Реферат: Правила построения Software Restriction Policies. 8 Объекты политик srp. 8 Построение политики srp. 8

Optimal Solutions SIA

IT support company



Рига 01-Сент-2009


Общий порядок построения иерархии

объектов доменов Active Directory





Peter Gubarevich, CIO

Maskavas 261, Riga, Latvia LV-1063

Phone: +371 67188803, +371 29483420

E-mail: peter@optimalsolutions.lv



Содержание



1. Структурирование OU в Active Directory. 3

1.1. Контейнер Computers. 3

1.2. Контейнер Groups. 3

1.3. Контейнер Users. 3

1.4. Развитие иерархии OU. 4

2. Количество и предназначение объектов Group Policy. 5

2.1. Политики OU Компании. 5

2.2. Политики OU Серверов. 5

2.3. Другие объекты Group Policy. 7

2.4. Условия применения и расширения политик. 7

3. Правила построения Software Restriction Policies. 8

3.1. Объекты политик SRP. 8

3.2. Построение политики SRP. 8

4. Исполнение скрипта от лица служебной учётной записи. 10

4.1. Создание и настройка пользователя Backup. 10

4.2. User Rights Assignments (Общесистемные права пользователей). 10

5. Настройки, необходимые для NTBackup. 11

6. Планировщик задач. 12

7. Настройка параметров скрипта. 14

8. Интерпретация журналов копирования. 15

8.1. Используемые журналы. 15

8.2. Принцип работы скрипта. 15

8.3. Интерпретация сообщений об ошибке. 16
1. Структурирование OU в Active Directory.


В корневой папке домена создайте организационное подразделение (OU) %Company%, внутри которого в дальнейшем может развиваться двух- или трёхуровневая структура дочерних OU.

^ 1.1. Контейнер Computers.
Внутри подразделения Computers cтруктурируйте учётные записи компьютеров, настроенных согласно Протоколам настройки Microsoft Windows NT.


Computers/_ Disabled Accounts

Отключенные учётные записи компьютеров, более не работающих в составе домена;


Computers/Servers

Учётные записи серверов; здесь же можно хранить контроллеры домена, если нет особых условий (требования служб Exchange, разветвлённая структура сайтов и т.п.);


Computers/Mobile Computers

Учётные записи мобильных компьютеров, требующих применения отдельных политик.

^ 1.2. Контейнер Groups.
Внутри подразделения Groups храните учётные записи используемых групп Active Directory.


Groups/Global

Доменные Глобальные группы. Используйте их для объединения пользователей по функциональному или географическому признаку;


Groups/Local

Доменные Локальные группы. Используйте их для объединения глобальных групп и назначения прав доступа к ресурсам.

^ 1.3. Контейнер Users.
Внутри подразделения Users храните учётные записи служб и реальных пользователей домена.


Users/_ Disabled Accounts

Отключенные учётные записи пользователей, более не работающих в компании;


Users/Administrative Accounts

Учётные записи работников служб технической поддержки и системных роботов.


^ 1.4. Развитие иерархии OU.
Для простых доменов с одиночным сайтом рекомендуется использовать двухуровневую иерархию объектов, в которой на верхнем уровне объекты делятся по типам (Computers, Groups, Users), на уровень ниже – функциональные подразделения (Managers, Operators, Directors).


Допускается создавать дополнительные подуровни в целях оптимизации функциональности или делегирования полномочий на подразделения. Не увеличивайте глубину структуры или количество объектов без необходимости.


Домены, распределённые в нескольких сайтах, могут иметь трёхуровневую иерархию, где на второй уровень структуры выносится географический признак (Office, Brivibas, Daugavpils), а функциональное деление становится третьим уровнем.


Создавая новые подразделения, давайте им ясные и читабельные имена, описывающие предназначение OU. Названия OU следует давать на английском языке, соблюдая грамматические нормы; избегайте применения национальных символов.
2. Количество и предназначение объектов Group Policy.


Создайте минимальный набор объектов GP, обязательный к применению во всех доменах Active Directory.

