exe. To force a device to refresh its security settings as well as all Group Policy settings, use gpupdate.exe.

Приоритет политики, если на компьютере установлено более одной политики Precedence of a policy when more than one policy is applied to a computer

Для параметров безопасности, определенных в более чем одной политике, наблюдается следующий порядок приоритетов: For security settings that are defined by more than one policy, the following order of precedence is observed:

  1. Политика организационных подразделений Organizational Unit Policy
  2. Политика домена Domain Policy
  3. Политика сайта Site Policy
  4. Политика локального компьютера Local computer Policy

Например, Рабочая станция, подключенная к домену, будет иметь локальные параметры безопасности, переопределенные политикой домена в любом случае конфликта. For example, a workstation that is joined to a domain will have its local security settings overridden by the domain policy wherever there is a conflict. Аналогичным образом, если одна и та же Рабочая станция является членом подразделения, параметры, примененные из политики подразделений, будут переопределять параметры домена и локальных параметров. Likewise, if the same workstation is a member of an Organizational Unit, the settings applied from the Organizational Unit’s policy will override both the domain and local settings. Если Рабочая станция входит в несколько организационных подразделений, в подразделении, которое сразу же содержит рабочую станцию, может быть указан самый высокий приоритет. If the workstation is a member of more than one Organizational Unit, then the Organizational Unit that immediately contains the workstation has the highest order of precedence.

Используйте Gpresult. exe, чтобы узнать, какие политики применяются к устройству и в каком порядке. Use gpresult.exe to find out what policies are applied to a device and in what order.
Для учетных записей домена может быть только одна политика учетных записей, включающая политики паролей, политики блокировки учетных записей и политики Kerberos. For domain accounts, there can be only one account policy that includes password policies, account lockout policies, and Kerberos policies.

Постоянство в параметрах безопасности Persistence in security settings

Параметры безопасности могут оставаться на связи даже в том случае, если параметр больше не определен в политике, в которой он был изначально применен. Security settings may still persist even if a setting is no longer defined in the policy that originally applied it.

Постоянство в параметрах безопасности возникает в указанных ниже случаях. Persistence in security settings occurs when:

  • Параметр не был ранее определен для устройства. The setting has not been previously defined for the device.
  • Этот параметр относится к объекту реестра. The setting is for a registry object.
  • Этот параметр относится к объекту файловой системы. The setting is for a file system object.

Все параметры, примененные к локальной политике или объекту групповой политики, хранятся в локальной базе данных на устройстве. All settings applied through local policy or a Group Policy Object are stored in a local database on your device. При изменении параметров безопасности компьютер сохраняет значение параметра безопасности в локальной базе данных, которое сохраняет историю всех параметров, примененных к устройству. Whenever a security setting is modified, the computer saves the security setting value to the local database, which retains a history of all the settings that have been applied to the device. Если политика сначала определяет параметр безопасности, а затем этот параметр больше не определен, параметр принимает предыдущее значение в базе данных. If a policy first defines a security setting and then no longer defines that setting, then the setting takes on the previous value in the database. Если в базе данных нет прежнего значения, этот параметр не будет возвращен ни к чему, но останется на определенном. If a previous value does not exist in the database, then the setting does not revert to anything and remains defined as is. Такое поведение иногда называют «восстановленным». This behavior is sometimes called «tattooing.»

Параметры реестра и файлов будут сохранять значения, примененные к политике, пока для этого параметра не будет задано значение другие значения. Registry and file settings will maintain the values applied through policy until that setting is set to other values.

Фильтрация параметров безопасности на основе членства в группе Filtering security settings based on group membership

Кроме того, вы можете выбрать, к каким пользователям или группам не применен объект групповой политики, независимо от того, на каком компьютере они зарегистрированы, отменив их групповой политикой или разрешением на чтение для этого объекта групповой политики. You can also decide what users or groups will or will not have a Group Policy Object applied to them regardless of what computer they have logged onto by denying them either the Apply Group Policy or Read permission on that Group Policy Object. Оба этих разрешения необходимы для применения групповой политики. Both of these permissions are needed to apply Group Policy.

Импорт и экспорт шаблонов безопасности Importing and exporting security templates

Средства анализа и настройки безопасности предоставляют возможность импорта и экспорта шаблонов безопасности в базу данных или из нее. Security Configuration and Analysis provides the ability to import and export security templates into or from a database.

