Файл: Цель изучить редактор локальной групповой политики и научиться настраивать групповые политики безопасности на автономном автоматизированном рабочем месте (арм) .docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 30.11.2023

Просмотров: 54

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.




В процессе выполнения данного этапа задания была настроена «Политика паролей» при учете роли АРМ в предприятии. Данных настроек должно хватить для обеспечения безопасности АРМ в соответствии с предположением о цели АРМ, указанной в начале задания: данное АРМ представляет ценность для предприятия, системный администратор раз в неделю проверяет состояние АРМ, пароль к учетной записи АРМ меняется раз в месяц.

Перейдем к оснастке «Политика блокировки учетной записи». Используем ранее применяемые настройки в локальной политике «Политика блокировки учетных записей»:



- Сброс счетчика блокировки через – 99999 минут. Поскольку для рассматриваемого АРМ значение параметра «Продолжительность блокировки учетной записи» было выбрано 0, то есть учетная запись будет заблокирована до тех пор, пока ее не разблокирует системный администратор, для данного параметра можно выбрать любое значение. Автоматическая разблокировка учетной записи не произойдет в любом случае, однако для дополнительной защищенности АРМ установим значение параметра «Сброс счетчика блокировки» на максимальное значение 99999. Теперь учетная запись будет заблокирована на достаточно длительный срок, чтобы с причинами блокировки успел разобраться системный администратор и, при необходимости, предупредить действия злоумышленника;

- Пороговое значение счетчика блокировки – 3 ошибки входа в систему. Поскольку АРМ расположено в «закрытом» контуре, установим значение данного параметра на 3 возможные попытки входа в учетную запись. Это рекомендуемое стандартное значение, и, с точки зрения безопасности, трех попыток хватит легальному пользователю, чтобы получить доступ к АРМ, а нелегальному – не хватит времени, чтобы подобрать правильный пароль до того, как учетная запись будет заблокирована.

- Блокировка учетной записи на – 0. Поскольку АРМ, которое рассматривается в данной лабораторной работе, расположено в «закрытом» контуре, то данный параметр разумно установить в значение 0: в этом случае учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее вручную. Эта мера предосторожности повысит защищенность АРМ: если будет превышено количество попыток входа (речь о которых идет далее), то этот случай уже вызывает подозрения – не действия ли это злоумышленника. Поэтому для сохранения безопасности АРМ учетная запись, для которой было превышено количество попыток входа, будет заблокирована до тех пор, пока с данной проблемой не разберется системный администратор.


В процессе выполнения данного этапа задания была настроена «Политика блокировки учетных записей» при учете роли АРМ в предприятии. Даны пояснения применения настроек для каждого пункта политики. При 3 неудачных попытках ввода пароля АРМ блокируется до прихода системного администратора.

«Локальные политики», отвечающие за политику аудита, назначения прав пользователя и параметры безопасности, в соответствии с пояснениями к выполнению данной лабораторной работы настраиваются аналогично тому, как это было выполнено в «Лабораторной работе №1: Локальные политики безопасности АРМ», этапы настройки здесь приводиться не будут.

Откроем оснастку «Политики безопасности IP на «Локальный компьютер», перейдя по адресу: WIN+R → gpedit.msc → оснастка «Редактор локальной групповой политики» → узел «Конфигурация компьютера» → узел «Конфигурация Windows» → узел «Параметры безопасности» → узел «Политики безопасности IP на «Локальный компьютер»:



Ниже можно увидеть содержимое политики после применения изменений:



  • Клиент (Ответ только). Поскольку АРМ расположено в «закрытом» контуре, то в целях повышения безопасности пользователям не следует выходить в сеть Internet. Поэтому в соответствии с этой политикой запрещаются все запросы пользователя и разрешено только отправлять ответы (серверам предприятия). Также в целях повышения безопасности используется протокол проверки подлинности Kerberos.



  • Сервер (запрос безопасности). При обращении к серверу вначале передается запрос безопасности.



Также в целях повышения безопасности для всех видов трафика требуется использование проверки подлинности с помощью протокола Kerberos.



  • Сервер безопасности (Требуется безопасность). Настраивается аналогично с пунктом «Сервер», с учетом всех требований к безопасности.

«Политики безопасности IP на «Локальный компьютер» успешно настроена.

В процессе выполнения данного этапа задания была настроена «Политики безопасности IP на «Локальный компьютер» при учете роли АРМ в предприятии. Даны пояснения применения настроек для каждого пункта политики. Данных настроек должно хватить для обеспечения безопасности АРМ в соответствии с предположением о цели АРМ, указанной в начале задания: данное АРМ

представляет ценность для предприятия, системный администратор раз в неделю проверяет состояние АРМ, в целях безопасности пользователям АРМ запрещается выходить в сеть Internet.

2). Настройка дочернего узла «Административные шаблоны» в «Конфигурации компьютера».

Дочерний узел «Административные шаблоны» является крупнейшим из всех возможных расширений групповой политики и включает тысячи параметров для приложений и компонентов операционной системы Windows. Каждому параметру политики административных шаблонов соответствует определенный параметр системного реестра. Политики в дочернем узле «Административные шаблоны» узла «Конфигурация компьютера» изменяют значения реестра в ключе HKEY_LOCAL_MACHINE (или просто HKLM). В рамках этой работы будет рассматриваться дочерний узел «Административные шаблоны» для локального компьютера. Поскольку политика «Административные шаблоны» включает в себя тысячи приложений и компонентов для гибкой настройки групповой политики безопасности под самые разные цели, нет смысла перечислять настройку всех компонентов. Вспомним, что рассматриваемое АРМ представляет ценность для предприятия, и в целях безопасности пользователям запрещается выходить в сеть Internet, разрешается отвечать на запросы серверов, а каждую неделю системный администратор проверяет состояние АРМ. Исходя из того, что АРМ расположено в «закрытом» контуре, настроим важные для безопасной его работы компоненты:

  • Запретить удаленное управление рабочим столом.

WIN+R → gpedit.msc → «Групповые политики» → «Конфигурация компьютера» → «Административные шаблоны» → «NetMeeting» → «Запретить удаленное управление рабочим столом».

Поскольку предполагается, что рассматриваемая АРМ находится в защищенном контуре, то к ней могут подключаться только системный администратор и пользователь, поэтому важно обязательно включить запрет на удаленное управление рабочим столом:



  • Выключить журнал событий справки приложения.

WIN+R → gpedit.msc → «Групповые политики» → «Конфигурация компьютера» → «Административные шаблоны» → «Компоненты Windows» → «Совместимость приложений» → «Выключить журнал событий справки приложения».


Поскольку предполагается, что рассматриваемая АРМ не имеет доступа к интернету, то пользователь имеет возможность запускать только предустановленные программы или те, которые пользователь загружает на АРМ с носителя. Последний случай представляет для системного администратора особый интерес: предполагается, что, в соответствии с политикой безопасности компании, личные носители информации, не прошедшие проверку, запрещены. Поэтому ведение журнала запуска приложений позволит отследить, из какого источника был запущен процесс, и отследить нарушителей:



  • Запрещение доступа к 16-разрядным приложениям.

WIN+R → gpedit.msc → «Групповые политики» → «Конфигурация компьютера» → «Административные шаблоны» → «Компоненты Windows» → «Совместимость приложений» → «Запрещение доступа к 16-разрядным приложениям».

Современные операционные системы семейства Windows являются 32- х битными и 64-х битными. Рассматриваемая АРМ имеет операционную систему Windows 10 64 бита, поэтому нет смысла разрешать запуск приложений меньшей разрядности: это может вызвать проблемы совместимости. Кроме того, 16-ти битные приложения небезопасны, и, если вдруг пользователь запустит подобное приложение, злоумышленник теоретически может попытаться получить доступ к операционной системе через это уязвимое приложение. Несмотря на то, что в нашем случае на АРМ недопустимо устанавливать и запускать сторонние приложения, следует предотвратить вероятность такой уязвимости:



  • Включение «Центра обеспечения безопасности».

WIN+R → gpedit.msc → «Групповые политики» → «Конфигурация компьютера» → «Административные шаблоны» → «Компоненты Windows» → «Центр обеспечения безопасности» → «Включить центр обеспечения безопасности».

При подключении АРМ к серверу необходимо использовать все доступные механизмы обеспечения безопасности. В частности – «Центр обеспечения безопасности»:



  • Запрет удаления заданий.

WIN+R → gpedit.msc → «Групповые политики» → «Конфигурация компьютера» → «Административные шаблоны» → «Компоненты Windows» → «Планировщик заданий» → «Запретить удаление заданий».

Поскольку АРМ представляет ценность, для обеспечения ее безопасности системный администратор может устанавливать определенные задания: например, сбор статистики использования программ, ведение журнала событий и т.д. Эти задачи являются компонентом комплекса по обеспечению безопасности АРМ, и нельзя допустить, чтобы пользователь мог их изменять. Поэтому требуется установить запрет на удаление уже установленных для АРМ заданий:




  • Удаление элемента «Безопасность Windows» из меню «Пуск».

WIN+R → gpedit.msc → «Групповые политики» → «Конфигурация компьютера» → «Административные шаблоны» → «Компоненты Windows» → «Службы удаленных рабочих столов» → «Узел сеансов удаленных рабочих столов» → «Среда удаленных сеансов» → «Удалить элемент «Безопасность Windows» из меню «Пуск»

Рассматриваемая АРМ представляет ценность для предприятия, поэтому разумно будет убрать компонент «Безопасность Windows» из меню «Пуск», чтобы пользователь не имел доступа к настройкам безопасности:



  • Включение защищенного режима протокола оболочки.

WIN+R → gpedit.msc → «Групповые политики» → «Конфигурация компьютера» → «Административные шаблоны» → «Компоненты Windows» → «Проводник» → «Отключить защищенный режим протокола оболочки».

Данный параметр регулирует возможность доступа к папкам и файлам, если используется защищенный режим, то приложения не могут запускать файлы, находящиеся под защитой. Для блокировки доступа пользователя к файлам и папкам, изменение которых может повредить работоспособности ОС и безопасности АРМ в частности, следует отключить этот параметр политики: в таком случае протокол оболочки используется в защищенном режиме, позволяя приложениям открывать только разрешенные папки:



  • Ведение журнала запуска и установки приложений.

WIN+R → gpedit.msc → «Групповые политики» → «Конфигурация компьютера» → «Административные шаблоны» → «Компоненты Windows» → «Установщик Windows» → «Отключение ведения журнала с помощью параметров пакета».

АРМ представляет ценность для предприятия, поэтому следует вести журнал всех процессов, генерируемых приложениями. Это позволит отследить, с чем и когда работает пользователь АРМ, а также определить, пытается ли он нарушить политику безопасности предприятия, устанавливая и запуская те приложения, которые не были предустановлены на его АРМ. Следовательно, необходимо отключить «Отключение ведения журнала с помощью параметров пакета». Если системный администратор будет располагать всеми сведениями о происходящем на АРМ, ему будет проще регулировать события: