Zasady zabezpieczeń lokalnych

Narzędzie administracyjne znajdujące się w Panelu Sterowania (Narzędzia administracyjne Zasady zabezpieczeń lokalnych), za pomocą którego można dowolnie skonfigurować bezpieczeństwo lokalnego komputera.

Najważniejsze zasady dotyczą:

- haseł (zasady konta)

- praw danego użytkownika w systemie (zasady lokalne i opcje zabezpieczeń)

W systemie Windows użytkownikom można przypisać uprawnienia i prawa.

Uprawnienia dotyczą folderów, plików, drukarek.

Prawa określają czynności jakie użytkownik może wykonać w systemie (np. wykonywanie kopii zapasowej, zmiana czasu systemowego)

Ćwiczenia

1. Na komputerach w firmie przechowuje się ważne dane.

- ustaw tak system, aby użytkownicy nie mogli logować się bez haseł

- hasła muszą być co najmniej 8 znakowe

- hasła muszą być trudne do złamania. Zapoznaj się dokładnie z tzw. złożonością haseł

- co najmniej raz na miesiąc użytkownik musi zmienić hasło

- nowo wprowadzone hasło nie może być takie samo jak poprzednie

- zabezpiecz system tak, aby próba łamania hasła powodowała blokadę systemu na 10sekund po 5 nieudanych próbach wprowadzenia hasła

UWAGA: PRZY WYKONYWANIU NIEKTÓRYCH Z ĆWICZEŃ PONIŻEJ ZACHOWAJ OSTROŻNOŚĆ - MOŻESZ UTRACIĆ KONTROLĘ NAD SYSTEMEM

2. Utwórz konto test i przyporządkuj je do grupy wbudowanej użytkownicy. Zwiększ prawa do wykonywania zadań administracyjnych dla tego konta, tak aby:

- użytkownik mógł bez problemów korzystać z pendrive, przenośnych dysków twardych, aparatów (musi mieć prawa do instalacji sterowników- normalnie posiada je tylko administrator)

- nie miał praw zamknięcia systemu

- mógł zmienić czas systemowy

3. Dla bezpieczeństwa systemu ma nie być wyświetlana nazwa ostatnio logowanego użytkownika

4. Z CD-ROM może korzystać użytkownik zalogowany lokalnie

Zasady grupy ( Group Policy )

Group Policy - to wynikowy zestaw ustawień kontrolującymi zachowanie zarówno stacji

klienckich jak i serwerów. Umożliwiają głęboką ingerencję w zachowanie systemów

Windows.

Pozwalają między innymi na:

• kontrolę pulpitów użytkowników

• blokowanie dostępu do aplikacji widocznych z poziomu systemu Windows

• ograniczenie funkcji menu start

• ukrycie/odkrycie dowolnych ikon np. ikony Moj komputer

• zablokowanie uruchamiania określonego programu

• dodawanie skryptów startowych

• Modyfikację rejestru systemowego

• Automatyczne mapowanie zasobów sieciowych

• Automatyczną instalację aplikacji

Konkretne ustawienia w ramach zasady grup tworzą tzw. obiekt zasad grup (Group Policy Object - GPO). Każdy taki obiekt składa się z dwóch części:

• ustawień użytkownika - ustawienia w tej części dotyczą kont osób logujących się w sieci

• ustawień komputera - pozwalają wymuszać określone parametry w odniesieniu do konkretnych maszyn

Narzędzia konfiguracji GPO:

1. Edytor obiektow zasad grup

Jest to przystawka do konsoli mmc. która udostępnia interfejs pozwalający na edycję konkretnych GPO. Wszystkie opcje możliwe do skonfigurowania w polisie są pogrupowane w odpowiedni sposób. Najbardziej ogólnym podziałem jest wyodrębnienie części konfiguracji użytkownika i komputera.

2. Narzędzia wiersza poleceń : gpresult, gpupdate.

Pierwsze z nich pozwala z wiersza poleceń wyświetlić obowiązujące w danej chwili polisy. Gpupdate natomiast umożliwia natychmiastowe odświeżenie ustawień. Jest to przydatne w szczególności wówczas, gdy testujemy pewne ustawienia i nie chcemy czekać przez kilkadziesiąt minut aż komputer sam odświeży listy GPO. Korzystając z polecenia gpupdate możemy natychmiast wymusić aktualizację wszystkich ustawień GPO (gpupdate /force)

Ćwiczenie:

Celem jaki chcemy osiągnąć jest polisa/polisy, która:

• Zabroni użytkownikowi dostępu do rejestru systemu Windows

• Zabroni możliwości włączenia wygaszacza ekranu

• Usunie z menu start przyciski Wyszukaj, Pomoc, Uruchom

• Zabroni możliwości edycji parametrów połączenia sieciowego (TCP/IP)

---