Windows Vista. Для профессионалов - Роман Клименко

Итак, оснастка Редактор объектов групповой политики состоит из следующих подразделов (рис. 5.16).

Рис. 5.16. Оснастка Редактор объектов групповой политики

• Конфигурация программ – если компьютер подключен к домену, то с помощью этого раздела можно опубликовать или назначить пользователю определенные программы, а также перенаправить содержимое стандартных папок компьютера в другие папки.

• Конфигурация Windows – определяет дополнительные настройки групповых политик, с помощью которых можно повысить безопасность работы компьютера (подраздел Параметры безопасности), определить сценарии, которые будут запускаться при входе (загрузке) или выходе (выключении) пользователя из операционной системы (подраздел Сценарии), а также изменить настройки интерфейса браузера Internet Explorer (подраздел Настройка Internet Explorer).

• Административные шаблоны – указывает административные шаблоны, являющиеся основной частью групповых политик и позволяющие ограничить возможности работы определенных пользователей или всех пользователей компьютера.

Далее мы подробнее рассмотрим эти подразделы.

Подраздел Конфигурация программ

По сравнению с предыдущими версиями операционной системы Windows, подраздел Конфигурация программ оснастки Редактор объектов групповой политики совершенно не изменился, поэтому мы рассмотрим его лишь поверхностно.

Как и раньше, он содержит разделы Политики учетных записей и Локальные политики, которые, в свою очередь, включают в себя следующие дочерние подразделы.

• Политика паролей – как и раньше, с помощью данного раздела можно настроить такие параметры создания и хранения паролей, как максимальное и минимальное количество дней хранения паролей от учетных записей пользователей, минимальная длина пароля. Можно указать, должен ли пароль обязательно, кроме символов, содержать цифры и несимвольные знаки (восклицательный, подчеркивая и т. д.), должен ли пароль храниться в базе данных SAM с использованием обратного шифрования (понижает безопасность, но может быть необходимо при взаимодействии с некоторыми устаревшими программами и операционными системами) и т. д.

• Политика блокировки учетной записи – с помощью данного раздела можно настроить такие параметры входа в систему, как количество неправильных попыток ввода пароля, после которых учетная запись будет заблокирована, указать, на какое время будет заблокирована учетная запись, а также через какое время счетчик неправильных попыток входа в систему будет сброшен.

• Политика аудита – как и раньше, данный раздел позволяет определить параметры аудита доступа к системе (сведения аудита заносятся в системный журнал Безопасность оснастки Просмотр событий). Можно выбрать следующие значения аудита: Успех (определенное событие прошло успешно) и Отказ (пользователь не имеет права совершать это событие). При этом, как и раньше, можно выполнять аудит следующих событий: вход в систему пользователя или служебных учетных записей, изменение параметров учетных записей пользователей, получение доступа к объектам (папкам, файлам и т. д.), использование административных привилегий и т. д.

• Назначение прав пользователя – позволяет указать учетные записи пользователей, которым будут даны дополнительные привилегии при работе в системе или, наоборот, некоторые стандартные привилегии которых будут запрещены. Этот раздел не является чем-то новым – он присутствовал и в предыдущих версиях операционной системы Windows.

• Параметры безопасности – раздел также не является чем-то новым. Он определяет некоторые настройки безопасности компьютера, которые должен знать и уметь изменять каждый администратор. Поэтому, если вы упустили этот момент администрирования компьютера, обязательно загляните в данный раздел, чтобы просмотреть его возможности. А на страницах книги мы рассмотрим только то содержимое данного раздела, которого не было в операционной системе Windows ХР.

– Управление учетными записями пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором – эта политика позволяет определить, будет ли для администраторов компьютера отображаться окно оповещения о необходимости запуска программы с административными правами, и если будет, то что оно будет содержать: либо просто предупреждение, либо поле для ввода пароля администратора. По умолчанию требуется подтверждение.

Политика влияет на значение параметра REG_DW0RD-типа ConsentPrompt-BehaviorAdmin ветви реестра HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionPoliciesSystem. Если его значение равно 0, то окно UAC отображаться не будет. Если его значение равно 1, то будет отображаться окно с просьбой ввода пароля. Если же его значение равно 2, то будет отображаться окно UAC с предупреждением.

