Colaborând cu politicile de grup, trebuie avut în vedere că:
- Obiectele GPO sunt aplicate la containere, nu la închiderea obiectelor;
- un container poate fi asociat cu GPO-uri multiple;
- Obiectele GPO asociate cu același container sunt aplicate acestui container în ordinea în care au fost atribuite;
- GPO include două componente: parametrii referitoare la computer și parametrii aferenți utilizatorului;
- Procesarea oricăreia dintre aceste componente poate fi oprită;
- Moștenirea obiectelor GPO poate fi blocată;
- moștenirea obiectelor GPO poate fi forțată;
- Utilizarea GPO-urilor poate fi filtrată folosind ACL-uri. (ACL - lista de control al accesului, care definește cine sau ce poate avea acces la un anumit obiect, și ce operațiunile sunt permise sau refuzate la subiectul respectiv pentru a efectua obiectul.)
Diferențierea drepturilor utilizatorilor în sistemul de operare Windows
o Atribuirea acestora a dreptului de a utiliza capabilitățile sistemului în ansamblul său, legate direct de securitate (snap-in Local Security Policy, secpol.msc).
Restricționarea drepturilor la nivelul unui utilizator individual
o interzicerea utilizării instrumentelor de editare în registri;
o interzicerea utilizării panoului de control sau a funcțiilor sale individuale;
o Scoateți comenzile "Run" și "Search" din meniul Start;
o interzicerea executării programelor într-o sesiune de linie de comandă;
o să interzică computerul să blocheze și să închidă sistemul de operare (inclusiv repornirea);
o capacitatea de a rula numai aplicațiile permise dintr-o listă separată;
o interzic afișarea structurii rețelei locale;
o Ascunderea discurilor în folderul "My Computer" și în fereastra Explorer;
o Ștergerea meniului File din Explorer, etc.
Editarea valorii parametrului de securitate
Restricționarea drepturilor la nivel de computer
o Instalați programe sau documente suplimentare pe care Windows le va porni sau deschide automat când utilizatorul se loghează;
o să precizeze utilizarea obligatorie a cotelor de disc și să interzică utilizatorilor să modifice acest parametru;
o Abilitatea Windows să utilizeze accesul la Internet pentru a îndeplini sarcini care necesită acces la resurse Internet, etc.
Informații despre restricții
Pentru conturile locale - în profiluri de utilizator local (HKEY_CURRENT_USER \ Software \ Policies (HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies) și HKEY_LOCAL_MACHINE \ Software \ Policies (HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies)) . Prin urmare, este obligatoriu să se interzică utilizarea de editare de registru și fixați de a edita GPO politica utilizatorilor neprivilegiati.
Pentru conturi globale - în profiluri de utilizatori în roaming în Active Directory. În acest caz, după ce utilizatorul a COP la domeniul de la orice calculator cu informații despre setul de limitările sale din profilul de roaming pe server va înlocui secțiunile relevante ale registrului utilizat pentru a vă conecta pe stația de lucru.
Drepturi atribuite utilizatorilor și grupurilor
o Arhivarea și restaurarea fișierelor și a folderelor.
o Schimbați ora sistemului.
o Accesul la calculator din rețea.
o Stăpânirea fișierelor sau a altor obiecte.
o Managementul jurnalului de audit și de securitate.
o programe de depanare, etc.
Fereastra snap-in pentru politica de securitate locală
Editarea valorii parametrului de securitate
Atribuiți drepturi utilizatorilor și grupurilor
Aceste drepturi sunt subiectele dreptului de a efectua acțiuni referitoare la sistemul în ansamblu, mai degrabă decât obiecte individuale. Fiecare regulă corespunde unei LUID unic de identificare locală (identificator unic la nivel local), definită de constanta simbolică (de exemplu, SE_SYSTEMTIME_NAME). Pentru a afișa conținutul unui anumit drepturi de utilizator asociate cu acesta ca un șir de text (de exemplu, „Modificarea timpului de sistem“ sau «Modificarea ora sistemului»). Reprezentarea internă a informațiilor privind dreptul de dependente de punere în aplicare și nu este documentată.
Informații despre drepturile alocate utilizatorilor și grupurilor
Informațiile despre drepturile atribuite utilizatorilor și grupurilor sunt conținute în conturile lor din fișierul SAM.
Lipsa generală a unui mecanism de diferențiere a drepturilor utilizatorilor
Lipsa abilității de a diferenția accesul utilizatorilor la resursele sistemului informatic (fișiere separate, foldere, chei de registry, dispozitive), adică definirea de reguli pentru utilizarea diferitelor tipuri de acces de către entități (citire, scriere, realizare, imprimare etc.) la obiecte.
Articole similare
Trimiteți-le prietenilor: