Политики в Exchange Server 2003 предназначены для повышения гибкости администрирования при одновременном снижении нагрузки на администраторов. Политика – это набор параметров конфигурирования, которые применяются к одному или нескольким объектам одного класса в Exchange . Например, можно создать политику, которая воздействует на определенные параметры некоторых или всех серверов Exchange . Если потребуется изменить эти параметры, то достаточно модифицировать эту политику, и она будет применена к соответствующей организации сервера.

Существует два вида политик: системная политика ( system policy ) и политика получателей ( recipient policy ). Политики получателей применяются к объектам с доступом к почте и указывают, каким образом генерируются адреса электронной почты. Речь о политиках получателей идет в "Создание и управление получателями" . Системные политики применяются к серверам, хранилищам почтовых ящиков и хранилищам общих папок. Эти политики отображаются в контейнере Policies (Политики) внутри группы, ответственной за администрирование этой политики ( рис. 12.10).

Рис. 12.10. Объект "системная политика"

Примечание . При установке Exchange Server 2003 не создается контейнер по умолчанию для системных политик. Его необходимо создать перед построением системных политик. Щелкните правой кнопкой мыши на группе администрирования, в которой требуется создать папку политики, наведите указатель мыши на пункт New (Создать) и выберите System Policy Container (Контейнер системной политики).

Создание системной политики

Для создания системной политики нужно перейти в соответствующий контейнер System Policies (Системные политики), щелкнуть правой кнопкой мыши на контейнере, после чего выбрать тип создаваемой политики: политика сервера, политика хранилища почтовых ящиков или политика хранилища общих папок.

При работе с системными политиками не забудьте создать объектполитику в группе, которая несет ответственность за администрирование этой политики. Иначе может произойти ошибка в выборе людей, которые осуществляют административный контроль за критически важными политиками. Рассмотрим, как создается каждый из трех типов политик, начиная с политик серверов.

Создание политики серверов

Политика серверов определяет параметры отслеживания сообщений и обслуживания файлов журналов. Она не применяется к параметрам безопасности или другим параметрам серверов в данной группе администрирования. Чтобы создать политику серверов, щелкните правой кнопкой мыши на контейнере System Policies (Системные политики), укажите на пункт New (Создать) и затем выберите вариант Server Policy (Политика серверов). Появится диалоговое окно New Policy (Создание политики), показанное на рис. 12.11 , в котором указываются вкладки, отображаемые на странице свойств данной политики. Для политики серверов имеется только одна опция: вкладка General (Общие). Отметьте опцию для этой вкладки и затем нажмите OK. Отобразится окно конфигурирования, в котором будет создана данная политика.

Рис. 12.11.

После этого нужно ввести имя политики в окне вкладки General страницы свойств данной политики. Как показано на рисунке 12.12 , на самом деле существует две вкладки General . Первая вкладка используется для ввода имени политики. Выберите имя для описания задачи, для выполнения которой предназначена данная политика, например Message Tracking Policy (Политика отслеживания сообщений) или Enable Subject Logging Policy (Политика "Активизировать регистрацию тем сообщений"). Подходящее имя, выбранное на этой стадии, сэкономит время работы, так как не будет необходимости открывать страницу свойств этой политики, чтобы определить ее назначение.

Вкладка General ( Policy ) (Общие [Политика]), показанная на рис. 12.13 , содержит реальные параметры политики, применяемые к серверам Exchange рассматриваемой организации. Вкладка называется General ( Policy ), так как потенциально осуществляется конфигурация вкладки General страниц свойств для всех имеющихся серверов. (Ниже в этой лекции мы рассмотрим, как применять эту политику ко всем серверам организации.) Если сравнить эту вкладку с вкладкой General на странице свойств какого-либо сервера, то станет видно, что эти вкладки совпадают, за исключением идентифицирующей информации вверху вкладки.

На вкладке General ( Policy ) активизируется регистрация и отображение на экране тем сообщений (Enable subject logging and display) для всех имеющихся серверов Exchange 2003. Эта установка действует в сочетании с опцией Enable Message Tracking (Активизировать отслеживание сообщений), что позволяет отслеживать сообщения, передаваемые в организации. Эти опции полезны для поиска и устранения источника проблем, возникающих, когда некоторые пользователи не получают сообщений от других пользователей. Существует возможность отслеживания прохождения сообщения через организацию для определения места, в котором имеются проблемы с передачей данных. Подробнее об отслеживании сообщений и регистрации тем сообщений рассказывается в лекции 6 "Функциональность, безопасность и поддержка Exchange Server 2003".

Рис. 12.12.

Рис. 12.13.

После того как политика начала действовать, ее нельзя изменить на уровне локальных серверов. Политика отслеживания сообщений, которую мы использовали в качестве примера, была сформирована на сервере EX-SRV1 в группе администрирования Arizona. На

Введение

С увеличением парка компьютеров на предприятии все более остро встаёт вопрос о стоимости его управления и содержания. Ручная настройка компьютеров отнимает немало времени у персонала и заставляет, с увеличением количества компьютеров, увеличивать штат обслуживающего их персонала. К тому же при большом количестве машин следить за соблюдением принятых на предприятии стандартов настройки становится всё труднее. Групповые политики (Group Policy) являются комплексным инструментом централизованного управления компьютерами с ОС Windows 2000 и выше в домене Active Directory. К компьютерам под управлением ОС Windows NT4/9x групповые политики не применяются: они управляются системными политиками (System Policy), которые в данной статье рассматриваться не будут.

