Rozdział 12
Narzędzia do konfigurowania i analizowania zabezpieczeń
Tworzenie i analizowanie konfiguracji zabezpieczeń
Edytowanie konfiguracji zabezpieczeń
Eksportowanie konfiguracji zabezpieczeń
Edytowanie szablonów zabezpieczeń
Zastosowanie polecenia S[Author ID0: at Thu Nov 30 00:00:00 1899
]s[Author ID1: at Thu Oct 5 08:51:00 2000
]ecedit
W skrócie
Narzędzia do konfigurowania
Zabezpieczenia można skonfigurować,[Author ID1: at Thu Oct 5 08:51:00 2000
] edytując Listę Kontroli Dostępu (Access Control List [Author ID1: at Thu Oct 5 08:58:00 2000
]-[Author ID1: at Thu Oct 5 08:58:00 2000
]— [Author ID1: at Thu Oct 5 08:58:00 2000
]ACL) i korzystając z przystawki (snap-in) konsoli MMC Zasady Grupowe (Group Policy) do edytowania obiektów zasad grupowych (GPOs) w Active Directory. Obydwa sposoby zostały omówione w rozdziałach 2.[Author ID1: at Thu Oct 5 08:59:00 2000
] i 3.
W systemie Windows 2000 znajdują się dodatkowe przystawki (snap-ins) [Author ID1: at Thu Oct 5 08:59:00 2000
]konsoli MMC oraz polecenia, służące do konfigurowania i analizowania ustawień zabezpieczeń na podstawie szablonów standardowych, które można załadować, łączyć i edytować w celu skonfigurowania zabezpieczeń lokalnych. Narzędzia pozwalają na analizowanie ustawień zabezpieczeń poprzez porównywanie ich z ustawieniami domyślnymi oraz eksportowanie niestandardowych szablonów zabezpieczeń,[Author ID1: at Thu Oct 5 08:59:00 2000
] aby mogły być stosowane dla innych komputerów w danej sieci. Umożliwiają skonfigurowanie zabezpieczeń dla komputera lokalnego lub wnoszenie poprawek do szablonów dla konkretnego rodzaju komputera tak, aby mogły być zastosowane dla dowolnego rodzaju komputera podłączonego do danej sieci (stacja robocza, serwer członkowski,[Author ID1: at Thu Oct 5 08:59:00 2000
] itp.)
Poniżej zamieszczono listę takich narzędzi:
P[Author ID1: at Thu Oct 5 09:00:00 2000
]p[Author ID1: at Thu Oct 5 09:00:00 2000
]rzystawka (snap-in) Szablon Zabezpieczeń (S[Author ID1: at Thu Oct 5 09:00:00 2000
]Security TT[Author ID1: at Thu Oct 5 09:00:00 2000
]emplate) — j[Author ID1: at Thu Oct 5 09:00:00 2000
]J[Author ID1: at Thu Oct 5 09:00:00 2000
]est to główne narzędzie, za pomocą którego pełny zakres zabezpieczeń można oglądać, przystosowywać do własnych potrzeb i stosować do komputera lokalnego lub importować do obiektu zasad grupowych (GPO). Narzędzie to nie wprowadza nowych parametrów zabezpieczających,[Author ID1: at Thu Oct 5 09:00:00 2000
] ale skupia wszystkie atrybuty zabezpieczające w jednym miejscu,[Author ID1: at Thu Oct 5 09:00:00 2000
] ułatwiając w ten sposób administrowanie zabezpieczeniami. Szablony Zabezpieczeń (security templates) [Author ID1: at Thu Oct 5 09:00:00 2000
]w połączeniu z przystawką (snap-in) [Author ID1: at Thu Oct 5 09:00:00 2000
]Konfigurowanie i Analizowanie Zabezpieczeń (SS[Author ID1: at Thu Oct 5 09:00:00 2000
]ecurity CC[Author ID1: at Thu Oct 5 09:00:00 2000
]onfiguration and AA[Author ID1: at Thu Oct 5 09:00:00 2000
]nalysis) mogą służyć również jako podstawowa konfiguracja przy analizowaniu zabezpieczeń,[Author ID1: at Thu Oct 5 09:01:00 2000
].[Author ID1: at Thu Oct 5 09:01:00 2000
]
p[Author ID1: at Thu Oct 5 09:01:00 2000
]P[Author ID1: at Thu Oct 5 09:01:00 2000
]rzystawka (snap-in) Konfigurowanie i Analizowanie Zabezpieczeń (S[Author ID1: at Thu Oct 5 09:01:00 2000
]Security C[Author ID1: at Thu Oct 5 09:01:00 2000
]Configuration and A[Author ID1: at Thu Oct 5 09:01:00 2000
]Analysis) — s[Author ID1: at Thu Oct 5 09:01:00 2000
]S[Author ID1: at Thu Oct 5 09:01:00 2000
]łuży do analizowania i konfigurowania zabezpieczeń systemu lokalnego. Umożliwia szybkie przeglądanie wyników analizy zabezpieczeń i podaje przy aktualnych ustawieniach systemowych ustawienia zalecane. Narzędzie to jest także używane do usuwania wszelkich niezgodności znalezionych podczas analizowania zabezpieczeń i do bezpośredniego konfigurowania zabezpieczeń systemu lokalnego. Stosowana jest również do importowania szablonów zabezpieczeń (security templates), [Author ID1: at Thu Oct 5 09:01:00 2000
]utworzonych za pomocą przystawki (snap-in) [Author ID1: at Thu Oct 5 09:01:00 2000
]Szablony Zabezpieczeń (Security templates), [Author ID1: at Thu Oct 5 09:02:00 2000
]oraz stosowania ich do obiektu zasad grupowych (GPO) dla komputera lokalnego,[Author ID1: at Thu Oct 5 09:06:00 2000
] i skonfigurowania w ten sposób zabezpieczeń systemu lokalnego na poziomie określonym w szablonie (template),[Author ID1: at Thu Oct 5 09:06:00 2000
]. [Author ID1: at Thu Oct 5 09:06:00 2000
]
Z[Author ID1: at Thu Oct 5 09:06:00 2000
]Zabezpieczenia Instalatora (S[Author ID1: at Thu Oct 5 09:06:00 2000
]Setup S[Author ID1: at Thu Oct 5 09:06:00 2000
]Security) — S[Author ID1: at Thu Oct 5 09:06:00 2000
]s[Author ID1: at Thu Oct 5 09:06:00 2000
]łuży do nadzorowania początkowej konfiguracji zabezpieczeń wykonywanej w trakcie instalowania za pomocą konfiguracji wstępnych (predefined configurations) dostarczanych razem z systemem. Na każdym komputerze z nową instalacją systemu Windows 2000 utworzona zostaje początkowa baza danych zabezpieczeń pod nazwą:[Author ID1: at Thu Oct 5 09:07:00 2000
] b[Author ID0: at Thu Nov 30 00:00:00 1899
]B[Author ID1: at Thu Oct 5 09:07:00 2000
]aza Danych Zasad Komputera Lokalnego (LL[Author ID1: at Thu Oct 5 09:07:00 2000
]ocal C[Author ID1: at Thu Oct 5 09:07:00 2000
]Computer PP[Author ID1: at Thu Oct 5 09:07:00 2000
]olicy Database). Zabezpieczenia Instalatora (Setup Security) [Author ID1: at Thu Oct 5 09:07:00 2000
]nie jest przystawką (snap-in) konsoli MMC, właściwie jest jednym z szablonów dostępnych za pomocą przystawki (snap-in[Author ID1: at Thu Oct 5 09:07:00 2000
]) [Author ID1: at Thu Oct 5 09:07:00 2000
]Szablon Zabezpieczeń (Security Template)[Author ID1: at Thu Oct 5 09:07:00 2000
], ale z powodu znaczenia,[Author ID1: at Thu Oct 5 09:07:00 2000
] jakie ma podczas pierwszego instalowania systemu,[Author ID1: at Thu Oct 5 09:07:00 2000
] została umieszczona jako osobna pozycja na niniejszej liście,[Author ID1: at Thu Oct 5 09:07:00 2000
].[Author ID1: at Thu Oct 5 09:07:00 2000
]
Wskazówka: Jeśli dokonywana jest aktualizacja systemu Windows w wersji NT 4 lub wcześniejszej, to wtedy baza danych Zasady Komputera Lokalnego (L[Author ID1: at Thu Oct 5 09:08:00 2000
]Local CC[Author ID1: at Thu Oct 5 09:08:00 2000
]omputer PP[Author ID1: at Thu Oct 5 09:08:00 2000
]olicy) nie jest tworzona, ponieważ konfiguracja zabezpieczeń mogła zostać odpowiednio zmodyfikowana przez użytkownika i nie wolno jej zastępować inną. W takim przypadku można zmienić konfigurację za pomocą funkcji Konfiguruj Komputer Teraz (CC[Author ID1: at Thu Oct 5 09:08:00 2000
]onfigure CC[Author ID1: at Thu Oct 5 09:08:00 2000
]omputer N[Author ID1: at Thu Oct 5 09:08:00 2000
]Now) przystawki (snap-in) [Author ID0: at Thu Nov 30 00:00:00 1899
]Konfigurowanie i Analizowanie Zabezpieczeń (S[Author ID1: at Thu Oct 5 09:08:00 2000
]Security CC[Author ID1: at Thu Oct 5 09:08:00 2000
]onfiguration and A[Author ID1: at Thu Oct 5 09:08:00 2000
]Analysis).
Secedit.exe — Program narzędziowy uruchamiany z wiersza poleceń, który służy do przeprowadzenia analizy zabezpieczeń w sposób wsadowy (batch analysis). Można z niego korzystać,[Author ID1: at Thu Oct 5 09:08:00 2000
] jeśli konieczne jest częste analizowanie zabezpieczeń dużej liczby komputerów, na [Author ID1: at Thu Oct 5 09:09:00 2000
]p.[Author ID1: at Thu Oct 5 09:09:00 2000
]rzykład[Author ID1: at Thu Oct 5 09:09:00 2000
] w strukturach opartych na domenach. Po zakończeniu działania tego programu należy przejrzeć wyniki analizy za pomocą przystawki (snap-in) Konfigurowanie i Analizowanie Zabezpieczeń (S[Author ID1: at Thu Oct 5 09:09:00 2000
]Security C[Author ID1: at Thu Oct 5 09:09:00 2000
]Configuration and A[Author ID1: at Thu Oct 5 09:09:00 2000
]Analysis) lub edytora tekstów, na [Author ID1: at Thu Oct 5 09:09:00 2000
]p.[Author ID1: at Thu Oct 5 09:09:00 2000
]rzykład[Author ID1: at Thu Oct 5 09:09:00 2000
] Notatnika (N[Author ID1: at Thu Oct 5 09:09:00 2000
]Notepad).
Ustawienia szablonów zabezpieczeń
Szablony umożliwiają zmianę ustawień zabezpieczeń w zakresie:
G[Author ID1: at Thu Oct 5 09:09:00 2000
]g[Author ID1: at Thu Oct 5 09:09:00 2000
]rupy z ograniczeniami (restricted groups),[Author ID1: at Thu Oct 5 09:10:00 2000
]
U[Author ID1: at Thu Oct 5 09:10:00 2000
]u[Author ID1: at Thu Oct 5 09:10:00 2000
]sługi systemowe (system services),[Author ID1: at Thu Oct 5 09:10:00 2000
]
Do skonfigurowania różnych aspektów zabezpieczeń systemu Windows 2000 można użyć i zaadaptować jeden lub kilka Szablonów Zabezpieczeń (Security Templates).
