Windows - Csoportházirend referencia

GPO 3. rész

Folytatjuk a csoportházirend objektumairól szóló cikksorozatunkat, jelen részben a helyi házirend biztonsági beállításaival foglalkozunk.
A tárgyalásra kerülő beállítások csoportházirendben elfoglalt helye:
Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Helyi házirend > Biztonsági beállítások (Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options):
A biztonsági mentés és a helyreállítás jogának naplózása (Audit use of Backup and Restore
    privilege):
Egyes felhasználók biztonsági másolat készítő programokon keresztül olvasási jogokkal hozzáférhetnek olyan fájlokhoz is, amelyekhez egyébként nem lenne jogosultságuk. Ténykedésük csak a biztonsági másolat készítésre terjed ki. A házirend előírja ezen jogok használatakor a naplózást, amely az Eseménynapló > Biztonsági napló (Event Viewer > Security Log) részébe kerül bejegyzésre.
A CD-ROM használatához kötelező bejelentkezni a helyi számítógépre (Restrict CD-ROM access to
    locally logged-on user only):
A házirend engedélyezése azt jelenti, ha van helyileg bejelentkezett felhasználó a gépen a CD ROM csak az ő számára elérhető. Ha nincs, a hálózatról is el lehet érni, de csak akkor, ha meg van osztva.
A felhasználó figyelmeztetése a jelszó lejárta előtt (Prompt user to change password before
    expiration):
Megadható, hogy a felhasználó jelszavának lejárta előtt hány nappal (0-999) kapjon a rendszertől egy lejáratra vonatkozó figyelmeztetést.
A felhasználók nem telepíthetnek nyomtatókat (Prevent users from installing printer drivers):
A „Felhasználók” („Users”) csoport tagjai számára letiltható a nyomtató meghajtó programok telepítése az adott gépen.
A globális rendszerobjektumok (pl. szimbolikus hivatkozások) alapértelmezett engedélyeinek
    szigorítása (Strengthen default permissions of global system objects (e.g. Symbolic Links)):
A házirend engedélyezése a nem rendszergazda jogú felhasználók számára lehető teszi a megosztott objektumok olvasását, de írását és létrehozását nem.
A hajlékonylemez használatához kötelező bejelentkezni a helyi számítógépre (Restrict floppy access
    to locally logged-on user only):
A CD ROM elérésével egyezően a házirend engedélyezése azt jelenti, ha van helyileg bejelentkezett felhasználó a gépen, a hajlékonylemez meghajtó csak az ő számára elérhető. Ha nincs a hálózatról is el lehet érni, de csak akkor, ha meg van osztva.
A kiszolgálófelelősök ütemezhetnek feladatokat (csak tartományvezérlőkön értelmezett) (Allow server
    operators to schedule tasks (domain controllers only)):
A kiszolgálófelelősök számára engedélyezhető a feladatütemező program használata, vonatkozik ez a parancssori AT utasításra is. Így előre meghatározott időpontokban programokat képesek indítani anélkül, hogy személyesen jelen lennének.
A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket (Shut down system
    immediately if unable to log security audits):
Az Eseménynapló (Event Viewer) „Biztonsági napló” („Security Log”) részébe kerülnek rögzítésre a rendszer „érzékenyebb” biztonsági eseményei. A napló mérete korlátozott (bár állítható), ha betelik nem folytatható tovább a naplózás, ilyenkor ezen házirend pont engedélyezése után leállítható az operációs rendszer.
A rendszer leállítható bejelentkezés nélkül (Allow system to be shut down without having to log on):
Bejelentkező ablakában (a CTRL+ALT+DEL megjelenése után), ahol a felhasználói nevet és jelszót kell megadni található egy „Leállítás” („Shut Down”) nyomógomb, tartományvezérlőkön alapértelmezésben letiltva, munkaállomásokon pedig engedélyezve. A házirend engedélyezésével ezt a gombot engedélyezhetjük.