Объекты групповых политик

Все настройки, которые вы создадите в рамках групповых политик, будут храниться в объектах групповой политики (Group Policy Object, GPO). Объекты групповых политик бывают двух типов: локальный объект групповой политики и объекты групповых политик Active Directory. Локальный объект групповой политики есть на компьютерах под управлением Windows 2000 и выше. Он может быть только один, и это единственный GPO, который может быть на компьютере, не входящем в домен.

Объект групповой политики - это общее название набора файлов, директорий и записей в базе Active Directory (если это не локальный объект), которые хранят ваши настройки и определяют, какие ещё параметры вы можете изменить с помощью групповых политик. Создавая политику, вы фактически создаёте и изменяете объект групповой политики. Локальный объект групповой политики хранится в %SystemRoot%\System32\GroupPolicy. GPO Active Directory хранятся на контроллере домена и могут быть связаны с сайтом, доменом или OU (Organizational Unit, подразделение или организационная единица). Привязка объекта определяет его область действия. По умолчанию в домене создается два объекта групповой политики: Default Domain Policy и Default Domain Controller Policy. В первом определяется политика по умолчанию для паролей и учетных записей в домене. Второй связывается с OU Domain Controllers и повышает настройки безопасности для контроллеров домена.

Создание объекта групповой политики

Для того чтобы создать политику (то есть фактически создать новый объект групповой политики), открываем Active Directory Users & Computers и выбираем, где создать новый объект. Создавать и привязывать объект групповой политики можно только к объекту сайта, домена или OU.

Рис. 1. Создание объекта групповой политики.

Чтобы создать GPO и связать его, например, с OU testers щёлкаем правой кнопкой мыши на этом OU и в контекстном меню выбираем properties. В открывшемся окне свойств открываем вкладку Group Policy и нажимаем New.

Рис. 2. Создание объекта групповой политики.

Даём название объекту GP, после чего объект создан, и можно приступать к конфигурированию политики. Дважды щёлкаем на созданном объекте или нажимаем кнопку Edit, откроется окно редактора GPO, где вы можете настроить конкретные параметры объекта.

Рис. 3. Описание настроек во вкладке Extended.

Большинство основных настроек интуитивно понятны (к тому же имеют описание, если открыть вкладку Extended), и мы не будем подробно останавливаться на каждой. Как видно из рис. 3, GPO состоит из двух разделов: Computer Configuration и User Configuration. Настройки первого раздела применяются во время загрузки Windows к компьютерам, находящимся в этом контейнере и ниже (если не отменено наследование), и не зависят от того, какой пользователь вошел в систему. Настройки второго раздела применяются во время входа пользователя в систему.

Порядок применения объектов групповой политики

Когда компьютер запускается, происходят следующие действия:

1. Читается реестр и определяется, к какому сайту принадлежит компьютер. Делается запрос серверу DNS с целью получения IP адресов контроллеров домена, расположенных в этом сайте.
2. Получив адреса, компьютер соединяется с контроллером домена.
3. Клиент запрашивает список объектов GP у контроллера домена и применяет их. Последний присылает список объектов GP в том порядке, в котором они должны применяться.
4. Когда пользователь входит в систему, компьютер снова запрашивает список объектов GP, которые необходимо применить к пользователю, извлекает и применяет их.

Групповые политики применяются при загрузке OC и при входе пользователя в систему. Затем они применяются каждые 90 минут, с вариацией в 30 минут для исключения перегрузки контроллера домена в случае одновременного запроса большого количества клиентов. Для контроллеров домена интервал обновления составляет 5 минут. Изменить это поведение можно в разделе Computer Configuration\Administrative Templates\System\Group Policy. Объект групповой политики может действовать только на объекты «компьютер» и «пользователь». Политика действует только на объекты, находящиеся в объекте каталога (сайт, домен, подразделение), с которым связан GPO и ниже по «дереву» (если не запрещено наследование). Например: Объект GPO создан в OU testers (как мы сделали выше).

Рис. 4. Наследование настроек.

Все настройки, сделанные в этом GPO, будут действовать только на пользователей и компьютеры, находящиеся в OU testers и OU InTesters. Рассмотрим порядок применения политик на примере. Пользователь test, расположенный в OU testers, входит на компьютер comp, находящийся в OU compOU (см. рис. 5).

Рис. 5. Порядок применения политик.

В домене существуют четыре GPO:

1. SitePolicy, связанный с контейнером сайта;
2. Default Domain Policy, связанный с контейнером домена;
3. Policy1, связанный с OU testers;
4. Policy2, связанный с OU compOU.

При загрузке Windows на рабочей станции comp, параметры, определённые в разделах Computer Configuration, применяются в таком порядке:

1. Параметры локального GPO;
2. Параметры GPO SitePolicy;

4. Параметры GPO Policy2.

При входе пользователя test на компьютер comp - параметры, определенные в разделах User Configuration:

1. Параметры локального GPO;
2. Параметры GPO SitePolicy;
3. Параметры GPO Default Domain Policy;
4. Параметры GPO Policy1.

То есть GPO применяются в таком порядке: локальные политики, политики уровня сайта, политики уровня домена, политики уровня OU.

