Zasady zabezpieczeń lokalnych
Narzędzie administracyjne znajdujące się w Panelu Sterowania (Narzędzia administracyjne Zasady zabezpieczeń lokalnych), za pomocą którego można dowolnie skonfigurować bezpieczeństwo lokalnego komputera.
Najważniejsze zasady dotyczą:
- haseł (zasady konta)
- praw danego użytkownika w systemie (zasady lokalne i opcje zabezpieczeń)
W systemie Windows użytkownikom można przypisać uprawnienia i prawa.
Uprawnienia dotyczą folderów, plików, drukarek.
Prawa określają czynności jakie użytkownik może wykonać w systemie (np. wykonywanie kopii zapasowej, zmiana czasu systemowego)
Ćwiczenia
Na komputerach w firmie przechowuje się ważne dane.
- ustaw tak system, aby użytkownicy nie mogli logować się bez haseł
- hasła muszą być co najmniej 8 znakowe
- hasła muszą być trudne do złamania. Zapoznaj się dokładnie z tzw. złożonością haseł
- co najmniej raz na miesiąc użytkownik musi zmienić hasło
- nowo wprowadzone hasło nie może być takie samo jak poprzednie
- zabezpiecz system tak, aby próba łamania hasła powodowała blokadę systemu na 10sekund po 5 nieudanych próbach wprowadzenia hasła
UWAGA: PRZY WYKONYWANIU NIEKTÓRYCH Z ĆWICZEŃ PONIŻEJ ZACHOWAJ OSTROŻNOŚĆ - MOŻESZ UTRACIĆ KONTROLĘ NAD SYSTEMEM
Utwórz konto test i przyporządkuj je do grupy wbudowanej użytkownicy. Zwiększ prawa do wykonywania zadań administracyjnych dla tego konta, tak aby:
- użytkownik mógł bez problemów korzystać z pendrive, przenośnych dysków twardych, aparatów (musi mieć prawa do instalacji sterowników- normalnie posiada je tylko administrator)
- nie miał praw zamknięcia systemu
- mógł zmienić czas systemowy
Dla bezpieczeństwa systemu ma nie być wyświetlana nazwa ostatnio logowanego użytkownika
Z CD-ROM może korzystać użytkownik zalogowany lokalnie
Zasady grupy ( Group Policy )
Group Policy - to wynikowy zestaw ustawień kontrolującymi zachowanie zarówno stacji
klienckich jak i serwerów. Umożliwiają głęboką ingerencję w zachowanie systemów
Windows.
Pozwalają między innymi na:
kontrolę pulpitów użytkowników
blokowanie dostępu do aplikacji widocznych z poziomu systemu Windows
ograniczenie funkcji menu start
ukrycie/odkrycie dowolnych ikon np. ikony Moj komputer
zablokowanie uruchamiania określonego programu
dodawanie skryptów startowych
Modyfikację rejestru systemowego
Automatyczne mapowanie zasobów sieciowych
Automatyczną instalację aplikacji
Konkretne ustawienia w ramach zasady grup tworzą tzw. obiekt zasad grup (Group Policy Object - GPO). Każdy taki obiekt składa się z dwóch części:
ustawień użytkownika - ustawienia w tej części dotyczą kont osób logujących się w sieci
ustawień komputera - pozwalają wymuszać określone parametry w odniesieniu do konkretnych maszyn
Narzędzia konfiguracji GPO:
Edytor obiektow zasad grup
Jest to przystawka do konsoli mmc. która udostępnia interfejs pozwalający na edycję konkretnych GPO. Wszystkie opcje możliwe do skonfigurowania w polisie są pogrupowane w odpowiedni sposób. Najbardziej ogólnym podziałem jest wyodrębnienie części konfiguracji użytkownika i komputera.
Narzędzia wiersza poleceń : gpresult, gpupdate.
Pierwsze z nich pozwala z wiersza poleceń wyświetlić obowiązujące w danej chwili polisy. Gpupdate natomiast umożliwia natychmiastowe odświeżenie ustawień. Jest to przydatne w szczególności wówczas, gdy testujemy pewne ustawienia i nie chcemy czekać przez kilkadziesiąt minut aż komputer sam odświeży listy GPO. Korzystając z polecenia gpupdate możemy natychmiast wymusić aktualizację wszystkich ustawień GPO (gpupdate /force)
Ćwiczenie:
Celem jaki chcemy osiągnąć jest polisa/polisy, która:
Zabroni użytkownikowi dostępu do rejestru systemu Windows
Zabroni możliwości włączenia wygaszacza ekranu
Usunie z menu start przyciski Wyszukaj, Pomoc, Uruchom
Zabroni możliwości edycji parametrów połączenia sieciowego (TCP/IP)