Справочник Windows XP

       

Результаты анализа безопасности


Просмотр результатов, параметры, устранение несоответствий безопасности.

При использовании оснастки «Анализ и настройка безопасности» анализ безопасности выполняется путем сравнения текущего состояния системы с базой данных анализа. При создании в базе данных анализа используется, по крайней мере, один шаблон безопасности. Если импортируется несколько шаблонов, в базе данных выполняется слияние шаблонов и создание одного сборного шаблона. Таким образом устраняются конфликты в порядке импорта; приоритет имеет последний импортируемый шаблон.

Просмотр результатов анализа безопасности


Результаты анализа в оснастке «Анализ и настройка безопасности» упорядочены по областям безопасности и помечены значками, означающими неполадки. Для каждого атрибута безопасности областей безопасности отображаются текущие параметры системы и параметры основной конфигурации. Для изменения параметров базы данных анализа щелкните правой кнопкой мыши запись и выберите команду

Свойства

.

Значок

Описание



Красный XЭлемент определен в базе данных анализа и в системе, однако значения параметров безопасности не совпадают.
Зеленая отметкаЭлемент определен в базе данных анализа и в системе; значения параметров безопасности совпадают.
Вопросительный знакЭлемент не определен в базе данных анализа и, следовательно, не анализировался.

Если элемент не анализируется, возможно, он не был определен в базе данных анализа или пользователь, выполняющий анализ, не имеет достаточных разрешений на анализ данного объекта или области.

Восклицательный знакЭлемент определен в базе данных анализа, однако, не существует в текущей конфигурации системы. Например, может существовать группа с ограниченным доступом, определенная в базе данных анализа и не существующая в анализируемой системе.
Выделение отсутствуетЭлемент не определен в базе данных анализа или в системе.


При принятии текущих параметров соответствующие значения в основной конфигурации будут исправлены на текущие. При изменении параметров системы в соответствии с параметрами из основной конфигурации изменения будут отражены при настройке системы из оснастки «Анализ и настройка безопасности».



Чтобы предотвратить дальнейшее выделение настроек, рассмотренных и признанных обоснованными, следует изменить основную конфигурацию. Изменения будут внесены в копию шаблона.

Сведения см. в разделах

Выполнение анализа безопасности системы

, Устранение несоответствий системы безопасности и Описания параметров безопасности.

Описания параметров безопасности



Конфигурация компьютера\Конфигурация Windows\Параметры безопасности Область безопасности

Описание

Политика паролей, политика блокировки учетной записи и политика Kerberos
Политика аудита, назначение прав пользователя и параметры безопасности
Журнал событийПараметры журналов событий приложений, системных событий и событий безопасности
Группы с ограниченным доступомСостав групп с особыми требованиями к безопасности
Системные службыПараметры запуска и разрешения для системных служб
РеестрРазрешения для разделов реестра
Файловая системаРазрешения для файлов и папок
Параметры безопасности, описываемые в этом разделе, можно настраивать для одного компьютера или сразу для нескольких, используя средства диспетчера настройки безопасности. К этим средствам относятся:

Шаблоны безопасности

Анализ и настройка безопасности

Программа командной строки Secedit.exe

Локальная политика безопасности

Расширение «Параметры безопасности» для групповой политики

Чтобы установить или изменить отдельные параметры безопасности на отдельных компьютерах, используйте средство «Локальная политика безопасности». Чтобы определить параметры безопасности для нескольких компьютеров, используйте расширение «Параметры безопасности» для групповой политики. Чтобы применить несколько параметров в составе пакета, определите их с помощью шаблонов безопасности и затем примените с помощью средства «Анализ и настройка безопасности» или программы Secedit.exe, или импортируйте шаблон, содержащий нужные параметры, в соответствующую локальную или групповую политику.

Устранение несоответствий системы безопасности



Несоответствия базы данных анализа и параметров системы могут быть устранены следующими способами:




    принятие или изменение некоторых или всех отмеченных или не включенных в конфигурацию значений , если определено, что уровни безопасности локальной системы допустимы для контекста (роли) данного компьютера. Значения этих атрибутов обновляются в базе и применяются к системе при выборе команды

    Настроить компьютер

    .

    настройка системы в соответствии со значениями базы данных анализа, если установлено, что система не соответствует допустимым уровням безопасности.