Если вы внесли изменения в базу данных анализа, вы можете сохранить эти параметры, экспортировав их в шаблон. If you have made any changes to the analysis database, you can save those settings by exporting them into a template. Функция экспорта предоставляет возможность сохранить параметры базы данных анализа как новый файл шаблона. The export feature provides the ability to save the analysis database settings as a new template file. Этот файл шаблона можно затем использовать для анализа или настройки системы, а также для его импорта в объект групповой политики. This template file can then be used to analyze or configure a system, or it can be imported to a Group Policy Object.

Анализ безопасности и просмотр результатов Analyzing security and viewing results

Настройка и анализ безопасности выполняют анализ безопасности, сравнивая текущее состояние системы безопасности с базой данных анализа. Security Configuration and Analysis performs security analysis by comparing the current state of system security against an analysis database. Во время создания база данных анализа использует по крайней мере один шаблон безопасности. During creation, the analysis database uses at least one security template. Если вы решите импортировать несколько шаблонов безопасности, база данных объединит различные шаблоны и создаст один составной шаблон. If you choose to import more than one security template, the database will merge the various templates and create one composite template. Конфликты устраняются в порядке импорта. последний импортированный шаблон имеет приоритет. It resolves conflicts in order of import; the last template that is imported takes precedence.

В разделе «анализ и настройка безопасности» отображаются области «результаты анализа по безопасности» с использованием визуальных флагов для обозначения проблем. Security Configuration and Analysis displays the analysis results by security area, using visual flags to indicate problems. В нем отображаются текущие и базовые параметры конфигурации для каждого атрибута безопасности в областях безопасности. It displays the current system and base configuration settings for each security attribute in the security areas. Чтобы изменить параметры базы данных анализа, щелкните ее правой кнопкой мыши и выберите пункт Свойства. To change the analysis database settings, right-click the entry, and then click Properties.

Визуальный флаг Visual flag Значение Meaning
Красный крестик Red X Элемент определен в базе данных анализа и в системе, но значения параметров безопасности не совпадают. The entry is defined in the analysis database and on the system, but the security setting values do not match.
Зеленая галочка Green check mark Элемент определяется в базе данных анализа и в системе, и значения параметров совпадают. The entry is defined in the analysis database and on the system and the setting values match.
Вопросительный знак Question mark Элемент не определен в базе данных анализа и, следовательно, не проанализирован. The entry is not defined in the analysis database and, therefore, was not analyzed.
Если элемент не анализируется, возможно, он не был определен в базе данных анализа или у пользователя, выполняющего анализ, может быть недостаточно разрешений для выполнения анализа определенного объекта или области. If an entry is not analyzed, it may be that it was not defined in the analysis database or that the user who is running the analysis may not have sufficient permission to perform analysis on a specific object or area.
Восклицательный знак Exclamation point Этот элемент определен в базе данных анализа, но не существует в реальной системе. This item is defined in the analysis database, but does not exist on the actual system. Например, может существовать группа с ограниченным доступом, определенная в базе данных анализа, но фактически не существует в проанализированной системе. For example, there may be a restricted group that is defined in the analysis database but does not actually exist on the analyzed system.
Ничего не выдели No highlight Элемент не определен в базе данных анализа или в системе. The item is not defined in the analysis database or on the system.

Если вы решите сохранить текущие настройки, соответствующее значение в базовой конфигурации будет изменено в соответствии с этими параметрами. If you choose to accept the current settings, the corresponding value in the base configuration is modified to match them. Если вы измените параметр система в соответствии с базовой конфигурацией, изменения будут отражены при настройке системы с помощью анализа и настройки безопасности. If you change the system setting to match the base configuration, the change will be reflected when you configure the system with Security Configuration and Analysis.

Чтобы избежать пометки параметров, которые вы изучили и признаны разумными, вы можете изменить базовую конфигурацию. To avoid continued flagging of settings that you have investigated and determined to be reasonable, you can modify the base configuration. Изменения вносятся в копию шаблона. The changes are made to a copy of the template.