^ 2.1. Политики OU Компании.
%Company% Company Policy

Типовые настройки рабочей среды пользователей и системных параметров компьютеров Компании;


%Company% Company Permissions Policy

Описание разрешений NTFS и Registry, общие для всех серверов и рабочих станций Компании;


%Company% Company Restricted Groups

Политика, фиксирующая членство в локальных группах на рядовых серверах и рабочих станциях;


%Company% Company SRP Policy

Правила Software Restriction Policy, общие для всех серверов и рабочих станций Компании;


Включите опцию ^ Process even if the Group Policy objects have not changed в параметрах Security Policy Processing и Registry Policy Processing объекта GP %Company% Company Policy, чтобы политики регулярно переприменялась автоматически, даже если они не были изменены.

^ 2.2. Политики OU Серверов.
Подстыкуйте серверные политики не только к OU Servers, но и к OU Domain Controllers.


%Company% Servers Policy

Типовые настройки рабочей среды пользователей и системных параметров серверов. Установите параметр ^ Loopback Processing Mode: Replace для создания особой рабочей среды пользователям Терминальных серверов;


%Company% Servers Permissions Policy

Описание разрешений NTFS и Registry, применяемых на серверах и контроллерах домена;


%Company% Servers Restricted Groups

Политика, фиксирующая членство локальных, доменных локальных и доменных глобальных групп серверов и контроллеров домена;


%Company% Servers SRP Policy

Правила Software Restriction Policy для [Терминальных] серверов;


Чтобы автоматическое переприменение политик не мешало установке и настройке программ, включите параметр Group Policy Refresh Interval for Domain Controllers: 60 minutes в объекте %Company% Servers Policy.
^ 2.3. Другие объекты Group Policy.

%Company% Domain Policy

Политика корневого OU домена, устанавливающая настройки безопасности, обязательные к применению на всех компьютерах в масштабах целого домена.


%Company% Mobile Policy

Политика OU Mobile Computers, устанавливающая особые настройки пользовательской среды и системных параметров на компьютерах, перемещающихся за пределы сети предприятия. Применяется с параметром Loopback Processing Mode: Replace.


%Company% No Internet Policy

Политика, ограничивающая доступ пользователей к сайтам сети Интернет. Назначьте её исполнение только членам локальной группы %Company% No Internet Users.


%Company% Permission Auditing Policy

Политика, включающая тип аудита ^ Object Access: Failure, а также аудит событий Full Control: Failed на системный диск и реестр. Используйте её при настройке прав доступа для работы производственных программ с ограниченными привилегиями;

^ 2.4. Условия применения и расширения политик.
Оставьте в неизменном виде и местоположении политики Default Domain Policy и Default Domain Controller Policy, но при этом повысьте приоритет исполнения политик, создаваемых вручную.


Для ускорения обработки множества объектов GP отключите секцию ^ User Configuration Settings в политиках Permissions, Restricted Groups и SRP Policy.


Разрешается добавление отдельных объектов GP для внутренних OU с целью конфигурации уникальных параметров этих подразделений (например, имя департамента, к которому принадлежит компьютер).


Объекты Group Policy должны иметь читабельные и ясные названия, описывающие действие политик. Не увеличивайте количество объектов без необходимости.


Перед редактированием GP убедитесь, что установлена последняя версия расширения политик Department.inf, иначе некоторые параметры могут оказаться недоступными.
3. Правила построения Software Restriction Policies.


^ 3.1. Объекты политик SRP.
Для обеспечения приемлемого уровня безопасности применяйте только запретительные политики SRP с исключениями, разрешающими запуск производственных программ.


Действие множественных правил компьютерных и пользовательских SRP складывается. Настраивайте SRP в следующих объектах Group Policy:

Computer Configuration в Local Security Policy каждого отдельного компьютера;

Computer Configuration в %Company% Company SRP Policy;

Computer Configuration в %Company% Servers SRP Policy;


В случаях, когда требуется расширить общие правила SRP для некоторой группы пользователей с целью предоставить доступ к бизнес-приложениям, разрешается пристыковать к OU, в котором хранятся учётные записи этих пользователей, политику %Company% %OU% SRP Policy и настроить SRP в секции User Configuration. Назначьте исполнение политики только членам соотвествующей группы с помощью Security Filtering.

^ 3.2. Построение политики SRP.
Создавая новую политику SRP, отрегулируйте следующие параметры:

Security Levels, Set as Default: Disallowed;

Enforcement: All Software Files Except Libraries;

Enforcement: All Users;

Trusted Publishers: End Users;

Designated File Types: уберите из обработки расширение LNK;


Параметры Additional Rules указываются в зависимости от области действия политики. Типовые правила, указываемые в политике ^ Local Security Policy:

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% и %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%, включаемые по умолчанию. На системах Windows XP Professional и Windows Server 2003 два других пути можно удалить;

D:\Resources, папка инсталляций и резервного копирования;

на необслуживаемых и домашних компьютерах добавьте пути D:\Accounting и D:\Games;

на обслуживаемых машинах укажите хэши программ из D:\Accounting, если таковые имеются.