Групповые политики применяются к клиентам с ОС Windows XP асинхронно, а с ОС Windows 2000 - синхронно, то есть пользовательский экран входа появляется только после применения всех политик компьютера, а политики пользователя применяются до того, как появился рабочий стол. Асинхронное применение политик означает, что пользовательский экран входа появляется раньше, чем успевают примениться все политики компьютера, а рабочий стол - раньше, чем применятся все пользовательские политики, что приводит к ускорению загрузки и входа пользователя.
Описанное выше поведение изменяется в двух случаях. Первый - компьютер клиента обнаружил медленное сетевое подключение. По умолчанию в этом случае применяются только параметры настройки защиты и административные шаблоны. Медленным считается подключение с пропускной способностью менее 500 Кб/сек. Изменить это значение можно в Computer Configuration\Administrative Templates\System\Group Policy\Group Policy slow link detection. Также в разделе Computer Configuration\Administrative Templates\System\Group Policy можно настроить некоторые другие параметры политик так, чтобы и они обрабатывались по медленному соединению. Второй способ изменения порядка применения политик - опция User Group policy loopback processing. Эта опция изменяет порядок применения политик по умолчанию, при котором пользовательские политики применяются после компьютерных и перезаписывают последние. Вы можете установить опцию loopback, чтобы политики компьютера применялись после пользовательских политик и перезаписывали все пользовательские политики, противоречащие политикам компьютера. У параметра loopback есть 2 режима:

1. Merge (соединить) - сначала применяется компьютерная политика, затем пользовательская и снова компьютерная. При этом компьютерная политика заменяет противоречащие ей параметры пользовательской политики своими.
2. Replace (заменить) - пользовательская политика не обрабатывается.

Проиллюстрировать применение параметра User Group policy loopback processing можно, например, на общедоступном компьютере, на котором необходимо иметь одни и те же ограниченные настройки, независимо от того, какой пользователь им пользуется.

Приоритетность, наследование и разрешение конфликтов

Как вы уже заметили, на всех уровнях объекты групповой политики содержат одинаковые параметры настройки, и один и тот же параметр может быть определён на нескольких уровнях по-разному. В таком случае действующим значением будет применившееся последним (о порядке применения объектов групповой политики говорилось выше). Это правило распространяется на все параметры, кроме определённых как not configured. Для этих параметров Windows не предпринимает никаких действий. Но есть одно исключение: все параметры настройки учётных записей и паролей могут быть определены только на уровне домена, на остальных уровнях эти настройки будут проигнорированы.

Рис. 6. Active Directory Users and Computers.

Если на одном уровне расположены несколько GPO, то они применяются «снизу вверх». Изменяя положение объекта политик в списке (кнопками Up и Down), можно выбрать необходимый порядок применения.

Рис. 7. Порядок применения политик.

Иногда нужно, чтобы определённая OU не получала параметры политик от GPO, связанных с вышестоящими контейнерами. В этом случае нужно запретить наследование политик, поставив флажок Block Policy inheritance (Блокировать наследование политик). Блокируются все наследуемые параметры политик, и нет способа блокировать отдельные параметры. Параметры настройки уровня домена, определяющие политику паролей и политику учетных записей, не могут быть заблокированы.

Рис. 9. Блокирование наследования политик.

В случае если требуется, чтобы определённые настройки в данном GPO не перезаписывались, следует выбрать нужный GPO, нажать кнопку Options и выбрать No Override. Эта опция предписывает применять параметры GPO там, где заблокировано наследование политик. No Override устанавливается в том месте, где GPO связывается с объектом каталога, а не в самом GPO. Если GPO связан с несколькими контейнерами в домене, то для остальных связей этот параметр не будет сконфигурирован автоматически. В случае если параметр No Override сконфигурирован для нескольких связей на одном уровне, приоритетными (и действующими) будут параметры GPO, находящегося вверху списка. Если же параметры No Override сконфигурированы для нескольких GPO, находящихся на разных уровнях, действующими будут параметры GPO, находящегося выше в иерархии каталога. То есть, если параметры No override сконфигурированы для связи GPO с объектом домена и для связи с GPO объектом OU, действующими будут параметры, определённые на уровне домена. Галочка Disabled отменяет действие этого GPO на данный контейнер.

Рис. 10. Опции No Override и Disabled.

Как уже было сказано выше, политики действуют только на пользователей и компьютеры. Часто возникает вопрос: «как сделать так, чтобы определенная политика действовала на всех пользователей, входящих в определенную группу безопасности?». Для этого GPO привязывается к объекту домена (или любому контейнеру, находящемуся выше контейнеров или OU, в которых находятся все объекты пользователей из нужной группы) и настраиваются параметры доступа. Нажимаем Properties, на вкладке Security удаляем группу Authenticated Users и добавляем требуемую группу с правами Read и Apply Group Policy.

Определение настроек, действующих на компьютер пользователя

Для определения конечной конфигурации и выявления проблем вам потребуется знать, какие настройки политик действуют на данного пользователя или компьютер в данный момент. Для этого существует инструмент Resultant Set of Policy (результирующий набор политик, RSoP). RSoP может работать как в режиме регистрации, так и в режиме планирования. Для того чтобы вызвать RSoP, следует нажать правой кнопкой на объекте «пользователь» или «компьютер» и выбрать All Tasks.

Рис. 11. Вызов инструмента Resultant Set of Policy.

После запуска (в режиме регистрации, logging) вас попросят выбрать, для какого компьютера и пользователя определить результирующий набор, и появится окно результирующих настроек с указанием, из какого GPO какой параметр применился.

Рис. 12. Resultant Set of Policy.

Другие инструменты управления групповыми политиками

GPResult - это инструмент командной строки, обеспечивающий часть функционала RSoP. GPResult есть по умолчанию на всех компьютерах с Windows XP и Windows Server 2003.

GPUpdate принудительно запускает применение групповых политик - как локальных, так и основанных на Active Directory. В Windows XP/2003 пришла на смену параметру /refreshpolicy в инструменте secedit для Windows 2000.

Описание синтаксиса команд доступно при запуске их с ключём /?.

Вместо заключения

Данная статья не преследует цели объяснить все аспекты работы с групповыми политиками, она не ориентирована на опытных системных администраторов. Все вышеизложенное, по моему мнению, лишь должно как-то помочь понять основные принципы работы с политиками тем, кто никогда не работал с ними, либо только начинает осваивать.