A számítógépfiók jelszavát nem kezelheti a rendszer (Prevent system maintenance of computer account
    password):
A számítógépfiók (System) jelszava automatikusan minden héten (7 naponta) megváltozik. Ha engedélyezzük a házirendet, megakadályozzuk ezt a folyamatot.
Automatikus kijelentkeztetés a bejelentkezési idő lejártakor (Automatically log off users when logon
    time expires):
A felhasználói fiókok számára előírható egy ún. nyitvatartási idő („Logon hours”), csak ebben az intervallumban jelentkezhetnek be, de mi van akkor, ha ennek lejártakor nem jelentkeznek ki? Ha engedélyezzük ezt a házirendet, akkor a rendszer automatikusan kilépteti az illetőt. Minden csak a hálózaton keresztül bejelentkezettekre érvényes.
Automatikus kijelentkeztetés a bejelentkezési idő lejártakor (helyi gépen) (Automatically log off
    users when logon time expires (local)):
Ugyanaz, mint az előző pont csak a helyileg bejelentkezettekre vonatkozóan.
Bejelentkezési üzenet a felhasználóknak (Message text for users attempting to log on):
A felhasználó bejelentkezésének fázisában egy képernyőn felbukkanó ablakban megjeleníthető egy üzenet. Az ablak tartalmaz egy „OK” nyomógombot és csak ennek a lenyomása után lehet folytatni a belépést.
Bejelentkezési üzenet címe (Message title for users attempting to log on):
Az előbb említett ablak fejlécének felirata.
Biztonságos csatorna: az adatok digitális aláírása (ha lehet) (Secure channel: Digitally sign secure
    channel data (when possible)):
Amikor egy Windows 2000 munkaállomás csatlakozik egy tartományhoz az érzékeny információk (pl.: jelszavak) átvitele során egy titkosított, biztonságos csatorna alakul ki. Ebben, amikor csak lehet - tehát a kommunikációban résztvevő mindkét fél részéről van támogatás - digitális aláírással továbbítódnak az adatok.
Biztonságos csatorna: az adatok digitális titkosítása (ha lehet) (Secure channel: Digitally encrypt
    secure channel data (when possible)):
Az előző házirendben foglaltakhoz hasonlóan az adatküldés titkosítva történik, ha lehetséges.
Biztonságos csatorna: az adatok digitális titkosítása vagy aláírása (mindig) (Secure channel:
    Digitally encrypt or sign secure channel data (always)):
Az előző két házirendben foglaltak közül az egyik eljárás minden esetben követelmény, ha nem teljesül, nem jön létre a kapcsolat.
Biztonságos csatorna: erős (Windows 2000 vagy frissebb rendszerű) munkamenetkulcs  megkövetelése 
   (Secure channel: Require strong (Windows 2000 or later) session key):
A Kerberos biztonsági és hitelesítő protokoll használata a Windows 2000-es hálózatokban a legnagyobb biztonságot jelentő megoldás. Azonban csak a Windows 2000 és az annál újabb rendszereken található meg, ezért a korábbi rendszerekkel történő kommunikáció nem lehetséges a házirend engedélyezése után.
Biztonságos rendszerpartíció (csak RISC platformok esetén) (Secure system partition (for RISC
    platforms only)):
A házirenddel engedélyezhető a RISC alapú gépek rendszerpartíciójának elérése rendszergazdai jogokkal, amikor az operációs rendszer fut.
Cserélhető NTFS-adathordozó kiadása a következő csoportok tagjainak engedélyezett (Allowed to eject
    removable NTFS media):
Meghatározható egy felhasználói csoport, akik számára engedélyezhető az NTFS fájlrendszerű cserélhető adathordozók menet közbeni eltávolítása.
Globális rendszerobjektumokhoz való hozzáférések naplózása (Audit the access of global system
    objects):
Engedélyezése utána a globális rendszerobjektumokkal (mutexek, események, szemaforok, DOS eszközök) végzett minden művelet naplózásra kerül. Ehhez még engedélyezni kell az „Objektum hozzáférések naplózásá”-t („Audit object access”) is a „Naplórend” („Audit Policy”) alatt.
