Бързо ръководство за отстраняване на неизправности в настройките за сигурност на груповите правила
Като администратори на Active Directory, Group Policy, работещи с компютри в областта на информационната сигурност, всички знаем много добре, че най-добрият начин да гарантираме сигурността на Windows среда е да използваме групови политики. Има стотици, ако не и хиляди, настройки за сигурност във всеки обект на групова политика (GPO). Използването на GPO ни дава ефективност, мощност и автоматизъм. Има обаче ситуации, когато трябва да си почешете главата в мисълта: колко правилно е конфигуриран GPO и колко правилен е самият GPO. В тази статия ще ви дам някои съвети относно инструменти, команди и други неща, които можете да опитате, за да сте сигурни, че вашите GPO и техните настройки за защита се прилагат правилно. Разбира се, ако искате повече информация относно груповите правила или как да ги отстраните, можете да проверите по-пълното ръководство, MSPress Group Policy Resource Kit, написано от мен!
Какви настройки са "настройки за сигурност"?
Въпреки че може да има повече от 5000 настройки в един GPO, искам да бъда 100% точен за кои точно настройки говоря в тази статия. В GPO има специален раздел, посветен на сигурността. Да, знам, че има и други настройки, свързани със сигурността, но тук ще говоря само за този раздел.
Тук ще намерите цял куп настройки: нюанси на регистъра, потребителски права, разрешения за файл / папка / регистър, безжична защита, членство в група и др. Повечето от тези настройки се контролират от клиентското разширение, така че ако една от тях се провали, всички ще имат проблеми.От друга страна, ако едно от тях се приложи успешно, тогава всички трябва да работят добре (на теория!).
Проверка #1
От GPMC (на всяка машина, на която имате администраторски права) можете да стартирате инструмента за резултати от групови правила. Този инструмент е вграден в GPMC, така че не е необходимо да правите нищо специално. В GPMC ще можете да определите какви настройки има целевият компютър от настройките за защита, които сте задали чрез вашия GPO.
За да намерите възела с резултати от групови правила в GPMC, погледнете долната част на конзолата на GPMC. Там ще намерите възела с резултати от групови правила (Фигура 2).
Фигура 2: Възел с резултати от групови правила в долната част на списъка с възли в GPMC
Фигура 3: Инструментът за резултати от групови правила показва получените GPO и настройки за потребителя и компютъра
Фигура 4: Разделът Настройки за инструмента за резултати от групови правила показва кои настройки се прилагат към целевия компютър
Проверка #2
Фигура 5: Резултат от изпълнението на RSOP.msc на целевия компютър
- GPO и състояние на филтриране
- Обхват на управление на GPO
- Ревизионна информация за GPO
Фигура 6: Опцията RSOP Properties показва повече подробности за приложените GPO
Тази информация ще ви помогне да откриете защо GPO или свързаните с тях настройки не са приложени.
За да видите данните на клиента, изберете раздела Информация за грешки, както е показано на Фигура 7.
Фигура 7: Раздел Информация за грешки в свойствата на RSOP.msc
Тук виждате защо някои CSE може да не са били приложени, което ще ви даде храна за размисъл защо някои настройки може да липсват в интерфейса RSOP.msc.
Проверка #3
Фигура 8: Secpol.msc показва само настройките за защита на целевия компютър
Има две неща за този инструмент, които трябва да спомена. Първо, ще ви покаже ПОВЕЧЕ от настройките за сигурност, внедрени с GPO. Това има голямо предимство, тъй като можете да видите ВСИЧКИ настройки за сигурност на компютъра, а не само тези, които са зададени с GPO. Можете веднага да разберете кои настройки идват от GPO в Active Directory и кои са приложени локално. Ако се обърнете към Фигура 8, ще видите, че прагът за блокиране на акаунта има различна икона от другите две настройки. Тази икона показва, че тази настройка е от GPO в Active Directory, а другите две са зададени локално.
Втората точка е, че можете ясно да видите, че инструментът secpol не показва толкова много настройки на GPO, колкото инструментът RSOP.msc. Така че, ако имате нужда от някакви специфични настройки, трябва да работите с инструмент, който точно показва данните, от които се нуждаете.
Заключение
Както можете да видите, имате много опции (това не беше изчерпателен списък), които да ви помогнат да проверите състоянието на настройките за защита, които сте задали с GPO. Тези инструменти вече са вградени и са много полезни. Разбира се, трябва да имате достатъчно администраторски права, за да ги стартирате, но ако всичко е наред, можете лесно да видите кои настройки са приложени, кои не, както и възможните причини за това.