Zasady kont (Account policies)
Zasady kont (account policies) dla kont domeny są konfigurowane w domenie, a zasady kont (account policies) [Author ID1: at Thu Oct 5 09:11:00 2000
]dla kont lokalnych są konfigurowane lokalnie na danym komputerze. Zasady konta (account policy) [Author ID1: at Thu Oct 5 09:11:00 2000
]w domenie określają ustawienia dotyczące hasła, ustawienia blokowania konta oraz ustawienia protokołu Kerberos.
Zasady lokalne (Local policies)
W systemie Windows 2000 zasady lokalne (local policies) są lokalne dla danego komputera bez rozróżniania pomiędzy rodzajami komputerów w sieci (kontroler domeny, serwer lub stacja robocza). W skład zasad lokalnych (local policies)[Author ID1: at Thu Oct 5 09:22:00 2000
] wchodzą zasady inspekcji (auditing policy), prawa i uprawnienia użytkownika oraz inne opcje zabezpieczeń, które można skonfigurować lokalnie. Zasady inspekcji (auditing policy) [Author ID1: at Thu Oct 5 09:20:00 2000
]określają, które ze zdarzeń związanych z zabezpieczeniami systemu są zapisywane w dzienniku zabezpieczeń (security log) komputera. Ustawienia praw i uprawnień (privileges) użytkownika dotyczą uprawnień w danym systemie. Opcje zabezpieczeń dotyczą szerokiego zakresu ustawień, np.[Author ID1: at Thu Oct 5 09:21:00 2000
] —[Author ID1: at Thu Oct 5 09:21:00 2000
] na przykład[Author ID1: at Thu Oct 5 09:22:00 2000
] praw dostępu do zasobów,[Author ID1: at Thu Oct 5 09:22:00 2000
] takich jak napęd dyskietek czy CD-ROM.
Dziennik zdarzeń (E[Author ID1: at Thu Oct 5 09:22:00 2000
]Event log)
Ustawienia dziennika zdarzeń umożliwiają konfigurowanie dzienników aplikacji, zabezpieczeń i systemowych. Można ustawić parametry,[Author ID1: at Thu Oct 5 09:22:00 2000 ] takie jak maksymalny rozmiar pliku dziennika, ograniczenia dostępu dla gości (guest access) oraz metody przechowywania (retention methods).
Grupy z ograniczeniami (RR[Author ID1: at Thu Oct 5 09:22:00 2000
]estricted g[Author ID1: at Thu Oct 5 09:22:00 2000
]G[Author ID1: at Thu Oct 5 09:22:00 2000
]roups)
Lista grupy z ograniczeniami (restricted group) umożliwia zarządzanie grupami wbudowanymi, które mają uprzednio zdefiniowane możliwości. Są to między innymi grupy lokalne,[Author ID1: at Thu Oct 5 09:23:00 2000
] takie jak Administratorzy[Author ID1: at Thu Oct 5 09:23:00 2000
] ([Author ID1: at Thu Oct 5 09:23:00 2000
]A[Author ID1: at Thu Oct 5 09:23:00 2000
]Administrators)[Author ID1: at Thu Oct 5 09:23:00 2000
], Użytkownicy [Author ID1: at Thu Oct 5 09:23:00 2000
]Zaawansowani[Author ID1: at Thu Oct 5 09:23:00 2000
] ([Author ID1: at Thu Oct 5 09:23:00 2000
]PP[Author ID1: at Thu Oct 5 09:24:00 2000
]ower UU[Author ID1: at Thu Oct 5 09:24:00 2000
]sers)[Author ID1: at Thu Oct 5 09:24:00 2000
], Operatorzy [Author ID1: at Thu Oct 5 09:25:00 2000
]Wydruku[Author ID1: at Thu Oct 5 09:25:00 2000
] ([Author ID1: at Thu Oct 5 09:25:00 2000
]PP[Author ID1: at Thu Oct 5 09:26:00 2000
]rint OO[Author ID1: at Thu Oct 5 09:26:00 2000
]perators)[Author ID1: at Thu Oct 5 09:26:00 2000
], Operatorzy [Author ID1: at Thu Oct 5 09:26:00 2000
]Serwera[Author ID1: at Thu Oct 5 09:26:00 2000
] [Author ID1: at Thu Oct 5 09:26:00 2000
]([Author ID1: at Thu Oct 5 09:26:00 2000
]S[Author ID1: at Thu Oct 5 09:26:00 2000
]Server OO[Author ID1: at Thu Oct 5 09:26:00 2000
]perators),[Author ID1: at Thu Oct 5 09:26:00 2000
] itd. Do tej listy można dodać grupy uznane za szczególnie ważne lub uprzywilejowane wraz z informacjami dotyczącymi członkostwa w tych grupach. Umożliwia to śledzenie i zarządzanie tymi grupami, co jest częścią konfigurowania systemu lub zasad (policies[Author ID1: at Thu Oct 5 09:26:00 2000
]y[Author ID1: at Thu Oct 5 09:26:00 2000
]) systemowych.
Oprócz tego można również śledzić przynależność każdej grupy z ograniczeniami (restricted group) w innych grupach, co zapisane jest w kolumnie Członek Grupy (M[Author ID1: at Thu Oct 5 09:26:00 2000
]Members OO[Author ID1: at Thu Oct 5 09:26:00 2000
]f ). Można wykorzystać odpowiednią funkcję[Author ID1: at Thu Oct 5 09:26:00 2000
]e[Author ID1: at Thu Oct 5 09:26:00 2000
] przystawki (snap-in) Konfigurowanie i Analizowanie Aabezpieczeń (S[Author ID1: at Thu Oct 5 09:27:00 2000
]Security C[Author ID1: at Thu Oct 5 09:27:00 2000
]Configuration and A[Author ID1: at Thu Oct 5 09:27:00 2000
]Analysis),[Author ID1: at Thu Oct 5 09:27:00 2000
] aby kontrolować, do których grup mogą należeć członkowie grupy z ograniczeniami (restricted group) lub umieszczać użytkowników w jednej grupie, uniemożliwiając im w ten sposób przynależność do innej grupy[Author ID1: at Thu Oct 5 09:28:00 2000
].
Usługi systemowe
Lista usług systemowych zawiera szeroki zakres usług,[Author ID1: at Thu Oct 5 09:28:00 2000
] takich jak usługi sieciowe, usługi [Author ID1: at Thu Oct 5 09:28:00 2000
]plikowe, usługi [Author ID1: at Thu Oct 5 09:28:00 2000
]drukowania, usługi [Author ID1: at Thu Oct 5 09:28:00 2000
]telefoniczne i faksowe (telephony and fax services) oraz usługi internetowe i intranetowe. Szablony obsługują bezpośrednio [Author ID1: at Thu Oct 5 09:28:00 2000
]ustawienia ogólne każdej usługi systemowej bezpośrednio[Author ID1: at Thu Oct 5 09:28:00 2000
]. Ustawienia ogólne obejmują tryb uruchamiania (startup mode) danej usługi (automatycznie, ręcznie i wyłączona) oraz jej [Author ID1: at Thu Oct 5 09:28:00 2000
]zabezpieczenia tej usł[Author ID1: at Thu Oct 5 09:28:00 2000
]ugi[Author ID1: at Thu Oct 5 09:28:00 2000
].
Rejestr systemowy (R[Author ID1: at Thu Oct 5 09:28:00 2000
]Registry)
Szablony umożliwiają zarządzanie rejestrem systemowym (r[Author ID1: at Thu Oct 5 09:28:00 2000
]R[Author ID1: at Thu Oct 5 09:28:00 2000
]egistry) przez umieszczenie deskryptora zabezpieczeń (security descriptor) w kluczach rejestru. Lista rejestru[Author ID1: at Thu Oct 5 09:29:00 2000
] systemowego [Author ID1: at Thu Oct 5 09:29:00 2000
]y [Author ID1: at Thu Oct 5 09:29:00 2000
](R[Author ID1: at Thu Oct 5 09:29:00 2000
]r[Author ID1: at Thu Oct 5 09:29:00 2000
]egistry) zawiera pełną ścieżkę dostępu do R[Author ID1: at Thu Oct 5 09:29:00 2000
]r[Author ID1: at Thu Oct 5 09:29:00 2000
]ejestru systemowego (r[Author ID1: at Thu Oct 5 09:29:00 2000
]R[Author ID1: at Thu Oct 5 09:29:00 2000
]egistry) oraz deskryptor zabezpieczeń (security descriptor). Ustawieniami R[Author ID1: at Thu Oct 5 09:29:00 2000
]r[Author ID1: at Thu Oct 5 09:29:00 2000
]ejestru systemowego dotyczącymi zabezpieczeń można zarządzać za pomocą przystawki (snap-in) Konfigurowanie i Analizowanie Zabezpieczeń (SS[Author ID1: at Thu Oct 5 09:29:00 2000
]ecurity CC[Author ID1: at Thu Oct 5 09:29:00 2000
]onfiguration and A[Author ID1: at Thu Oct 5 09:29:00 2000
]Analysis),[Author ID1: at Thu Oct 5 09:29:00 2000
] klikając w załadowanym szablonie prawym klawiszem [Author ID1: at Thu Oct 5 08:30:00 2000
]przyciskiem [Author ID1: at Thu Oct 5 08:30:00 2000
]myszki dowolny klucz R[Author ID1: at Thu Oct 5 09:29:00 2000
]r[Author ID1: at Thu Oct 5 09:29:00 2000
]ejestru systemowego (Registry)[Author ID1: at Thu Oct 5 09:29:00 2000
].
System plików
Lista szablonu (template list) traktuje wszystkie woluminy w systemie jako część jednego drzewa,[Author ID1: at Thu Oct 5 09:30:00 2000
] w którym gałęzie pierwszego poziomu (first-level nodes) są katalogami głównymi (root directory) każdego z woluminów. Jeśli szablon jest załadowany do przystawki (snap-in) Konfigurowanie i Analizowanie Zabezpieczeń (Security Configuration and Analysis) [Author ID1: at Thu Oct 5 09:30:00 2000
], [Author ID1: at Thu Oct 5 09:30:00 2000
]to wtedy można przeglądać katalog lokalny i określić ustawienia zabezpieczeń dla dowolnego pliku lub foldera.
Skonfigurowane wstępnie Szablony Zabezpieczeń (Security Templates)
Dla najczęściej spotykanych sposobów zabezpieczeń dostarczono zestaw szablonów zabezpieczeń, które opisano w rozdziale 2. W niniejszym rozdziale zostaną one zastosowane do s[Author ID1: at Thu Oct 5 09:30:00 2000
]tworzenia zasad zabezpieczeń (security policy), stosowanych dla komputera lokalnego, które mogą być przeanalizowane i wyeksportowane do podobnych komputerów znajdujących się w danej sieci. Szablony te mogą być przypisywane do komputera bezpośrednio w postaci,[Author ID1: at Thu Oct 5 09:31:00 2000
] w jakiej je dostarczono lub też zmodyfikowane za pomocą przystawki (snap-in) konsoli MMC Szablony Zabezpieczeń (S[Author ID1: at Thu Oct 5 09:31:00 2000
]Security TT[Author ID1: at Thu Oct 5 09:31:00 2000
]emplates).