Helyreállítási konzol: automatikus rendszergazdai bejelentkezés (Recovery Console: Allow automatic
    administrative logon):
Alapértelmezésben ez a pont tiltva van. A helyreállítási konzol a rendszer indítómenüjéből vagy a telepítő CD lemezről elérhető szolgáltatás, amellyel a sérült operációs rendszer állítható helyre. Amikor a konzol hozzáférést engedélyez a merevlemezen lévő operációs rendszerhez, kéri tőlünk a rendszergazda jelszavát. A házirend engedélyezésével ez a funkció kikapcsolható.
Helyreállítási konzol: hajlékonylemez másolása és hozzáférés minden meghajtóhoz és mappához 
   (Recovery Console: Allow floppy copy and access to all drives and all folders):
Az előző pontban említett helyreállító konzolban engedélyezhető a minden elérhető meghajtóhoz való hozzáférés (alapesetben nem).
Kiszolgálók közötti kommunikáció digitális aláírása (amikor csak lehet) (Digitally sign server
    communication (when possible)):
A házirend engedélyezése lehetővé teszi a kiszolgálók közötti Server Message Block (SMB) kommunikáció csomagjainak digitális aláírását, amikor mindkét fél képes ezt kezelni.
Kiszolgálók közötti kommunikáció digitális aláírása (mindig) (Digitally sign server communication 
   (always)):
Az előző ponthoz hasonlóan az SMB csomagokat látja el digitális aláírással, de a kommunikáció során minden alkalommal, így kapcsolat csak azokkal a felekkel jöhet létre, amelyek képesek értelmezni.
LAN Manager hitelesítési szintje (LAN Manager Authentication Level):
Meghatározza, hogy a hálózati bejelentkezések alkalmával milyen hitelesítési eljárást használjon a rendszer.
Munkamenet leválasztása ennyi idő üresjárat után (Amount of idle time required before disconnecting
    session):
Bejelentkezik egy felhasználó és elkezd tallózni egy megosztott mappában, ezzel létrehoz egy munkamenetet. Amit ha ebben a házirendben megadott ideig (0-99999 perc) nem használ, tehát nem zajlik rajta forgalom, akkor bontódik a kapcsolat. Ha 0 percet állítunk be vagy nem használjuk a házirendet, akkor üresjárattól függetlenül nem fog bontódni a kapcsolat.
Ne jelenjen meg a legutóbb bejelentkezett felhasználó neve a bejelentkezési képernyőn (Do not
    display last user name in logon screen):
A rendszerbe való bejelentkezés alkalmával felhasználói nevet és jelszót kell megadni egy ablakban. Alapértelmezésben az előző bejelentkezés felhasználói neve automatikusan megjelenik, ami egy biztonsági hiányosságnak is felfogható, hiszen egy támadó birtokába juthat egy bejelentkezési név, már csak a jelszót kell megtudni hozzá. A házirend használatával a név nem lesz látható.
Nem szükséges a CTRL+ALT+DEL lenyomása bejelentkezéshez (Disable CTRL+ALT+DEL requirement for
    logon):
Mielőtt megadnánk az előző házirendben szereplő beállításokat, megjelenik egy ablak kérve minket, hogy nyomjuk le a CTRL+ALT+DEL billentyűkombinációt. Léteznek jelszótörő szoftverek, amelyek ténykedését megnehezíti vagy lehetetlenné teszi ez a funkció.
Nem Windows alapú SMB-kiszolgálókhoz való kapcsolódás titkosítatlan jelszóval (Send unencrypted
    password to connect to third-party SMB servers):
A Windows 2000 alapvetően titkosítást használ a hitelesítési eljárások során is, de erre nem képes minden kiszolgáló. A házirend engedélyezi a jelszavak titkosítás nélküli (clear text) átvitelét a hálózaton a hitelesítési eljárások alatt.
Névtelen kapcsolatok további korlátozása (Additional restrictions for anonymous connections):
A rendszerhez való névtelen hozzáférések - amikor nem kell felhasználói nevet és jelszót megadni- alapértelmezésben is jelentős korlátozásokkal rendelkeznek, de ezzel a házirenddel további szigorításokat lehet bevezetni: a rendszer fiókjai és megosztásai rejtettekké válnak illetve a hozzáférés csak külön engedéllyel lehetséges. Az operációs rendszer telepítése után a fiók letiltott helyzetbe kerül.
Rendszergazdafiók neve (ha nem az alapértelmezett) (Rename administrator account):
Átnevezhetjük a rendszergazdai fiókot, növelve a biztonságot. Azt ugyanis sokan tudják, hogy a magyar nyelvű Windows-on „Rendszergazda”, angol nyelvűn pedig „Administrator” a név. Ettől kezdve már csak egy jelszó szükséges az eléréshez.
Tartományvezérlő nélküli bejelentkezés helyileg tárolt információval (Number of previous logons to
    cache (in case domain controller is not available)):
0 és 50 között megadhatunk egy számot, ahányszor be lehet jelentkezni egy munkaállomásról a tartományba a tartományvezérlő elérése nélkül. Ilyenkor helyileg egy átmeneti tárolóba kerülnek a bejelentkezési információk. Természetesen a tartományvezérlő megosztott erőforrásai nem lesznek elérhetők.
Ügyféllel folytatott kommunikáció digitális aláírása (amikor csak lehet) (Digitally sign client
    communication (when possible)):
Ha a kiszolgáló és az ügyfélgép is képes a digitális aláírások kezelésére a Server Message Block (SMB) csomagok aláírással továbbítódnak a hálózaton.
Ügyféllel folytatott kommunikáció digitális aláírása (mindig) (Digitally sign client communication 
   (always)):
Minden SMB csomag digitális aláírással továbbítódik a hálózaton. Ha a kommunikációban résztvevő felek közül valamelyik nem tudja ezt kezelni, nem jön létre a kapcsolat.
Vendégfiók neve (ha nem az alapértelmezett) (Rename guest account):
A „Vendég” fiók különleges helyzetet teremt, mert nem szükséges jelszót megadni a rendszerbe való belépéshez (alapértelmezésben a fiók le van tiltva). Ugyanakkor a legkorlátozottabban férhet csak hozzá az erőforrásokhoz. Magyar nyelvű Windows-on „Vendég”, angol nyelvűn pedig „Guest” a neve. Ebben a házirendpontban megváltoztatható ez a név.
Virtuális memória lapozófájljának törlése a rendszer leállítása előtt (Clear virtual memory pagefile
    when system shuts down):
EFS titkosított fájlrendszer használata során az adatok titkosítva tárolódnak a merevlemezen. Az állomány megnyitása alkalmával a memóriában a rendszer visszafejti az adatokat, hogy értelmezhetőkké váljanak. Ugyanígy a virtuális memóriába (PAGEFILE.SYS) is kerülhet (és kerül is) információ. Miután kiléptünk a Windows-ból, ezzel a házirenddel előírhatjuk a virtuális memória törlését, megakadályozva, hogy kívülről hozzáférjenek. Nem a PAGEFILE.SYS fájlt fogja törölni, hanem használhatatlanná teszi a tartalmát.
Viselkedés intelligens kártya eltávolításakor (Smart card removal behavior):
A Windows-ba való bejelentkezés felhasználói név és jelszó helyet történhet smart kártyával is. A házirend előírja, hogy mit tegyen a rendszer, ha menet közben valaki eltávolítja a kártyát az olvasó egységből: semmit, zárja le a munkaállomást vagy feltétel nélkül azonnal lépjen ki.
Viselkedés nem aláírt fájl (nem illesztőprogram) telepítésekor (Unsigned non-driver installation
    behavior):
Nem eszközmeghajtó program telepítésekor mit tegyen a rendszer, ha nem talál aláírást: semmit, kérdezze meg a felhasználót, hogy folytathatja-e vagy akadályozza meg a telepítést.
Viselkedés nem aláírt illesztőprogram telepítésekor (Unsigned driver installation behavior):
Az előző házirendponttal egyezik, csak hardver illesztő programok esetében.

GPO cikksorozat