Windows - Biztonsági konfiguráció és analízis

2. rész

A Windows 2000 biztonsági konfigurációjával foglalkozó cikksorozatunk folytatásaként a biztonsági sablonok létrehozásáról, felhasználásáról, elemzéséről és a csoportházirendbe való beépítésükről lesz szó. A sablonok használata:

A sablonok egy erre a célra létrehozott adatbázisban tárolódnak. Az esetleges konfiguráció változásokat is ennek az adatbázisnak a használatával lehet kiszűrni: az ellenőrző rutin megnézi a rendszerben érvényes beállításokat, összehasonlítja őket az adatbázis tartalmával és azonnal kiderülnek az eltérések. Amíg egy operációs rendszeren nem történt biztonsági ellenőrzés, nem létezik az adatbázis sem. Először létre kell hoznunk és egy sablont hozzáadni. Ehhez kattintsunk a "Biztonsági konfiguráció és analízis" beépülő modulra, utána pedig a Műveletek > Adatbázis megnyitása menüpontra (ugyanide jutunk, ha a jobb oldali egérgombbal kattintunk a modul nevére). Ezzel a megnyitás ablakkal lehet az új adatbázist létrehozni. Adjunk neki egy nevet és nyomjuk le a "Megnyitás" gombot. Később már csak ki kell választanunk a dialógus ablakban a meglévő adatbázist, nem kell újat létrehozni (de lehet). A létrehozás utáni következő lépés, hogy importálnunk kell egy sablont. Ezt a megjelenő "Sablon importálása" ablakban tegyük is meg.
Létező adatbázis megnyitásakor szintén importálhatunk sablont. Ekkor két választásunk van: az adatbázisban meglévőt felülírjuk vagy hozzáfűzzük az újat, összetett sablont létrehozva ezzel. A felülírást úgy lehet kiválasztani, hogy a dialógus ablak "Adatbázis kitisztítása az importálás előtt" jelölőnégyzetet aktívvá tesszük.

Most következik a beállítások érvényre juttatása: kattintsunk a "Biztonsági konfiguráció és analízis" beépülő modulra a jobb oldali egérgombbal a menüben pedig a "Számítógép konfigurálása" sorra.
Minden esetben készül az elvégzett műveletekről egy naplófájl, ennek helyét és nevét kell megadni a következő ablakban. Ha ez megvan az "OK"-ra kattintás után elindul a konfigurálás. Amikor véget értek a beállítási folyamatok a Művelet > Naplófájl megjelenítése bekapcsolja számunkra az elkészített naplót. Ugyanezzel a menüponttal tudjuk kikapcsolni is.

A konfigurálás után egy elemzést is le kell futtatnunk: a Művelet > Számítógép elemzése menüre kattintva. A végrehajtás menete megegyezik az előzővel. A naplófájlból értesülhetünk az esetleges eltérésekről és az elemzés végkimeneteléről. Pontos információkat akkor kapunk, ha kinyitjuk a beépülő modul faszerkezetét és rálépünk egy kiválasztott elemre. Ekkor a képernyő jobb oldalán megjelenik az "Érték az adatbázisban" és az "Érték a számítógépen" oszlopokban az eltérés illetve a hasonlóság. A "Házirend" oszlopban az elemek előtti kis ikonban megjelenik egy zöld pipa - ha minden rendben volt, illetve egy piros körben fehér kereszt - ha eltérés volt az adott ponton az elemzés során. Amikor egyiket sem találjuk, akkor olyan házirend pontot nézünk, amelyik nem volt leírva a sablonban.

Figyelem! Összeférhetetlen adatok esetén hibajelzések tömegét kapjuk: például, ha egy tartományvezérlőre akarjuk ráerőltetni a basicwk.inf munkaállomás sablont. Továbbá Active Directory és csoportházirend alkalmazásakor a munkaállomások biztonsági beállításai a csoportházirendben vannak leírva, ezek felülírják a helyi beállításokat (erre visszatérünk).

Említettük az összetett sablonok létrehozását, több sablon importálásával. Ez az értékek összevonását jelenti, például ha az egyikben egy érték: "Nincs megadva", a másikban pedig be van állítva valami, akkor az utóbbi lesz érvényben. Ellentmondásos adatok esetén az utoljára importált sablon értékei lesznek a mérvadók.


Előfordulhat, hogy a gyári sablonok között nem találunk nekünk megfelelőt, ekkor vagy az Internetről töltünk le vagy készítünk egy sajátot.

