Автор работы: Пользователь скрыл имя, 07 Апреля 2014 в 17:30, доклад
Утилита командной строки Secedit.exe, как правило, выполняет те же функции, что и оснастка Анализ и настройка безопасности (Security Configuration And Analysis). Преимущество Secedit.exe состоит в том, что ее можно выполнить в сценариях и командных файлах, а это позволяет автоматизировать развертывание шаблонов безопасности. Кроме того, с помощью утилиты Secedit.exe к компьютеру можно применить только часть шаблона, чего нельзя сделать с помощью оснастки Анализ и настройка безопасности (Security Configuration And Analysis) или объектов групповой политики. Например, только данная утилита обеспечивает способ применения лишь разрешений файловой системы из шаблона без остальных параметров.
Утилита командной строки Secedit.exe, как правило, выполняет те же функции, что и оснастка Анализ и настройка безопасности (Security Configuration And Analysis). Преимущество Secedit.exe состоит в том, что ее можно выполнить в сценариях и командных файлах, а это позволяет автоматизировать развертывание шаблонов безопасности. Кроме того, с помощью утилиты Secedit.exe к компьютеру можно применить только часть шаблона, чего нельзя сделать с помощью оснастки Анализ и настройка безопасности (Security Configuration And Analysis) или объектов групповой политики. Например, только данная утилита обеспечивает способ применения лишь разрешений файловой системы из шаблона без остальных параметров.
Утилита Secedit.exe запускается в окне командной строки с одним из шести основных параметров и с дополнительными параметрами для каждой функции.
.
Чтобы создать политику безопасности, нужно запустить Мастер настройки безопасности из папки Администрирование или секции Сведения системы безопасности на домашней странице Диспетчера сервера роли, установленные на сервере;
Чтобы применить политику безопасности к серверу, откройте Мастер настройки безопасности (Security Configuration Wizard) и на странице Действие настройки (Configuration Action) выберите действие Применить существующую политику безопасности (Apply An Existing Security Policy). Щелкните кнопку Обзор (Browse), чтобы локализовать файл политики .xml. На странице Выбор сервера (Select Server) укажите сервер, к которому будет применена политика. Многие изменения, указанные в политике безопасности, включая добавление правил брандмауэра для уже запущенных приложений и отключение служб, требуют перезагрузки сервера, поэтому рекомендуется перезагружать сервер после каждого применения политики безопасности.
Если политика безопасности привела к нежелательным результатам, можно выполнить откат изменений, запустив Мастер настройки безопасности (Security Configuration Wizard) и выбрав действие настройки Откатить последнюю примененную политику безопасности (Rollback The Last Applied Security Policy). Если политика безопасности применяется с помощью мастера настройки безопасности, то генерируется файл отката, в котором хранятся начальные параметры системы. Процесс отката использует этот файл отката.
Если примененный шаблон безопасности не обеспечивает идеальную конфигурацию, изменения можно внести вручную с помощью консоли Локальная
политика безопасности (Local Security Policy). Таким образом, мы получаем полную картину конфигурации безопасности, начиная с вручную заданных параметров и генерирования шаблонов безопасности с целыо создания политик безопасности с помощью Мастера настройки безопасности (Security Configuration Wizard), который может внедрять шаблоны безопасности, и заканчивая применением политик безопасности и возвратом к вручную настроенной конфигурации.
Политика безопасности, созданная Мастером настройки безопасности (Security Configuration Wizard), применяется к серверу посредством того же мастера настройки безопасности, команды Scwcmcl.exe, или преобразования политики безопасности в объект групповой политики GPO. Чтобы преобразовать политику безопасности в объект GPO, войдите в сеть как администратор домена и выполните команду Scwcmd.exe вместе с командой transform. Например, команда scwcmd transform /p:"Contoso DC Security.xml"/g:"Contoso DC Security GPO" создает объект GPO с именем Contoso DC Security GPO и параметрами, импортированными из файла политики безопасности Contoso DC Security.xm.1. Полученный объект GPO затем будет связан с соответствующей областью действия (сайт, домен или подразделение) с помощью консоли Управление групповой политикой (Group Policy Management). Чтобы получить справочную информацию и инструкции относительно данного процесса, введите команду scwcmd.exe transform /?.
Существует много механизмов, с помощью которых можно управлять параметрами безопасности. Для модификации параметров отдельной системы используются такие инструменты, как консоли Локальная политика безопасности (Local Security Policy). Для управления параметрами одной или нескольких систем и сравнения текущего состояния конфигурации системы с требуемой конфигурацией применяются шаблоны безопасности, существующие еще с Windows-2000. Последним дополнением к набору средств управления конфигурацией безопасности являются политики безопасности, генерируемые Мастером настройки безопасности (Security Configuration Wizard). Файлы .xml на основе ролей определяют режимы запуска служб, правила брандмауэра, политики аудита и некоторые параметры реестра. Шаблоны безопасности внедряются политиками безопасности; шаблоны и политики безопасности развертываются с помощью групповой политики.
