Windows - Csoportházirend referencia 5

GPO 5. rész

Folytatjuk a tavaly elkezdett csoportházirend objektumait, beállításait bemutató sorozatunkat. Windows 2000-et és XP-t futtató hálózatokban a csoportházirendekkel központilag egy helyről adminisztrálva előírható a felhasználók munkakörnyezetének és jogosultságainak legtöbb összetevője. Cikksorozatunkban ezeket tárgyaljuk lépésről-lépésre.
A csoportházirend objektumok megnyitása
Kattintsunk a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) elemre. A konzol megnyitása után válasszuk ki azt a szervezeti egységet, amelyiknek a csoportházirendjét szerkeszteni akarjuk. Kattintsunk rá a jobb oldali egérgombbal és tallózzunk el a következő helyre: Tulajdonságok > Csoportházirend > Szerkesztés (Properties > Group Policy > Edit). A megnyíló "Csoportházirend" ("Group Policy") konzolban található az összes beállítási lehetőség, két fő részre osztva: "Számítógép konfigurációja" ("Computer Configuration"), "Felhasználó konfigurációja" ("User Configuration").
Korlátozott csoportok (Restricted Groups)
  • Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Korlátozott csoportok (Computer Configuration > Windows Settings > Security Settings > Restricted Groups)
A tartományokban lévő felhasználói csoportok tagsága két módon változtatható: az egyik, amikor egy megfelelő jogosultsággal rendelkező személy (általában a rendszergazda) felvesz vagy töröl tagokat. A másik, amikor maga az operációs rendszer dinamikusan végzi ezt el. Például a Telefonos (Dialup) csoportnak minden telefonos kapcsolaton keresztül bejelentkezett felhasználó automatikusan tagjává válik. A Korlátozott csoportok (Restricted Groups) objektum használatával előírható, hogy mely csoportoknak nem változtatható a tagsága. Kattintsunk a Művelet > Új csoport (Action > Add Group) menüre, adjuk meg annak a csoportnak a nevét, amelyiknek a tagságát fixálni akarjuk vagy kattintsunk a Tallózás ("Browse") gombra és jelöljük ki a listából.
Ha rákattintunk egy korlátozott csoportra a jobb oldali egérgombbal, találunk egy "Biztonság" ("Security") menüpontot, amely megjelenít egy további ablakot. Csak itt lehet szabályozni a korlátozott csoport tagságát a házirend érvényre jutása után. Két lehetőségünk van: az egyik, hogy új tagokat adunk hozzá vagy törlünk a másik, hogy előírjuk a csoport mely további csoportoknak lehet a tagja.
Rendszerszolgáltatások (System Services)
  • Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Rendszerszolgáltatások (Computer Configuration > Windows Settings > Security Settings > System Services)
Itt az operációs rendszer szolgáltatásai vannak felsorolva. Egyenként be lehet állítani, hogy manuálisan vagy automatikusan induljon el. Ezt ugyan több más helyről is el lehet érni, de "A következő házirend-beállítás megadása" ("Define this policy setting in the template") jelölőnégyzet bekapcsolásával vagy a "Biztonság szerkesztése" ("Edit Security") gombra kattintással egy hozzáférési lista (Access Control List - ACL) segítségével az NTFS fájlrendszer engedélyeivel megegyezően, elő lehet írni, hogy ki vagy kik férhetnek hozzá a szolgáltatáshoz.
Rendszerleíró adatbázis (Registry)
  • Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Rendszerleíró adatbázis (Computer Configuration > Windows Settings > Security Settings > Registry)
A regisztrációs adatbázis kulcsaihoz való hozzáféréshez lehet összeállítani egy az előzőhöz hasonló listát. Kattintsunk a Művelet > Új kulcs (Action > Add Key) menüpontjára. Fa szerkezetben megjelennek a Registry fő kulcsai. Kijelölhetjük közülük valamelyiket, de a szerkezet kibontásával a mélyebb szinteken elhelyezkedő alkulcsok közül is választhatunk. Kattintsunk az "OK" gombra és megjelenik az ACL lista, amit tetszés szerint szerkeszthetünk.
Fájlrendszer (File System)
  • Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Fájlrendszer (Computer Configuration > Windows Settings > Security Settings > File System)
Szintén egy hozzáférést szabályozó házirendről van szó. A csoportházirend érvényességi körébe tartozó gépek merevlemezén található fájlokhoz vagy könyvtárakhoz lehet ACL listát rendelni. Arra vonatkozóan nem történik ellenőrzés a házirend megadása közben, hogy a célgépen létezik-e az adott fájl vagy mappa. Ha nem, akkor értelemszerűen nem tudja a házirend kifejteni a hatását. Ha igen, akkor további feltétel, hogy a célfájl NTFS fájlrendszerű köteten legyen.