В предыдущих статьях данного цикла вы научились эффективно использовать функционал локальных политик безопасности, что позволяет максимально защитить инфраструктуру вашей организации от атак недоброжелателей извне, а также от большинства действий некомпетентных сотрудников. Вы уже знаете как можно эффективно настроить политики учетных записей, которые позволяют управлять сложностью паролей ваших пользователей, настраивать политики аудита для последующего анализа аутентификации ваших пользователей в журнале безопасности. Помимо этого вы научились назначать права для ваших пользователей для избегания нанесения ущерба своей системе и даже компьютерам в вашей интрасети, а также знаете как можно эффективно настроить журналы событий, группы с ограниченным доступом, системные службы, реестр и файловую систему. В этой статье мы продолжим изучение локальных политик безопасности, и вы узнаете о настройках безопасности проводных сетей для вашего предприятия.

В серверных операционных системах компании Microsoft, начиная с Windows Server 2008, появился компонент политик проводной сети (IEEE 802.3), который обеспечивает автоматическую конфигурацию для развертывания услуг проводного доступа с проверкой подлинности IEEE 802.1X для сетевых клиентов Ethernet 802.3. Для реализации параметров безопасности проводных сетей средствами групповых политик, в операционных системах используется служба проводной автонастройки (Wired AutoConfig – DOT3SVC). Текущая служба отвечает за проверку подлинности IEEE 802.1X при подключении к сетям Ethernet при помощи совместимых коммутаторов 802.1X, а также управляет профилем, используемого с целью настройки сетевого клиента для доступа с проверкой подлинности. Также стоит отметить, что если вы будете использовать данные политики, то желательно запретить пользователям вашего домена изменять режим запуска данной службы.

Настройка политики проводной сети

Задать настройки политики проводных сетей вы можете непосредственно из оснастки . Для того чтобы настроить данные параметры, выполните следующие действия:

1. Откройте оснастку «Редактор управления групповыми политиками» и в дереве консоли выберите узел , нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Создание новой политики проводных сетей для Windows Vista и более поздних версий» , как показано на следующей иллюстрации:
   
   Рис. 1. Создание политики проводной сети
2. В открывшемся диалоговом окне «Новая политика для проводных сетей Properties» , на вкладке «Общие» , вы можете задать применение службы автонастройки проводных сетей для настройки адаптеров локальных сетей для подключения к проводной сети. Помимо параметров политики, которые распространяются на операционные системы Windows Vista и более поздние, существуют некоторые опции, которые будут применяться только к операционным системам Windows 7 и Windows Server 2008 R2. На этой вкладке вы можете выполнять следующие действия:
   • Имя политики . В этом текстовом поле вы можете задавать наименование для вашей политики проводной сети. Имя политики вы сможете увидеть в области сведений узла «Политики проводной сети (IEEE 802.3)» оснастки «Редактор управления групповыми политиками» ;
   • Описание . Данное текстовое поле предназначено для заполнения подробного описания назначения политики проводной сети;
   • Использовать службу автонастройки проводных сетей Windows для клиентов . Данная опция выполняет реальную настройку и подключает клиентов к проводной сети 802.3. Если отключить эту опцию, то операционная система Windows не будет контролировать проводное сетевое подключение и параметры политики действовать не будут;
   • Запретить использование общих учетных данных пользователя для проверки подлинности сети . Этот параметр определяет, следует ли пользователю запрещать хранить общие учетные данные пользователя для проверки подлинности сети. Локально вы можете изменять данный параметр при помощи команды netsh lan set allowexplicitcreds ;
   • Включить период блокировки . Эта настройка определяет, следует ли запрещать компьютеру автоматически подключаться к проводной сети на протяжении указанного вами количества минут. По умолчанию указано 20 минут. Настраивается период блокировки в диапазоне от 1 до 60 минут.

«Общие» политики проводной сети:



Рис. 2. Вкладка «Общие» диалогового окна параметров политики проводной сети

3. На вкладке «Безопасность» предоставлены параметры конфигурации метода проверки подлинности и режима проводного подключения. Вы можете настраивать следующие параметры безопасности:
   • Включать проверку подлинности IEEE 802.1X для доступа к сети . Эта опция используется непосредственно для включения или отключения проверки подлинности 802.1X сетевого доступа. По умолчанию данная опция включена;
   • Выберите метод проверки подлинности сети . При помощи данного раскрывающегося списка вы можете указать один из методов проверки подлинности сетевых клиентов, который будет применен для вашей политики проводной сети. Доступны для выбора следующие два параметра:
     • Microsoft: Защищенные EAP (PEAP) . Для этого метода проверки подлинности, окно «Свойства» содержит параметры конфигурации используемого метода проверки подлинности;
     • Microsoft: смарт-карты или другой сертификат . Для этого метода проверки подлинности, в окне «Свойства» предоставлены параметры конфигурации, с помощью которых можно указать смарт-карту или сертификат для подключения, а также список доверенных корневых центров сертификации.

