>

Работа с оснасткой «Шаблоны безопасности. Настройка групп с ограниченным доступом. Автоматическая очистка диска

Страница 13 из 15

Настройка системы безопасности Windows XP

Операционная система Windows XP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке (по умолчанию Windows XP Professional предоставляют пользователю весьма упрощенный интерфейс безопасности, позволяющий устанавливать значения весьма ограниченного числа параметров доступа на основе членства во встроенных группах). Мы надеемся, что вы понимаете, что система Windows XP должна устанавливаться на разделах NTFS, что применение файловой системы FAT32 не рекомендуется, исходя из принципов безопасности (встроенные средства безопасности просто не могут быть реализованы при применении FAT32). В случае применения файловой системы FAT32 почти все утверждения данного раздела теряют для вас всякое значение. Единственный способ включить все разрешения файловой системы - преобразовать диск в формат NTFS.
После чистой установки Windows XP предлагаемые по умолчанию параметры безопасности работают как переключатели типа «включить-выключить». Такой интерфейс носит по умолчанию название Простой общий доступ (Simple File Sharing).
Такая конфигурация обладает низким уровнем безопасности, практически совпадающей со стандартной конфигурацией Windows 95/98/Me.
Если вас не устраивает такая конфигурация, вы можете воспользоваться всей мощью разрешений для файлов в стиле Windows 2000. Для этого откройте произвольную папку в Проводнике и выберите Сервис - Свойства папки (Tools - Folder options). Перейдите на вкладку Вид найдите в списке флажок Использовать простой общий доступ к файлам (рекомендуется) (Use File Sharing (recommended) и снимите его (Чтобы изменить этот параметр вы должны быть членом группы Администраторы).

Когда вы выключаете простой общий доступ, в диалоговом окне свойств любой папки появляется вкладка Безопасность.
Аналогично осуществляется выдача разрешений на файлы. Все разрешения хранятся в списках управления доступом (Access Control List - ACL).
При установке и удалении разрешений руководствуйтесь следующими основными принципами:

  • Работайте по схеме «сверху-вниз».
  • Храните общие файлы данных вместе.
  • Работайте с группами везде, где это только возможно.
  • Не пользуйтесь особыми разрешениями.
  • Не давайте пользователям большего уровня полномочий, чем это абсолютно необходимо (принцип минимизации полномочий).

Установка разрешения из командной строки

Утилита командной строки cacls.exe позволяет просматривать и изменять разрешения файлов и папок. Cacls - сокращение от Control ACLs - управление списками управления доступом.
Ключи командной строки утилиты cacls
/T - Смена разрешений доступа к указанным файлам в текущей папке и всех подпапках
/E - Изменение списка управления доступом (а не полная его замена)
/C - Продолжить при возникновении ошибки «отказано в доступе»
/G пользователь:разрешение - Выделение пользователю указанного разрешения. Без ключа /E полностью заменяет текущие разрешения
/R пользователь - Отменяет права доступа для текущего пользователя (используется только с ключом /E)
/P пользователь:разрешение - Замена указанных разрешений пользователя
/D пользователь - Запрещает пользователю доступ к объекту
С ключами /G и /P нужно использовать одну их перечисленных ниже букв (вместо слова разрешение):
  • F (полный доступ) - эквивалентно установке флажка Разрешить полный доступ (Full Control) на вкладке Безопасность.
  • C (изменить) - тождественно установке флажка Разрешить Изменить (Modify)
  • R (чтение) - эквивалентно установке флажка Разрешить Чтение и выполнение (Read & Execute)
  • W (запись) - равнозначно установке флажка Разрешить запись (Write)
Microsoft Windows XP позволяет предотвратить попадание конфиденциальных данных в чужие руки. Шифрующая файловая система (Encrypting File System - EFS) шифрует файлы на диске. Однако, слудует иметь ввиду, что если вы утеряете ключ для расшифровки, данные можно считать утерянными. Поэтому если вы решите воспользоваться преимуществанми EFS необходимо создать учетную запись агента восстановления, резервную копию собственного сертификата и сертификата агента восстановления.
Если вы предпочитаете работать с командной строкой, то можете воспользоваться программой cipher.exe. Команда cipher без параметров выводит информацию о текущей папке и размещенных в ней файлах (зашифрованы они или нет). Ниже приведен список наиболее часто используемых ключей команды cipher
/E - Шифрование указанных папок
/D - Расшифровка указанных папок
/S:папка - Операция применяется к папке и всем вложенным подпапкам (но не файлам)
/A - Операция применяется к указанным файлам и файлам в указанных папках
/K - Создание нового ключа шифрования для пользователя, запустившего программу. Если этот ключ задан, все остальные игнорируются
/R - Создание ключа и сертификата агента восстановления файлов. Ключ и сертификат помещаются в файл.CFX, а копия сертификата в файле.CER
/U - Обновление ключа шифрования пользователя или агента восстановления для всех файлов на всех локальных дисках
/U /N - Вывод списка всех зашифрованных файлов на локальных дисках без каких-либо других действий

Агент восстановления данных

Агентом восстановления данных (Data Recovery Agent) назназначается обычно администратор. Для создания агента восстановления нужно сначала сохдать сертификат восстановления данных, а затем назначить одного из пользователей таким агентом.
Чтобы создать сертификат нужно сделать следующее:
1. Нужно войти в систему под именем Администратор
2. Ввести в командной строке cipher /R: имя файла
3. Введите пароль для вновь создаваемых файлов Файлы сертификата имеют расширение.PFX и.CER и указанное вами имя.
ВНИМАНИЕ эти файлы позволяют любому пользователю системы стать агентом восстановления. Обязательно скопируйте их на дискету и храните в защищенном месте. После копирования удалите файлы сертификата с жесткого диска.
Для назначения агента восстановления:
1. Войти в систему под учетной записью, которая должна стать агентом восстановления данных
2. В консоли Сертификаты перейдите в раздел Сертификаты - Текущий пользователь - Личные (Current User - Personal)
3. Действие - Все задачи - Импорт (Actions - All Tasks - Import) для запуска мастера импорта сертификатов
4. Проведите импорт сертификата восстановления При неправильном использования средств шифрования вы можете получить больше вреда, чем пользы.
Краткие рекомендации по шифрованию:
1. Зашифруйте все папки, в которых вы храните документы
2. Зашифруйте папки %Temp% и %Tmp%. Это обеспечит шифрование всех временных файлов
3. Всегда включайте шифрование для папок, а не для файлов. Тогда шифруются и все создаваемые в ней впоследствии файлы, что оказывается важным при работе с программами, создающими свои копии файлов при редактировании, а затем перезаписывающими копии поверх оригинала
4. Экспортируйте и защитите личные ключи учетной записи агента восстановления, после чего удалите их с компьютера
5. Экспортируйте личные сертификаты шифрования всех учетных записей
6. Не удаляйте сертификаты восстановления при смене политик агентов восстановления. Храните их до тех пор, пока не будете уверены, что все файлы, защищенные с учетом этих сертификатов, не будут обновлены.
7. При печати не создавайте временных файлов или зашифруйте папку, в которой они будут создаваться
8. Защитите файл подкачки. Он должен автоматически удаляться при выходе из Windows