OSTRZEŻENIE! Przed zastosowaniem zdefiniowanych wstępnie Szablonów Zabezpieczeń (Security Templates) do działającego systemu,[Author ID1: at Thu Oct 5 09:31:00 2000 ] konieczne jest ich sprawdzenie,[Author ID1: at Thu Oct 5 09:31:00 2000 ] aby upewnić się, czy zachowany zostanie odpowiedni poziom zabezpieczeń.
Poniżej zamieszczono listę wstępnie zdefiniowanych Szablonów Zabezpieczeń (Security Templates):
D[Author ID1: at Thu Oct 5 09:31:00 2000
]d[Author ID1: at Thu Oct 5 09:31:00 2000
]omyślny stacja robocza (basicwk.inf),[Author ID1: at Thu Oct 5 09:31:00 2000
]
D[Author ID1: at Thu Oct 5 09:31:00 2000
]d[Author ID1: at Thu Oct 5 09:31:00 2000
]omyślny serwer (basicsv.inf),[Author ID1: at Thu Oct 5 09:31:00 2000
]
d[Author ID1: at Thu Oct 5 09:31:00 2000
]D[Author ID1: at Thu Oct 5 09:31:00 2000
]omyślny kontroler domeny (basicdc.inf),[Author ID1: at Thu Oct 5 09:31:00 2000
]
z[Author ID1: at Thu Oct 5 09:31:00 2000
]Z[Author ID1: at Thu Oct 5 09:31:00 2000
]godny stacja robocza lub serwer (compatws.inf),[Author ID1: at Thu Oct 5 09:32:00 2000
]
b[Author ID1: at Thu Oct 5 09:32:00 2000
]B[Author ID1: at Thu Oct 5 09:32:00 2000
]ezpieczny stacja robocza lub serwer (securews.inf),[Author ID1: at Thu Oct 5 09:32:00 2000
]
Ś[Author ID1: at Thu Oct 5 09:32:00 2000
]ś[Author ID1: at Thu Oct 5 09:32:00 2000
]ciśle zabezpieczony (H[Author ID1: at Thu Oct 5 09:32:00 2000
]h[Author ID1: at Thu Oct 5 09:32:00 2000
]ighly secure) stacja robocza lub serwer (hisecws.inf),[Author ID1: at Thu Oct 5 09:32:00 2000
]
S[Author ID1: at Thu Oct 5 09:32:00 2000
]s[Author ID1: at Thu Oct 5 09:32:00 2000
]pecjalizowany kontroler domeny (dedicadc.inf),[Author ID1: at Thu Oct 5 09:32:00 2000
]
B[Author ID1: at Thu Oct 5 09:32:00 2000
]b[Author ID1: at Thu Oct 5 09:32:00 2000
]ezpieczny kontroler domeny (securedc.inf),[Author ID1: at Thu Oct 5 09:32:00 2000
]
Ś[Author ID1: at Thu Oct 5 09:32:00 2000
]ś[Author ID1: at Thu Oct 5 09:32:00 2000
]ciśle zabezpieczony (highly secure) [Author ID1: at Thu Oct 5 09:32:00 2000
]kontroler domeny (hisecdc.inf).[Author ID1: at Thu Oct 5 09:32:00 2000
]
Domyślnie szablony te są zapisane w folderze \%systemroot%\security\templates. Szablon Zabezpieczenia Instalatora (S[Author ID0: at Thu Nov 30 00:00:00 1899
]Setup S[Author ID0: at Thu Nov 30 00:00:00 1899
]Security), opisany wcześniej [Author ID0: at Thu Nov 30 00:00:00 1899
]powyżej [Author ID1: at Thu Oct 5 09:32:00 2000
]w niniejszym rozdziale w [Author ID0: at Thu Nov 30 00:00:00 1899
]podrozdziale „Zestaw narzędzi konfiguracyjnych”, również zapisany jest w tym folderze.
Szablony podzielone są na pięć kategorii, zgodnych z wymaganiami dotyczącymi zabezpieczeń: podstawowy, zgodny, bezpieczny, ściśle zabezpieczony (highly secure) i specjalizowany kontroler domeny.
Szablony podstawowe (Basic)
Szablony Konfiguracyjne (Security Templates) podstawowe,[Author ID1: at Thu Oct 5 09:33:00 2000
] lub [Author ID1: at Thu Oct 5 09:33:00 2000
]([Author ID1: at Thu Oct 5 09:33:00 2000
]inaczej domyślne)[Author ID1: at Thu Oct 5 09:33:00 2000
],[Author ID1: at Thu Oct 5 09:33:00 2000
] służą do zastępowania innych konfiguracji zabezpieczeń. Konfiguracje podstawowe stosują domyślne ustawienia zabezpieczeń systemu Windows 2000 do wszystkich zabezpieczanych obszarów za wyjątkiem tych, które dotyczą praw użytkownika. Nie są one modyfikowane w szablonach podstawowych (basic templates),[Author ID1: at Thu Oct 5 09:33:00 2000
] ponieważ zwykle [Author ID1: at Thu Oct 5 09:33:00 2000
]zazwyczaj [Author ID1: at Thu Oct 5 09:33:00 2000
]programy instalacyjne aplikacji modyfikują prawa użytkownika, umożliwiając w ten sposób prawidłowe korzystanie z danej aplikacji. Konfiguracja podstawowa nie unieważnia tych zmian.
Szablony zgodne (Compatible)
Domyślnie zabezpieczenia systemu Windows 2000 są skonfigurowane w ten sposób, aby członkowie grupy lokalnej Users [Author ID0: at Thu Nov 30 00:00:00 1899
]Użytkownicy[Author ID1: at Thu Oct 5 09:34:00 2000
] ([Author ID1: at Thu Oct 5 09:34:00 2000
]Users) [Author ID1: at Thu Oct 5 09:34:00 2000
]mieli najlepsze ustawienia zabezpieczeń,[Author ID1: at Thu Oct 5 09:34:00 2000
] a członkowie grupy lokalnej Użytkownicy zaawansowani[Author ID1: at Thu Oct 5 09:34:00 2000
] ([Author ID1: at Thu Oct 5 09:34:00 2000
]PP[Author ID1: at Thu Oct 5 09:34:00 2000
]ower U[Author ID1: at Thu Oct 5 09:34:00 2000
]Users)[Author ID1: at Thu Oct 5 09:34:00 2000
] mieli ustawienia zabezpieczeń zgodne z zabezpieczeniami dla użytkowników systemu Windows NT 4. Taka konfiguracja [Author ID1: at Thu Oct 5 09:35:00 2000
]domyślna konfiguracja [Author ID1: at Thu Oct 5 09:35:00 2000
]pozwala na tworzenie aplikacji zgodnych ze standardową definicją zabezpieczeń systemu Windows,[Author ID1: at Thu Oct 5 09:35:00 2000
] umożliwiając jednocześnie poprawne działanie aplikacji już istniejących.
Domyślnie wszyscy użytkownicy uwierzytelnieni przez system Windows 2000 są członkami grupy P[Author ID1: at Thu Oct 5 09:35:00 2000
]p[Author ID1: at Thu Oct 5 09:35:00 2000
]ower u[Author ID1: at Thu Oct 5 09:35:00 2000
]U[Author ID1: at Thu Oct 5 09:35:00 2000
]sers. Zabezpieczenie to może być niedostateczne w takich systemach, w których bardziej odpowiednie jest, aby domyślnie wszyscy użytkownicy byli członkami grupy U[Author ID1: at Thu Oct 5 09:35:00 2000
]u[Author ID1: at Thu Oct 5 09:35:00 2000
]sers. W takich sytuacjach korzysta się z szablonów zgodnych (compatible templates). Obniżając poziom zabezpieczeń dla poszczególnych plików, folderów i kluczy r[Author ID1: at Thu Oct 5 09:36:00 2000
]R[Author ID1: at Thu Oct 5 09:36:00 2000
]ejestru najczęściej używanych przez aplikacje, szablony zgodne (compatible templates)[Author ID1: at Thu Oct 5 09:36:00 2000
] umożliwiają prawidłowe działanie większości aplikacji. Oprócz tego wszyscy zaawansowani użytkownicy[Author ID1: at Thu Oct 5 09:36:00 2000
]członkowie grupy Power User[Author ID1: at Thu Oct 5 09:36:00 2000
]s[Author ID1: at Thu Oct 5 09:36:00 2000
] zostają usunięci.
Szablony bezpieczne (Secure)
Szablony Bezpieczne (Secure Templates) wprowadzają zalecane ustawienia zabezpieczeń dla wszystkich zabezpieczanych obszarów,[Author ID1: at Thu Oct 5 09:36:00 2000
] oprócz plików, folderów i kluczy R[Author ID1: at Thu Oct 5 09:49:00 2000
]r[Author ID1: at Thu Oct 5 09:49:00 2000
]ejestru (R[Author ID1: at Thu Oct 5 09:49:00 2000
]r[Author ID1: at Thu Oct 5 09:49:00 2000
]egistry),[Author ID1: at Thu Oct 5 09:50:00 2000
] które nie są modyfikowane,[Author ID1: at Thu Oct 5 09:50:00 2000
] ponieważ uprawnienia dotyczące systemu plików i R[Author ID1: at Thu Oct 5 09:50:00 2000
]r[Author ID1: at Thu Oct 5 09:50:00 2000
]ejestru (Registry) [Author ID1: at Thu Oct 5 09:50:00 2000
]są konfigurowane domyślnie [Author ID1: at Thu Oct 5 09:50:00 2000
]jako bezpieczne domyślnie[Author ID1: at Thu Oct 5 09:50:00 2000
].
Szablony [Author ID1: at Thu Oct 5 09:51:00 2000
]Ś[Author ID1: at Thu Oct 5 09:51:00 2000
]ś[Author ID1: at Thu Oct 5 09:51:00 2000
]ciśle zabezpieczone[Author ID1: at Thu Oct 5 09:51:00 2000
]y[Author ID1: at Thu Oct 5 09:51:00 2000
] (H[Author ID1: at Thu Oct 5 09:50:00 2000
]Highly secure)
Szablony Ściśle Zabezpieczone (Highly Secure Templates) określają ustawienia zabezpieczeń dla komunikacji przez sieć w systemie Windows 2000. Obszary zabezpieczane są konfigurowane w ten sposób, aby maksymalnie chronić wymianę danych poprzez sieć pomiędzy komputerami pracującymi pod kontrolą systemu Windows 2000. Komputer, dla którego zastosowano szablony ściśle zabezpieczeń (highly secure template) [Author ID1: at Thu Oct 5 09:51:00 2000
]może komunikować się wyłącznie z komputerami pracującymi pod kontrolą systemu Windows 2000.
Specjalizowany Kontroler Domeny (Dedicated Domain Controller)
Domyślne zabezpieczenia kontrolerów domen (DCs) pracujących pod kontrolą systemu Windows 2000 nie są idealne. Umożliwia to administratorom uruchamianie na kontrolerach domen starszych wersji aplikacji korzystających z serwera (server-based applications). Jeśli takie aplikacje nie będą uruchamiane, to [Author ID1: at Thu Oct 5 09:52:00 2000
]wówczas [Author ID1: at Thu Oct 5 09:52:00 2000
]wtedy [Author ID1: at Thu Oct 5 09:52:00 2000
]można określić domyślne uprawnienia dotyczące systemu plików i R[Author ID1: at Thu Oct 5 09:52:00 2000
]r[Author ID1: at Thu Oct 5 09:52:00 2000
]ejestru (r[Author ID1: at Thu Oct 5 09:52:00 2000
]R[Author ID1: at Thu Oct 5 09:52:00 2000
]egistry) w takim sam sposób, jak dla stacji roboczych i serwerów autonomicznych (standalone servers). Do tego służą specjalizowane szablony zabezpieczeń (dedicated security templates).