   По умолчанию выбран метод Microsoft: защищенные EAP (PEAP) ;

4. Режим проверки подлинности . Данный раскрывающийся список применяется для выполнения сетевой проверки подлинности. Для выбора доступны следующие четыре параметра:
   • Проверка подлинности пользователя или компьютера . В том случае, если будет выбран этот параметр, учетные данные безопасности будут использоваться на основе текущего состояния компьютера. Даже если в систему не входил ни один пользователь, проверка подлинности будет выполняться по учетным данным компьютера. При входе пользователя будут использоваться учетные данные вошедшего в систему пользователя. Компания Microsoft рекомендует в большинстве случаев использовать именно этот параметр режима проверки подлинности.
   • Только для компьютера . В этом случае проверка подлинности выполняется только для учетных данных компьютера;
   • Проверка подлинности пользователя . При выборе данного параметра включается принудительная проверка подлинности пользователя только при подключении к новому устройству 802.1X. Во всех остальных случаях проверка подлинности выполняется только для компьютера;
   • Проверка подлинности гостя . Данный параметр разрешает подключаться к сети на основе гостевой учетной записи.
5. Максимальное число ошибок проверки подлинности . Этот параметр позволяет указать максимальное число ошибок при проверке подлинности. Значение по умолчанию – 1;
6. Кэшировать данные пользователя для последующих подключений к этой сети . При включении данного параметра, пользовательские учетные данные будут сохраняться в системном реестре, при выходе пользователя из системы и при последующем входе учетные данные запрашиваться не будут.

На следующей иллюстрации отображена вкладка «Безопасность» данного диалогового окна:

Рис. 3. Вкладка «Безопасность» диалогового окна параметров политики проводной сети

Свойства режимов проверки подлинности

Как говорилось в предыдущем разделе, для обоих методов проверки подлинности есть дополнительные настройки, которые вызываются по нажатию на кнопку «Свойства» . В этом разделе рассмотрим все возможные настройки для методов проверки подлинности.

Настройки метода проверки подлинности «Microsoft: Защищенные EAP (PEAP)»

EAP (Extensible Authentication Protocol, Расширяемый Протокол Аутентификации) – это расширяемая инфраструктура аутентификации, которая определяет формат посылки. Для настройки данного метода проверки подлинности доступны следующие параметры:

Включить быстрое переподключение . Данная опция позволяет пользователям с беспроводными компьютерами быстро перемещаться между точками доступа без повторной проверки подлинности в новой сети. Такое переключение может работать только для точек доступа, которые настроены как клиенты службы RADIUS. По умолчанию эта опция включена;

Включить защиту доступа к сети . При выборе этой опции, перед разрешением подключения к сети соискателей EAP, для определения проверки требований работоспособности, будут выполняться соответствующие проверки;

Отключаться, если сервер не поддерживает привязку с шифрованием через механизм TLV . Эта опция отвечает за прерывание подключающимися клиентами процесса проверки подлинности в том случае, если RADIUS-сервер не предоставляет криптографическое значение привязки TLV, которая повышает безопасность TLS-туннеля в PEAP, объединяя способы внутренней и внешней проверки подлинности, чтобы злоумышленники не могли выполнять атаки типа вмешательства третьей стороны;

Включить удостоверение конфиденциальности . Данный параметр отвечает за то, чтобы клиенты не могли отправлять свое удостоверение перед тем, как клиент проверил подлинность сервера RADIUS, и при необходимости обеспечивать место для ввода значения анонимного удостоверения.

Диалоговое окно свойств защищённого EAP отображено на следующей иллюстрации:

Рис. 5. Диалоговое окно свойств защищённого EAP

Настройки метода проверки подлинности «Смарт-карты или другой сертификат – настройки EAP-TLS»

Для настройки данного метода проверки подлинности существуют следующие параметры:

• При подключении использовать мою смарт-карту . Если вы установите переключатель на данную позицию, то клиенты, выполняющие запросы проверки подлинности, будут представлять сертификат смарт-карты для сетевой проверки подлинности;
• При подключении использовать сертификат на этом компьютере . При выборе этой опции, при проверке подключения клиентов будет использоваться сертификат, расположенный в хранилище текущего пользователя или локального компьютера;
• Использовать выбор простого сертификата . Эта опция позволяет операционной системе Windows отфильтровывать сертификаты, которые не соответствуют требованиям проверки подлинности;
• Проверять сертификат сервера . Данная опция позволяет задавать проверку сертификата сервера, который предоставляется на клиентские компьютеры на наличие валидной не просроченной подписи, а также наличие доверенного корневого центра сертификации, который выдал сертификат данному серверу
• Подключаться к серверам . Эта опция идентична одноименной опции, о которой рассказывалось в предыдущем разделе;
• Доверенные корневые центры сертификации . Также как и в диалоговом окне свойств защищенного EAP, в этом списке вы можете найти все доверенные корневые центры сертификации, которые установлены в хранилищах сертификата пользователя и компьютера;
• Не запрашивать пользователя авторизовать новые серверы или доверенные Центры Сертификации . Установив флажок для этой опции, при наличии неправильно настроенного сертификата сервера или присутствующего в списке для пользователя, не будет отображаться диалоговое окно с предложением авторизации такого сертификата. По умолчанию эта опция отключена;
• Использовать для подключения другое имя пользователя . Этот параметр определяет, нужно ли использовать для проверки подлинности имя пользователя, отличное от имени пользователя в сертификате. При включенной опции использования другого имени пользователя вам необходимо выбрать как минимум один сертификат из списка доверенных корневых центров сертификации.