Конструктор шаблонов безопасности

Шаблоны безопасности являются обыкновенными ASCII - файлами, поэтому теоретически их можно создавать с помощью обыкновенного текстового редактора. Однако лучше воспользоваться оснасткой Security Templates консоли Microsoft Management Console (MMC). Для этого в командной строке нужно ввести mmc /a в этой консоли выбрать меню File - Add/Remove. В диалоговом окне Add Standalone Snap-in выбрать Security Templates - Add.
Управление оснасткой
Шаблоны безопасности расположены в папке \%systemroot%\security\templates. Количество встроенных шаблонов изменяется в зависимости от версии операционной системы и установленных пакетов обновлений.
Если раскрыть любую папку в Security Templates, то в правой панели будут показаны папки, которые соответствуют контролируемым элементам:
  • Account Policies - управление паролями, блокировками и политиками Kerberos
  • Local Policies - управление параметрами аудита, пользовательскими правами и настройками безопасности
  • Event Log - управление параметрами системного журнала
  • Restricted Groups - определение элементов различных локальных групп
  • System Services - включение и отключение служб и присвоение права модификации системных служб
  • Registry - назначение разрешений на изменение и просмотр разделов реестра
  • File System - управление разрешениями NTFS для папок и файлов

Защита подключения к Интернет

Для обеспечения безопасности при подключении к Интернет необходимо:
  • Активизировать брандмауэр подключения к Интернет (Internet Connection Firewall) или установить брандмауэр третьих фирм
  • Отключить Службу доступа к файлам и принтерам сетей Microsoft
Брандмауэром подключения к Интернет называется программный компонент, блокирующий нежелательный трафик. Активация Брандмауэра подключения к Интернет:
  • Откройте Панель управления - Сетевые подключения
  • Щелкните правой кнопкой мыши на соединении, которое вы хотите защитить и выберите из меню пункт Свойства
  • Перейдите на вкладку Дополнительно, поставьте галочку Защитить мое подключение к Интернет

Из предыдущих статей по групповым политикам вы узнали о назначении и использовании оснастки «Редактор объектов групповой политики» , об административных шаблонах, ознакомились с некоторыми локальными политиками безопасности. В этой статье вы узнаете еще об одном механизме управления конфигурацией безопасности - о шаблонах безопасности и их применении в производственной среде. Разумеется, при помощи локальных политик безопасности вы можете централизовано разворачивать практически все возможные настройки для пользователей и компьютеров, но иметь представление о настройке шаблонов безопасности просто необходимо, так как не во всех случаях у вас получится развернуть на предприятии нужные для вас настройки групповых политик.

Сам по себе шаблон безопасности - это заранее сохраненный текстовый файл с расширением inf, который содержит набор параметров конфигурации безопасности. Одним из основных преимуществ шаблонов безопасности является гибкость развертывания. Вы можете развернуть шаблоны безопасности как в домене при помощи объектов групповой политики Active Directory, так и в небольших офисах или домашнем окружении (Small Office Home Office - SOHO) при помощи оснастки «Анализ и настройка безопасности» или средствами утилиты командной строки Secedit.exe, о которых будет рассказано в последующих статьях. Еще одной из достопримечательностей данных шаблонов является то, что шаблоны безопасности - это обычные текстовые файлы, редактировать которые вы можете даже при помощи стандартной программы «Блокнот» . Также нельзя не отметить тот факт, что именно при помощи шаблонов безопасности вы можете провести анализ соответствия текущей конфигурации компьютера и настроек, содержащихся в созданных шаблонах безопасности.

При помощи шаблонов безопасности вы можете настраивать параметры политики, которые отвечают за следующие компоненты безопасности:

  • Политики учетных записей . Вы можете настраивать уже известные вам по статье политики паролей, политики блокировки учетной записи, а также политики Kerberos;
  • Локальные политики . Доступны настройке политики аудита, назначения прав пользователей, а также параметры безопасности, аналогичные параметрам политики оснастки ;
  • Журналы событий . Вы можете изменять настройки журналов «Приложения» , «Система» и «Безопасность» , такие как политики создания файлов журналов, максимальный размер и прочее;
  • Группы с ограниченным доступом . Настройки ограничений доступа пользователей, которые являются членами различных групп;
  • Настройки системных служб> . Вы можете управлять типом запуска и разрешением доступа всех системных служб, которые можно найти в оснастке «Службы» ;
  • Настройки системного реестра . Можно добавлять разрешения на доступ к разделам реестра;
  • Настройки безопасности файловой системы . У вас есть возможность задавать разрешения доступа на файлы и папки.

Рекомендуется не вносить изменения в предустановленный шаблон Setup security.inf, так как при помощи этого шаблона у вас есть возможность восстановления параметров безопасности, используемых по умолчанию. Также, чтобы избежать многих проблем, желательно перед внедрением созданного шаблона в эксплуатацию, протестировать его на отдельном компьютере.

Использование оснастки «Шаблоны безопасности»

Откройте оснастку «Шаблоны безопасности» . Для этого выполните следующие действия:

  1. Откройте «Консоль управления MMC» . Для этого нажмите на кнопку «Пуск» , в поле поиска введите mmc , а затем нажмите на кнопку «Enter» ;
  2. Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M ;
  3. В диалоге «Добавление и удаление оснасток» выберите оснастку «Шаблоны безопасности» и нажмите на кнопку «Добавить» ;
  4. В диалоге «Добавление или удаление оснасток» нажмите на кнопку «ОК» .