– Управление учетными записями пользователей: поведение запроса на повышение прав для обычных пользователей – позволяет определить, будет ли для пользователей, не имеющих прав администратора, отображаться окно оповещения о необходимости запуска программы с административными правами, и если будет, то что оно будет содержать: либо просто предупреждение, либо поле для ввода пароля администратора. По умолчанию требуется ввод пароля.

Политика влияет на значение параметра REG_DWORD-типа ConsentPrompt-BehaviorUser ветви системного реестра Windows HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem. Если его значение равно 0, то окно UAC отображаться не будет. Если значение равно 1, то будет отображаться окно с просьбой ввода пароля. Если же его значение равно 2, то будет отображаться окно UAC с предупреждением.

– Управление учетными записями пользователей: обнаружение установки приложений и запрос на повышение прав – указывает, будет ли UAC отображать свое окно при обнаружении попытки установки программного обеспечения, при которой необходимы административные права. По умолчанию будет отображать.

Политика влияет на значение параметра REG_DWORD-типа Enablelnstal-lerDetection ветви системного реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionPoliciesSystem.

– Управление учетными записями пользователей: все администраторы работают в режиме одобрения администратором – определяет, будут ли все администраторы локального компьютера работать в режиме LUA По умолчанию администраторы не работают в этом режиме....

Примечание

Сведения о работе механизма UAC заносятся в журнал Журналы приложений и служб → Microsoft → Windows → UAC.

Политика влияет на значение параметра REG_DWORD-типа EnableLUA ветви реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionPoliciesSystem.

– Управление учетными записями пользователей: при сбоях записи в файл или реестр виртуализация в размещение пользователя – указывает, будет ли применяться механизм виртуализации каталогов и ветвей реестра , в которые пытается записать значения определенная программа, но при этом у пользователя нет доступа к этим каталогам и ветвям. По умолчанию применяется.

...

Примечание

Сведения о работе с виртуальными папками заносятся в журнал Журналы приложений и служб → Microsoft → Windows → UAC-FileVirtualization.

Политика влияет на значение параметра REG_DWORD-типа EnableVirtualization ветви системного реестра HKEY_LOCAL_MACHINE SOFTWARE MicrosoftWindowsCurrentVersionPoliciesSystem.

– Управление учетными записями пользователей: режим одобрения администратором для встроенной учетной записи администратора – определяет, будет ли работать пользователь Администратор в режиме LUA.

Политика влияет на значение параметра REG_DWORD-типа FilterAdministratorToken ветви реестра HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionPoliciesSystem.

– Управление учетными записями пользователей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав – указывает, будет ли запрещен доступ ко всем открытым окнам и Рабочему столу при отображении окна UAC. По умолчанию доступ запрещен.

Политика влияет на значение параметра REG_DWORD-типа PromptOnSe-cureDes ktop ветви системного реестра HKEY_LOCAL_MACHINE SOFTWARE MicrosoftWindowsCurrentVersionPoliciesSystem.

– Управление учетными записями пользователей: повышение прав только для подписанных и проверенных исполняемых файлов – определяет, будет ли разрешено запускать с административными правами программы, не имеющие достоверной подписи. По умолчанию разрешено.

Политика влияет на значение параметра REG_DWORD-типа ValidateAd-minCodeSignatures ветви реестра HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionPoliciesSystem.

– Системная криптография: обязательное применение сильной защиты ключей пользователей, хранящихся на компьютере – позволяет определить, будет ли применяться усиленная защита хранилища пользовательских ключей.

Политика влияет на значение параметра REG_DWORD-типа ForceKey-Protection ветви реестра HKEY_LOCAL_MACHINESOFTWAREPolicies Microsof tCryptography. Если значение данного параметра равно О, то добавление нового пользовательского ключа в хранилище не требует подтверждения. Если значение равно 1, то добавление нового пользовательского ключа в хранилище требует подтверждения. Если же значение равно 2, то добавление нового пользовательского ключа в хранилище требует ввода пароля.