Pomocí skupin zásad (Group Policy) lze aplikovat velké množství bezpečnostních prvků jako komplexnost hesel, oprávnění na složkách a registrech, ověřovací protokoly, šifrování komunikace atd.
Oblasti zabezpečení
Oblasti zabezpečení, které jsou podporovány od Windows Server 2003 R2 a Windows Server 2008 jsou:
Oblasti zabezpečení |
Popis |
Zásady účtu
(Account Policies)
|
zásady hesla, uzamčení účtů, modul Kerberos |
Místní zásady
(Local Policies)
|
zásady auditu, přiřazení uživatelských práv, možnosti zabezpečení |
Protokol událostí
(Event Log)
|
nastavení aplikačního, systémového s bezpečnostního protokolu událostí |
Skupiny s omezeným členstvím
(Restricted Groups)
|
členství v bezpečnostních skupinách |
Systémové služby
(System Services)
|
spouštění a zabezpečení systémových služeb |
Registr
(Registry)
|
oprávnění na registrech |
Systém souborů
(File System)
|
oprávnění na složkách a souborech |
Zásady bezdrátové sítě (IEEE802.3)
(Wireless Network (IEEE802.3) Policies)
|
zabezpečení bezdrátové komunikace (IEEE802.3) |
Zásady veřejných klíčů
(Public Key Policies)
|
správa a distribuce veřejných klíčů |
Zásady omezení softwaru
(Software Restriction Policies)
|
správa spouštění softwaru |
Zásady zabezpečení protokolu IP
(Internet Protocol security (IPsec) Policies
|
přiřazení IP Sec zabezpeční u počítačů
|
s Windows Server 2008 R2 přibyly ještě tyto oblasti:
Oblasti zabezpečení |
Popis |
Brána Windows Firewall s pokročilým zabezpečením
(Windows Firewall with Advanced Security)
|
konfigurace brány Windows Firewall |
Zásady skupin sítí
(Network List Manager Policies)
|
zásady skupin sítí |
Zásady kabelové sítě (IEEE802.3)
(Wired Network (IEEE802.3) Policies)
|
zásady pro lokální sítě (LAN) pomocí IEEE802.3 |
Zabezpečení síťového přístupu NAP (Network Access Protection) | kontrola síťového přístupu pro počítače pomocí technologie NAP (kontrola požadovaného sw, aktualizací apod. před samotným přístupem do sítě |
Co je výchozí doménová skupina zabezpečení (Default Domain Security Policy)?
Jedna z výchozích skupin zabezpečení je default domain policy, která je vytvořena automaticky během instalace domény a obsahuje několik již přednastavených zásad zabezpečení, konkrétně Zásady účtů (Account policies). I když tato politika má všechny nastavení a možnosti, doporučuje se pomocí ní nastavovat výhradně Zásady účtů (Account policies) a pro jiné nastavení vytvořit novou GPO.
V přípaně chybného nastavení můžete default domain policy vyresetovat (Resetting the Default Domain Policy)
- Přihlásit se jako doménový administrátor.
- Spustit command line (cmd).
- Napsat příkaz dcgprofix /target:Domain
Co jsou Zásady účtů (Account policies)?
Pomocí Zásady účtů (Account policies) můžete spravovat hesla (délku, komplexnost, životnost, historii, atd.), uzamykání účtů (doba uzamčení, počet pokusů) a modul Kerberos. Je důležité vědět, že Zásady účtů (Account policies) se neaplikují přímo na počítače, ale na doménové řadiče, které pak během přihlášení klienta toto nastavení na ně aplikují.
Zásady účtů (Account policies) nastavujte vždy pomocí default domain policy, která musí být na root úrovni domény.
Zásady účtů (Account policies) na lokálních počítačích jsou aplikovány pouze na lokální uživatele !
Co jsou Místní zásady (Local Policies)?
Každý počítač od Windows 2000 a novější obsahuje právě jeden lokální objekt skupinových zásad (Local Group Policy Object – LGPO). LGPO jsou součástí každého počítače, bez ohledu zda je počítač člen domény či není. LGPO je uložen ve skryté složce %windir%\system32\Group Policy. Samotný adresář Group Policy a LGPO je pak vytvořen při první kunfiguraci LGPO. Při aplikování skupin zásad je LGPO vždy na nejnižší úrovni a proto se aplikuje jako první.