При первом открытии данной оснастки, в папке Documents вашей учетной записи создается папка Security с вложенной папкой Templates. Именно в папке Templates и хранятся созданные вами шаблоны безопасности. На следующей иллюстрации отображена оснастка «Шаблоны безопасности», открытая впервые:

Рис. 1. Первое открытие оснастки «Шаблоны безопасности»

Создание нового шаблона безопасности

Для последующей работы с шаблонами безопасности создайте новый шаблон. Для этого вам предстоит выполнить действия, описанные в следующей процедуре:

  1. В дереве консоли щелкните правой кнопкой мыши на узле, предоставляющем путь поиска шаблона. По умолчанию путь %Userprofile%\Documents\Security\Templates;
  2. В появившемся контекстном меню выберите команду «Создать шаблон» ;
  3. Введите название нового шаблона в текстовое поле «Имя шаблона» появившегося диалогового окна. В том случае, если вы создаете несколько различных шаблонов безопасности, я вам рекомендую добавлять подробное описание назначения шаблона в поле «Описание» . Например, на следующей иллюстрации вы можете увидеть диалог создания шаблона с названием «Конфигурация системных служб» . В связи с тем, что на пользовательских компьютерах могут быть установлены разные ОС, в описании указана версия операционной системы, для которой создается текущий шаблон.

Рис. 2. Диалог создания нового шаблона безопасности

При желании вы можете изменить путь для поиска шаблонов, созданный по умолчанию. Для этого, в дереве консоли, нажмите правой кнопкой мыши на узле «Шаблоны безопасности» и выберите команду «Найти путь для поиска шаблонов…» . В диалоговом окне «Обзор папок» выберите папку, в которой будут сохраняться новые шаблоны безопасности и нажмите на кнопку «ОК» .

Рис. 3. Изменение пути для поиска шаблонов

Изменение настроек шаблона безопасности

После создания нового шаблона, в оснастке вы увидите набор групповых политик, подобный тем, которые отображаются в оснастке «Редактор объектов групповых политик» . Не стоит также забывать, что оснастка шаблонов безопасности представляет собой только редактор набора групповых политик и не влияет на изменение текущей конфигурации. То есть, после полного изменения политик, предоставленных в данной оснастке, вам не стоит волноваться о том, что настройки на вашем рабочем месте будут изменены. Далее мы рассмотрим набор политик системных служб, добавление параметров реестра, а также редактирование групп с ограниченным доступом.

На следующей иллюстрации отображен новый шаблон безопасности:

Рис. 4. Новый шаблон безопасности

Настройка системных служб

Узел «Системные службы» предназначен для последующего изменения конфигурации системных служб средствами групповых политик при развертывании. Содержимое этого узла сильно напоминает оснастку «Службы» , однако между ними есть одна существенная разница. При помощи оснастки «Службы» вы настраиваете тип запуска служб на локальном компьютере, а используя шаблоны безопасности, вы можете распространить указанные настройки системных служб одновременно на несколько компьютеров. Рассмотрим подробно применение содержимого данного узла на простом примере:

На компьютерах вашего малого офиса, в котором нет домена, никогда не будут использоваться планшетные ПК, устройства BlueTooth и смарт-карты. Допустим, вы опасаетесь вторжения на компьютеры недоброжелателей, поэтому хотите отключить возможность удаленного управления системного реестра, службы удаленных рабочих столов, а также вашим пользователям нельзя на рабочих местах использовать Windows Media Center. По этой же причине необходимо полностью отключить на компьютерах вашей сети все эти службы. Чтобы развернуть эти настройки служб на всех компьютерах, выполните следующие действия:


Настройка системного реестра

После подробного изучения параметров групповых политик, вы можете обнаружить, что, несмотря на использование групповых политик и шаблонов безопасности, пользователи умудряются изменять некоторые системные параметры при помощи реестра. Вы знаете раздел системного реестра, отвечающий за определенную настройку, но хотите дать возможность вносить изменения в этот раздел только указанной группе пользователей. Допустим, вам нужно дать полный доступ на изменение параметров раздела реестра, отвечающего за компонент «Дата и время» только для групп «Система» и «Администраторы» , причем пользователям, которые являются членами группы «Пользователи» нужно запретить даже просмотр данного раздела. Для этого выполните следующие действия:


Настройка групп с ограниченным доступом

При помощи групп с ограниченным доступом вы можете указывать пользователей, которые будут принадлежать к определенной группе. Политики, применяемые с шаблонами безопасности, будут распространяться на всех пользователей, которые входят в группы с ограниченным доступом. Для того чтобы указать членов группы с ограниченным доступом, выполните следующие действия:

По окончании изменения шаблона безопасности, вам нужно его сохранить для дальнейшего использования. Для сохранения шаблона безопасности нажмите правой кнопкой мыши на наименовании узла шаблона безопасности и выберите команду «Сохранить» или «Сохранить как» из контекстного меню. Шаблон будет сохранен с расширением *.inf .

Заключение

В этой статье был рассмотрен очередной механизме управления конфигурацией безопасности - шаблоны безопасности и их применении в производственной среде. Зачастую данный механизм применяют на небольших предприятиях без доменной сети. Вы узнали о том, как можно открыть данную оснастку, а также настроить новый шаблон безопасности, который является текстовым файлом, с расширением *.inf .

Одной из наиболее распространенных в настоящее время клиентских операционных систем является Microsoft Windows XP. Именно о защите клиентского компьютера (компьютера домашнего или офисного пользователя) и будет идти речь. Не секрет, что любую атаку проще начинать с клиентского рабочего места, поскольку основное внимание в вопросах защиты администраторы традиционно уделяют серверам локальных сетей. Несомненно, на рабочих местах необходима и антивирусная защита, и усиленные меры идентификации и аутентификации пользователей. Однако в первую очередь необходимо все же обеспечить защиту с помощью встроенных средств операционной системы.