Wskazówka: Nie zaleca się uruchamiania starszych wersji aplikacji oraz aplikacji innych niż narzędzia do administrowania na kontrolerach domen (DCs).
Rozwiązania natychmiastowe
Tworzenie i analizowanie konfiguracji zabezpieczeń
Poniżej podany zostanie przykład zastosowania podstawowego lub domyślnego szablonu zabezpieczeń serwera dla[Author ID1: at Thu Oct 5 09:52:00 2000
]o[Author ID1: at Thu Oct 5 09:52:00 2000
] serwera członkowskiego i analiza uzyskanej w ten sposób konfiguracji zabezpieczeń. Procedurę[Author ID1: at Thu Oct 5 09:52:00 2000
]a[Author ID1: at Thu Oct 5 09:52:00 2000
] taką przeprowadza się,[Author ID1: at Thu Oct 5 09:53:00 2000
] jeśli zachodzi potrzeba odtworzenia domyślnych ustawień zabezpieczeń. Podobne procedury postępowania obowiązują w przypadku stosowania któregokolwiek ze wstępnie zdefiniowanych szablonów zabezpieczeń (predefined security templates),[Author ID1: at Thu Oct 5 09:53:00 2000
] do odpowiadającego mu rodzaju komputera, [Author ID1: at Thu Oct 5 09:53:00 2000
]opisanych w części niniejszego rozdziału „W skrócie”, do odpowiadającego mu rodzaju komputera[Author ID1: at Thu Oct 5 09:53:00 2000
]. W niniejszym podrozdziale również zostanie [Author ID1: at Thu Oct 5 09:54:00 2000
]utworzona zostanie również [Author ID1: at Thu Oct 5 09:54:00 2000
]przystawka (snap-in) konsoli MMC pod nazwą Narzędzie Do Konfigurowania (C[Author ID1: at Thu Oct 5 09:54:00 2000
]Configuration T[Author ID1: at Thu Oct 5 09:54:00 2000
]Tool), która będzie używana w kolejnych podrozdziałach. [Author ID1: at Thu Oct 5 09:54:00 2000
]
Zaloguj się do serwera członkowskiego jako administrator.
Wybierz z menu Start pozycję Uruchom (R[Author ID1: at Thu Oct 5 09:54:00 2000
]Run) i wpisz polecenie mmc.
Z menu Konsola (c[Author ID1: at Thu Oct 5 09:54:00 2000
]C[Author ID1: at Thu Oct 5 09:54:00 2000
]onsole) wybierz pozycję [Author ID1: at Thu Oct 5 09:54:00 2000
]Dodaj/Usuń przystawki (AA[Author ID1: at Thu Oct 5 09:55:00 2000
]dd/R[Author ID1: at Thu Oct 5 09:55:00 2000
]Remove S[Author ID1: at Thu Oct 5 09:55:00 2000
]s[Author ID1: at Thu Oct 5 09:55:00 2000
]nap-ins).
Kliknij pozycję Dodaj (A[Author ID1: at Thu Oct 5 09:55:00 2000
]Add).
Wybierz opcję[Author ID1: at Thu Oct 5 08:29:00 2000
]e[Author ID1: at Thu Oct 5 08:29:00 2000
] Konfigurowanie i Analizowanie Zabezpieczeń (SS[Author ID1: at Thu Oct 5 09:55:00 2000
]ecurity CC[Author ID1: at Thu Oct 5 09:55:00 2000
]onfiguration and AA[Author ID1: at Thu Oct 5 09:55:00 2000
]nalysis). Kliknij Dodaj [Author ID1: at Thu Oct 5 09:55:00 2000
](Add)[Author ID1: at Thu Oct 5 09:55:00 2000
].
Wybierz [Author ID1: at Thu Oct 5 09:55:00 2000
]Zaznacz [Author ID1: at Thu Oct 5 09:55:00 2000
]pozycję[Author ID1: at Thu Oct 5 08:29:00 2000
]e[Author ID1: at Thu Oct 5 08:29:00 2000
] Szablony Zabezpieczeń (SS[Author ID1: at Thu Oct 5 09:55:00 2000
]ecurity TT[Author ID1: at Thu Oct 5 09:55:00 2000
]emplates) i k[Author ID1: at Thu Oct 5 09:55:00 2000
]. K[Author ID1: at Thu Oct 5 09:55:00 2000
]liknij Dodaj [Author ID1: at Thu Oct 5 09:55:00 2000
](Add)[Author ID1: at Thu Oct 5 09:55:00 2000
].
Naciśnij przycisk Zamknij (C[Author ID1: at Thu Oct 5 09:55:00 2000
]Close). Aby powrócić do przystawki (snap-in) [Author ID1: at Thu Oct 5 09:55:00 2000
]konsoli MMC [Author ID1: at Thu Oct 5 09:55:00 2000
], [Author ID1: at Thu Oct 5 09:55:00 2000
]naciśnij przycisk [Author ID1: at Thu Oct 5 09:55:00 2000
]OK.
Prawym klawiszem [Author ID1: at Thu Oct 5 08:31:00 2000
]przyciskiem [Author ID1: at Thu Oct 5 08:31:00 2000
]myszki kliknij [Author ID2: at Thu Oct 5 10:44:00 2000
]wybierz [Author ID1: at Thu Oct 5 10:44:00 2000
]pozycje[Author ID1: at Thu Oct 5 08:29:00 2000
]ę[Author ID1: at Thu Oct 5 08:29:00 2000
] Konfigurowanie i Analizowanie Zabezpieczeń [Author ID1: at Thu Oct 5 09:55:00 2000
](Security Configuration and Analysis)[Author ID1: at Thu Oct 5 09:55:00 2000
] i z menu wybierz [Author ID2: at Thu Oct 5 10:44:00 2000
]polecenie Otwórz Bazę Danych (O[Author ID1: at Thu Oct 5 09:56:00 2000
]Open Database).
W polu Nazwa Pliku (F[Author ID1: at Thu Oct 5 09:56:00 2000
]File Name) wpisz nazwę bazy danych konfiguracji, na [Author ID1: at Thu Oct 5 09:56:00 2000
]przykład[Author ID1: at Thu Oct 5 09:56:00 2000
].[Author ID1: at Thu Oct 5 09:56:00 2000
] member server. Naciśnij przycisk Otwórz (O[Author ID1: at Thu Oct 5 09:56:00 2000
]Open).
Zaznacz szablon basicsv.inf i naciśnij przycisk [Author ID1: at Thu Oct 5 09:56:00 2000
]wybierz [Author ID1: at Thu Oct 5 09:56:00 2000
]Otwórz (O[Author ID1: at Thu Oct 5 09:56:00 2000
]Open).
Prawym klawiszem [Author ID1: at Thu Oct 5 08:31:00 2000
]przyciskiem [Author ID1: at Thu Oct 5 08:31:00 2000
]myszki kliknij pozycję Konfigurowanie i Analizowanie Zabezpieczeń (Security Configuration and Analysis) [Author ID1: at Thu Oct 5 09:56:00 2000
]i z menu wybierz polecenie Konfiguruj Komputer Teraz (C[Author ID1: at Thu Oct 5 09:57:00 2000
]Configure CC[Author ID1: at Thu Oct 5 09:57:00 2000
]omputer N[Author ID1: at Thu Oct 5 09:57:00 2000
]Now).
Podaj ścieżkę pliku dziennika błędów lub zaakceptuj domyślną. Zanotuj tę[Author ID1: at Thu Oct 5 09:57:00 2000
]ą[Author ID1: at Thu Oct 5 09:57:00 2000
] ścieżkę i potwierdź[Author ID1: at Thu Oct 5 09:57:00 2000
]. Naciśnij przycisk[Author ID1: at Thu Oct 5 09:57:00 2000
] OK.
Zabezpieczenia komputera są skonfigurowane. Może to chwilę [Author ID1: at Thu Oct 5 09:57:00 2000
]potrwać chwilę[Author ID1: at Thu Oct 5 09:57:00 2000
].
Aby zobaczyć daną konfigurację zabezpieczeń,[Author ID1: at Thu Oct 5 09:57:00 2000
] musisz najpierw uruchomić analizę. Prawym klawiszem [Author ID1: at Thu Oct 5 08:31:00 2000
]przyciskiem [Author ID1: at Thu Oct 5 08:31:00 2000
]myszki kliknij [Author ID2: at Thu Oct 5 10:45:00 2000
]zaznacz[Author ID1: at Thu Oct 5 10:45:00 2000
] [Author ID2: at Thu Oct 5 10:45:00 2000
]pozycję Konfigurowanie i Analizowanie Zabezpieczeń (Security Configuration and Analysis) [Author ID1: at Thu Oct 5 09:57:00 2000
]i z menu wybierz polecenie Analizuj Komputer Teraz (AA[Author ID1: at Thu Oct 5 09:57:00 2000
]nalyze CC[Author ID1: at Thu Oct 5 09:57:00 2000
]omputer NN[Author ID1: at Thu Oct 5 09:57:00 2000
]ow).
Podaj tę[Author ID1: at Thu Oct 5 09:57:00 2000
]ą[Author ID1: at Thu Oct 5 09:57:00 2000
] samą ścieżkę do pliku dziennika błędów jak poprzednio. Naciśnij przycisk OK.
Zabezpieczenia komputera są analizowane. Może to chwilę[Author ID1: at Thu Oct 5 09:58:00 2000
]e[Author ID1: at Thu Oct 5 09:58:00 2000
] potrwać.
Pojawi się konsola MMC, która w lewej części okna zawiera kontener Konfigurowanie i Analizowanie Zabezpieczeń (Security Configuration and Analysis) [Author ID1: at Thu Oct 5 09:58:00 2000
]z nową konfiguracją zabezpieczeń.
Prawym klawiszem [Author ID1: at Thu Oct 5 08:31:00 2000
]przyciskiem [Author ID1: at Thu Oct 5 08:31:00 2000
]myszki kliknij pozycję Konfigurowanie i Analizowanie Zabezpieczeń (Security Configuration and Analysis) [Author ID1: at Thu Oct 5 09:58:00 2000
]i zaznacz polecenie Wyświetl Plik Dziennika (V[Author ID1: at Thu Oct 5 09:58:00 2000
]View Log File); jeśli było wybrane, usuń zaznaczenie i zaznacz [Author ID1: at Thu Oct 5 09:59:00 2000
]ustaw [Author ID1: at Thu Oct 5 09:59:00 2000
]jeszcze raz. Powinno pojawić się okno podobne do przedstawionego na rysunku 12.1. Zwróć uwagę, że podstawowy szablon zabezpieczeń (basic security template) nie dotyczy praw użytkowników i mogą pojawić się w dzienniku ostrzeżenia i zapisy informujące o błędach, dotyczące zabezpieczeń plików.
Zapisz konsolę MMC jako [Author ID1: at Thu Oct 5 09:59:00 2000
] Narzędzie Do Konfigurowania (C[Author ID1: at Thu Oct 5 09:59:00 2000
]Configuration T[Author ID1: at Thu Oct 5 09:59:00 2000
]Tool). Pozostaw ścieżkę domyślną,[Author ID1: at Thu Oct 5 09:59:00 2000
] aby mieć dostęp do danej przystawki (snap-in) z menu Narzędzia administracyjne (AA[Author ID1: at Thu Oct 5 09:59:00 2000
]dministrative T[Author ID1: at Thu Oct 5 09:59:00 2000
]t[Author ID1: at Thu Oct 5 09:59:00 2000
]ools).