Устранение несоответствий для системы безопасности Resolving security discrepancies

Расхождения между базой данных анализа и системными параметрами можно устранить, выполнив указанные ниже действия. You can resolve discrepancies between analysis database and system settings by:

  • Принимая или изменяя некоторые или все значения, помеченные или не включенные в конфигурацию, если вы определили, что локальные уровни безопасности системы являются допустимыми из-за контекста (или роли) этого компьютера. Accepting or changing some or all of the values that are flagged or not included in the configuration, if you determine that the local system security levels are valid due to the context (or role) of that computer. Эти значения атрибутов затем обновляются в базе данных и применяются к системе при нажатии кнопки » настроить компьютер«. These attribute values are then updated in the database and applied to the system when you click Configure Computer Now.
  • Настройка системы на значения базы данных анализа, если вы определили, что система не соответствует допустимым уровням безопасности. Configuring the system to the analysis database values, if you determine the system is not in compliance with valid security levels.
  • Импорт более подходящего шаблона для роли этого компьютера в базу данных в качестве новой базовой конфигурации и ее применения к системе. Importing a more appropriate template for the role of that computer into the database as the new base configuration and applying it to the system.
    Изменения, вносимые в базу данных анализа, вносятся в шаблон, хранящийся в базе данных, а не в файл шаблона безопасности. Changes to the analysis database are made to the stored template in the database, not to the security template file. Файл шаблона безопасности будет изменен только в том случае, если вы вернетесь в шаблоны безопасности и измените этот шаблон или экспортируете сохраненную конфигурацию в тот же файл шаблона. The security template file will only be modified if you either return to Security Templates and edit that template or export the stored configuration to the same template file.
    Параметр настроить компьютер следует использовать только для изменения областей безопасности, не затронутых параметрами групповой политики, таких как безопасность локальных файлов и папок, разделов реестра и системных служб. You should use Configure Computer Now only to modify security areas not affected by Group Policy settings, such as security on local files and folders, registry keys, and system services. В противном случае, когда параметры групповой политики применяются, они будут иметь приоритет перед локальными параметрами, такими как политики учетных записей. Otherwise, when the Group Policy settings are applied, it will take precedence over local settings—such as account policies.
    Как правило, не используйте настройку компьютера , когда вы анализируете безопасность для клиентов домена, так как вам придется настраивать каждый клиент отдельно. In general, do not use Configure Computer Now when you are analyzing security for domain-based clients, since you will have to configure each client individually. В этом случае следует вернуться к разделу шаблоны безопасности, изменить шаблон и повторно применить его к соответствующему объекту групповой политики. In this case, you should return to Security Templates, modify the template, and reapply it to the appropriate Group Policy Object.

Автоматизация задач настройки безопасности Automating security configuration tasks

Вызвав средство Secedit. exe из командной строки из пакетного файла или с помощью автоматических планировщика заданий, вы можете использовать его для автоматического создания и применения шаблонов, а также для анализа безопасности системы. By calling the secedit.exe tool at a command prompt from a batch file or automatic task scheduler, you can use it to automatically create and apply templates, and analyze system security. Вы также можете запустить ее динамически из командной строки. You can also run it dynamically from a command prompt. Secedit. exe полезен, если у вас есть несколько устройств, на которых необходимо проанализировать или настроить безопасность, и вам нужно выполнить эти действия в нерабочее время. Secedit.exe is useful when you have multiple devices on which security must be analyzed or configured, and you need to perform these tasks during off-hours.

Работа с инструментами групповой политики Working with Group Policy tools

Групповая политика — это инфраструктура, позволяющая указывать управляемые конфигурации для пользователей и компьютеров с помощью параметров групповой политики и настроек групповой политики. Group Policy is an infrastructure that allows you to specify managed configurations for users and computers through Group Policy settings and Group Policy Preferences. Для параметров групповой политики, которые влияют только на локальное устройство или пользователя, можно воспользоваться редактором локальной групповой политики. For Group Policy settings that affect only a local device or user, you can use the Local Group Policy Editor. С помощью консоли управления групповыми политиками вы можете управлять параметрами групповой политики и настроек групповой политики в среде доменных служб Active Directory (ADDS). You can manage Group Policy settings and Group Policy Preferences in an Active Directory Domain Services (ADDS) environment through the Group Policy Management Console (GPMC). Кроме того, средства управления групповыми политиками включены в пакет средств удаленного администрирования сервера для обеспечения возможности администрирования параметров групповой политики с рабочего стола. Group Policy management tools also are included in the Remote Server Administration Tools pack to provide a way for you to administer Group Policy settings from your desktop.

источник

Читайте также:  Установка vcm 2 китайский

Добавить комментарий

Adblock
detector