Настройка системы безопасности Windows XP

Операционная система Windows XP обладает развитой системой безопасности, которая, тем не менее, нуждается в настройке. Надеемся, вы понимаете, что система Windows XP должна устанавливаться на разделах NTFS, что применение файловой системы FAT32 не рекомендуется, исходя из принципов безопасности (встроенные средства безопасности просто не могут быть реализованы при условии применения FAT32). В случае применения файловой системы FAT 32 почти все утверждения данного раздела теряют для вас всякое значение. Единственный способ включить все разрешения файловой системы - это преобразовать диск в формат NTFS. После чистой установки Windows XP предлагаемые по умолчанию параметры безопасности работают как переключатели типа "включить-выключить". Такой интерфейс носит по умолчанию название "Простой общий доступ" (Simple File Sharing). Такая конфигурация обладает низким уровнем безопасности, практически совпадающей со стандартной конфигурацией Windows 95/98/Me. Если вас не устраивает такая конфигурация, вы можете воспользоваться всей мощью разрешений для файлов в стиле Windows 2000. Для этого откройте произвольную папку в Проводнике и выберите Сервис > Свойства папки (Tools > Folder options). Перейдите на вкладку Вид , найдите в списке флажок Использовать простой общий доступ к файлам (рекомендуется) (Use File Sharing (recommended)) - и снимите его.

Свойства папки

Когда вы выключаете простой общий доступ, в диалоговом окне свойств любой папки появляется вкладка Безопасность . Аналогично осуществляется выдача разрешений на файлы. Все разрешения хранятся в списках управления доступом (Access Control List - ACL). При установке и удалении разрешений руководствуйтесь следующими основными принципами:

  • Работайте по схеме "сверху вниз"
  • Храните общие файлы данных вместе
  • Работайте с группами везде, где это только возможно
  • Не пользуйтесь особыми разрешениями
  • Не давайте пользователям большего уровня полномочий, чем это абсолютно необходимо (принцип минимизации полномочий).

Настройка операционной системы

Как уже было сказано, нельзя настраивать встроенные средства безопасности на файловой системе FAT32. В связи с этим необходимо либо на этапе установки операционной системы (разметки диска) выбрать файловую систему NTFS, либо приступить к преобразованию файловой системы сразу же после установки ОС.

Преобразование файловой системы

Чтобы преобразовать диск из FAT (FAT32) в NTFS, воспользуйтесь утилитой Convert. Синтаксис команды: CONVERT том: /FS:NTFS где:

  • том - определяет букву диска (с последующим двоеточием) точку подключения или имя тома;
  • /FS:NTFS - конечная файловая система: NTFS;
  • /V - включение режима вывода сообщений;
  • /CVTAREA:имя_файла - указывает непрерывный файл в корневой папке для резервирования места для системных файлов NTFS;
  • /NoSecurity - параметры безопасности для преобразуемых файлов и папок будут доступны для изменения всем;
  • /X - принудительное снятие этого тома (если он был подключен). Все открытые дескрипторы этого тома станут недопустимыми.
Если в вашей организации используется большое количество компьютеров, необходимо продумать процесс автоматизации установки ОС. Существует два варианта автоматизации процесса установки:
  • Автоматизированная установка . В этом случае используется пакетный файл и сценарий (называемый файлом ответов) - благодаря этому отключаются запросы операционной системы, а необходимые данные выбираются из файлов ответов автоматически. Существует пять режимов автоматической установки.
  • Копирование диска (клонирование). В этом случае запускается утилита подготовки системы к копированию (sysprep.exe ), которая удаляет идентификатор безопасности (Security Identifier - SID). Затем диск копируется с помощью программы клонирования дисков, например Ghost (www.symantec.com/ghost) или Drive Image (www.powerquest.com/driveimage). После копирования будет выполнена "сжатая" процедура установки (5-10 минут).
Вы установили операционную систему, однако самая тяжелая и продолжительная часть работы еще впереди.

Установка необходимых обновлений

Согласно документации установка ОС занимает около часа - но на самом деле установка, настройка, установка всех критических патчей (обновлений) займет, по меньшей, мере 4-5 часов (это при условии, что все патчи уже есть на жестком диске или CD-ROM и вам не нужно вытягивать их из интернета). Итак, операционную систему вы установили. Для дальнейшей установки патчей есть два пути:

  • воспользоваться службой автоматического обновления Windows Update. Этот путь достаточно хорошо описан в литературе и каких-либо усилий со стороны программиста не требует. Однако предположим, что в вашей организации хотя бы 20 компьютеров. В таком случае вам придется воспользоваться этой службой 20 раз. Это не самый лучший способ, но если у вас быстрый канал и руководство не против такого способа выбрасывания денег, то этот путь вам может и подойти. Однако учтите, что при переустановке ОС все придется вытягивать заново;
  • воспользоваться каким-либо сканером безопасности для поиска необходимых патчей (обновлений). Для примера рассмотрим бесплатный сканер Microsoft Base Security Analyzer (в данной статье не будет подробно рассматриваться вопрос о методах работы с данным сканером). Данный сканер можно бесплатно загрузить с сайта Microsoft из раздела TechNet.
    До начала тестирования необходимо будет извлечь файл mssecure.xml файл из http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab Файл mssecure.xml должен быть помещен в ту же папку, где развернут Microsoft Base Security Analyzer. Результатом сканирования будет перечень необходимых патчей, которые вы должны будете установить на конкретном ПК.
На мой взгляд, удобнее применять коммерческие сканеры безопасности типа LAN Guard Network Scanner или XSpider.

LAN Guard Network Scanner

Этот сканер предназначен для поиска уязвимостей в компьютерных сетях не только на базе Windows. Однако в нашем случае можно легко воспользоваться им для поиска уязвимостей на отдельном компьютере. Вам будет рекомендовано посетить конкретные страницы бюллетеня безопасности от Microsoft.


Результат работы LAN Guard Network Scanner

В таком случае гораздо проще устанавливать обновления, появляется также возможность узнать, для устранения какой именно уязвимости создано данное обновление. Анализ процесса установки патчей приведен на рис.


Процесс управления установкой обновлений

Стоит исследовать эти шаги подробнее:

  • Анализ . Посмотрите на текущую среду и потенциальные угрозы. Определите патчи, которые следует инсталлировать, чтобы сократить количество угроз вашей среде.
  • План . Установите, какие патчи нужно инсталлировать, чтобы сдерживать потенциальные угрозы и "прикрыть" обнаруженные уязвимые места. Определитесь, кто будет осуществлять тестирование и инсталляцию и какие шаги следует произвести.
  • Тестирование . Просмотрите доступные патчи и разделите их на категории для вашей среды.
  • Инсталляция . Инсталлируйте нужные патчи, чтобы защитить эту среду.
  • Мониторинг . Проверьте все системы после инсталляции патчей, чтобы удостовериться в отсутствии нежелательных побочных эффектов.
  • Просмотр . Важной частью всего процесса является тщательный просмотр новых патчей и вашей среды, а также выяснение того, какие именно патчи нужны вашей компании. Если во время просмотра вы обнаружите необходимость в новых патчах, начните снова с первого шага.
Примечание : настоятельно рекомендуется сделать резервную копию всей рабочей системы до инсталляции патчей.