Типовые правила, указываемые в политике %Company% Company SRP Policy:

то же, что в Local Security Policy;

\\Имя_Сервера\Data\Resources. Если серверов несколько, перечислите каждый из них;

\\Имя_Сервера\NetLogon\*.bat (или аналогичная форма), если используются сценарии входа;

хэши каждой программы, запускаемой клиентами по сети с файлового сервера.




%LogonServer%\NetLogon\*.bat и хэш 33fbbc965db5eaef16dc5891e10d76dd:35328:32771 для программы setenv.exe – сценарии входа;

Запретите исполнение из системных каталогов %SystemRoot%\Temp и %HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory%.

Разрешите для запуска пути D:\Accounting, D:\Games для необслуживаемых систем или укажите специфические хэши из D:\Accounting на обслуживаемых компьютерах, если требуется;


%Company% Company SRP Policy

То же, что в Local Security Policy

%LogonServer%\Data\Resources

Специфические хэши из %LogonServer%\Data\Accounting\ , если требуется.


%Company% Servers SRP Policy

То же, что в %Company% Company SRP Policy;

%Temp%\getpaths.cmd -

Специфические хэши из D:\Accounting, если требуется.


По возможности указывайте точные пути до исполняемых файлов. Не вносите разрешения на запуск программ со сменных носителей и путей, доступных пользователям на Запись. Для папок, перенаправленных с помощью junction, следует применять только hash-значения исполняемых модулей, так как настройка путей не срабатывает.


Политики должны применяться в связке с логонным скриптом, помещающим на рабочий стол администратора иконки включения и временного отключения SRP; в противном случае, политики придётся вручную отключать и выполнять gpupdate /force каждый раз при установке программ.


Сконфигурируйте следующие дополнительные параметры SRP:

Enforcement

All Users , All software files except libraries

Trusted Publishers

End Users

Designated File Types

Добавьте для обработки тип SCF

Уберите ADE, ADP, CHM, HLP, MDB, MDE при соответствующей необходимости
4. Исполнение скрипта от лица служебной учётной записи.


^ 4.1. Создание и настройка пользователя Backup.
Создайте отдельную учётную запись пользователя Backup с ограниченными привилегиями для выполнения процедур автоматического резервного копирования. Добавьте её в локальную группу Backup Operators, так как эта группа обладает необходимыми полномочиями для выполнения копирования System State (состояния системы).


Наделять её повышенными привилегиями либо настраивать ^ Scheduled Tasks (Планировщик задач) для исполнения скрипта от лица реального администратора не следует. Учтите, что пароль пользователя Backup может быть известен одновременно нескольким людям из службы технической поддержки, поэтому её права должны быть максимально ограничены таким образом, чтобы резервное копирование успешно функционировало, но учётной записью нельзя было бы воспользоваться в других целях.


В свойствах учётной записи включите параметры ”Password Never Expires” (”Пароль не истекает”) и ”User Cannot Change Password” (”Пользователь не может сменить пароль”). На закладке Terminal Services Profile отметьте ”Deny this user permission... ”


Убедитесь, что учётная запись Backup прозрачно распознаётся на всех компьютерах, участвующих в процессе резервного копирования. Если сетевое хранилище не является членом общей Active Directory, создайте на нём идентичную учётную запись.

Убедитесь, что пользователь Backup является членом группы ^ Backup Operators на всех компьютерах, участвующих в процессе резервного копирования. Для этого отрегулируйте членство в группах с помощью доменных групповых политик в секции Restricted Groups.


Скрипт указывает дату создания архива в имени bkf-файла. Сконфигурируйте профиль пользователя Backup на формат даты dd.mm.yyyy, указав точку в качестве разделителя.