Zamknij konsolę MMC.
Rysunek 12.1.[Author ID1: at Thu Oct 5 09:59:00 2000
] Skonfigurowane i zanalizowanie podstawowych zabezpieczeń serwera.[Author ID0: at Thu Nov 30 00:00:00 1899
]
Edytowanie konfiguracji zabezpieczeń
Poniżej przedstawiony zostanie sposób edytowania zabezpieczeń skonfigurowanych poprzednio dla serwera członkowskiego. Ta sama procedura może być wykorzystana do lokalnego edytowania dowolnej konfiguracji zabezpieczeń, na dowolnym komputerze w danej sieci. W przykładzie tym użyta zostanie przystawka (snap-in) [Author ID1: at Thu Oct 5 10:00:00 2000
]konsoli MMC Narzędzie Do Konfigurowania (C[Author ID1: at Thu Oct 5 10:00:00 2000
]Configuration T[Author ID1: at Thu Oct 5 10:00:00 2000
]Tool) utworzona w poprzednim podrozdziale „Tworzenie i analizowanie konfiguracji zabezpieczeń”.
Zaloguj się na serwerze członkowskim jako administrator.
Z menu Narzędzia administracyjne (AA[Author ID1: at Thu Oct 5 10:00:00 2000
]dministrative t[Author ID1: at Thu Oct 5 10:00:00 2000
]T[Author ID1: at Thu Oct 5 10:00:00 2000
]ools) wybierz pozycję Narzędzie Do Konfigurowania (C[Author ID1: at Thu Oct 5 10:00:00 2000
]Configuration T[Author ID1: at Thu Oct 5 10:00:00 2000
]Tool).
Rozwiń gałąź Konfigurowanie i Analizowanie Zabezpieczeń (S[Author ID1: at Thu Oct 5 10:00:00 2000
]Security CC[Author ID1: at Thu Oct 5 10:00:00 2000
]onfiguration and AA[Author ID1: at Thu Oct 5 10:00:00 2000
]nalysis).
Rozwiń gałąź Zasady Lokalne (L[Author ID1: at Thu Oct 5 10:00:00 2000
]Local PP[Author ID1: at Thu Oct 5 10:00:00 2000
]olicies) i zaznacz pozycję[Author ID1: at Thu Oct 5 08:29:00 2000
]e[Author ID1: at Thu Oct 5 08:29:00 2000
] Opcje Zabezpieczeń (S[Author ID1: at Thu Oct 5 10:00:00 2000
]Security OO[Author ID1: at Thu Oct 5 10:00:00 2000
]ptions).
W prawej części okna kliknij dwukrotnie pozycję Nie wyświetlaj nazwy ostatnio zalogowanego użytkownika (D[Author ID1: at Thu Oct 5 10:01:00 2000
]Do not display last logged on user name).
Wybierz opcję Włączone (E[Author ID1: at Thu Oct 5 10:01:00 2000
]Enabled). Jeśli opcja ta jest [Author ID1: at Thu Oct 5 10:01:00 2000
]wyświetlona na szaro, zaznacz Definiuj w bazie danych następujące zasady (D[Author ID1: at Thu Oct 5 10:01:00 2000
]Define this policy in the database).
Zwróć uwagę, że to ustawienie nie ma wpływu na aktualne ustawienia komputera,[Author ID1: at Thu Oct 5 10:01:00 2000 ] dopóki ta konfiguracja nie będzie zastosowana i zanalizowana. Naciśnij przycisk OK.
W ten sam sposób dodaj nagłówek i treść komunikatu dla użytkowników, którzy podejmują próby zalogowania się.
Ogranicz dostęp do napędu dyskietek i CD-ROM-u[Author ID1: at Thu Oct 5 10:01:00 2000
] tylko do U[Author ID1: at Thu Oct 5 10:01:00 2000
]u[Author ID1: at Thu Oct 5 10:01:00 2000
]żytkowników zalogowanych lokalnie.
Zmień nazwę konta administratora.
Skonfiguruj pozostałe opcje, które chcesz zawrzeć [Author ID1: at Thu Oct 5 10:02:00 2000
]umieścić [Author ID1: at Thu Oct 5 10:02:00 2000
]w zasadach serwera członkowskiego (member server policy). Pamiętaj, że niektóre z tych ustawień (szczególnie w kontenerze Przypisywanie Praw Użytkownika (UU[Author ID1: at Thu Oct 5 10:02:00 2000
]ser RR[Author ID1: at Thu Oct 5 10:02:00 2000
]ights AA[Author ID1: at Thu Oct 5 10:02:00 2000
]ssignment)[Author ID1: at Thu Oct 5 10:02:00 2000
]) mogą być zastąpione przez zasady domeny (domain policies[Author ID1: at Thu Oct 5 10:02:00 2000
]y[Author ID1: at Thu Oct 5 10:02:00 2000
]).
W lewej części okna prawym klawisz[Author ID1: at Thu Oct 5 08:31:00 2000
]em [Author ID1: at Thu Oct 5 08:31:00 2000
]przyciskiem [Author ID1: at Thu Oct 5 08:31:00 2000
]myszki kliknij [Author ID1: at Thu Oct 5 10:02:00 2000
]wybierz [Author ID1: at Thu Oct 5 10:02:00 2000
]pozycję Konfigurowanie i Analizowanie Zabezpieczeń (Security Configuration and Analysis) [Author ID1: at Thu Oct 5 10:02:00 2000
]i z menu wybierz polecenie Konfiguruj Komputer Teraz (CC[Author ID1: at Thu Oct 5 10:02:00 2000
]onfigure C[Author ID1: at Thu Oct 5 10:02:00 2000
]Computer CN[Author ID1: at Thu Oct 5 10:02:00 2000
]ow).
Naciśnij przycisk OK. [Author ID1: at Thu Oct 5 10:02:00 2000
], [Author ID1: at Thu Oct 5 10:02:00 2000
]aby zaakceptować ścieżkę do pliku dziennika błędów.
Kiedy zabezpieczenia komputera zostaną skonfigurowane,[Author ID1: at Thu Oct 5 10:03:00 2000
] prawym klawiszem [Author ID1: at Thu Oct 5 08:32:00 2000
]przyciskiem [Author ID1: at Thu Oct 5 08:32:00 2000
]myszki kliknij [Author ID2: at Thu Oct 5 10:45:00 2000
]włącz[Author ID1: at Thu Oct 5 10:45:00 2000
] [Author ID2: at Thu Oct 5 10:45:00 2000
]pozycję Konfigurowanie i Analizowanie Zabezpieczeń (Security Configuration and Analysis) [Author ID1: at Thu Oct 5 10:03:00 2000
]i z menu wybierz polecenie Analizuj Komputer Teraz (A[Author ID1: at Thu Oct 5 10:03:00 2000
]Analyze C[Author ID1: at Thu Oct 5 10:03:00 2000
]Computer NN[Author ID1: at Thu Oct 5 10:03:00 2000
]ow).
Naciśnij przycisk OK. [Author ID1: at Thu Oct 5 10:03:00 2000
], [Author ID1: at Thu Oct 5 10:03:00 2000
]aby zaakceptować ścieżkę dostępu do pliku dziennika błędów.
Po zakończeniu analizowania,[Author ID1: at Thu Oct 5 10:03:00 2000
] prawym klawiszem [Author ID1: at Thu Oct 5 08:32:00 2000
]przyciskiem [Author ID1: at Thu Oct 5 08:32:00 2000
]myszki kliknij pozycję Konfigurowanie i Analizowanie Zabezpieczeń (Se[Author ID1: at Thu Oct 5 10:03:00 2000
]curity Configuration and Analysis) [Author ID1: at Thu Oct 5 10:03:00 2000
]i zaznacz polecenie Wyświetl Plik Dziennika (V[Author ID1: at Thu Oct 5 10:03:00 2000
]View Log File); jeśli było wybrane, usuń zaznaczenie i zaznacz jeszcze raz. Przewiń plik dziennika i sprawdź,[Author ID1: at Thu Oct 5 10:03:00 2000
] czy nie ma wpisów o błędach lub ostrzeżeń dotyczących wprowadzonych zmian. Typowe okno dialogowe zostało przedstawione na rysunku 12.2.
Rysunek 12.2.[Author ID1: at Thu Oct 5 10:04:00 2000
] Sprawdzanie dziennika błędów.[Author ID0: at Thu Nov 30 00:00:00 1899
]
Wskazówka: Dziennik błędów jest plikiem tekstowym. Może być odczytany za pomocą programów Notatnik (N[Author ID1: at Thu Oct 5 10:04:00 2000
]Notepad), Wordpad lub Word. Można wyszukać w nim odpowiedni ciąg znaków, można go również wydrukować.
Eksportowanie konfiguracji zabezpieczeń
W poprzednim podrozdziale opisano przykład użycia narzędzia pod nazwą Konfigurowanie i Analizowanie Zabezpieczeń (S[Author ID1: at Thu Oct 5 10:04:00 2000
]Security C[Author ID1: at Thu Oct 5 10:04:00 2000
]Configuration and A[Author ID1: at Thu Oct 5 10:04:00 2000
]Analysis) do skonfigurowania zasad lokalnych (local policy) dla serwera członkowskiego. Po skonfigurowaniu, zanalizowaniu i sprawdzeniu zasad na jednym komputerze,[Author ID1: at Thu Oct 5 10:04:00 2000
] można je eksportować w postaci pliku zasad (policy file) i zastosować na podobnych komputerach w sieci. Pozwala to na znaczne skrócenie czasu i ograniczenie błędów instalowania.
Poniżej zamieszczono procedurę eksportowania zasad:
Zaloguj się na serwerze członkowskim jako administrator.
Z menu Narzędzia administracyjne (A[Author ID1: at Thu Oct 5 10:05:00 2000
]Administrative t[Author ID1: at Thu Oct 5 10:05:00 2000
]T[Author ID1: at Thu Oct 5 10:05:00 2000
]ools) wybierz pozycję[Author ID1: at Thu Oct 5 08:29:00 2000
]e[Author ID1: at Thu Oct 5 08:29:00 2000
] Narzędzie Do Konfigurowania (CC[Author ID1: at Thu Oct 5 10:05:00 2000
]onfiguration T[Author ID1: at Thu Oct 5 10:05:00 2000
]Tool).
Prawym klawiszem [Author ID1: at Thu Oct 5 08:32:00 2000
]przyciskiem [Author ID1: at Thu Oct 5 08:32:00 2000
]myszki kliknij [Author ID2: at Thu Oct 5 10:45:00 2000
]zaznacz[Author ID1: at Thu Oct 5 10:45:00 2000
] [Author ID2: at Thu Oct 5 10:45:00 2000
]pozycje[Author ID1: at Thu Oct 5 08:29:00 2000
]ę[Author ID1: at Thu Oct 5 08:29:00 2000
] Konfiguracja i Analizowanie (C[Author ID1: at Thu Oct 5 10:05:00 2000
]Configuration and AA[Author ID1: at Thu Oct 5 10:05:00 2000
]nalysis) i z menu wybierz polecenie Eksportuj Szablon (EE[Author ID1: at Thu Oct 5 10:05:00 2000
]xport T[Author ID1: at Thu Oct 5 10:05:00 2000
]Template).