Проверка среды на предмет недостающих патчей

Поскольку процесс этот непрерывен, вам следует убедиться в том, что ваши патчи соответствуют последним установкам. Рекомендуется постоянно следить за тем, чтобы иметь новейшую информацию о патчах. Иногда выпускается новый патч - и вам необходимо установить его на всех станциях. В других случаях в сети появляется новая станция, и на ней нужно установить все необходимые обновления. Вам следует продолжать проверку всех ваших станций, чтобы убедиться в том, что на них установлены все необходимые и актуальные патчи. Вообще, вопрос установки патчей не так прост, как это кажется на первый взгляд. Однако полное рассмотрение этого вопроса выходит за пределы нашей статьи. Следует учесть, что иногда после установки последующего патча возникает необходимость в переустановке предыдущего. По крайней мере, в моей практике такое встречалось неоднократно. Итак, предположим, что все патчи установлены и дырок в вашей системе нет. Учтите, что это состояние только на текущий момент времени - вполне возможно, что завтра вам придется устанавливать новые патчи. Процесс этот, увы, беспрерывен.

Восстановление системных файлов

Полезная функция - если только ваш компьютер не используется исключительно для ресурсоемких задач типа игр. Так что лучше оставить ее включенной. При этом компьютер периодически создает слепки критичных системных файлов (файлы реестра, COM+ база данных, профили пользователей и т.д.) и сохраняет их как точку отката. Если какое-либо приложение снесет систему или если что-то важное будет испорчено, вы сможете вернуть компьютер в предыдущее состояние - к точке отката. Эти точки автоматически создаются службой Восстановления системы (System Restore) при возникновении некоторых ситуаций типа установки нового приложения, обновления Windows, установки неподписанного драйвера и т.п. Точки отката можно создавать и вручную - через интерфейс Восстановления системы (System Restore): Пуск > Программы > Стандартные > Служебные > Восстановление системы (Start > Programs > Accessories > System Tools > System Restore). Аналогичный результат можно получить и с помощью утилиты msconfig , которая запускается из режима командной строки или через Пуск > Выполнить .


Восстановление системы

Восстановление системных файлов опирается на фоновую службу, которая минимально сказывается на быстродействии и записывает снимки, отнимающие часть дискового пространства. Вы можете вручную отвести максимальный объем дискового пространства для данной службы. Можно также полностью отключить службу для всех дисков (поставив галочку Отключить службу восстановления). Поскольку служба восстановления системных файлов может влиять на результаты тестовых программ, то перед тестированием ее обычно отключают.

Автоматическая очистка диска

Для проведения очистки жесткого диска от ненужных файлов используется программа cleanmgr.exe . Ключи программы:

  • /d driveletter : - указывает букву диска, которая будет очищаться;
  • /sageset: n - эта команда запускает мастер очистки диска и создает в реестре ключ для сохранения параметров. Параметр n может принимать значения от 0 до 65535;
  • /sagerun: n - используется для запуска мастера очистки диска с определенными параметрами, которые были заданы заранее с помощью предыдущего ключа.
Для автоматизации этого процесса можно воспользоваться планировщиком заданий.

Удаление "скрытых" компонентов

В процессе установки Windows XP (в отличие от случая с Windows 9*/NT) не предусмотрена возможность выбора необходимых компонентов. На мой взгляд, это правильное решение: сначала следует установить операционную систему со всеми ее причудами - а уж затем, поработав с ней, решать, что оставить, а от чего избавиться. Однако при этом в окне Add/Remove Windows Components , которое присутствует в аплете Add or Remove Programs контрольной панели, удалять-то практически нечего - многие из составляющих Windows скрыты от шаловливых ручек не слишком опытных пользователей. Для решения этой проблемы открываем системную папку Inf (по умолчанию - C:\Windows\Inf), находим там файл sysoc.inf , открываем его и удаляем во всех его строках слово HIDE . Главное при этом - оставить неизменным формат файла (то есть удалению подлежит только HIDE, запятые же до и после этого слова трогать не следует). Для примера - исходная строка и то, что должно получиться: msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,hide,7 msmsgs=msgrocm.dll,OcEntry,msmsgs.inf,7 Сохраняем файл sysoc.inf , открываем Add/Remove Windows Components - и видим уже куда более длинный список, чем тот, что был изначально (рис.). Правда, и в этом случае много удалить не получится. Кстати, точно таким же образом можно поступить и в случае с Windows 2000…


Окно компонентов Windows XP

Вы можете задать резонный вопрос: а какое отношение имеет все это к безопасности? Во-первых, если в вашей организации существует корпоративная политика в области использования программного обеспечения и в ней в качестве почтового клиента выбран, например, The Bat! или почтовый клиент Mozilla (Opera), то не стоит оставлять на компьютере насквозь дырявый Outlook Express и вводить пользователя в искушение пользоваться этим клиентом. Во-вторых, если у вас не принято использовать службу мгновенных сообщений, то Windows Messenger лучше удалить. И, наконец, избавьтесь от просто ненужных вам компонент. Меньше неиспользуемого ПО - меньше возможностей использовать его не по назначению (а, следовательно, вольно или невольно нанести вред вашей организации).