LGPO obsahují méně položek k nastavení než doménové, nepodporují třeba přesměrování složek, instalace softwaru a další.
Co jsou Uživatelská práva (User rights)?
Co jsou Zásady síťového zabezpečení (Network Security Policies)
Nově od Windows Server 2008 a Windows Vista máte možnost vytvářet politiky zabezpečení zvlášt pro WiFi (Wireless) připojení a drátové (Wired) připojení (LAN). Můžete např. definovat jaké ověřovací metody budou použity při připojení do LAN a jaké pro WiFi. U WiFi (Wireless) připojení pak můžete dále vytvořit politiku zvlášť pro klienty s Windows XP a zvlášť pro klienty s Windows Vista a novější.
Brána Windows Firewall s pokročilým zabezpečením (Windows Firewall with Advanced Security)
Od Windows Vista a Windows Server 2008 je obsažena nová a rozšířená verze Windows Firewall.
Co je nového?
- filtrování příchozího i odchozího provozu
- nová MMC snap-in konzole pro konfiguraci pokročilého nastavení
- integrace firewall filtrování s Internet Protocol security (IPsec)
- nastavování pravidel síťového provozu na Program, Port, Předdefinovaný pravidlo, nebo Vlastní pravidlo
- používání profilů
Co je Fine-Grained Password Policies
V předchozích verzích AD DS jste mohli pro doménu definovat pouze jednu politiku Zásady účtů (Account policies), konkrétně to byla default domain policies, která aplikovala nastavení hesel vždy pro celou doménu. Nebylo tedy možné pro jednotlivé uživatele, skupiny, či OU definovat různé složitosti hesel.
Nově od Windows Server 2008 tuto možnost máme a to právě pomocí Fine-Grained Password Policies.
Nasazení Fine-Grained Password Policies.
Fine-Grained Password Policies nelze jednoduše v systému zapnout a je zapotřebí nástroju ADSI Edit, či LDIFDE pro přímou úpravu databáze AD.
Přesný postup naleznete zde:
Podrobný průvodce konfigurací podrobných zásad pro hesla a zásad uzamykání účtů
Co jsou Skupiny s omezeným členstvím (Restricted Group Membership)
V některých případech je potřeba kontrolovat členství ve skupinách, např. jací uživatelé budou členy skupiny local administrator na počítačích. K tomu slouží Skupiny s omezeným členstvím (Restricted Groups), kde pomocí GPO můžete hlídat lokální skupiny na počítačích a jejich členy.
Co jsou Zásady omezení softwaru (Software Restriction Policy)
Zásady omezení softwaru (Software Restriction Policy) slouží k omezení přístupu k softwarům a zabránění spouštění konrétních typů aplikací, jakou jsou třeba VBscripty. Zásady omezení softwaru (Software Restriction Policy) umožňují administrátorům řízený mechanismus pro identifikaci konkrétního software a řízení jeho schopnosti běžet na klientském počítači. Pokud Zásady omezení softwaru (Software Restriction Policy) použijete na počítače, ovlivníte tak všechny uživatele, kteří se přihlásí k tomuto počítači. Pokud Zásady omezení softwaru (Software Restriction Policy) použijete na uživatele, ovlivníte tak konkrétního uživatele bez ohledu na to, k jakému počítači se přihlásí.
Zásady omezení softwaru (Software Restriction Policy) je vhodný pro:
- boj proti virům
- regulaci, které ovládací prvky ActiveX lze stáhnout
- spuštění pouze digitálně podepsaných skriptů
- ujištění, že pouze schválený software je na počítači nainstalován
Zásady omezení softwaru (Software Restriction Policy) se skládají ze tří úrovní zabezpečení, které musíte definovat při nově vytvářené politice.