Диалоговое окно настроек смарт-карт или других сертификатов отображено на следующей иллюстрации:

Рис. 6. Диалоговое окно настроек смарт-карт или других сертификатов

Если вы не уверены в выбираемом вами сертификате, то нажав на кнопку «Просмотреть сертификат» сможете просмотреть все подробные сведения о выбранном сертификате, как показано ниже:

Рис. 7. Просмотр сертификата из списка доверенных корневых центров сертификации

Дополнительные параметры безопасности политики проводных сетей

Вы наверняка обратили внимание на то, что на вкладке «Безопасность» диалогового окна настроек политики проводной сети присутствуют еще дополнительные параметры безопасности, предназначенные для изменения поведения сетевых клиентов, подающих запросы на доступ с проверкой подлинности 802.1X. Дополнительные параметры политик проводных сетей можно разделить на две группы – настройки IEEE 802.1X и настройки единого входа. Рассмотрим каждую из этих групп:

В группе настроек IEEE 802.1X вы можете указать характеристики запросов проводных сетей с проверкой подлинности 802.1Х. Для изменения доступны следующие параметры:

• Применить дополнительные параметры 802.1X . Эта опция позволяет активировать следующие четыре настройки;
• Макс. EAPOL-сообщений . EAPOL – это протокол EAP, который используется до того как компьютер успевает аутентифицироваться, и только после успешного «логина» весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер. Этот параметр отвечает за максимальное количество отправляемых сообщений EAPOL-Start;
• Период задержки (сек) . Этот параметр отвечает за задержку в секундах перед выполнением следующего запроса проверки подлинности 802.1X после получения уведомления об отказе при проверке подлинности;
• Start Period (период начала) . Этот параметр отвечает за время ожидания перед повторной отправкой последовательных сообщений EAPOL-Start;
• Период проверки (сек) . Этот параметр определяет число секунд между повторной передачей последовательных начальных сообщений EAPOL после инициации сквозной проверки доступа 802.1X;
• Сообщение EAPOL-Start . При помощи данного параметра вы можете указать следующие характеристики передачи начальных сообщений EAPOL:
  • Не передавать . При выборе данного параметра, EAPOL сообщения не будут передаваться;
  • Передано . При выборе этого параметра, клиенту нужно будет вручную отправлять начальные сообщения EAPOL;
  • Передача по протоколу IEEE 802.1X . при выборе данного параметра (он определен по умолчанию) сообщения EAPOL будут отправляться в автоматическом режиме, ожидая запуска проверки подлинности 802.1Х.

При использовании единого входа, проверка подлинности должна выполняться на основании конфигурации безопасности сети в процессе входа пользователя в операционную систему. Для полной настройки профилей единого входа в систему доступны следующие параметры:

• Включить единую регистрацию для сети . При включении данной опции активируются настройки единого входа в систему;
• Включить непосредственно перед входом пользователя . Если вы установите переключатель на эту опцию, то проверка подлинности 802.1Х будет выполняться перед завершением входа пользователя в систему;
• Включить сразу после входа пользователя . Если вы установите переключатель на эту опцию, то проверка подлинности 802.1Х будет выполняться после завершения входа пользователя в систему;
• Макс. задержка подключения . Этот параметр задает максимальное время, за которое должна быть завершена проверка подлинности и, соответственно, как долго будет ждать пользователь перед появлением окна пользовательского входа в систему;
• Разрешить отображение дополнительных диалоговых окон при едином входе . Этот параметр отвечает за отображение диалогового окна входа пользователя в систему;
• Эта сеть использует разные виртуальные локальные сети для проверки подлинности по учетным данными компьютеров и пользователей . При указании этой настройки, при запуске, все компьютеры будут помещаться в одну виртуальную сеть, а после успешного входа пользователя в систему, в зависимости от разрешений, будут переводиться в различные виртуальные сети. Эту опцию имеет смысл активировать только в том случае, если у вас на предприятии используются несколько виртуальных локальных сетей VLAN.

Диалоговое окно дополнительных параметров безопасности политики проводных сетей отображено на следующей иллюстрации:

Рис. 8. Диалоговое окно дополнительных параметров безопасности политики проводных сетей

Заключение

В этой статье вы познакомились со всеми параметрами политики проводных сетей IEE 802.1X. Вы узнали о том, как можно создать такую политику, а также узнали о методах проверки подлинности EAP и проверки при помощи смарт-карт или других сертификатов. В следующей статье вы узнаете о локальных политиках безопасности диспетчера списка сетей.

Применение групповых политик (часть 3)

Обычно объекты групповой политики назначаются на контейнер (домен, сайт или OU) и применяются ко всем объектам в этом контейнере. При грамотно организованной структуре домена этого вполне достаточно, однако иногда требуется дополнительно ограничить применение политик определенной группой объектов. Для этого можно использовать два типа фильтров.

Фильтры безопасности

Фильтры безопасности позволяют ограничить применение политик определенной группой безопасности. Для примера возьмем GPO2, с помощью которого производится централизованная настройка меню Пуск на рабочих станциях с Windows 8.1\Windows 10. GPO2 назначен на OU Employees и применяется ко всем без исключения пользователям.

Теперь перейдем на вкладку «Scope», где в разделе «Security Filtering» указаны группы, к которым может быть применен данный GPO. По умолчанию здесь указывается группа Authenticated Users. Это означает, что политика может быть применена к любому пользователю или компьютеру, успешно прошедшему аутентификацию в домене.

На самом деле каждый GPO имеет свой список доступа, который можно увидеть на вкладке «Delegation».

Для применения политики объект должен иметь права на ее чтение (Read) и применение (Apply group policy), которые и есть у группы Authenticated Users. Соответственно для того, чтобы политика применялась не ко всем, а только к определенной группе, необходимо удалить из списка Authenticated Users, затем добавить нужную группу и выдать ей соответствующие права.

Так в нашем примере политика может применяться только к группе Accounting.