Изобилие доступных средств нередко затрудняет выбор оптимального метода управления безопасностью одной или нескольких систем. По возможности старайтесь использовать групповую политику для развертывания конфигурации безопасности. Объект GPO можно генерировать из политики безопасности на основе роли, генерируемой мастером настройки безопасности, который сам внедряет дополнительные параметры из шаблона безопасности. В созданный объект GPO можно вносить дополнительные изменения с помощью оснастки Редактор управления групповыми политиками (Group Policy Management Editor).
Параметры, не контролируемые групповой политикой, конфигурируются на каждом сервере с помощью параметров безопасности локальных объектов GPO.
Для развертывания программного обеспечения в организации используются такие средства, как Microsoft System Center Configuration Manager (Configuration Manager) и его предшественник Microsoft Systems Management Server (SMS). Хотя эти инструменты обеспечивают значительные преимущества, включая счетчики использования программного обеспечения и системы инвентаризации, в большинстве случаев программное обеспечение можно развернуть без помощи этих средств, используя лишь узел Установка программ (Software Installation) групповой политики.
Узел Установка программ (Software Installation) в групповой политике предназначен для создания управляемой программной среды со следующими характеристиками:
пользователи имеют доступ к приложениям, необходимым для выполнения работы, независимо от компьютера, на котором они входят в сеть;
на компьютерах устанавливаются необходимые приложения без участия команды технической поддержки;
приложения можно обновлять, поддерживать и удалять в соответствий с требованиями организации.
Расширение Установка программ (Software Installation) является одним из многих расширений (или компонентов) клиентской стороны CSE (Client-Side Extension), которые поддерживают управление изменениями и конфигурацией с помощью групповой политики. Оно позволяет централизованно управлять начальным развертыванием, обновлениями и удалением программного обеспечения. Вся конфигурация развертывания программ контролируется в объекте GPO с помощью процедур.
Для установки, поддержки и удаления программного обеспечения расширение установки программ групповой политики GPSI использует службу Установщик Windows (Windows Installer), который управляет программным обеспечением с помощью информации, содержащейся в пакете приложения установщика Windows. Этот пакет представляет собой файл с расширением .msi, описывающий установленное состояние приложения и содержащий явные инструкции, связанные с установкой и удалением приложения. Пакеты установщика Windows можно настроить с помощью файлов одного из следующих типов.
Файлы трансформации (.mst) Настройка установки приложения. Некоторые приложения содержат мастер-программы или шаблоны, посредством которых пользователь выполняет трансформации. Например, для Adobe Acrobat Reader компания Adobe предоставляет корпоративное средство развертывания, генерирующее трансформацию. Многие предприятия используют трансформации для настройки лицензионного соглашения с конечным пользователем и отключения определенных возможностей приложения (например, автоматическое обновление с выходом в Интернет).
Файлы исправлений (.msp) Используются для обновления существующего файла .msi пакетами обновлений, исправлениями и обновлениями безопасности. Файл .msp содержит инструкции о применении обновленных файлов и ключей реестра в исправлениях программы, пакете обновления или обновлении программы. Например, обновления программ, начиная с Microsoft Office 2003, предоставляются в виде файлов .msp.
Помимо
файлов приложений MSI расширение групповой
политики Установка программ (Software Installation)
может ограниченно использовать низкоуровневые
пакеты приложений (файлы .zap), указывающие
расположение точки распространения программного
обеспечения SDP (Software Distribution Point) и команды
setup. Более подробные сведения содержатся
в статье 231747 базы знаний по адресу http://support.microsoft.com/?
Файл .msi, трансформации и другие файлы, необходимые для установки приложения, хранятся в общей точке распространения программного обеспечения (SDP).
Программное обеспечение можно развертывать путем его назначения пользователям и компьютерам или путем публикации приложений для пользователей. Необходимое или обязательное программное обеспечение назначается пользователям и компьютерам. Опубликованное приложение пользователи могут по желанию установить для выполнения своей работы.
Назначение приложений При назначении приложения пользователю обновляются локальные параметры реестра приложения, включая расширения файловых имен и создание ярлыков в меню Пуск (Start) и на рабочем столе, которые обеспечивают доступ к приложению. Ярлык для доступа к приложению следует за пользователем независимо от физического компьютера, с помощью которого пользователь входит в домен. Это приложение устанавливается при первой активации приложения пользователем на компьютере, как, например, выбор этой программы в меню Пуск (Start) или открытие документа, сопоставленного с программой. При назначении приложения компьютеру программа устанавливается в процессе загрузки компьютера.
Публикация приложений При публикации приложения для пользователей приложение не отображается как установленная программа на компьютерах пользователей, то есть в меню Пуск (Start) и на рабочем столе нет ярлыков программы. Однако приложение доступно в апплете Установка и удаление программ (Add Or Remove Programs) панели управления в Windows ХР или апплете Программы и компоненты (Programs And Features) в системе Windows Vista и Windows Server 2008. Кроме того, приложение может быть установлено при открытии пользователем файла типа, сопоставленного с этой программой. Например, если для пользователей опубликована программа Acrobat Reader, она будет установлена при открытии пользователем файла с расширением .pdf.
Назначая или публикуя и нацеливая приложения на пользователей или компьютеры, вы сможете установить среду, соответствующую целям управления программным обеспечением. В табл. 7-1 описаны опции развертывания программного обеспечения.