Настройка автоматически выполняемых программ

Одна из типичных проблем, связанных с безопасностью, это запуск программ типа "троянский конь" в процессе загрузки Windows XP. Программа может быть запущена автоматически одним из следующих способов:

для данного пользователя; для всех пользователей;
  • ключ Run (компьютера) ключ реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run;
  • ключ Run (пользователя) ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run;
  • ключ RunServices . Разница между RunServices и просто Run в том, что при запуске программы в ключе RunServices она будет запущена как обслуживающий процесс и при работе ей будет выделено меньше приоритетного процессорного времени. При запуске же в ключе Run программа запуститься как обычно с нормальным приоритетом;
  • папки Планировщика задач ;
  • win.ini . Программы, предназначенные для 16-разрядных версий Windows, могут добавить строки типа Load= и Run= этого файла;
  • ключи RunOnce и RunOnceEx . Группа ключей реестра, которая содержит список программ, выполняемых однократно в момент запуска компьютера. Эти ключи могут относиться и к конкретной учетной записи данного компьютера HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx;
  • групповая политика . Содержит две политики (с именами Запуск программ при входе пользователя в систему ). Находятся в папках Конфигурация компьютера > Конфигурация Windows > Административные шаблоны > Система > Вход в систему (Computer configuration > Administrative Templates > System > Logon) и Конфигурация пользователя > Конфигурация Windows > Административные шаблоны > Система > Вход в систему (User configuration > Administrative Templates > System > Logon);
  • сценарии входа в систему. Настраиваются Групповая политика: Конфигурация компьютера > Конфигурация Windows > Сценарии и Конфигурация пользователя > Конфигурация Windows > Сценарии (входа в систему и выхода из системы);
  • файл autoexec.bat в корневом каталоге загрузочного диска. Все программы, которые вы хотите запустить из него, должны выполняться в реальном режиме DOS, поскольку выполнение этого командного файла происходит до загрузки графической оболочки. Используется для того, чтобы снова и снова копировать в Автозапуск из скрытой папки рекламные модули, которые пользователь удалил.
    • Для настройки списка автоматически вызываемых программ в состав Windows XP входит утилита Настройка системы (System Configuration Utility) - Msconfig.exe. Эта утилита позволяет вывести список всех автоматически загружаемых программ. Рабочее окно программы приведено на рис.


    Рабочее окно программы Msconfig

    Параметры Internet Explorer

      Панель управления обозревателем \ Отключить страницу "Дополнительно"

      Панель управления обозревателем \ Отключить страницу "Безопасность"

      Автономные страницы \ Отключить добавление каналов

      Автономные страницы \ Отключить добавление расписаний для автономных страниц

      Автономные страницы \ Отключить все расписания для автономных страниц

      Автономные страницы \ Полное отключение пользовательского интерфейса каналов

      Автономные страницы \ Отключить загрузку содержимого подписки

      Автономные страницы \ Отключить редактирование и создание новых групп расписаний

      Автономные страницы \ Отключить изменение расписаний для автономных страниц

      Автономные страницы \ Отключить протоколирование обращений к автономным страницам

      Автономные страницы \ Отключить удаление каналов

      Автономные страницы \ Отключить удаление расписаний для автономных страниц

      Настройка Outlook Express

      Отключить изменение параметров страницы "Дополнительно"

      Отключить изменение параметров автонастройки

      Отключить изменение параметров сертификатов

      Отключить изменение параметров подключений

      Отключить изменение параметров прокси

      Отключить мастер подключения к интернету

      Запретить автозаполнению сохранение паролей

    Хотелось бы рекомендовать размер кэша Internet Explorer выставлять в минимум: если в кэше тысяч сто мелких файлов размером в два-три килобайта, то любой антивирус при сканировании данной папки будет работать очень медленно. Для защиты Internet Explorer от "изобретательных" пользователей можно воспользоваться следующим: IExplorer: Hide General Page from Internet Properties Чтобы спрятать вкладку Общие в параметрах Internet Explorer"a, добавьте в реестр:
    "GeneralTab"=dword:1     IExplorer: Hide Securiry Page from Internet Properties Чтобы спрятать вкладку Безопасность в параметрах Internet Explorer"a, в реестр следует добавить:
    "SecurityTab"=dword:1     IExplorer: Hide Programs Page from Internet Properties Чтобы спрятать вкладку Программы в параметрах Internet Explorer"a:
    "ProgramsTab"=dword:1     IExplorer: Hide Advanced Page from Internet Properties Чтобы спрятать вкладку Дополнительно , добавьте:
    "AdvancedTab"=dword:1     IExplorer: Hide Connections Page from Internet Properties И, наконец, чтобы скрыть вкладку Подключения в параметрах Internet Explorer"a, в реестр внесите:
    "ConnectionsTab"=dword:1     Защита подключения к интернету Для обеспечения безопасности при подключении к сети Интернет необходимо:
    • активизировать брандмауэр подключения к интернету (Internet Connection Firewall) или установить брандмауэр третьих фирм;
    • отключить Службу доступа к файлам и принтерам сетей Microsoft .

    Активация брандмауэра

      Откройте Панель управления > Сетевые подключения ;

      щелкните правой кнопкой мыши на соединении, которое вы хотели бы защитить, и выберите из меню пункт Свойства ;

      перейдите на вкладку Дополнительно, поставьте галочку Защитить мое подключение к Интернет.

    Политика ограниченного использования программ

    Политика ограниченного использования программ позволяет администратору определить программы, которые могут быть запущены на локальном компьютере. Политика защищает компьютеры под управлением Microsoft Windows XP Professional от известных конфликтов и предотвращает запуск нежелательных программ, вирусов и "троянских коней". Политика ограниченного использования программ полностью интегрирована с Microsoft Active Directory и групповой политикой. Ее можно использовать также на автономных компьютерах.

    Администратор вначале определяет набор приложений, которые разрешается запускать на клиентских компьютерах, а затем устанавливает ограничения, которые будут применяться политикой к клиентским компьютерам.

    Политика ограниченного использования программ в исходном виде состоит из заданного по умолчанию уровня безопасности для неограниченных или запрещенных параметров и правил, определенных для объекта групповой политики.

    Политика может применяться в домене, для локальных компьютеров или пользователей. Политика ограниченного использования программ предусматривает несколько способов определения программы, а также инфраструктуру на основе политики, обеспечивающую применение правил выполнения определенной программы.

    Запуская программы, пользователи должны руководствоваться принципами, установленными администратором в политике ограниченного использования программ.

    Политики ограниченного использования программ применяются для выполнения следующих действий:

      определение программ, разрешенных для запуска на клиентских компьютерах;

      ограничение доступа пользователей к конкретным файлам на компьютерах, на которых работает несколько пользователей;

      определение круга лиц, имеющих право добавлять к клиентским компьютерам доверенных издателей;

      определение влияния политики на всех пользователей или только пользователей на клиентских компьютерах;

      запрещение запуска исполняемых файлов на локальном компьютере, в подразделении, узле или домене.