WMI фильтры

Windows Management Instrumentation (WMI) — один из наиболее мощных инструментов для управления операционной системой Windows. WMI содержит огромное количество классов, с помощью которых можно описать практически любые параметры пользователя и компьютера. Посмотреть все имеющиеся классы WMI в виде списка можно с помощью PowerShell, выполнив команду:

Get-WmiObject -List

Для примера возьмем класс Win32_OperatingSystem , который отвечает за свойства операционной системы. Предположим, что требуется отфильтровать все операционные системы кроме Windows 10. Заходим на компьютер с установленной Window 10, открываем консоль PowerShell и выводим имя, версию и тип операционной системы с помощью команды:

Get-WmiObject -Class Win32_OperatingSystem | fl Name, Version, ProductType

Для фильтра используем версию и тип ОС. Версия одинакова для клиентских и серверных ОС и определяется так:

Window Server 2016\Windows 10 — 10.0
Window Server 2012 R2\Windows 8.1 — 6.3
Window Server 2012\Windows 8 — 6.2
Window Server 2008 R2\Windows 7 — 6.1
Window Server 2008\Windows Vista — 6.0

Тип продукта отвечает за назначение компьютера и может иметь 3 значения:

1 — рабочая станция;
2 — контроллер домена;
3 — сервер.

Теперь переходим непосредственно к созданию фильтра. Для этого открываем оснастку «Group Policy Management» и переходим к разделу «WMI Filters». Кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт «New».

В открывшемся окне даем фильтру имя и описание. Затем жмем кнопку «Add» и поле «Query» вводим WQL запрос, который и является основой WMI фильтра. Нам необходимо отобрать ОС версии 10.0 с типом 1, соответственно запрос будет выглядеть так:

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE ″10.0%″ AND ProductType = ″1″

Примечание. Windows Query Language (WQL) — язык запросов WMI. Подробнее о нем можно узнать на MSDN .

Сохраняем получившийся фильтр.

Теперь осталось только назначить WMI фильтр на объект групповой политики, например на GPO3. Переходим к свойствам GPO, открываем вкладку «Scope» и в поле «WMI Filtering» выбираем из списка нужный фильтр.

Анализ применения групповых политик

При таком количестве способов фильтрации GPO необходимо иметь возможность диагностики и анализа их применения. Проще всего проверить действие групповых политик на компьютере можно с помощью утилиты командной строки gpresult .

Для примера зайдем на компьютер wks2, на котором установлена ОС Windows 7, и проверим, сработал ли WMI фильтр. Для этого открываем консоль cmd с правами администратора и выполняем команду gpresult /r , которая выводит суммарную информацию о групповых политиках, примененных к пользователю и компьютеру.

Примечание. Утилита gpresult имеет множество настроек, посмотреть которые можно командой gpresult /? .

Как видно из полученных данных, к компьютеру не применилась политика GPO3, поскольку она была отфильтрована с помощью фильтра WMI.

Также проверить действие GPO можно из оснастки «Group Policy Management», с помощью специального мастера. Для запуска мастера кликаем правой клавишей мыши на разделе «Group Policy Results» и в открывшемся меню выбираем пункт «Group Policy Results Wizard».

Указываем имя компьютера, для которого будет составлен отчет. Если требуется просмотреть только пользовательские настройки групповой политики, то настройки для компьютера можно не собирать. Для этого необходимо поставить галочку снизу (display user policy settings only).

Затем выбираем имя пользователя, для которого будут собираться данные, либо можно указать не включать в отчет настройки групповой политики для пользователя (display computer policy settings only).

Проверяем выбранные настройки, жмем «Next» и ждем, пока собираются данные и генерируется отчет.

Отчет содержит исчерпывающие данные об объектах групповых политик, примененных (или не примененных) к пользователю и компьютеру, а также об используемых фильтрах.

Для примера составим отчеты для двух разных пользователей и сравним их. Первым откроем отчет для пользователя Kirill и перейдем в раздел настроек пользователя. Как видите, к этому пользователю не применилась политика GPO2, поскольку у него нет прав на ее применение (Reason Denied — Inaсcessible).

А теперь откроем отчет для пользователя Oleg. Этот пользователь является членом группы Accounting, поэтому к нему политика была успешно применена. Это означает, что фильтр безопасности успешно отработал.

На этом, пожалуй, я закончу ″увлекательное″ повествование о применении групповых политик. Надеюсь эта информация будет полезной и поможет вам в нелегком деле системного администрирования 🙂

Утилита GPResult .exe – представляет собой консольное приложение, предназначенное для анализа настроек и диагностики групповых политик, которые применяются к компьютеру и/или пользователю в домене Active Directory. В частности, GPResult позволяет получить данные результирующего набора политик (Resultant Set of Policy, RSOP), список примененных доменных политик (GPO), их настройки и детальную информацию об ошибках их обработки. Утилита входит в состав ОС Windows начиная со времен Windows XP. Утилита GPResult позволяет ответить на такие вопросы: применяется ли конкретная политика к компьютеру, какая именно GPO изменила ту или иную настройку Windows, разобраться с причинами .

В этой статье мы рассмотрим особенности использования команды GPResult для диагностирования работы и отладки применения групповых политик в домене Active Directory.

Изначально для диагностики применения групповых политик в Windows использовалась графическая консоль RSOP.msc, которая позволяла получить настройки результирующих политик (доменных + локальных), примененные к компьютеру и пользователю в графическом виде аналогичном консоли редактора GPO (ниже на примере представления консоли RSOP.msc видно, что настройки обновлений заданы ).

Однако, консоль RSOP.msc в современных версиях Windows использовать нецелесообразно, т.к. она не отражает настройки, примененные различными расширениями групповых политик (client side extensions — CSE), например GPP (Group Policy Preferences), не позволяет выполнять поиск, предоставляет мало диагностической информации. Поэтому на данный момент именно команда GPResult является основным средством диагностики применения GPO в Windows (в Windows 10 даже появляется предупреждение, что RSOP не дает полный отчет в отличие от GPResult).