Kattintsunk a Művelet > Új fájl (Action > Add File) menüre. Válasszuk ki a fájlt vagy mappát. Állítsuk be a hozzáférési jogokat az ACL listában. A következő ablakban engedélyezhető az öröklődés az esetleges almappákra.
Nyilvános kulcs irányelvei (Public Key Policies)
Titkosított adatot helyreállító ügynökök (Encrypted Data Recovery Agents)
  • Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Nyilvános kulcs irányelvei > Titkosított adatot helyreállító ügynökök (Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Encrypted Data Recovery Agents)
A titkosító fájlrendszer (EFS) használatával lehet elérni, hogy az adatok csak a titkosítást végző személy által legyenek olvashatók. Más számára ezek az adatok hozzáférhetetlenek. De mi van akkor, ha egy vállalatnál egy dolgozó titkosít egy mappát a tartalmával együtt, majd kilép a cégtől, baleset éri vagy merevlemez hiba következtében elveszik a személyes kulcsa? Lényeg, hogy nem tud segíteni az információ visszanyerésében. Ennek elkerülésére a Windows fejlesztői lehetővé tették, hogy bizonyos felhasználókat "Titkosított adatot helyreállító ügynöknek" minősítsünk. Ők képesek dekódolni az adatokat. A Művelet > Hozzáadás (Action > Add) parancsával lehet kijelölni a megfelelő személyeket a felhasználói listából.
Automatikus bizonyítványkérelem beállításai (Automatic Certificate Request Settings)
  • Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Nyilvános kulcs irányelvei > Automatikus bizonyítványkérelem beállításai (Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings)
A számítógépen használt bizonyítványok telepítését hajtja végre. Egy ezzel foglalkozó szervezettől egy adatlap kitöltésével igényelni kell, majd megérkezése esetén el kell végezni a telepítését. Ebben a házirendpontban megadhatjuk azokat a bizonyítványokat, amelyek a hatókörbe tartozó számítógépek automatikusan fel fognak használni, megszabadítva a rendszergazdát az összes kliensre való telepítés végrehajtásától.
Megbízható legfelső szintű hitelesítő szervezetek (Trusted Root Certification Authorities)
  • Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Nyilvános kulcs irányelvei > Megbízható legfelső szintű hitelesítő szervezetek (Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities)
A Windows bizonyítvány szolgáltatásának alapja, hogy a kliens és a kiszolgáló megbízzon a másik bizonyítványának hitelességében. Ezért lehet csak hitelesítő szervezetektől igényelni, amelyek több lépcsőben - több bizonyítvány képzésével - úgynevezett láncot alkotnak. A legelső (legfelső) szervezetet gyökérnek (root) nevezik (hogy melyik ez azt mi döntjük el). Ebben a házirendben a Művelet > Az összes feladat > Importálás (Action > All Tasks > Import) által elindított varázsló segítségével lehet a hitelesítő szervezettől igényelt fájlban meglévő bizonyítványt a rendszerbe telepíteni. Így egy közös, megbízható kiadó hatóság rendelődik a hálózat gépeihez.
Vállalati szintű megbízás (Enterprise Trust)
  • Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Nyilvános kulcs irányelvei > Vállalati szintű megbízás (Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Enterprise Trust)
Az itt felsorolt bizonyítványok hatóköre az egész vállalati hálózatra kiterjed. Egy közös hitelesítő szervezet bizonyítványit használhatja minden tartományi tag, így nem kell mindenkinek sajáttal rendelkeznie.
IP-biztonsági házirendek - Active Directory (IP Security Policies on Active Directory)
  • Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > IP-biztonsági házirendek - Active Directory (Computer Configuration > Windows Settings > Security Settings > IP Security Policies on Active Directory)
Az IPSec protokoll használatának körülményeit lehet konfigurálni ezzel a házirenddel az alábbi feltételeknek megfelelően. A házirend aktivizálásához kattintsunk rá a jobb oldali egérgombbal és válasszuk a "Kijelölés" ("Assign") menüpontot.
Client (Ügyfél)
Alapértelmezésben hagyományos, titkosítatlan IP kommunikációt folytat, de ha egy kiszolgáló megköveteli az IPSec használatát, akkor képes ennek eleget tenni.
Server (Kiszolgáló)
Alapértelmezésben titkosítva próbál kommunikálni, de lehetőséget ad a titkosítás nélküli adatáramlásnak is.
Secure Server (Biztonságos kiszolgáló)
Mindig titkosítva kommunikál, az IPSec-et nem ismerő rendszerekkel nem létesít kapcsolatot, ezekről a helyekről érkező minden kérést elutasít.

GPO cikksorozat