    Архитектура политики ограниченного использования программ обеспечивает целый спектр возможностей.

    Политика ограниченного использования программ позволяет администратору определять и контролировать программы, запускаемые на компьютерах под управлением Windows XP Professional в рамках домена. Возможно создание политик, которые блокируют выполнение несанкционированных сценариев, дополнительно изолирующих компьютеры или препятствующих запуску приложений. Оптимальным вариантом для управления политикой ограниченного использования программ на предприятии является использование объектов групповой политики и адаптация каждой созданной политики к требованиям групп пользователей и компьютеров организации.

    Не приветствуются попытки управлять группами пользователей в автономной среде. Результатом правильного применения политики ограниченного использования программ будет улучшение целостности, управляемости - и, в конечном счете, снижение совокупной стоимости владения и поддержки операционных систем на компьютерах организации.

    Политика паролей

    Использование регулярно изменяемых сложных паролей снижает вероятность их взлома. Параметры политики паролей служат для определения уровня сложности и длительности использования паролей. В этом разделе описаны все параметры политики безопасности для окружений "ПК на предприятии" и "Система с высоким уровнем безопасности".

    С помощью редактора групповой политики настраиваются соответствующие параметры групповой политики домена.

    Дополнительные сведения

      Для получения дополнительных сведений о настройке параметров безопасности в Microsoft Windows XP рекомендуется ознакомиться с руководством "Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP", которое можно загрузить по адресу: http://go.microsoft.com/fwlink/?Linkld=15159 .

    Заключение

    В КГ №40 за 2006 год была опубликована моя статья о средствах безопасности, встроенных в Windows XP. В ней я описал те компоненты и возможности, которые имеет XP для обеспечения приемлемого уровня защиты. Тогда я обошел вниманием такую немаловажную утилиту, как менеджер редактирования локальных политик безопасности. Сегодня я хочу исправить это упущение и рассказать именно про эту утилиту (рис. 1). Естественно, она имеется в стандартном наборе утилит, которые поставляются в любом дистрибутиве Windows, который не редактировался при помощи утилит сборки дистрибутивов и т.п. Ну-с, давайте приступим.

    Для начала несколько слов о том, как можно добраться до этой самой утилиты. Наиболее простой способ - воспользоваться командой Выполнить, которая доступна в меню Пуск (сочетание клавиш Win+R). В строке необходимо ввести следующее сочетание: secpol.msc /s. Зная, что таким образом можно вызывать приложения из папки system32, мы находим ответ на следующий вопрос, который относился к месту дислокации утилиты. Для тех, что относит себя к фанатам панели управления, могу сказать следующее: ссылка на консоль находится в пункте меню под названием Администрирование. Рассказывая об утилите, я не буду лезть в дебри и пытаться впихнуть обычным пользователям информацию о настройке политики открытого ключа для Encoding File System (EFS - Файловой системы шифрования), о которой я писал в вышеупомянутой статье. В этом просто нет смысла, т.к. обычному пользователю это просто без надобности, а тому, кто хочет все-таки узнать об этом, можно воспользоваться описанием параметра, который имеется в окне редактирования каждой политики на соседней вкладке, носящей название "Объяснение параметра" (рис. 2). Я же остановлюсь подробнее на политиках учетных записей. Дам некоторые рекомендации, подробнее объясню задачу той или иной политики и выскажу свое мнение по поводу использования/неиспользования оной.

    Политики учетных записей делятся на две группы: политика паролей и политика блокировки учетных записей. В каждой из групп находится список политик, которые, собственно, и поддаются редактированию. Первым параметром является максимальный срок действия пароля, который определяет время в днях, в течение которого пароль можно использовать, пока система не потребует от пользователя смены пароля. Это очень удобно, т.к. время для взлома ограничивается, соответственно и злоумышленнику придется попотеть, чтобы уложиться и успеть что-либо сделать с документами пользователя. По умолчанию значение равно 42, я бы советовал оставить значение по умолчанию, т.к. для локальной машины конечного пользователя политика не является критичной. Следующая на очереди политика носит название "минимальная длина пароля". Для локальной машины она будет актуальна в редких случаях. Задача политики сводится к ограничению минимального размера пароля. Если вы работаете на компьютере одни, то политика, как говорилось выше, не имеет смысла. Другой вопрос - если локальный компьютер используется разными пользователями. В таком случае стоит настроить политику, чтобы не использовались пароли, скажем, в два символа. Минимальный срок действия пароля - политика, которая определяет, через сколько пользователь сможет сменить пароль на другой. Как и в случае первой политики, время считается днями. Стандартное значение равно 0 и означает, что пользователь может поменять пароль в любое удобное ему время. Политика "пароль должен отвечать требованиям сложности" во включенном режиме требует от пользователя пароль, который будет отвечать следующим требованиям:

    Пароль не должен содержать имя учетной записи пользователя или фрагменты имени пользователя длиной больше двух символов.
    . Пароль должен состоять не менее чем из шести символов.
    . Пароль должен содержать символы, относящиеся к трем из следующих четырех категорий:
    . латинские заглавные буквы (A-Z);
    . латинские строчные буквы (a-z);
    . цифры (0-9);
    . отличные от букв и цифр символы (например, !, $, #, %).
    . Проверка соблюдения этих требований выполняется при изменении или создании паролей.

    На локальных машинах по дефолту политика отключена, однако на контроллерах домена работает.

    Следующая политика позволяет контролировать неповторяемость паролей, при этом она может запоминать прежние пароли от 1 до 24 включительно. На локальной машине она отключена (значение хранимых паролей равно 0) по умолчанию, но на контроллерах домена, опять же, включена, и значение равно 24-м. Она также позволяет хранить пароли, используя обратимое шифрование. Этот параметр безопасности определяет, используется ли в операционной системе обратимое шифрование для хранения паролей. Эта политика обеспечивает поддержку приложений, использующих протоколы, которым для проверки подлинности необходимо знать пароль пользователя. Хранение паролей, зашифрованных обратимыми методами, аналогично хранению их в текстовом виде. Поэтому данную политику следует использовать лишь в исключительных случаях, если потребности приложения оказываются важнее, чем защита пароля. Эта политика является обязательной при использовании протокола проверки подлинности CHAP (Challenge-Handshake Authentication Protocol) в средствах удаленного доступа или службах IAS (Internet Authentication Services). Она также необходима при использовании краткой проверки подлинности в службах IIS (Internet Information Services).