Új sablon készítése:

Kattintsunk a "Biztonsági sablonok" beépülő modul előtti + jelre, utána pedig a sablonokat tartalmazó mappa előtti + jelre. Ezt a mappát a továbbiakban tároló mappának fogjuk nevezni.
Két lehetőségünk van: létrehozunk egy teljesen üres sablont vagy egy meglévőből kiindulva, készítünk újat.

Üres sablon létrehozása:

Kattintsunk a tároló mappára a jobb oldali egérgombbal és válasszuk az "Új sablon" menüt. Adjunk egy nevet neki, ezen a néven lesz eltárolva a merevlemezen. A "Leírás" mezőbe írjunk róla egy rövid jellemzést, ami később segíthet megtalálni és beazonosítani, hogy milyen céllal készült és milyen beállításokat tartalmaz. Ha ezzel kész vagyunk kattintsunk az "OK" gombra, rövid várakozás következik, amíg létrejön a fájl. Ennek megtörténte után bekerül az új sablonunk a listába. Bontsuk ki a faszerkezetet a szokásos + jellel. Láthatjuk, hogy egy érvényes beállítás sincs a listákban, mindenhol a "Nincs megadva" érték szerepel. Ránk vár a feladat, hogy mindent kitöltsünk.

Ennél egyszerűbb, ha egy meglévő sablont használunk fel. Vizsgáljuk meg őket és keressük meg az igényeinkhez legközelebb állót. Ezt azután átalakítjuk és kész is vagyunk.

Meglévő sablonok átalakítása:

Kattintsunk rá a kiválasztott sablonra a jobb oldali egérgombbal és válasszuk a "Mentés másként" menüpontot.
Adjunk neki egy új nevet, ismét várjunk egy kis ideig a létrehozásra.
Az előzővel teljesen megegyező sablonhoz jutottunk, változtassuk meg benne a számunkra szükséges biztonsági paramétereket. Ha mindennel végeztünk vigyázzunk, mert nem történik meg az adatok automatikus mentése. Kattintsunk ismét a sablon nevére a jobb oldali egérgombbal, majd pedig a "Mentés" parancsra. A menüben találunk egy "Leírás beállítása" menüpontot is. Praktikus kitölteni a könnyebb azonosítás véget. Ez ugyanaz, mint az üres sablon leírás mezője.

Új sablont úgy is készíthetünk, ha egy működő munkaadatbázis konfigurációt elmentünk. Ilyenkor a "Biztonsági konfiguráció és analízis" modul Művelet > Sablon exportálása menüjét kell alkalmaznunk.

Sablonok a csoportházirendben:

Active Directory tartomány használatával sokkal egyszerűbb a dolgunk. Nem kell minden egyes munkaállomáson elvégezni a beállításokat, elég ha ezt a tartományi csoportházirendben tesszük meg. A felhasználói bejelentkezés előtt a kliensgép letölti és alkalmazza az ebben foglalt beállításokat.
Nyissuk meg a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek konzolt az egyik tartományvezérlőn. Válasszuk ki azt a szervezeti egységet, amelyen belül érvényesíteni akarjuk a biztonsági beállításokat. Ha nincs ilyenünk, akkor válasszuk a tartomány nevét (a gyökér kiinduló pontját, ezzel a beállítások az összes tartományi munkaállomásra eljutnak) és fontoljuk meg a szervezeti egységek létrehozását, jobban járunk vele, mert mindegyikhez rendelhetünk önálló házirendet. Egy fontos dolgot vegyünk figyelembe: a csoportházirend öröklődés megváltoztathatja beállításainkat. A Windows 2000 feltelepítése után két csoportházirend objektum létezik: "Default Domain Controller Policy" és "Default Domain Policy". Ez utóbbi indul a fenti gyökérből (ezt szerkesztjük mi is), az előbbi pedig a "Domain Controllers" szervezeti egységben található (itt vannak a tartományvezérlők). A "Default Domain Policy" beállításokat a tartományvezérlők beállításai megváltoztatják, mert a szervezeti felépítés alsóbb pontján állnak (ez csak a tartományvezérlőket fogja érinteni).

Kattintsunk a Művelet > Tulajdonságok > Csoportházirend > Szerkesztés elemekre. A Számítógép konfigurációja részben nyissuk ki a "Windows beállításai" mappát. Itt vannak a "Biztonsági beállítások", kattintsunk rá a jobb oldali egérgombbal. Megjelenik a "Házirend importálása" menü, kattintsunk rá. Válasszunk egy sablont. Ezzel a tartomány összes munkaállomásának a biztonsági beállításait meghatároztuk. Amikor belépnek a tartományvezérlőre és átveszik a csoportházirend beállításokat, akkor a sablon szerint fogják ezt megkapni.




Biztonsági konfiguráció és analízis cikksorozat