Использование утилиты GPResult.exe

Команда GPResult выполняется на компьютере, на котором нужно проверить применение групповых политик. Команда GPResult имеет следующий синтаксис:

GPRESULT ]] [(/X | /H) <имя_файла> ]

Чтобы получить подробную информацию о групповых политиках, которые применяются к данном объекту AD (пользователю и компьютеру), и других параметрах, относящихся к инфраструктуре GPO (т.е. результирующие настройки политик GPO – RsoP), выполните команду:

Результаты выполнения команды разделены на 2 секции:

• COMPUTER SETTINGS (Конфигурация компьютера) – раздел содержит информацию об объектах GPO, действующих на компьютер (как объект Active Directory);
• USER SETTINGS – пользовательский раздел политик (политики, действующие на учетную запись пользователя в AD).

Вкратце пробежимся по основным параметрам/разделам, которые нас могут заинтересовать в выводе GPResult:

• Site Name (Имя сайта:)– имя сайта AD , в котором находится компьютер;
• CN – полное каноническое пользователя/ компьютера, для которого были сгенерированы данные RSoP;
• Last time Group Policy was applied (Последнее применение групповой политики)– время, когда последний раз применялись групповые политики;
• Group Policy was applied from (Групповая политика была применена с)– контроллер домена, с которого была загружена последняя версия GPO;
• Domain Name и Domain Type (Имя домена, тип домена)– имя и версия схемы домена Active Directory;
• Applied Group Policy Objects (Примененные объекты групповой политики) – списки действующих объектов групповой политики;
• The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы)- не примененные (отфильтрованные) GPO;
• The user /computer is a part of the following security groups (Пользователь/компьютер является членом следующих групп безопасности) – доменные группы, в которых состоит пользователь.

В нашем примере видно, что на объект пользователя действуют 4 групповые политики.

• Default Domain Policy;
• Enable Windows Firewall;
• DNS Suffix Search List;

Если вы не хотите, чтобы в консоль одновременно выводилась информация и о политиках пользователя и о политиках компьютера, вы можете с помощью опции /scope вывести только интересующий вас раздел. Только результирующие политики пользователя:

gpresult /r /scope:user

или только примененные политики компьютера:

gpresult /r /scope:computer

Т.к. утилита Gpresult выводит свои данные непосредственно в консоль командной строки, что бывает не всегда удобно для последующего анализа, ее вывод можно перенаправить в буфер обмена:

Gpresult /r |clip

или текстовый файл:

Gpresult /r > c:\gpresult.txt

Чтобы вывести сверхподробную информацию RSOP, нужно добавить ключ /z.

HTML отчет RSOP с помощью GPResult

Кроме того, утилита GPResult может сгенерировать HTML-отчет по примененным результирующим политикам (доступно в Windows 7 и выше). В данном отчете будет содержаться подробная информация обо всех параметрах системы, которые задаются групповыми политиками и именами конкретных GPO, которые их задали (получившийся отчет по структуре напоминает вкладку Settings в консоли управления доменными групповыми политиками – GPMC). Сгенерировать HTML отчет GPResult можно с помощью команды:

GPResult /h c:\gp-report\report.html /f

Чтобы сгенерировать отчет и автоматически открыть его в браузере, выполните команду:

GPResult /h GPResult.html & GPResult.html

В HTML отчете gpresult содержится довольно много полезной информации: видны ошибки применения GPO, время обработки (в мс.) и применения конкретных политик и CSE (в разделе Computer Details -> Component Status). Например, на скриншоте выше видно, что политика с настройками 24 passwords remember применена политикой Default Domain Policy (столбец Winning GPO). Как вы видите, такой отчет HTML намного удобнее для анализа применённых политик, чем консоль rsop.msc.

Получение данных GPResult с удаленного компьютера

GPResult может собрать данные и с удаленной компьютера, избавляя администратора от необходимости локального или RDP входа на удаленный компьютер. Формат команды сбора данных RSOP с удаленного компьютера такой:

GPResult /s server-ts1 /r

Аналогичным образом вы можете удаленно собрать данные как по пользовательским политикам, так и по политиками компьютера.

Пользователь username не имеет данных RSOP

При включенном UAC запуск GPResult без повышенных привилегий выводит параметры только пользовательского раздела групповых политик. Если нужно одновременно отобразить оба раздела (USER SETTINGS и COMPUTER SETTINGS), команду нужно запускать . Если командная строка с повышенными привилегиями отличной от текущего пользователя системы, утилита выдаст предупреждение INFO : The user “domain \user ” does not have RSOP data (Пользователь «domain\user» не имеет данных RSOP). Это происходит потому, что GPResult пытается собрать информацию для пользователя, ее запустившего, но т.к. данный пользователь не выполнил вход (logon) в систему, информация RSOP для него отсутствует. Чтобы собрать информацию RSOP по пользователю с активной сессией, нужно указать его учетную запись:

gpresult /r /user:tn\edward

Если вы не знаете имя учтённой записи, которая залогинена на удаленном компьютере, учетную запись можно получить так:

qwinsta /SERVER:remotePC1

Также проверьте время (и ) на клиенте. Время должно соответствовать времени на PDC (Primary Domain Controller).

Следующие политики GPO не были применены, так как они отфильтрованы

При траблшутинге групповых политик стоит также обращать внимание на секцию: The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы). В этой секции отображается список GPO, которые по той или иной причине не применяются к этому объекту. Возможные варианты, по которым политика может не применяться:

Также вы можете понять должна ли применяться политика к конкретному объекту AD на вкладке эффективных разрешений (Advanced -> Effective Access).

Итак, в этой статье мы рассмотрели особенности диагностики применения групповых политик с помощью утилиты GPResult и рассмотрели типовые сценарии ее использования.