W polu Nazwa Pliku (F[Author ID1: at Thu Oct 5 10:05:00 2000
]File Name) wpisz:[Author ID1: at Thu Oct 5 10:20:00 2000
] s[Author ID1: at Thu Oct 5 10:19:00 2000
]e[Author ID1: at Thu Oct 5 10:20:00 2000
]rwer członkowski ([Author ID1: at Thu Oct 5 10:19:00 2000
] [Author ID1: at Thu Oct 5 10:05:00 2000
]member server [Author ID1: at Thu Oct 5 10:20:00 2000
]([Author ID1: at Thu Oct 5 10:20:00 2000
] [Author ID1: at Thu Oct 5 10:19:00 2000
]serwer członkowski[Author ID1: at Thu Oct 5 10:20:00 2000
]). Naciśnij przycisk Zapisz (SS[Author ID1: at Thu Oct 5 10:05:00 2000
]ave).
Zamknij przystawkę (snap-in) konsoli MMC. Jeśli pojawi się okno dialogowe Wybierz Do Zapisania (C[Author ID1: at Thu Oct 5 10:05:00 2000
]Choose To S[Author ID1: at Thu Oct 5 10:05:00 2000
]Save) upewnij się, czy zaznaczone są wszystkie pliki,[Author ID1: at Thu Oct 5 10:05:00 2000
] a następnie naciśnij przycisk OK.
Otwórz ponownie przystawkę (snap-in) [Author ID1: at Thu Oct 5 10:06:00 2000
]Narzędzie Do Donfigurowania [Author ID1: at Thu Oct 5 10:06:00 2000
](Configuration Tool)[Author ID1: at Thu Oct 5 10:06:00 2000
].
Rozwiń gałąź Szablony Zabezpieczeń (S[Author ID1: at Thu Oct 5 10:06:00 2000
]Security T[Author ID1: at Thu Oct 5 10:06:00 2000
]Templates), jak przedstawiono to na rysunku 12.3. Nowy szablon zabezpieczeń pojawi się w danym drzewie.
Rysunek 12.3.[Author ID1: at Thu Oct 5 10:06:00 2000
] Szablon Serwer członkowski[Author ID1: at Thu Oct 5 10:06:00 2000
]„member server” [Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Thu Oct 5 10:06:00 2000
]zapisany w magazynie Szablony Zabezpieczeń (S[Author ID0: at Thu Nov 30 00:00:00 1899
]Security TT[Author ID0: at Thu Nov 30 00:00:00 1899
]emplates).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Za pomocą Eksploratora Windows (Windows E[Author ID1: at Thu Oct 5 10:06:00 2000
]Explorer) udostępnij folder \%systemroot%\security\templates i grupie Domain Admins nadaj uprawnienia F[Author ID1: at Thu Oct 5 10:07:00 2000
]Pełna [Author ID1: at Thu Oct 5 10:06:00 2000
]Kontrola[Author ID1: at Thu Oct 5 10:06:00 2000
] [Author ID1: at Thu Oct 5 10:06:00 2000
]-->([Author ID1: at Thu Oct 5 10:06:00 2000
][Author ID1: at Thu Oct 5 10:07:00 2000
]F-->ull[Author ID1: at Thu Oct 5 10:07:00 2000
] -->C[Author ID1: at Thu Oct 5 10:07:00 2000
][Author ID1: at Thu Oct 5 10:07:00 2000
]C-->ontrol[Author ID1: at Thu Oct 5 10:07:00 2000
]-->)[Author ID1: at Thu Oct 5 10:07:00 2000
][Author ID1: at Thu Oct 5 10:07:00 2000
]. Teraz plik może być pobierany i stosowany do dowolnego komputera w danej sieci.
OSTRZEŻENIE! Pamiętaj o usunięciu grupy Everyone.
Edytowanie Szablonów Zabezpieczeń
Powyższe podrozdziały przedstawiały procedury importowania szablonów zabezpieczeń i stosowania ich do konfigurowania i edytowania zasad zabezpieczeń (security policies[Author ID1: at Thu Oct 5 10:07:00 2000
]y[Author ID1: at Thu Oct 5 10:07:00 2000
]). Zasady zabezpieczeń po edycji i sprawdzeniu mogą być eksportowane do kontenera Szablony Zabezpieczeń (S[Author ID1: at Thu Oct 5 10:07:00 2000
]Security TT[Author ID1: at Thu Oct 5 10:07:00 2000
]emplates),[Author ID1: at Thu Oct 5 10:07:00 2000
] aby można było z nich korzystać na innych komputerach. Można zmienić wstępnie zdefiniowany szablon i zastosować go do odpowiednich komputerów w danej sieci, zmieniając w ten sposób ich ustawienia domyślne. Oprócz tego można stosować funkcje edycji kopiuj-[Author ID1: at Thu Oct 5 10:08:00 2000
] [Author ID1: at Thu Oct 5 10:08:00 2000
]i [Author ID1: at Thu Oct 5 10:08:00 2000
]-[Author ID1: at Thu Oct 5 10:08:00 2000
]wklej (copy-and-paste) przystawki (snap-in) konsoli MMC Szablony Zabezpieczeń (S[Author ID1: at Thu Oct 5 10:08:00 2000
]Security T[Author ID1: at Thu Oct 5 10:08:00 2000
]Templates) do jednoczesnego wnoszenia poprawek do wszystkich zasad (policies) w jednym kontenerze szablonów. Należy pamiętać o tym, że poprawki wprowadzone w szablonach do konfiguracji zabezpieczeń wstępnych lub utworzonych przez użytkownika, nie zmieniają żadnych zasad (policies) [Author ID1: at Thu Oct 5 10:09:00 2000
]na komputerach dopóki nowy szablon zasad (policy template) [Author ID1: at Thu Oct 5 10:09:00 2000
]nie zostanie zastosowany.
Edytowanie szablonu wstępnie zdefiniowanego (predefined template)
Poniżej zamieszczono przykład edytowania szablonu wstępnie zdefiniowanego (predefined template). Należy zwrócić uwagę, że szablon nie jest edytowany bezpośrednio — zapisywany jest pod inną nazwą i dopiero ten plik jest edytowany. Edytowanie szablonu wstępnie zdefiniowanego jest złym sposobem[Author ID1: at Thu Oct 5 10:09:00 2000
]rozwiązaniem[Author ID1: at Thu Oct 5 10:09:00 2000
]. Nowemu plikowi można zmienić nazwę na nazwę szablonu domyślnego tylko po dokładnym sprawdzeniu nowych ustawień, ale nawet wtedy należy na wszelki wypadek zrobić kopię zapasową poprzedniej wersji szablonu, najlepiej na przechowywanej bezpiecznie dyskietce.
Poniższa procedura przedstawia sposób edytowania podstawowego szablonu stacji roboczej (basic workstation template). W takim przypadku należy edycję przeprowadzić na serwerze. Konieczne będzie pobranie (download) danego pliku do innych komputerów, najpierw do jednej ze stacji roboczej w celu sprawdzenia, a potem do pozostałych stacji roboczych w sieci. Jest zadanie do wykonania na serwerze. Na większości stacji roboczych nie jest i nie powinna być uruchomiona usługa Serv[Author ID0: at Thu Nov 30 00:00:00 1899
]w[Author ID1: at Thu Oct 5 10:10:00 2000
]er.
Zaloguj się na serwerze członkowskim jako administrator.
Z menu Narzędzia administracyjne (A[Author ID1: at Thu Oct 5 10:10:00 2000
]Administrative t[Author ID1: at Thu Oct 5 10:10:00 2000
]T[Author ID1: at Thu Oct 5 10:10:00 2000
]ools) wybierz pozycję Narzędzie Do Konfigurowania (C[Author ID1: at Thu Oct 5 10:10:00 2000
]Configuration TT[Author ID1: at Thu Oct 5 10:10:00 2000
]ool).
Rozwiń drzewo Szablony Zabezpieczeń (S[Author ID1: at Thu Oct 5 10:10:00 2000
]Security TT[Author ID1: at Thu Oct 5 10:10:00 2000
]emplates) i prawym klawiszem [Author ID1: at Thu Oct 5 08:32:00 2000
]przyciskiem [Author ID1: at Thu Oct 5 08:32:00 2000
]myszki kliknij kontener basicwk.
Wybierz polecenie Zapisz jako (S[Author ID1: at Thu Oct 5 10:10:00 2000
]Save as). W polu Nazwa Pliku (F[Author ID1: at Thu Oct 5 10:10:00 2000
]File Name) wpisz newbasicwk. Naciśnij przycisk [Author ID1: at Thu Oct 5 10:10:00 2000
]Zapisz [Author ID1: at Thu Oct 5 10:10:00 2000
](Save)[Author ID1: at Thu Oct 5 10:10:00 2000
].
Rozwiń kontener newbasicwk i zmień zasady haseł (password policies[Author ID1: at Thu Oct 5 10:11:00 2000
]y[Author ID1: at Thu Oct 5 10:11:00 2000
]), co przedstawiono na rysunku 12.4.[Author ID1: at Thu Oct 5 10:13:00 2000
],[Author ID1: at Thu Oct 5 10:13:00 2000
] lub zmodyfikuj inne zasady, które uznasz za stosowne.
Rysunek 12.4.[Author ID1: at Thu Oct 5 10:13:00 2000
] Zmiana Zasad Haseł (Password Policies).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Prawym klawiszem [Author ID1: at Thu Oct 5 08:32:00 2000
]przyciskiem [Author ID1: at Thu Oct 5 08:32:00 2000
]myszki klik[Author ID1: at Thu Oct 5 10:14:00 2000
]nij [Author ID1: at Thu Oct 5 10:14:00 2000
]zaznacz [Author ID1: at Thu Oct 5 10:14:00 2000
]kontener newbasicwk i z menu wybierz polecenie Zapisz [Author ID1: at Thu Oct 5 10:14:00 2000
](Save)[Author ID1: at Thu Oct 5 10:14:00 2000
].
Pobierz szablon zasad (policy template) do stacji roboczej pracującej pod kontrolą systemu Windows 2000 Professional. Skonfiguruj stację roboczą za pomocą szablonu zasad (policy temp[Author ID0: at Thu Nov 30 00:00:00 1899
]late) [Author ID0: at Thu Nov 30 00:00:00 1899
]zgodnie z procedurą opisaną wcześniej w niniejszym rozdziale [Author ID0: at Thu Nov 30 00:00:00 1899
]powyżej, [Author ID1: at Thu Oct 5 10:14:00 2000
]w podrozdziale „Tworzenie i analizowanie konfiguracji zabezpieczeń”. Dokładnie sprawdź konfigurację.
Edytowanie szablonu utworzonego przez użytkownika za pomocą funkcji kopiowania i wklejania
W zamieszczonym poniżej przykładzie użyto szablonu zabezpieczeń serwera członkowskiego, który został utworzony, edytowany i wyeksportowany zgodnie z procedurami opisanymi we wcześniejszych podrozdziałach. Procedura ta może być stosowana do w [Author ID1: at Thu Oct 5 10:15:00 2000
]przypadku [Author ID1: at Thu Oct 5 10:15:00 2000
]dowolnego szablonu zasad.
Poniżej opisano sposób zastosowania wszystkich zasad lokalnych z szablonu zasad securedc do szablonu serwera członkowskiego.
Zaloguj się jako administrator do serwera członkowskiego, na którym utworzono szablon zabezpieczeń serwera członkowskiego.
Z menu Narzędzia administracyjne (A[Author ID1: at Thu Oct 5 10:16:00 2000
]Administrative T[Author ID1: at Thu Oct 5 10:16:00 2000
]t[Author ID1: at Thu Oct 5 10:16:00 2000
]ools) wybierz pozycję Narzędzie Do Konfigurowania (CC[Author ID1: at Thu Oct 5 10:16:00 2000
]onfiguration TT[Author ID1: at Thu Oct 5 10:16:00 2000
]ool).
Rozwiń gałąź Szablony Zabezpieczeń (SS[Author ID1: at Thu Oct 5 10:16:00 2000
]ecurity TT[Author ID1: at Thu Oct 5 10:16:00 2000
]emplates) i prawym klawiszem [Author ID1: at Thu Oct 5 08:32:00 2000
]przyciskiem [Author ID1: at Thu Oct 5 08:32:00 2000
]myszki kliknij pozycję Zasady Lokalne (L[Author ID1: at Thu Oct 5 10:16:00 2000
]Local PP[Author ID1: at Thu Oct 5 10:16:00 2000
]olicies) w kontenerze securedc. [Author ID1: at Thu Oct 5 10:42:00 2000
]i w[Author ID1: at Thu Oct 5 10:16:00 2000
] W[Author ID1: at Thu Oct 5 10:16:00 2000
]ybierz polecenie [Author ID1: at Thu Oct 5 10:16:00 2000
]Kopiuj [Author ID1: at Thu Oct 5 10:16:00 2000
](Copy)[Author ID1: at Thu Oct 5 10:16:00 2000
].
Prawym klawiszem [Author ID1: at Thu Oct 5 08:32:00 2000
]przyciskiem [Author ID1: at Thu Oct 5 08:32:00 2000
]myszki kliknij pozycję Zasady Lokalne (Local Policies) [Author ID1: at Thu Oct 5 10:16:00 2000
]w kontenerze serwer członkowski ([Author ID1: at Thu Oct 5 10:17:00 2000
]member server (serwer członkowski[Author ID1: at Thu Oct 5 10:17:00 2000
]). Wybierz polecenie Wklej (PP[Author ID1: at Thu Oct 5 10:18:00 2000
]aste).
Prawym klawiszem [Author ID1: at Thu Oct 5 08:33:00 2000
]przyciskiem [Author ID1: at Thu Oct 5 08:33:00 2000
]myszki kliknij kontener Serwer [Author ID1: at Thu Oct 5 10:21:00 2000
]Członkowski[Author ID1: at Thu Oct 5 10:21:00 2000
] [Author ID1: at Thu Oct 5 10:21:00 2000
]-->m[Author ID1: at Thu Oct 5 10:21:00 2000
][Author ID1: at Thu Oct 5 10:21:00 2000
]([Author ID1: at Thu Oct 5 10:21:00 2000
]M-->ember[Author ID1: at Thu Oct 5 10:21:00 2000
] S-->erver[Author ID1: at Thu Oct 5 10:21:00 2000
] (serwer członkowski[Author ID1: at Thu Oct 5 10:21:00 2000
]). Wybierz polecenie Zapisz (S[Author ID1: at Thu Oct 5 10:22:00 2000
]Save).
Stosując procedurę opisaną we wcześniejszym podrozdziale „Tworzenie i analizowanie konfiguracji zabezpieczeń”,[Author ID1: at Thu Oct 5 10:22:00 2000
] zaimportuj do przystawki (snap-in) Konfigurowanie i Analizowanie Zabezpieczeń (S[Author ID1: at Thu Oct 5 10:22:00 2000
]Security CC[Author ID1: at Thu Oct 5 10:22:00 2000
]onfiguration and A[Author ID1: at Thu Oct 5 10:22:00 2000
]Analysis) poprawiony szablon zabezpieczeń serwera członkowskiego i zastosuj nowe ustawienia do danego serwera członkowskiego.
Sprawdź ustawienia.
Zastosowanie polecenia SS[Author ID0: at Thu Nov 30 00:00:00 1899
]ecedit
Program narzędziowy SS[Author ID0: at Thu Nov 30 00:00:00 1899
]ecedit uruchamiany z wiersza poleceń używany jest do konfigurowania i analizowania zabezpieczeń, szczególnie kiedy [Author ID1: at Thu Oct 5 10:23:00 2000
]gdy [Author ID1: at Thu Oct 5 10:23:00 2000
]konieczne jest częste przeprowadzanie analiz dużej liczby komputerów. Wyniki uzyskane za pomocą polecenia S[Author ID0: at Thu Nov 30 00:00:00 1899
]secedit można obejrzeć za pomocą narzędzia Konfigurowanie i Analizowanie Zabezpieczeń [Author ID1: at Thu Oct 5 10:23:00 2000
](Security Configuration and Analysis)[Author ID1: at Thu Oct 5 10:23:00 2000
].
Analizowanie zabezpieczeń systemu
Składnia polecenia secedit w przypadku analizowania zabezpieczeń systemu jest następująca:
secedit /analyze [/DB nazwa pliku] [/CFG nazwa pliku] [/log ścieżka dostępu do dziennika] [/verbose] [/quiet]
Parametry polecenia zdefiniowane są w następujący sposób:
DB nazwa pliku — P[Author ID1: at Thu Oct 5 10:24:00 2000
]p[Author ID1: at Thu Oct 5 10:24:00 2000
]odaje ścieżkę dostępu do bazy danych zawierającej analizowaną konfigurację. Jeśli nazwa pliku określa nową bazę danych należy podać również parametr CFG nazwa pliku,[Author ID1: at Thu Oct 5 10:24:00 2000
].[Author ID1: at Thu Oct 5 10:24:00 2000
]
CFG nazwa pliku — p[Author ID1: at Thu Oct 5 10:24:00 2000
]P[Author ID1: at Thu Oct 5 10:24:00 2000
]odaje się tylko razem z parametrem DB. Określa ścieżkę dostępu do szablonu zabezpieczeń zaimportowanego do bazy danych w celu przeprowadzenia analizy. Jeśli parametr ten nie występuje, analiza jest wykonywana dla dowolnej konfiguracji zapisanej już w bazie danych,[Author ID1: at Thu Oct 5 10:24:00 2000
].[Author ID1: at Thu Oct 5 10:24:00 2000
]
log ścieżka dostępu do dziennika — Ś[Author ID1: at Thu Oct 5 10:24:00 2000
]ś[Author ID1: at Thu Oct 5 10:24:00 2000
]cieżka dostępu do pliku dziennika dla danego procesu. Jeśli nie jest podana, używa się domyślnego pliku dziennika,[Author ID1: at Thu Oct 5 10:24:00 2000
].[Author ID1: at Thu Oct 5 10:24:00 2000
]
verbose — P[Author ID1: at Thu Oct 5 10:24:00 2000
]p[Author ID1: at Thu Oct 5 10:24:00 2000
]odaje szczegółowe informacje podczas przeprowadzania analizy,[Author ID1: at Thu Oct 5 10:24:00 2000
].[Author ID1: at Thu Oct 5 10:24:00 2000
]
quiet — P[Author ID1: at Thu Oct 5 10:25:00 2000
]p[Author ID1: at Thu Oct 5 10:25:00 2000
]omija wyświetlanie kolejnych ekranów i komunikatów. Wyniki analizy można wyświetlić za pomocą narzędzia Konfigurowania i Analizowanie Zabezpieczeń (S[Author ID1: at Thu Oct 5 10:25:00 2000
]Security C[Author ID1: at Thu Oct 5 10:25:00 2000
]Configuration and A[Author ID1: at Thu Oct 5 10:25:00 2000
]Analysis) lub za pomocą edytora tekstów, na [Author ID1: at Thu Oct 5 10:25:00 2000
]p.[Author ID1: at Thu Oct 5 10:25:00 2000
]rzykład[Author ID1: at Thu Oct 5 10:25:00 2000
] N[Author ID0: at Thu Nov 30 00:00:00 1899
]Notatnika (N[Author ID1: at Thu Oct 5 10:25:00 2000
]Notepad).
Przykład: ustawienia bazy danych serwera członkowskiego (member server database) są porównywane z ustawieniami domyślnymi:
secedit /analyze /DB „member server.sdb” /CFG „setup security.inf” /log difference.log /verbose
Uwaga: Aby uzyskać zwięzłość i przejrzystość powyższych przykładów przyjęto, że polecenie secedit jest uruchamiane z katalogu %\systemroot%\security\templates, [Author ID1: at Thu Oct 5 10:26:00 2000
]. P[Author ID1: at Thu Oct 5 10:26:00 2000
]p[Author ID1: at Thu Oct 5 10:26:00 2000
]otrzebne bazy danych konfiguracji skopiowano do tego katalogu i utworzony [Author ID1: at Thu Oct 5 10:26:00 2000
]jest [Author ID1: at Thu Oct 5 10:26:00 2000
]w nim jest [Author ID1: at Thu Oct 5 10:26:00 2000
]także utworzony [Author ID1: at Thu Oct 5 10:26:00 2000
]plik dziennika. W przypadku systemu rzeczywistego,[Author ID1: at Thu Oct 5 10:26:00 2000
] w wierszu poleceń razem z poleceniem secedit należy podać wszystkie pełne ścieżki dostępu.
Otrzymany plik dziennika można wyświetlić za pomocą narzędzia Konfigurowanie i Analizowanie Zabezpieczeń (Security Configuration and Analysis) [Author ID1: at Thu Oct 5 10:27:00 2000
]lub za pomocą Notatnika (N[Author ID1: at Thu Oct 5 10:27:00 2000
]Notepad), co przedstawiono na rysunku 12.5.