    импорт соответствующего роли компьютера шаблона в базу данных в виде новой конфигурации базы и применение его к системе.

    Чтобы импортировать шаблон безопасности


      Откройте оснастку «Анализ и настройка безопасности».

      В дереве консоли щелкните правой кнопкой мыши узел

      Анализ и настройка безопасности

      и выберите команду

      Импорт шаблона

      .

      Изменения вносятся в шаблон, хранящийся в базе данных, а не в файл шаблона безопасности. Файл шаблона безопасности будет изменен только при изменении параметров в оснастке «Шаблоны безопасности» и экспорте сохраненной конфигурации в тот же файл шаблона.

      Команда

      Настроить компьютер

      служит только для изменения областей безопасности, не являющихся параметрами групповой политики, такими как безопасность локальных файлов и папок, разделов реестра и системных служб. В противном случае применяемые параметры групповой политики будут заменять локальные параметры (такие как политики учетных записей). Обычно при анализе безопасности клиентов домена команда

      Настроить компьютер

      не используется, так как необходимо отдельно настраивать каждого клиента. В этом случае следует вернуться к оснастке «Шаблоны безопасности», изменить шаблон и повторно применить его к соответствующему объекту групповой политики

      Советы и рекомендации



      Правильное использование шаблонов



      Не следует изменять шаблон Setup security.inf, поскольку он позволяет восстановить параметры безопасности, используемые по умолчанию.

      Шаблон Setup security.inf не должен быть использован при помощи групповой политики. Шаблон Setup security.inf должен применяться только на локальном компьютере при помощи средства «Анализ и настройка безопасности». Шаблон Setup security.inf изменяется во время установки и является уникальным для каждого компьютера. Шаблон содержит большое количество данных и может снизить производительность, если он применяется при помощи групповой политики, поскольку параметры этой политики периодически обновляются.



      Совместимый шаблон не следует применять к компьютерам, которые являются контроллерами домена. Например, не следует импортировать совместимый шаблон в объект домена по умолчанию или в объект групповой политики стандартного контролера домена.

      Соблюдение осторожности при изменении готовых шаблонов



      Вместо изменения готового шаблона рекомендуется настроить такой шаблон и сохранить изменения под другим именем шаблона.

      Готовые или только что созданные шаблоны безопасности не должны применяться на компьютере или в сети без предварительной проверки, в ходе которой должно подтверждаться наличие заданного уровня функциональности приложения.

      Выбор уровня доступа к компьютеру, используемого по умолчанию



      При определении уровня доступа к компьютеру конечных пользователей, используемого по умолчанию, решающее значение имеет установленная база приложений, которую требуется поддерживать. Дополнительные сведения см. в разделе

      Параметры безопасности

      .

      Всегда проверяйте созданную политику на тестовом компьютере перед применением этой политики к сети.

      Параметры безопасности обновляются каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. Кроме того, независимо от наличия изменений эти параметры обновляются каждые 16 часов.

      Необходимо помнить, что к компьютеру могут быть применены несколько политик.

      Вследствие этого могут возникнуть конфликты в настройке политики безопасности. Порядок приоритета политик от более высокого к более низкому определяется следующим образом: подразделение, домен, локальный компьютер.

      Используйте средство «Результирующая политика», чтобы выяснить какие политики применены к компьютеру и какой и у них порядок приоритета.

      Помните, что в домене может быть только одна политика учетных записей — «Политика по умолчанию для домена». Дополнительные сведения содержатся в разделе Учетные записи и локальные политики.

      При импортировании шаблонов с помощью оснастки «Групповая политика» выполните следующие условия.


      Не применяйте совместимый шаблон к компьютерам, которые являются контроллерами домена. Например, не импортируйте совместимый шаблон в политики «Политика по умолчанию для домена» и «Политика по умолчанию для контроллеров домена».

      Не применяйте шаблон «Setup security» с помощью оснастки «Групповая политика».

      Для локальной политики безопасности используйте ярлык

      Локальная политика безопасности

      для редактирования и настройки политики безопасности. Используйте оснастку

      «Шаблоны безопасности»

      для создания локальной политики, затем для ее применения используйте оснастку

      «Анализ и настройка безопасности»

      .


      Содержание раздела