записки ремесленника

АЛЕКСАНДР ПРИХОДЬКО

Спецвыпуск: Хакер, номер #068, стр. 068-098-1

(SANPRIH@MAIL.RU)

НАСТРОЙКА ДОМЕННОЙ ПОЛИТИКИ БЕЗОПАСНОСТИ. ЧАСТЬ ТРЕТЬЯ - ЗАКЛЮЧИТЕЛЬНАЯ.

КОМПЬЮТЕР ИМЕЕТ ПРЕИМУЩЕСТВО ПЕРЕД МОЗГОМ: ИМ ПОЛЬЗУЮТСЯ. (ГАБРИЭЛЬ ЛАУБ)

Продолжая тему прошлого модуля, хотелось бы обратить внимание на возможности управления через GPO такими вещами на пользовательских компьютерах, как сервисы. Ты, изучив внимательно некоторые полезные ресурсы в интернете, журналах и мануалах, можешь заметить, что при установке Windows XР запускает целый сонм сервисов, которые тебе в повседневной жизни не нужны. Таким образом, садишься и прикидываешь, какие сервисы лишние, и на уровне доменной политики отключаешь их. Сейчас мы проделаем это на примере сервиса «Удаленный реестр». Данный параметр у нас активирован. Для просмотра запущенных сервисов очень удобно пользоваться продуктом «procexp» фирмы «sysinternals» - www.sysinternals.com. Данная прога позволяет посмотреть описание процесса, запущенного на машине. Посмотрим это на компе доменного пользователя Балаганова:

Мы видим, что служба «Удаленный реестр» запущена и работает. Теперь пристрелим ее. На контроллере домена создаем новый объект групповой политики и назовем его «Сервисы». Открываем на редактирование и начинаем издеваться над веткой «Computer Configuration» - «Windows Settings» - «Security Settings» - «System Services». Находим параметр «Remote Registry», активируем данный параметр проставлением галочки в «Define This policy Setting» и отключаем «Удаленный реестр» активированием «Disabled». Прикручиваем политику «Сервисы» на весь домен. Как обычно, перечитываем политику «gpupdate /force». Перегружаем машину Балаганова и смотрим, что получилось.

Таким образом, ты можешь увеличить производительность всех машин домена через применение GPO. Еще немного о применении GPO: если ты будешь разворачивать систему обновлений операционных систем и других приложений от Microsoft в домене, то GPO и здесь спасет отца русской демократии. Разворачиваешь где-нибудь WSUS, настраиваешь его на закачку апдейтов, а через GPO настраиваешь обновления на всех клиентских машинах: GPO «Сервисы» - «Computer Configuration» - «Administrative Templates» - «Windows Components» - «Windows Update».

Да, еще рекомендуется настроить аудит на файлы, расположенные на сетевых ресурсах. Если какой-либо юзер удалит чужой файл на сетевом ресурсе, ты всегда сможешь найти, кто это сделал, и сдать его хозяину файла. А процесс разборки можно снять на видео и выложить в сеть для всеобщего обозрения. За аудит отвечает ветка GPO «Computer Configuration» - «Windows Settings» - «Security Settings» – «Local policies» - «Audit Policy» - «Audit object access». Отмечаем «Success» и «Failure».

Отмечаем указанные на рисунке «Свойства аудита» чекбоксы. Аудит настроен. Теперь проверим, как он работает. Пользователем «Бендер» на диске «Обмен» создадим текстовый файл и удалим его под пользователем «Балаганов». Для контроля над процессом используем на контроллере домена «Event Viewer». Легко видеть, как Бендер создал свой файл, а Балаганов удалил чужой документ.