Windows - Csoportházirend referencia

GPO 1. rész

Az Active Directory alkotta hálózatokban, Windows 2000 és XP munkaállomásokkal a Csoportházirend (GPO - Group Policy Objects) szolgáltatáson keresztül gyakorlatilag teljesen megoldható a felhasználók és munkakörnyezetük viselkedésének és jogosultságainak szabályozása. Mindez rengeteg beállításon keresztül. Sokszor csak azért nem valósulnak meg bizonyos dolgok, mert nem világos, hogy mit és hol lehet beállítani és hogy egyáltalán a csoportházirend képes-e erre? Ezzel a résszel elindítunk egy cikksorozatot, amelyben az összes csoportházirend beállítást felsoroljuk magyarázattal ellátva. A csoportházirend objektumok megnyitása:

Kattintsunk a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) elemre. A konzol megnyitása után válasszuk ki azt a szervezeti egységet, amelyiknek a csoportházirendjét szerkeszteni akarjuk. Kattintsunk rá a jobb oldali egérgombbal és tallózzunk el a következő helyre: Tulajdonságok > Csoportházirend > Szerkesztés (Properties > Group Policy > Edit). A megnyíló "Csoportházirend" ("Group Policy") konzolban található az összes beállítási lehetőség. Két fő részre osztható: "Számítógép konfigurációja" ("Computer Configuration"), "Felhasználó konfigurációja" ("User Configuration").


Számítógép konfigurációja (Computer Configuration):

Számítógép konfigurációja > Szoftver beállítások > Szoftverek telepítése (Computer Configuration > Software Settings > Software installation):

Az IntelliMirror technológia részeként az Active Directory tartományokban lehetőség van a programtelepítéseket központilag is vezérelni a csoportházirendeken keresztül. Nem szükséges minden alkalmazást a hálózat minden gépére egyenként feltelepíteni, elvégzi ezt helyettünk a Windows Installer szolgáltatás. Feltétele a szolgáltatással kompatíbilis telepítőkészleten (MSI) túl, hogy csak olyan gépeken végezhető el, amelyek teljes körű tagjai tudnak lenni a tartománynak és képesek kezelni a csoportházirendet, ilyen jelenleg a Windows 2000 és a Windows XP minden verziója. A programtelepítés előírható a csoportházirend számítógépekre és felhasználókra vonatkozó részében is. Az előbbi esetben akkor zajlik le a telepítés, ha a gép rendszerindítási folyamatában elérkezett a csoportházirend alkalmazásához, még a felhasználó bejelentkezése előtt. Az utóbbi pedig a felhasználó bejelentkezése után zajlik le.


Számítógép konfigurációja > Windows beállításai > Parancsfájlok (indítás/leállítás) (Computer Configuration > Windows Settings > Scripts (Startup/Shutdown)):

A számítógép indításakor illetve leállításakor futtatandó programokat lehet egy listába összegyűjteni. Hasonló a Windows indítópultjához, csak attól függetlenül működik és a rendszerleálláskor is megengedi a programok indítását. Helyileg a SYSVOL mappán belül tárolja ezek parancsikonjait.


Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Fiókházirend > Jelszóházirend (Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy):
A jelszónak meg kell felelnie a bonyolultsági feltételeknek (Passwords must meet complexity
    requirements):
Ez a következőt jelenti: nem egyezhet meg a felhasználói név egészével vagy egy részével, minimum 6 karakter hosszúnak kell lennie, kell szerepelnie benne az angol ábécé nagy- és kisbetűiből is, számokból 0-tól 9-ig és nem alfanumerikus karakterekből (!%#$).
A tartomány összes felhasználója jelszavának tárolása visszafejthető titkosítással (Store password
    using reversible encryption for all users in the domain):
Csak tartományvezérlőkön használható beállítás, bekapcsolt állapota mellett a címtárból kiolvashatók a jelszavak. Biztonsági szempontból soha nem javasolt a használata.
Nem titkosítás nélkül (clear-text) hanem ún. visszafejthető titkosítással tárolja a jelszavakat és így adja át az alkalmazások számára is, amelyek részéről támogatásra van szükség, különben nem fogják tudni feldolgozni. Csak abban az esetben használható ez a házirendpont, ha minden jelszót igénylő alkalmazás képes kezelni a visszafejthető titkosítást.
Előző jelszavak megőrzése (Enforce password history):
A rendszer megjegyzi 0-tól 24-ig terjedően a felhasználó előző jelszavait és nem engedi, hogy ezeket ismét felhasználja.
Jelszó maximális élettartama (Maximum password age):
Az időtartam napban kifejezve (0-999) amíg a felhasználó képes használni egy jelszót. Ha lejár, meg kell változtatnia.
Jelszó minimális élettartama (Minimum password age):
Az időtartam napban kifejezve (0-999) amíg a felhasználónak használnia kell egy jelszót. Csak ha ez lejár, akkor képes megváltoztatni. Az értéknek kevesebbnek kell lenni, mint a maximális élettartamé.
Legrövidebb jelszó (Minimum password length):
A jelszónak minimum ennyi karakterből kell állnia (0-14-ig szabályozható). Ha 0-át állítunk be nem szükséges megadni a jelszót.


Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Fiókházirend > Fiókzárolási házirend (Computer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy):
Fiókzárolás időtartama (Account lockout duration):
Ha egy felhasználó hibás jelszót ad meg ennyi ideig nem fogja tudni ismét megadni: 0-99999 percben kifejezve. A Windows letiltja a bejelentkező ablakot (lásd következő pont).
Fiókzárolás küszöbe (Account lockout threshold):
Maximum ennyi érvénytelen jelszó megadást fogad el a rendszer, mielőtt letiltja az előző pontban meghatározott ideig a bejelentkezést.
Fiókzárolási számláló nullázása (Reset account lockout counter after):
Ha ennyi percig nem történt érvénytelen bejelentkezési kísérlet, a rendszer nullázza az érvénytelen bejelentkezések számát.


Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Helyi házirend > Naplórend (Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy):

Az itt szereplő beállítások a rendszer Eseménynaplójába ("Event Viewer") helyezik el bejegyzéseiket.
Bejelentkezés naplózása (Audit logon events):
Minden az adott géppel kapcsolatos ki- és bejelentkezés és hálózaton keresztüli kapcsolat kiépítése esetén egy bejegyzés kerül az eseménynaplóba. A "Sikeres" ("Success") jelölőnégyzet aktiválásával csak akkor, ha hibátlanul zajlott le. A "Sikertelen" ("Failure") aktiválásával pedig akkor, ha téves adatmegadás miatt nem jött létre a bejelentkezés. A kettő együtt is használható.
Címtárszolgáltatás-hozzáférés naplózása (Audit directory service access):
Az System Access Control List (SACL) listában szereplő Active Directory objektumokhoz való sikeres és sikertelen hozzáférési kísérletek naplózása.
Fiókbejelentkezés naplózása (Audit account logon events):
Akkor naplóz, amikor az adott számítógép érvényesít egy másikon egy sikeres vagy sikertelen ki- és bejelentkezést.
Fiókkezelés naplózása (Audit account management):
A felhasználói fiókokkal végzett tevékenységek naplózása: fiókok vagy csoportok létrehozása, módosítása, törlése, átnevezése, engedélyezése, tiltása, jelszavak beállítása vagy megváltoztatása.
Folyamatok nyomon követése (Audit process tracking):
A programok futtatás alatti aktivitásának naplózása. Nyomkövetésre is használható, ha elindítunk egy programot, láthatjuk milyen folyamatokat hozott létre, milyenek szűntek meg. Minden eseménynél látszik a hozzá tartozó felhasználó neve. Így akár azt is tudhatjuk, mikor melyik felhasználó milyen programokat indított el. Vigyázzunk a használatára, mert sok eseményt generálhat és hamar megtelhet az eseménynapló.
Házirendváltozás naplózása (Audit policy change):
A csoport és helyi házirendeken végzett változtatásokat figyeli és jegyzi az eseménynaplóba. Nyomon követve a változtatásokat visszaállítható az eredeti beállítás.
Objektum-hozzáférés naplózása (Audit object access):
A rendszer objektumai a fájlok, mappák, nyomtatók stb. Minden ezekkel kapcsolatos ténykedés eseményt vált ki, ami bejegyzésre is kerül a naplóba. Tehát ha egy felhasználó megnyit egy mappát, már ki is váltott egy ilyen eseményt. Az objektum-hozzáférés naplózása és a folyamatok nyomon követésének naplózása együtt teljes képet ad egy adott felhasználó minden ténykedéséről. Használatával szintén sok bejegyzés keletkezik, gyorsan megtöltheti a naplófájlt.
Rendszeresemények naplózása (Audit system events):
Az operációs rendszer elindulása, leállása és minden rendszerbiztonsági esemény feljegyzésre kerül. Például az Eseménynapló ("Event Viewer") törlése is.
Rendszerjogok használatának naplózása (Audit privilege use):
Minden felhasználói jogokat (tehát nem system - rendszer jogokat) igénylő művelet naplózása: lehet programok elindítása, leállítása, könyvtárak listázása, a vezérlőpult megnyitása stb. - sok eseményt generál.




GPO cikksorozat