Stupeň zabezpečení |
Popis |
Bez omezení (Unrestricted) | Oprávnění softwaru jsou určena podle oprávnění uživatele. Tento stupeň zabezpečení umožní spuštění veškerého software vyjma použitých pravidel. Tato úroveň je výchozí. |
Základní uživatel
(Basic User)
|
Tento stupeň zabezpečení umožňuje programům se spustit pod uživatelem, který nemá administrátorské oprávnění a přistupuje k prostředkům jako normální uživatel. |
Nepovoleno (Disallowed) | Program nebude možno spustit bez ohledu na oprávnění uživatele. Tento stupeň zabezpečení znemožní spuštění veškerého software vyjma použitých pravidel. |
Možnosti pravidel pro Zásady omezení softwaru (Software Restriction Policy)
Pravidlo |
Popis |
Hash pravidlo
(Hash rule)
|
Hash je jednoznačný intentifikátor programu „jako otisk prstu“, který je založen na kryptografickém výpočtu zahrnující obsah souboru. Hash pravidlo srovnává Message Digest 5 (MD5) nebo algoritmus SHA1. Hash jednoznačně identifikuje program nebo spustitelný soubor, i když program nebo spustitelný soubor je přesunut nebo přejmenován. Při nové či re-zkompilované (update) verzi aplikace je potřeba vytvořit nové hash pravidlo. |
Certifikační pravdlo
(Certificate rule)
|
Certifikační pravidlo umožňuje spouštět pouze aplikace podepsané vydavatelem certifikátu. |
Pravidlo cesty
(Path rule)
|
Pravidlo cesty určuje buď složku nebo úplnou cestu k programu. Když se u pravidla cesty specifikuje složka, srovnání se rovněž vztahuje na všechny podsložky v zadaném adresáři. Pravidlo cesty podporuje Uniform Naming Convention (UNC). Pokud je vytvořeno více pravidel cest naráz, vždy pravidla s nejkonkrétnější cestou dostanou vyšší prioritu. |
Pravidlo internetové zóny
(Internet zone rule)
|
Pravidla internetových zón jsou založena na aplikaci Microsoft ® Internet Explorer – zóny zabezpečení ®. Můžete povolit nebo zakázat stažení aplikace na základě zón zabezpečení. Pravidlo lze vytvořit pro každou z pěti zón: Internet, lokální počítač, lokální intranet, s omezeným přístupem a důvěryhodné weby. Tato pravidla se vztahují pouze na software, který používá instalační systém Windows.
|
Co jsou Šablony zabepečení (Security Templates)
Šablony zabezpečení (Security Templates) jsou sbírky předdefinovaných nastavení zabezpečení, pokrývající všechny bezpečnostní oblasti. Můžete tedy Šablony zabezpečení (Security Templates) použít jako základ pro vytvoření bezpečnostní politiky, kterou si poté můžete přizpůsobit, aby vyhovovala vašim potřebám.
Kde Šablony zabezpečení (Security Templates) získat?
Windows Server 2008 již nezahrnuje Šablony zabezpečení (Security Templates) jako starší verze Windows. Musíte ji tedy importovat z jiných zdrojů, jako jsou systém Windows Server 2003 Security Guide nebo použít šablony třetích stran (externí společnosti). Můžete také použít Průvodce konfigurací zabezpečení, který vás provede procesem vytváření Šablony zabezpečení (Security Templates).
Co je Průvodce konfigurací zabezpečení (Security Configuration Wizard)
Průvodce konfigurací zabezpečení (Security Configuration Wizard) je nástroj snižující případný útok na server, který byl představen v systému Windows Server 2003 s aktualizací Service Pack 1 (SP1). Průvodce konfigurací zabezpečení (Security Configuration Wizard) pomáhá správcům při tvorbě bezpečnostní politiky a určuje minimální funkce, které jsou nutné pro jednotlivé role serveru, díky čemuž vše ostatní „nepotřebné pro správnou funkci serveru“ vypne (zakázáním portů, služeb a pod.). Bezpečnostní politika, kterou vytvoříte pomocí Průvodce konfigurací zabezpečení (Security Configuration Wizard), je definována XML soubory, které jsou aplikovány při: konfiguraci služeb, zabezpečení sítě, specifické hodnotě registru, zásady auditu a Internet Information Services (IIS).
Nedoporučuje se používat Průvodce konfigurací zabezpečení (Security Configuration Wizard) u Windows Small Business Server 2003 !!
Dobrý den, chci se zeptat jaké nastaveni bude mít přednost v případě že mam nastaveny lokální zásady a počítač je v doméně kde je politka s nastaveným zabezpečením atd. která zásada bude mít přednost když místní bude povolena a domenové bude nekonfigurováno? Děkuji
Dobrý den,
doménové politiky vždy přepisují ty lokální. Pouze pokud je dané pravidlo doménové politiky ve stavu „Not Defined“, máte možnost si jí lokálně definovat.