Postoje stotine opcija za konfiguraciju sigurnosti koristeći grupne polise. Na prvi pogled, opcije mogu da nam se učine prevelike; potoji preveliki broj opcija i veoma je teško znati odakle treba početi konfiguraciju sigurnosih opcija. Na sreću, Microsoft je ponudio mogućnost kreiranja i primenjivanja sigurnosnih šablona da bi ovaj zadatak učinio jednostavnijim i da bi olakšao upravljanje sigurnosnim opcijama.

Ranije verzije Windows operativnih sistema uključivale su predefinisane sigurnosne šablone. Windows Server 2008 ne uključuje nijedan Sample Template.

Sigurnosni šabloni su predefinisani setovi sigurnosnih konfiguracija koje možemo da primenimo na kompjutere u našoj mreži. Da ne bismo morali da prođemo kroz sve sigurnosne postavke koje se nalaze u grupnim polisama, a ima ih na stotine, možemo da izaberemo sigurnosni šablon koji je kompatibilan sa onim što pokušavamo da odradimo i nakon toga primenimo taj šablon koristeći grupne polise. Na primer, ako moramo da izgradimo radne stanice u okruženju u kom želimo da podesimo striktne sigurnosne postavke, možemo da primenimo sigurnosni šablon koji sadrži brojne High-security postavke. Ako moramo da izgradimo radne stanice kojima je potreban manji nivo sigurnosti, možemo da postavimo  šablon nižeg nivoa sigurnosti za te radne stanice. Sigurnosni šabloni mogu da se modifikuju i prilagode našim potrebama i sigurnosnim potrebama naše organizacije.

Sigurnosni šabloni ne uključuju sve sigurnosne postavke, ali uključuju najčešće opcije koje standardno primenjuju mnoge organizacije (Standard Settings). Ove opcije mogu da se konfigurišu u sigurnosnom šablonu:

  • Account Policies
  • Local Policies
  • Event Log
  • Restricted Groups
  • System Services
  • Registry
  • File System

 

Možemo da kreiramo novi sigurnosni šablon ili možemo da koristimo sigurnosne šablone koji su unapred konfigurisani i koji su dostupni iz izvora drugih proizvođača (Third-party sources). Ako kreiramo novi šablon, možemo da ga sačuvamo kao Text-based.INF File tako da ga možemo importovati u objekat grupne polise i preko grupnih polisa primenimo na kompjutere u okruženju. Da bismo kreirali novi sigurnosni šablon, potrebno je da otvorimo MMC Console Shell i selektujemo New Template. Sledeća slika daje ilustraciju dva prilagođena šablona kreirana u Security Templates konzoli. Primećujete da svaki šablon može da ima jedinstvene postavke za svaku konfiguracionu postavku na osnovu zahteva koje šablon mora da ispuni.


 Slika 28.1

Izgradnja sigurnosnih šablona

Nakon što smo dobili ili nakon što smo kreirali sigurnosni šablon, možemo ga izgraditi koristeći brojne različite metode:

  • Importovanjem sigurnosnog šablona u objekat grupne polise
  • Korišćenjem Security Configuration and Analysis Tool
  • Korišćenjem Secedit.exe Command-line alatku
  • Korišćenjem Security Configuration Wizard-a

 

Korišćenje grupnih polisa za izgradnju sigurnosnih šablona: Grupne polise nude poverljiv i siguran način za izgradnju prilagođenih sigurnosnih šablona na Target Ous (organizacione jedinice) unutar aktivnog direktorijuma. Sledeći koraci opisuju kako treba koristiti GPOs za izgradnju sigurnosnih šablona:

  1. Iz GPMC konzole, modifikovati ili kreirati novi objekat grupne polise (GPO).
  2. Proširiti sledeće čvorove: Computer Configuration-Policies-Windows Settings-Security Settings.
  3. Desni klik na Security Settings i klik na Import Policy.
  4. U Import Policy from boksu pronaći i selektovati sigurnosnu polisu koju želimo da importujemo. Kliknemo na Open.
  5. Proveriti da li su sigurnosne postavke odgovarajuće u GPO i nakon toga zatvoriti i povezati (Link) GPO na odgovarajući kontejner u aktivnom direktorijumu.