^ 4.2. User Rights Assignments (Общесистемные права пользователей).
Существует ряд прав, которыми должен обладать пользователь Backup для успешного выполнения своих задач. Регулируя локальные или доменные групповые политики, убедитесь, что группа Backup Operators обладает следующими привилегиями:

^ Backup files and directories и Restore files and directories. Это право позволит службе резервного копирования получить доступ к SystemState и папкам, к которым у пользователя Backup нет прямых разрешений NTFS;

Logon as a Batch job. Это право необходимо для исполнения bat-скриптов из Scheduled Tasks;

^ Deny logon through Terminal Services. В случае, если злоумышленник захватит управление над служебной учётной записью, он не сможет зайти на компьютер удалённо с помощью Remote Desktop;
5. Настройки, необходимые для NTBackup.

Программа NTBackup использует отдельную папку для создания и хранения каталогов архивов: %AllUsersProfile%\Application Data\Microsoft\Windows NT\NTBackup. Со временем, каталоги накапливаются и могут занять существенное дисковое пространство, поэтому скрипт их удаляет. Если указанной папки ещё нет, создайте её и настройте следующие разрешения NTFS:


Administrators: Full Control

Backup Operators: Full Control

SYSTEM: Full Control


На системах Windows Server 2003 также отредактируйте разрешения NTFS файла %SystemRoot%\System32\cmd.exe, разрешив системной группе BATCH Чтение и Запуск.


В случае, если NTBackup зависает в оперативной памяти в начале процедур копирования, генерируя в журнале System ошибку DCOM 10016, настройте службу COM+. Запустите консоль Component Services из папки Control Panel, Administrative Tools, откройте контейнер Component Services, Computers. В свойствах My Computer, на закладке COM Security отредактируйте права по умолчанию Launch and Activation Permissions, предоставив группе Backup Operators разрешения Local Launch и Local Activation.




^ Рис. 5.1. Настройка службы COM+


Данная настройка также регулируется средствами локальных и доменных групповых политик в контейнере Computer Configuration, Windows Settings, Security Settings, Local Policies, Security Options. Осторожно применяйте её в доменной среде, так как это может привести к отказу системы.

^ 6. Планировщик задач.

В Control Panel, Scheduled Tasks (Панель Управления, Запланированные Задачи) настройте запуск сценариев автоматического резервного копирования:

еженедельно по Субботам в 22:00, Backup System (том C:\ и SystemState)

еженедельно по Воскресеньям в 08:00, Backup Normal (папки с данными)

еженедельно с Понедельника по Пятницу в 22:00, Backup Incremental (изменённые данные)




Рис. 6.1. Исполнение запланированных задач от лица пользователя с ограниченными привилегиями


Укажите исполнение сценариев от лица служебной учётной записи Backup. Убедитесь, что и на сетевом компьютере, используемом для хранения сетевых копий, и в локальном томе Resources достаточно места для указанной в скрипте глубины копирования.

Отредактируйте свойства запланированных задач таким образом, чтобы время их исполнения не пересекалось.


Текущая реализация скрипта выполняет три типа копирования:

System, поддерживается файлом BackupSystem.bks

Normal, поддерживается файлом BackupNormal.bks

Incremental, поддерживается файлом BackupIncremental.bks


Тип копирования следует указывать в качестве параметра при вызове главного файла Backup.bat, являющимся . Файл BackupWeekRotation.bat напрямую пользователем не вызывается.


Используйте тип копирования Incremental только для достаточно больших объёмов данных или если размер хранилища копий ограничен. В обычной ситуации для копирования данных использовать рекомендуется тип копирования Normal.
^ 7. Настройка параметров скрипта.

Главный файл Backup.bat содержит блок переменных, с помощью которых резервное копировани оптимизируется под нужды конкретной ситуации.


NetworkName

Имя компьютера, на который будет выполняться сетевое копирование

При значении OFF сетевое копирование не происходит;

BackupFolder

Папка, в которую будет произведено копирование. Настройте переменную иначе, если D:\Resources\Backup использовать нельзя;

Temp

Папка, в которой готовится bkf-файл. Копирование пройдёт гораздо быстрее, если использовать папку, находящуюся на отдельном от копируемых данных дисковом шпинделе;

BackupWeeks

Глубина копирования в неделях (от 1 до 99). Внимание! Ротация недель производится только при типе копирования System;

SMTPServer

Имя или IP-адрес SMTP-сервера, через который будет высылаться отчёт о копировании;

MailFrom

E-mail адрес, с которого будет выслан отчёт;

RcptTo

E-mail адрес, на который будет выслан отчёт. Разрешается писать несколько адресов через запятую;
^ 8. Интерпретация журналов копирования.