    Название следующей политики, которая уже находится в группе политик блокировки учетных записей, говорит сама за себя: Блокировка учетной записи на. Естественно, политикой определяется время блокировки учетной записи при определенном количестве неверно введенных паролей. Значение можно выставлять от 0 (учетная запись не блокируется) и до 99 999 минут. Она имеет смысл только при работающей следующей политике, которая называется Пороговое значение блокировки. Это количество неудачных попыток входа в систему перед блокировкой учетной записи. Значение принимается в диапазоне от 0 (как обычно, значение, при котором политика пассивна) и до 999. После блокировки, если не активирована политика блокировки учетной записи, восстановить аккаунт может только администратор. Неудачные попытки ввода паролей на рабочих станциях или рядовых серверах, заблокированных с помощью сочетания клавиш Ctrl+Alt+Del или с помощью защищенных паролем заставок, считаются неудачными попытками входа в систему. Сброс счетчика блокировки через - параметр, который позволяет сбрасывать счетчик неудачных входов в систему через определенное время (1 - 99 999 минут), удобная вещь, чтобы не получилось, что за месяц вы таки наберете "черное" число, равное пороговому значению блокировки. Параметр напрямую зависит от Блокировки учетной записи на.

    Вот, собственно, и все. Коротенький обзор политик учетных записей, изменение которых доступно из утилиты Локальные параметры безопасности, подошло к концу. В статье было рассмотрено всего одно из направлений политик безопасности. Тем, кто заинтересовался, скажу, что имеется возможность настройки локальных политик, среди которых - политика аудита, назначение прав пользователя, параметры безопасности. Я бы советовал просмотреть параметры безопасности, т.к. настройки там наиинтереснейшие и весьма полезные. Можно настроить политики ограниченного пользования программ и политики безопасности IP. Таким образом, покопавшись в локальных параметрах безопасности, можно довольно неплохо поднять уровень защиты на вашем компьютере, но будьте осторожны: читайте внимательно описания политик и не трогайте параметры, назначение которых вам непонятно.

    Евгений Кучук, [email protected], SASecurity gr.

    Используя оснастку Security Templates (Шаблоны безопасности), вы можете создавать текстовые файлы, которые содержат в себе все настройки безопасности для безопасных областей, поддерживаемых локальной политикой безопасности. Это удобно для использования всех элементов системы защиты, доступных в Windows XP Professional. В этом разделе мы расскажем о том, как создавать шаблон, модифицировать существующий шаблон и применять его в системе Windows XP Professional.

    Создание шаблона

    Для запуска оснастки Security Templates (Шаблоны безопасности) и просмотра настройки политики безопасности проделайте следующие шаги.

    1. Откройте ММС.
    2. В меню File (Файл) щелкните на Add/Remove Snap-in (Добавить или удалить оснастку) и затем щелкните на Add (Добавить).
    3. В списке Available Standalone Snap-ins (Доступные изолированные оснастки) выберите Security Templates (Шаблоны безопасности).
    4. Щелкните на Add (Добавить) и затем нажмите Close (Закрыть).
    5. Нажмите ОК. Оснастка Security Templates показана на рис. 9.5 .
    6. В правом окне щелкните на значке "+", чтобы развернуть Security Templates (Шаблоны безопасности).
    7. Разверните C:\Windows\security\templates (С: - это обозначение диска, на котором хранится система Windows).
    8. Для создания шаблона щелкните дважды на Security Templates, правой кнопкой мыши щелкните на папке шаблонов по умолчанию и затем щелкните на New Template (Новый шаблон).

    Таким образом вы создадите пустой шаблон, в который можно внести все, относящееся к политике безопасности организации. Для сохранения шаблона откройте меню File (Файл) и щелкните на Save As (Сохранить как).


    Рис. 9.5.

    Редактирование существующих шаблонов

    Система Windows XP Professional изначально включает в себя ряд шаблонов. Они создают хороший фундамент для построения собственной политики безопасности. У вас может быть готовая политика безопасности, которую вы захотите улучшить и применить позже. Для открытия и редактирования любого шаблона дважды щелкните на нем в левом окне оснастки Security Templates (Шаблоны безопасности).

    Примечание. Хотя в Security Templates имеются уже готовые шаблоны, неплохо внимательно изучить их заранее и убедиться, что они подходят для нужд вашей организации.

    Существует четыре основных типа шаблонов:

    • основной;
    • безопасный;
    • высокой степени безопасности;
    • смешанный.

    Эти шаблоны представляют диапазон средств безопасности, начиная со стандартных (Basic) и заканчивая средствами повышенной безопасности (High Secure). Шаблоны Miscelleneous (смешанные) предоставляют настройки безопасности для некоторых категорий, для которых трудно определить место в рамках иерархии Basic, Secure и High Secure. Они содержат настройки для таких опций как Terminal Services (Службы терминалов) и Certificate Services (Службы сертификации). Ниже перечислены некоторые шаблоны, содержащихся в рамках каждой категории.

    • Basicsv Устанавливает базовый уровень безопасности для сервера печати и файлового сервера.
    • Securews Устанавливает средний уровень безопасности для рабочих станций.
    • Hisecdc Устанавливает самый высокий уровень безопасности для контроллеров доменов.
    • Ocfiless Устанавливает политику безопасности файловых серверов.

    Любой из десяти образцов шаблонов хорошо подходит для начала разработки сетевой безопасности. Однако при модификации шаблона имеет смысл сохранить его под новым именем, чтобы старый шаблон не был переписан.

    Применение шаблонов безопасности

    Создание или редактирование уже существующего шаблона не вносит изменений в настройки системы безопасности. Чтобы произвести такие изменения, следует применить шаблон к своему компьютеру. Для применения вновь созданного или отредактированного шаблона проделайте следующее.

    1. В оснастке Group Policy (Групповая политика) щелкните дважды на Computer Configuration (Конфигурация компьютера) и разверните Windows Settings (Конфигурация Windows).
    2. Щелкните правой кнопкой мыши на Security Settings (Параметры безопасности) и затем щелкните на Import Policy (Импорт политики) (рис. 9.6).
    3. Выберите шаблон, которым вы хотите воспользоваться.
    4. Нажмите на ОК.