 

Korišćenje Security Configuration and Analysis alatke za primenjivanje sigurnosnih šablona: Security Configuration and Analysis alatka može se iskoristiti za kreiranje ili modifikovanje postojećih sigurnosnih šablona. Sigurnosni šablon može da se učita u  Security Configuration and Analysis alatku i može da se izvrši analiza i poređenje stanja ciljnog kompjutera. Na primer, možemo da učitamo prekonfigurisani šablon i nakon toga možemo da izvršimo analizu kompjutera da bismo videli razliku između šablona i trenutne konfiguracije na kompjuteru. Možemo da iskoristimo ovu alatku za primenjivanje sigurnosnog šablona na kompjuter. Ako odlučimo da primenimo prilagođeni šablon na kompjuter, potrebno je da kliknemo desni klik na Security Configuration and Analysis i selektujemo Configure Computer Now. Sve sigurnosne postavke na kompjuteru biće modifikovane i odgovaraće sigurnosnim postavkama koje se nalaze u sigurnosnom šablonu.

Security Configuration and Analysis alatka nije namenjena za korišćenje sa grupnim polisama. Ova alatka može da koristi iste predefinisane sigurnosne šablone kao Group Policy Management Editor, ali nudi alternativni način za izgradnju šablona. Ova alatka je primarno dizajnirana da se koristi na Stand-alone kompjuterima koji nisu članovi domena.

Korišćenje Secedit.exe alatke za primenjivanje sigurnosnih šablona: Secedit alatka za komandnu liniju nudi slične funkcionalnosti kao Security Configuration and Analysis alatka. Secedit alatkom možemo da izvršimo analizu postavki na kompjuteru na osnovu šablona i nakon toga primenimo postavke. Jedna od korisnih karakteristika Secedit alatke za komandnu liniju je da možemo da generišemo Rollback konfiguraciju pre postavljanja sigurnosnog šablona. Ova opcija nudi lak plan povratka u slučaju da sigurnosni šablon koji smo primenili nije odgovarajući. Kao i Security Configuration and Analysis alatka, Secedit se ne koristi u okruženju sa aktivnim direktorijumom, već se koristi za Stand-alone konfiguracije. Ipak, možemo da koristimo Secedit u Logon ili Startup skriptama za primenjivanje sigurnosnih postavki na radnim stanicama.

Integracija Security Configuration Wizard-a sa sigurnosnim šablonima u grupnim polisama: Security Configuration Wizard može da se iskoristi za generisanje i konfiguraciju XML-based File-ova polisa da bi se smanjila površina mogućih napada na domenski kontroler. SCW nudi nekoliko dodatnih karakteristika koje mogu da se iskoriste za integraciju sa sigurnosnim šablonima i postavkama u grupnim polisama:

  • Ugradnja prekonfigurisanih sigurnosnih šablona u SCW-generisanu polisu.
  • Mogućnost korišćenja Scwcmd alatke za komandnu liniju koja tranformiše SCW-generisanu polisu unutar objekta grupne polise.

 

Nakon završene konfiguracije sigurnosne polise, koristeći SCW, moraćemo da ponudimo ime File-a polise i opis polise (Filename & Description) i potrebno je da uključimo prekonfigurisanie sigurnosne šablone. Kada dodamo sigurnosni šablon u SCW polisu, sve konfigurisane postavke će biti primenjene zajedno sa ostatkom SCW polise. Veoma je važno da upamtite, kada jednom primenimo sigurnosne informacije koje se odnose na Registry ili na objekte File sistema koje su definisane u sigurnosnom šablonu nećemo moći da ih uklonimo SCW Rollback katakteristiku.

Security Configuration Wizard (SCW) takođe nudi Scwcmd alatku koja se koristi na komandnoj liniji i koja može da se iskoristi za konvertovanje SCW-based polisa unutar nepovezanog (Unlinked) objekta grupne polise. Potrebno je koristiti sledeću sintaksu da bismo odradili konverziju:

Scwcmd transform /p:fajlpolise.xml /g:GPOdisplayname

Konvertovani GPO je smešten u Group Policy Objects kontejneru i može se videti. Možemo njime upravljati koristeći Group Policy Management konzolu (GPMC). Nakon toga možemo koristiti GPMC konzolu za povezivanje (Link) GPO sa ciljanim kontejnerom u aktivnom direktorijumu. 

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Upravljanje sigurnošću koristeći Security Templates (sigurnosne šablone) 1
  • Upravljanje sigurnošću koristeći Security Templates (sigurnosne šablone) 2
  • Upravljanje sigurnošću koristeći Security Templates (sigurnosne šablone) 3