Политики назначения прав пользователей
Как говорилось выше, для назначения прав пользователей существует 44 политики безопасности. Далее можно ознакомиться с восемнадцатью политиками безопасности, которые отвечают за назначение различных прав для пользователей или групп вашей организации.
1. Архивация файлов и каталогов. При помощи данной политики можно указать пользователей или группы, предназначенные для выполнения операций резервного копирования файлов, каталогов, разделов реестра и других объектов, которые подлежат архивации. Данная политика предоставляет доступ для следующих разрешений:
− обзор папок/выполнение файлов;
− содержимое папки/чтение данных;
− чтение атрибутов;
− чтение расширенных атрибутов;
− чтение разрешений.
На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы» и «Операторы архивации», а на контроллерах домена – «Операторы архивации» и «Операторы сервера».
2. Блокировка страниц в памяти. Используя эту политику безопасности, можно указать конкретных пользователей или группы, которым разрешается использовать процессы для сохранения данных в физической памяти для предотвращения сброса данных в виртуальную память на диске.
По умолчанию, как на рабочих станциях, так и на серверах, ни у одной группы нет на это разрешений.
3. Восстановление файлов и каталогов. Эта политика позволяет указывать пользователей и группы, которые могут выполнять восстановление файлов и каталогов, в обход блокировке файлов, каталогов, разделов реестра и прочих объектов, расположенных в архивных версиях файлов.
На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы» и «Операторы архивации», а на контроллерах домена – «Операторы архивации» и «Операторы сервера».
4. Вход в качестве пакетного задания. При создании задания, используя планировщик заданий, операционная система регистрирует пользователя в системе как пользователя с пакетным входом. Данная политика разрешает группе или определённому пользователю входить в систему при помощи такого метода.
По умолчанию, как на рабочих станциях, так и на контроллерах домена, данные привилегии предоставляются группам «Администраторы» и «Операторы архивации».
5. Вход в качестве службы. Некоторые системные службы осуществляют вход в операционную систему под разными учётными записями. Например, служба «Windows Audio» запускается под учётной записью «Локальная служба», служба «Телефония» использует учётную запись «Сетевая служба». Данная политика безопасности определяет, какие учётные записи служб могут зарегистрировать процесс в качестве службы.
По умолчанию, как на рабочих станциях, так и на серверах, ни у одной группы нет на это разрешений.
6. Выполнение задач по обслуживанию томов. Используя эту политику, можно указать пользователей или группы, участники которых могут выполнять операции, предназначенные для обслуживания томов. У пользователей, обладающих такими привилегиями, есть права на чтение и изменение запрошенных данных после открытия дополнительных файлов, они также могут просматривать диски и добавлять файлы в память, занятую другими данными.
По умолчанию, такими правами обладают только администраторы рабочих станций и контроллеров домена.
7. Добавление рабочих станций к домену. Эта политика отвечает за разрешение пользователям или группам добавлять компьютеры в домен Active Directory. Пользователь, обладающий данными привилегиями, может добавить в домен до десяти компьютеров.
По умолчанию, все пользователи, прошедшие проверку подлинности, на контроллерах домена могут добавлять до десяти компьютеров.
8. Доступ к диспетчеру учётных данных от имени доверенного вызывающего. Диспетчер учётных данных – это компонент, который предназначен для хранения учётных данных, таких как имена пользователей и пароли, используемых для входа на веб-сайты или другие компьютеры в сети. Эта политика используется диспетчером учётных данных в ходе архивации и восстановления, и её не желательно предоставлять пользователям.
По умолчанию, как на рабочих станциях, так и на серверах, ни у одной группы нет на это разрешений.
9. Доступ к компьютеру из сети. Данная политика безопасности отвечает за разрешение подключения к компьютеру по сети указанным пользователям или группам.
На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы» и «Операторы архивации», «Пользователи» и «Все». На контроллерах домена – «Администраторы», «Проверенные пользователи», «Контроллеры домена предприятия» и «Все».
10. Завершение работы системы. Используя этот параметр политики, можно составить список пользователей, которые имеют право на использование команды «Завершение работы» после удачного входа в систему.
На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы», «Операторы архивации» и «Пользователи» (только на рабочих станциях), а на контроллерах домена – «Администраторы», «Операторы архивации», «Операторы сервера» и «Операторы печати».
11. Загрузка и выгрузка драйверов устройств. При помощи текущей политики можно указать пользователей, которым будут предоставлены права на динамическую загрузку и выгрузку драйверов устройств в режиме ядра.
Эта политика не распространяется на PnP-устройства. Plug and Play – технология, предназначенная для быстрого определения и конфигурирования устройств в компьютере и других технических устройствах. Разработана фирмой Microsoft при содействии других компаний. Технология PnP основана на использовании объектно-ориентированной архитектуры, ее объектами являются внешние устройства и программы. Операционная система автоматически распознает объекты и вносит изменения в конфигурацию абонентской системы.).
На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы», а на контроллерах домена – «Администраторы» и «Операторы печати».
