записки ремесленника

АЛЕКСАНДР ПРИХОДЬКО

Спецвыпуск: Хакер, номер #067, стр. 067-082-1

(SANPRIH@MAIL.RU)

НАСТРОЙКА ДОМЕННОЙ ПОЛИТИКИ БЕЗОПАСНОСТИ. ЧАСТЬ ВТОРАЯ

Компьютерная программа делает то, что вы приказали ей сделать, а не то, что вы хотели, чтобы она сделала.

«Третий закон Грира»

Итак, продолжаем разговор. Займемся подстройкой доменной политики под наши нужды. Мы определись в том, что на уровне доменной политики будет очень мало параметров. Сейчас сделаем для всех пользователей домена подключение к интернету и аудит. Для настройки Internet Explorer открываем ветку в GPO Edit> User Configuration> Windows Settings> Internet Explorer Maintenance> Connection> Proxy Settings, где и прописываем адрес прокси-сервера.

Естественно, ставишь адрес своего сервера. Если в твоей конторе есть корпоративный web-сервер, ты можешь прописать его для всех пользователей стартовой страницей. Если нет, то пропиши что-нибудь полезное, например www.rambler.ru. Для этого переходишь на закладку URLs> Important URL, в строке Home URLs пишешь нужную стартовую страницу в формате http://www.rambler.ru. Теперь при запуске IE всегда будет открываться страница, заданная тобой. Еще целая куча настроек IE explorer'a прячется в ветке User Configuration> Administrative Templates> Internet Explorer. Если ты хочешь перекрыть доступ к каким-либо настройкам IE explorer’a, то покопайся User Configuration> Administrative Templates> Internet Explorer> Internet Control Panel. Я обычно запрещаю доступ к настройкам подключения IE explorer'a. Если нужно запретить пользователю еще и смену стартовой страницы, то активируй пункт User Configuration> Administrative Templates> Internet Explorer> Disable changing home page settings. Можешь запрещать доступ к каким-то определенным свойствам IE explorer'a или просто отключать целые пункты меню.

Теперь посмотрим, как выглядит Internet Explorer на машине Балаганова после наших хирургических вмешательств. Обновляем политику на контроллере домена и перечитываем ее на машине Балаганова.

Обрати внимание: установлена та стартовая страница, которая была прописана, и пользователь не может изменить адрес стартовой страницы, а закладки «Подключение» вообще нет. Таким образом, ты можешь полностью контролировать через GPO внешний вид и установки клиентских компьютеров. Повторюсь, для IE-explorer'a ты можешь настраивать каждый параметр или просто отключить закладки со всеми параметрами, находящимися на ней. Закладки отключать здесь (на примере Default Domain Policy): Default Domain Policy> User Configuration> Administrative Templates> Windows Components> Internet Explorer> Internet Control Panel. Можешь поэкспериментировать на машине пользователя, только после изменений в политике не забывай про «gpupdate». Опять же, для экспериментов лучше создай отдельное OU и играйся на нем. Боже тебя упаси делать это на доменной политике. Убьешь домен — и не поймешь когда и как.

Теперь займемся групповой политикой, которая будет создана для твоих потенциальных врагов — слишком продвинутых пользователей. Уже созданы OU «Враги» и групповая политика с таким же именем. Привязываем групповую политику «Враги» к OU «Враги». Заготовка для борьбы уже готова! В этом OU ты и откатываешь саму групповую политику запретов. Однако в жизни часто складываются ситуации, когда потенциальный враг все-таки должен пользоваться ресурсами домена. Если ты закроешь для него все и он не сможет выполнять свои функции, скорее всего, тебя уволят. Значит, будем хитрее и оставим врагу возможности пользоваться всем необходимым для работы, но перекроем кислород при попытке заняться творчеством на участке работы, вверенном тебе.