Работа с модула за анализ на сигурността и конфигуриране

Посетители: 8016 Преглеждания: 10987 (днес 1)Шрифт:

В статията „Работа с добавката за шаблони за защита“ научихте за алтернативен начин за внедряване на групови политики за сигурност – създаване на *.inf текстови файлове за внедряване на политики в SOHO (Small Office Home Office) предприятия. Налични са два инструмента за използване на шаблони за защита в операционни системи Windows, модулътSecurity Analysis and Configuration и помощната програма от командния редSecedit.exe. Поради факта, че горните предприятия използват мрежова инфраструктура без домейн, за целите на сигурността груповите политики се внедряват с помощта на тази добавка. За да внедрите политики, записани в inf файл в мрежа на домейн, използвайте модулаGroup Policy Management Console. В допълнение към интерактивното внедряване, модулътАнализ и конфигурация на сигурността също ви позволява да анализирате конфигурацията на компютъра и да я сравнявате с настройките, посочени в конфигурационния файл на шаблона за защита. В тази статия ще се съсредоточим върху това оборудване.

Отваряне на модула за анализ и конфигуриране на сигурността

Точно като конзолната добавкаШаблони за защита, добавкатаАнализ и конфигуриране на сигурността е скрита по подразбиране и не може да бъде намерена в компонентаАдминистрация нито на клиентската, нито на сървърната операционна система. За да използвате този модул, добавете го към конзолата за управление на Microsoft. Можете да го направите по следния начин:

  1. Отворете"MMC Management Console". За да направите това, натиснете бутона"Старт", въведете mmc в полето за търсене и след това натиснете бутона"Enter" ;
  2. Ще се отвори празна MMC конзола. В менюто"Конзола" изберете командата"Добавяне или премахване на конзола" или използвайте клавишната комбинацияCtrl+M ;
  3. В диалоговия прозорец"Добавяне и премахване на модули" изберете модула"Анализ и конфигуриране на сигурността" и щракнете върху бутона"Добавяне" ;
  4. В диалоговия прозорец"Добавяне или премахване на добавки" щракнете върху бутонаOK".

Подобно на конзолната добавкаШаблони за защита, след като стартирате конзолната добавка за първи път, трябва да създадете база данни, която ще се използва за анализиране и внедряване на набора от политики за сигурност. ДобавкатаАнализ и конфигуриране на сигурността е показана на следната илюстрация:

Фиг. 1. Анализ и конфигуриране на сигурността

Създаване на база данни и импортиране на шаблони за сигурност

За да започнете с модулаАнализ и конфигуриране на сигурността, трябва да създадете база данни, която съдържа набор от настройки за защита. Направете следното:

  1. Отворете модула"Анализ и конфигурация на сигурността" ;
  2. В дървото на конзолата щракнете с десния бутон върху възела"Анализиране и конфигуриране на сигурността" и изберете командата"Отвори база данни" в контекстното меню;
  3. В диалоговия прозорец"Отвори база данни" въведете името на новата база данни и щракнете върху бутона"Отвори". По подразбиране можете да създадете база данни в папката %USERPROFILE%\Documents\Security\Database;
  4. Следващата стъпка е да импортирате шаблоните за защита, които сте създали по-рано. Папката, зададена като пътека за търсене на шаблон по подразбиране, се отваря автоматично. Изберете желания шаблон и натиснете бутонаОтвори.

Трябва да се отбележи, че докатоизбирайки няколко шаблона за сигурност, допълнителните параметри на новия шаблон допълват и заменят импортираните по-рано стойности. Ако базата данни е изчистена, когато се импортира нов шаблон, той ще съдържа само настройките за сигурност на последния импортиран шаблон. За да импортирате нов шаблон, щракнете с десния бутон върху възела"Анализ и конфигуриране на сигурността" и изберете командата"Импортиране на шаблон" от контекстното меню. И за да изчистите базата данни в диалоговия прозорец"Импортиране на шаблон" поставете отметка в квадратчето на опцията"Изчистване на тази база данни преди импортиране".

Компютърен анализ и настройка

Веднага след импортирането на необходимите шаблони трябва да анализирате компютъра за последващ анализ и внедряване на политики за сигурност. Следвайте тези стъпки, за да настроите компютъра си:

  1. В дървото на конзолата щракнете с десния бутон върху възела"Анализиране и конфигуриране на сигурността" и изберете командата"Компютърен анализ" в контекстното меню;
  2. В диалоговия прозорец"Анализиране" посочете пътя до регистъра на грешките, който ще се генерира при прилагане на настройките за защита.

работа

Фиг. 2. Диалогов прозорец за настройка на регистрационен файл за грешки

Фиг. 3. Генериран отчет на модула за анализ на сигурността и конфигурация

  • Без знак. Този флаг показва, че политиката за сигурност не е дефинирана във файла на шаблона за сигурност и тази настройка не подлежи на анализ и последваща конфигурация;
  • Бяла отметка в зелен кръг. Този знак означава, че настройката на правилата на компютъра и в базата данни е абсолютно еднаква;
  • Бял кръст в червен кръг. Този флаг предупреждава, че стойността на зададената компютърна политика не съвпадастойност, която е дефинирана в базата данни;
  • Бял удивителен знак в червен кръг. Текущият флаг показва, че политиката е дефинирана в базата данни, но настройката не съществува на целевия компютър;
  • Въпросителен знак в кръг. Този флаг може да се появи, ако нямате права за достъп до политиката на този компютър или ако политиката не е дефинирана в базата данни и не е анализирана.

Както можете да видите в предишната илюстрация, един от параметрите има флаг, показващ, че параметрите не съвпадат. В този случай можете да направите промени в конфигурацията на компютъра и базата данни. За да направите това, щракнете двукратно върху този параметър, за да отворите диалоговия прозорец със свойствата на параметъра:

анализ

Фиг. 4. Диалогов прозорец със свойства за параметър, чиято стойност не съответства на базата данни

В нашия пример стойността на опцията без база данни е типът на стартиране на услугата Scheduler на Windows Media Center. В текстовото поле„Режим на стартиране на услугата“ виждате типа стартиране на услугата, инсталиран на вашата машина, а малко по-надолу можете да видите режима на стартиране на услугата, определен от шаблона за защита.

Фиг. 5. Режим на показване на лог файл.

В края на анализа на настройките за защита трябва да конфигурирате компютъра така, че да съответства на настройките с настройките на шаблона за защита. За да приложите анализираните настройки към вашия компютър, в контекстното меню на възела"Анализ и конфигуриране на сигурността" изберете командата"Конфигуриране на компютъра" и в диалоговия прозорец"Системни настройки" посочете пътя към регистъра на грешките. Като щракнете върху бутонаOK, модулътАнализ и конфигуриране на сигурността ще приложи всички настройки, посочени в шаблона за защита.

анализ

Фиг. 6. Процес на настройка на компютърната сигурност

Когато приключите с настройката на компютъра си, добра идея е да анализирате отново настройките си за сигурност. Следващата илюстрация показва, че след повторен анализ типът на стартиране на услугата Scheduler на Windows Media Center се е променил.

Фиг. 7. Резултат от повторен анализ на параметрите за сигурност

Можете също да правите промени във файла на шаблона за защита, като използвате модулаАнализ и конфигурация на сигурността. Изберете всяка настройка за сигурност, чиито стойности не са дефинирани в базата данни. Например, отворете диалоговия прозорец със свойствата на правилатаПроверка на събития при влизане. В този диалогов прозорец поставете отметка в квадратчето"Дефиниране на следната политика в базата данни" и изберете стойността на параметъра за политиката, например"Отхвърляне".

След като направите промените, можете да експортирате всичките си промени във файл на шаблон за сигурност. Експортираният файл ще съдържа настройките на базата данни, импортирани от един или повече шаблони за защита, и модифицираните настройки за защита на анализирания компютър. За да направите това, изпълнете следните стъпки:

  1. Щракнете с десния бутон върху възела"Анализ и конфигуриране на сигурността" и в контекстното меню изберете командата"Експортиране на шаблон" ;
  2. В диалоговия прозорец"Експортиране на шаблон в" изберете папката, в която ще бъде експортиран вашият шаблон, въведете име на файл и щракнете върху бутона"Запазване" ;