Rysunek 12.5.[Author ID1: at Thu Oct 5 10:27:00 2000
] Różnice pomiędzy ustawieniami aktualnymi a domyślnymi.[Author ID0: at Thu Nov 30 00:00:00 1899
]
Konfigurowanie zabezpieczeń systemu
Składnia polecenia secedit w przypadku konfigurowania zabezpieczeń systemu poprzez zastosowanie zapisanego wcześniej szablonu jest następująca:
secedit /configure [/DB nazwa pliku] [/CFG nazwa pliku] [/overwrite] [/areas obszar1 obszar2...] [/log ścieżka dostępu do dziennika] [/verbose] [/quiet]
Parametry polecenia zdefiniowane są w następujący sposób:
DB nazwa pliku — P[Author ID1: at Thu Oct 5 10:27:00 2000
]p[Author ID1: at Thu Oct 5 10:27:00 2000
]odaje ścieżkę dostępu do bazy danych zawierającej konfigurację, która ma zostać zastosowana. Parametr ten musi być podany,[Author ID1: at Thu Oct 5 10:28:00 2000
].[Author ID1: at Thu Oct 5 10:27:00 2000
]
CFG nazwa pliku — P[Author ID1: at Thu Oct 5 10:28:00 2000
]p[Author ID1: at Thu Oct 5 10:28:00 2000
]odaje się tylko razem z parametrem DB. Określa ścieżkę dostępu do szablonu zabezpieczeń zaimportowanego do bazy danych i zastosowanego do danego systemu. Jeśli parametr ten nie występuje, stosowany jest dowolny szablon,[Author ID1: at Thu Oct 5 10:28:00 2000
] zapisany już w bazie danych,[Author ID1: at Thu Oct 5 10:28:00 2000
].[Author ID1: at Thu Oct 5 10:28:00 2000
]
overwrite — P[Author ID1: at Thu Oct 5 10:28:00 2000
]p[Author ID1: at Thu Oct 5 10:28:00 2000
]odaje się tylko łącznie z parametrem CFG. Określa, czy szablon zabezpieczeń podany jako argument CFG ma zastąpić szablony lub szablon złożony (composite template) zapisane już w bazie danych. Jeśli parametr ten zostanie pominięty,[Author ID1: at Thu Oct 5 10:28:00 2000
] szablon podany jako argument CFG będzie dodany do zapisanego szablonu,[Author ID1: at Thu Oct 5 10:28:00 2000
].[Author ID1: at Thu Oct 5 10:28:00 2000
]
areas — O[Author ID1: at Thu Oct 5 10:28:00 2000
]o[Author ID1: at Thu Oct 5 10:29:00 2000
]kreśla obszary zabezpieczeń (security areas) — zob.[Author ID1: at Thu Oct 5 10:29:00 2000
](patrz[Author ID1: at Thu Oct 5 10:29:00 2000
] tabela 12.1. — [Author ID1: at Thu Oct 5 10:29:00 2000
]), [Author ID1: at Thu Oct 5 10:29:00 2000
]które mają[Author ID1: at Thu Oct 5 08:30:00 2000
]a[Author ID1: at Thu Oct 5 08:30:00 2000
] być zastosowane w danym systemie. Domyślnie jest to „all areas”. Poszczególne obszary oddzielane są spacjami,[Author ID1: at Thu Oct 5 10:29:00 2000
].[Author ID1: at Thu Oct 5 10:29:00 2000
]
log ścieżka dostępu do dziennika — Ś[Author ID1: at Thu Oct 5 10:29:00 2000
]ś[Author ID1: at Thu Oct 5 10:29:00 2000
]cieżka dostępu do pliku dziennika dla danego procesu. Jeśli nie jest podana, używa się domyślnego pliku dziennika,[Author ID1: at Thu Oct 5 10:30:00 2000
].[Author ID1: at Thu Oct 5 10:30:00 2000
]
verbose — P[Author ID1: at Thu Oct 5 10:30:00 2000
]p[Author ID1: at Thu Oct 5 10:30:00 2000
]odaje szczegółowe informacje podczas przeprowadzania analizy,[Author ID1: at Thu Oct 5 10:30:00 2000
].[Author ID1: at Thu Oct 5 10:30:00 2000
]
quiet — P[Author ID1: at Thu Oct 5 10:30:00 2000
]p[Author ID1: at Thu Oct 5 10:30:00 2000
]omija wyświetlanie kolejnych ekranów i komunikatów. [Author ID1: at Thu Oct 5 10:30:00 2000
]
Tabela 12.1.[Author ID1: at Thu Oct 5 10:31:00 2000 ] Obszary zabezpieczeń określane przez parametr areas[Author ID1: at Thu Oct 5 10:31:00 2000 ]
-->Nazwa obszaru[Author ID0: at Thu Nov 30 01:06:00 1899 ] |
|
Securitypolicy |
Zasady lokalne i zasady domeny systemu, łącznie z zasadami kont, zasadami inspekcji,[Author ID1: at Thu Oct 5 10:32:00 2000 ] itd. |
Group_mgmt |
Ustawienia grup z zabezpieczeniami (restricted group) dla każdej z grup określonej w szablonie zabezpieczeń |
User_rights |
Prawa i uprawnienia logowania użytkownika |
Regkeys |
Zabezpieczenia kluczy |
Filestore |
Zabezpieczenia lokalnego magazynu plików (local file storage) |
Services |
Zabezpieczenia wszystkich zdefiniowanych usług |
Przykład: obszar praw użytkownika bazy danych zasad zabezpieczeń serwera członkowskiego (member server security policy database) jest konfigurowany z ustawieniami praw użytkownika z szablonu securedb za pomocą polecenia w następującej postaci:
secedit /analyze /DB „member server.sdb” /CFG „secure.inf” /overwrite /areas user_rights /log overwrite.log /verbose
Na rysunku 12.6 przedstawiono zapis w dzienniku dotyczący prawidłowego przebiegu konfigurowania.[Author ID2: at Thu Oct 5 10:33:00 2000
]
Rysunek 12.6.[Author ID1: at Thu Oct 5 10:33:00 2000
] Zapis w dzienniku o prawidłowym przebiegu konfiguracji praw użytkownika.[Author ID0: at Thu Nov 30 00:00:00 1899
]
Sprawdzanie pliku konfiguracji zabezpieczeń
Poniższa postać polecenia secedit służy do sprawdzania pliku konfiguracji zabezpieczeń:
secedit /validate nazwa pliku
Odświeżanie ustawień zabezpieczeń
Poniższa postać polecenia secedit służy do odświeżania zabezpieczeń systemu poprzez ponowne zastosowanie ustawień zabezpieczeń do obiektu zasad grupowych (GPO) Komputer Lokalny (LL[Author ID2: at Thu Oct 5 10:34:00 2000
]ocal M[Author ID2: at Thu Oct 5 10:34:00 2000
]Machine):
secedit /refreshpolicy {machine_policy | user_policy} [/enforce]
Parametry polecenia zdefiniowane są następująco:
machine_policy — o[Author ID1: at Thu Oct 5 10:34:00 2000
]O[Author ID2: at Thu Oct 5 10:34:00 2000
]dświeża ustawienia zabezpieczeń dla komputera lokalnego,[Author ID1: at Thu Oct 5 10:34:00 2000
].[Author ID2: at Thu Oct 5 10:34:00 2000
]
user_policy — O[Author ID2: at Thu Oct 5 10:34:00 2000
]o[Author ID1: at Thu Oct 5 10:34:00 2000
]dświeża ustawienia zabezpieczeń konta użytkownika lokalnego aktualnie zalogowanego na danym komputerze,[Author ID1: at Thu Oct 5 10:35:00 2000
].[Author ID2: at Thu Oct 5 10:35:00 2000
]
enforce — o[Author ID1: at Thu Oct 5 10:35:00 2000
]O[Author ID2: at Thu Oct 5 10:35:00 2000
]dświeża ustawienia zabezpieczeń,[Author ID1: at Thu Oct 5 10:35:00 2000
] nawet jeśli nie wprowadzono zmian w obiekcie zasad grupowych (GPO).
Eksportowanie ustawień zabezpieczeń
Składnia polecenia secedit w przypadku eksportowania zapisanego wcześniej szablonu z bazy danych zabezpieczeń do pliku szablonu zabezpieczeń, aby mógł być zastosowany do innego komputera, jest następująca:
secedit /export [/MergedPolicy] [/DB nazwa pliku] [/CFG nazwa pliku] [/areas obszar1 obszar2...] [/log ścieżka dostępu do dziennika] [/verbose] [/quiet]
Parametry polecenia zdefiniowane są w następujący sposób:
MergedPolicy — S[Author ID2: at Thu Oct 5 10:35:00 2000
]s[Author ID1: at Thu Oct 5 10:35:00 2000
]cala i eksportuje ustawienia zabezpieczeń zasad domeny lub zasad lokalnych,[Author ID1: at Thu Oct 5 10:35:00 2000
].[Author ID2: at Thu Oct 5 10:35:00 2000
]
DB nazwa pliku — p[Author ID1: at Thu Oct 5 10:35:00 2000
]P[Author ID2: at Thu Oct 5 10:35:00 2000
]odaje ścieżkę dostępu do bazy danych zawierającej szablon, który ma być wyeksportowany. Jeśli parametr ten pominięto, stosowana jest baza danych zasad systemowych,[Author ID1: at Thu Oct 5 10:35:00 2000
].[Author ID2: at Thu Oct 5 10:35:00 2000
]
CFG nazwa pliku — O[Author ID2: at Thu Oct 5 10:35:00 2000
]o[Author ID1: at Thu Oct 5 10:35:00 2000
]kreśla ścieżkę dostępu i nazwę pliku, w którym zapisywany jest dany szablonu,[Author ID1: at Thu Oct 5 10:35:00 2000
].[Author ID2: at Thu Oct 5 10:35:00 2000
]
areas area1 area2 — o[Author ID1: at Thu Oct 5 10:36:00 2000
]O[Author ID2: at Thu Oct 5 10:36:00 2000
]kreśla obszary zabezpieczeń (security areas) — zob.[Author ID1: at Thu Oct 5 10:36:00 2000
](patrz[Author ID2: at Thu Oct 5 10:36:00 2000
] tabela 12.1 [Author ID1: at Thu Oct 5 10:36:00 2000
])[Author ID2: at Thu Oct 5 10:36:00 2000
]—[Author ID1: at Thu Oct 5 10:36:00 2000
],[Author ID2: at Thu Oct 5 10:36:00 2000
] które maja[Author ID1: at Thu Oct 5 08:30:00 2000
]ą[Author ID1: at Thu Oct 5 08:30:00 2000
] być wyeksportowane. Domyślnie jest to „all areas”. Poszczególne obszary oddzielane są spacjami,[Author ID1: at Thu Oct 5 10:36:00 2000
].[Author ID2: at Thu Oct 5 10:36:00 2000
]
log ścieżka dostępu do dziennika — Ś[Author ID2: at Thu Oct 5 10:36:00 2000
]ś[Author ID1: at Thu Oct 5 10:36:00 2000
]cieżka dostępu do pliku dziennika dla danego procesu. Jeśli nie jest podana, używa się domyślnego pliku dziennika,[Author ID1: at Thu Oct 5 10:36:00 2000
].[Author ID2: at Thu Oct 5 10:36:00 2000
]
verbose — p[Author ID1: at Thu Oct 5 10:36:00 2000
]P[Author ID2: at Thu Oct 5 10:36:00 2000
]odaje szczegółowe informacje podczas przeprowadzania analizy,[Author ID1: at Thu Oct 5 10:37:00 2000
].[Author ID2: at Thu Oct 5 10:37:00 2000
]
quiet — P[Author ID2: at Thu Oct 5 10:37:00 2000
]p[Author ID1: at Thu Oct 5 10:37:00 2000
]omija wyświetlanie plików i komunikatów.
Przykład: obszar usług (service area) bazy danych zasad zabezpieczeń serwera członkowskiego (member server security policy database) jest eksportowany do pliku szablonu usług za pomocą polecenia w następującej postaci:
secedit /export /MergedPolicy /DB „member server.sdb” /CFG services.inf /areas services /log export.log /verbose
Wskazówka: Program narzędziowy Secedit [Author ID2: at Thu Oct 5 10:37:00 2000
], [Author ID1: at Thu Oct 5 10:37:00 2000
]tak jak wszystkie programy korzystające z wiersza poleceń wygląda na pierwszy rzut oka na nieporęczny i trudny do użycia. Jego główną zaletą jest jednak to, że może być zastosowany w plikach wsadowych (batch files) w celu zautomatyzowania konfigurowania wielu komputerów. Jeśli występuje konieczność skonfigurowania wielu komputerów lub jeśli potrzebne jest częste konfigurowanie komputerów,[Author ID1: at Thu Oct 5 10:38:00 2000
] dobrze jest zapoznać się z tym[Author ID2: at Thu Oct 5 10:38:00 2000
]poznać to[Author ID1: at Thu Oct 5 10:38:00 2000
] narzędziem[Author ID2: at Thu Oct 5 10:38:00 2000
].
33 Część I ♦ Podstawy obsługi systemu WhizBang (Nagłówek strony)
9 T:\Paweł\5 po wstawieniu rysunków\r-12.05.doc