12. Замена маркера уровня процесса. Используя данную политику безопасности, можно ограничить пользователей или группу от использования API-функции CreateProcessAsUser для того, чтобы одна служба могла запускать другую функцию, процесс или службу. Стоит обратить внимание на то, что такое приложение как «Планировщик заданий» для своей работы использует данные привилегии.
По умолчанию, как на рабочих станциях, так и на контроллерах домена, данные привилегии предоставляются учётным записям «Сетевая служба» и «Локальная служба».
13. Запретить вход в систему через службу удалённых рабочих столов. При помощи данной политики безопасности можно ограничить пользователей или группы от входа в систему в качестве клиента удалённых рабочих столов.
По умолчанию, как на рабочих станциях, так и на серверах, всем разрешено входить в систему как клиенту удалённых рабочих столов.
14. Запретить локальный вход. Данная политика запрещает отдельным пользователям или группам выполнять вход в систему.
По умолчанию всем пользователям разрешен вход в систему.
15. Изменение метки объектов. Благодаря данной политике назначения прав, можно предоставить возможность указанным пользователям или группам изменять метки целостности объектов других пользователей, таких как файлы, разделы реестра или процессы.
По умолчанию никому не разрешено изменять метки объектов.
16. Изменение параметров среды изготовителя. Используя эту политику безопасности, можно указать пользователей или группы, которым будет доступна возможность чтения переменных аппаратной среды. Переменные аппаратной среды – это параметры, сохраняемые в энергонезависимой памяти компьютеров, архитектура которых отлична от x86.
На рабочих станциях и контроллерах домена, по умолчанию данные привилегии предоставляются группам «Администраторы».
17. Изменение системного времени. Эта политика отвечает за изменение системного времени. Предоставив данное право пользователям или группам, тем самым кроме разрешения изменения даты и времени внутренних часов предоставляется возможность изменения соответствующего времени отслеживаемых событий в оснастке «Просмотр событий».
На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы» и «Локальная служба», а на контроллерах домена – «Администраторы», «Операторы сервера» и «Локальная служба».
18. Изменение часового пояса. При помощи текущей политики безопасности, можно указать пользователей или группы, которым разрешено изменять часовой пояс своего компьютера для отображения местного времени, которое представляет собой сумму системного времени компьютера и смещения часового пояса.
На рабочих станциях и контроллерах домена по умолчанию данные привилегии предоставляются группам «Администраторы» и «Пользователи».
Параметры безопасности
Узел «Параметры безопасности» позволяет администратору безопасности вручную настраивать уровни безопасности, назначенные политике локального компьютера. Чтобы изменить любое из значений шаблона, необходимо дважды щёлкнуть его. Появится диалоговое окно, позволяющее модифицировать значение.
Таким образом контролировать включение или отключение настроек безопасности, таких как цифровая подпись данных, имена учётных записей администратора и гостя, доступ к дисководам гибких и компакт-дисков, установка драйверов и приглашения на вход в систему и все остальные доступные параметры политики безопасности. Далее будут рассмотрены подробнее, какие параметры рекомендуется устанавливать для повышения защиты компьютера от различного рода атак по сети Интернет.
Первое – напоминать пользователям об истечении срока действия пароля – 14 дней (по умолчанию).
Рекомендуется включать политику «Не отображать последнего имени пользователя в диалоге входа» (по умолчанию – отключен). Особенно полезно в случае, когда рядовой пользователь имеет пароль аналогичный своему имени, и тогда без труда можно с нескольких переборов пароля хакеру проникнуть на этот компьютер.
Рекомендуется включать политику «Запретить пользователям установку драйвера принтера» (по умолчанию – отключен). А также рекомендуется включить политику «Очистка страничного файла виртуальной памяти» (по умолчанию – отключен). После этого система всегда при выключении компьютера будет удалять файл подкачки. Но здесь есть свой недостаток – система будет долго выключатся.
Следующая политика безопасности относится к состоянию окна CTRL+ALT+DEL при входе в систему. Эта политика по умолчанию не установлена. После перезагрузки при входе в систему на экране будет отображаться окно CTRL+ALT+DEL, которое по умолчанию не отображается.
Кроме этого, в целях безопасности полезно настраивать следующие параметры:
- «Автоматически отключать сеансы пользователей по истечении разрешённого времени» (Включить);
- «Длительность простоя перед отключением сеанса» (примерно 10 мин);
- «Дополнительные ограничения для анонимных подключений» (установить в значение «Нет доступа, без явного разрешения анонимного доступа»);
- «Использовать цифровую подпись со стороны клиента (Всегда)» (Включить);
- «Использовать цифровую подпись со стороны клиента (по возможности)» (Включить);
- «Использовать цифровую подпись со стороны сервера (Всегда)» (Включить);
- «Использовать цифровую подпись со стороны сервера (по возможности)» (Включить);
- «Разрешить доступ к дисководам компакт-дисков только локальным пользователям» (Включить);
- «Разрешить доступ к НГМД только локальным пользователям» (Включить).