8.1. Используемые журналы.
Скрипт во время своей работы создаёт два журнала:

BackupReport.txt создаётся в папке %Temp% пользователя и после окончания процедур высылается по электронной почте;

BlatReport.txt в папке Backup Script дописывается при каждом копировании и может служить средством диагностики проблем в случае, если e-mail не доходит до получателя.


Журналы содержат в себе дату и время начала копирования, а также временны’е отметки прохождения этапов обработки архивов. Используйте эти данные для оценки необходимого для копирования объёма времени и обнаружения возможных узких мест аппаратной подсистемы.

время начала процедур, подготовка bkf-файла

время начала копирования готового bkf-файла из папки %Temp% в локальную директорию

время начала копирования готового bkf-файла из папки %Temp% в сетевую директорию

врекя окончания процедур

текстовый вывод команды blat при высылке отчёта по электронной почте



^ 8.2. Принцип работы скрипта.
Во время выполнения процедуры копирования скрипт выполняет ряд шагов и проверок их исполнения, что позволяет контролировать результаты тех или иных операций.


Backup.bat

Определяются переменные окружения, согласно которым будет произведено копирование.

Проверяется параметр, с которым вызван Backup.bat. От этого зависит тип производимого копирования. Если параметр указан некорректно, процедуры прекращаются.

Создаются журналы копирования.

Проверяется доступность папки %Temp%. При неудаче процедуры прекращаются.

Очищаются старые журналы. Вызывается NTBackup с параметрами согласно типу копирования, создаётся локальный bkf-файл. При неудаче создания bkf-файла процедуры прекращаются.

Для типа копирования System производится ротация недель в локальном хранилище. Самая старая cтирается, остальные смещаются на единичку вниз. Готовится папка для свежего архива.

Готовый архив перемещается в локальную целевую директорию.

Для типа копирования System производится ротация недель в сетевом хранилище.

Готовый архив перемещается в локальную сетевую директорию.

Высылается отчёт о копировании, в котором отмечается успех или неудача процедуры.
^ 8.3. Интерпретация сообщений об ошибке.
В случае, если отчёт о копировании не пришёл получателю, следует изучить содержимое последних строк журнала BlatReport.txt. Последовательность записей позволит установить, на каком именно этапе произошёл сбой.


В случае, если отчёт получен, но содержит сообщение об ошибке, прочтите это сообщение. Возможные сообщения включают в себя:


^ WARNING: The Network Backup Is Not Configured

Не сконфигурировано имя компьютера для сетевого копирования; Приготовьте и настройте сетевой компьютер, так как одной только локальной копии недостаточно.

^ ERROR: Wrong Parent Batch Version

Не совпадают версии Backup.bat и BackupWeekRotation.bat;

Установите правильные версии файлов.

ERROR: Temporary File %Temp%\%BackupFileName% Already Exists

Не удалось приготовить временный каталог для создания bkf-файла;

Возможно, в Scheduled Tasks настроено пересекающееся время исполнения заданий.

^ ERROR: Temporary File %Temp%\%BackupFileName% was not created

Bkf-файл не создался;

Убедитесь, что в %Temp% достаточно свободного пространства и разрешения NTFS позволяют чтение и запись содержимого папки.

^ WARNING: Some files were not copied during backup process

Журнал NTBackup содержит информацию, что были скопированы не все выбранные объекты; Найдите журнал NTBackup в папке профиля All Users и изучите его содержимое.

^ ERROR: The backup process was not completed successfully

Процесс NTBackup был прерван или закончился неудачно;

Проверьте свободное место на диске с папкой %Temp%.

ERROR: Cannot Remove a Previous Folder %BackupPath%\WEEK%N%

Не удалось удалить самую старую резервную копию;

Убедитесь в наличии достаточных прав доступа и отсутствии блокировок указанной директории.

ERROR: Cannot Prepare a Target Folder %BackupPath%\WEEK01

Не удалось создать директорию WEEK01;

Убедитесь в наличии достаточных прав доступа и отсутствии блокировок папки %BackupPath%.

ERROR: A Backup File ..%BackupFileName% was not copied

Копирование bkf-файла в целевую директорию закончилось неудачей; Убедитесь, что в целевой директории достаточно свободного пространства, и сеть работает исправно;



Протокол настройки Microsoft Windows NT - -