Добрый день, уважаемые! Добрался, наконец, до групповых политик, дабы затянуть гайки. До этого с ними не работал, поэтому прошу давать поблажки, если вопросы окажутся тупыми. Исходные материалы: Windows Server 2008 R2, режим работы леса и домена 2008. Парк из 80 машин, где 99% - ХР. Итак, настроил порядка 150 различных политик (их список я приведу ниже), но у меня возникли определенные трудности с реализацией некоторых из них... Этому и посвящен данный пост. 1. Обновления. В сетке сделал WSUS. Теперь надо указать юзерам, чтобы тянули обновления с моего WSUS, и не с сайта. Как это сделать? соответствующую политику я не нашел. Решение представляю себе только такое: В разделе "Реестр" групповых политик создать новых ключик, со следующим содержимым и подпихнуть его пользователям при загрузке, чтобы у них в реестре прописался "правильный сервер обновлений":

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://uran"
"WUStatusServer"="http://uran"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"UseWUServer"=dword:00000001

И обязательно включить политику обновлений! Вопрос: есть ли какая-нибудь политика, регулирующая сервер обновлений? 2. Запрет оснасток. Я запретил доступ к некоторым элементам панели управления, однако, если забить имя соответствующего элемента в менюшку "выполнить" и нажать "Энтер", то искомая оснастка будет открыта. Вопрос, как запретить открытие оснасток? Конкретно меню интересуют следующие: - joy.cpl - access.cpl - desk.cpl - inetcpl.cpl - telephon.cpl - wscui.cpl - odbccp32.cpl Остальные запрещенные мною оснастки я нашел в ГП и отключил к ним доступ. Конечно, можно запретить возможность использования меню "выполнить", однако это несколько напрягает... 3. Установка ПО. Сейчас действую по такой схеме: В каждой машине два локальных диска - C и D. На диске C только система и драйвера. На D - все остальное. - "Мои документы", "Рисунки", "Музыка"... бла бла бла, перенаправляется в сеть соответствующей политикой "перенаправление папки". - Временные файлы интернета очищаются при выходе. История документов также очищается. - Изменил папку установки по-умолчанию с Program Files на D:\User_progs. Т.е. на диск С важного ничего не падает, его можно скрыть из системы. Все программы установил под админом в папку D:\User_progs, дал на нее права логинящемуся в систему юзеру, вроде работает. Вопрос: не является ли такая схема костыльной? Если является, то как правильно? Сами пользователи не имею возможности ничего устанавливать. Из под их учеток даже установка не запускается. 4. Отключение всех визуальных эффектов. Создал в ПГ ключ реестра, который изменяет пользовательский реестр и отключает вс визуальные эффекты. Ветка HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects. Любой изменяемый здесь параметр не окаывает влияния на конечного пользователя. Как быть? 5. Отключил возможность использовать командную строку. Однако, если создать батник руками (в блокноте, а потом сменить расширение) и запустить этот батник, то операция будет выполнена. Такая схема меня не улыбает. Вопрос: как быть? Ну а здесь я спиком приведу те политики, которые применил в своей среде:

Отключение съемных носителей Заголовок панели обозревателя Internet Explorer Избранные ссылки Важные URL-адреса (домашняя страница) Перенаправление папки «Мои документы» на сетевое хранилище Profiles Удаление значка «Моя Музыка» Закрепить панель задач Запретить группировку на панели задач Запретить доступ к контекстному меню для панели задач Запретить добавление или удаление панели инструментов Запретить закрепление программ в панели задач Запретить изменение параметров панели задач и меню «Пуск» Не отображать панели инструментов в панели задач Не хранить сведения о недавно открывавшихся документах Очищать список недавно открывавшихся документов при выходе Удалить сетевые подключения из меню «Пуск» Удалить значки «Сеть», «Музыка», «Рисунки», «Недавние документы» из меню «Пуск» Отключение центра поддержки Удаление справки из главного Меню Удалить ссылку «Видео» из меню «Пуск» Удалить ссылку «Найти компьютер» Удалить ссылку «ТВ-записи» из меню «Пуск» Удалить ссылку «Игры» из меню пуск Удалить ссылки на Центр Обновлений Виндоувс и запретить к нему доступ Политика ограниченного использования программ Отключение все расписания для автономных страниц (Отключение существующих расписаний загрузки веб-страниц для автономного просмотра) Отключение пункта «Сохранить как» в ИЕ Отключение пункта «сохранить эту программу на диске» Скрытие панели команд в ИЕ Скрытие строки состояния Отключение панели «Дополнительно» в ИЕ, где настраиваются разные параметры ИЕ Отключение вкладки «Безопасности» Отключение возможности загрузки через ИЕ Ограничение объема памяти, которое может «хавать» соответствующая страница через ИЕ для определенной зоны (например, зона интернета) Отключение контроля настроек безопасности, что означает, что не будет вестись проверка, когда настройки безопасности ИЕ противоречат рекомендуемым Отображать сообщение об ошибке сценариев прокси Запретить выполнение параметров «Настройка первого запуска» Отключить меню «Справка» в ИЕ Запретить участие в программе улучшения качества Отображать сообщение об ошибке при неудачной загрузке сценария прокси-сервера Отключить отображение меню «Справка» в ИЕ Отключить управление уровне фильтрации всплывающих окон Запретить компонет «Фиксировать параметры» Отключить управление фильтром фишинга Отключить управление фильтром SmartScreen Предотвращение блокировки предупреждений фильтра SmartScreen Отключить мастер импорта параметров Отключить изменение настроек специальных возможностей Отключить изменение параметров временных файлов Интернета Отключить изменение настроек цвета Отключить изменение параметров подключений Отключить мастер подключения к Интернету Отключить изменение шрифтов Отключить изменение параметров домашней страницы Отключить изменение параметров языка Отключить изменение цвета ссылок Отключить изменение параметров прокси Отключить поиск по нажатию Ф3 в ИЕ Отключить настройку поиска Отключение автозапуска (например, автозапуск флешки) Разрешить публикацию DFS-корней (Можно ли публиковать в АД) Разрешить публикацию общих папок (Можно ли публиковать в АД) Всегда открывать все элементы панели управления при её открытии (Отключаем, тогда будут отображаться только стандартный набор) Разрешить обзор сети для поиска принтеров Фоновый рисунок рабочего стола (установка статичного фонового рисунка и запрет его изменения) Действие при отключении от сервера (Что делать с файлами, при отключении от сервера, где эти файлы хранятся, переходить ли в автономный режим?) Запретить использование папки Автономных файлов Запретить пользовательскую настройку автономных файлов Удаление пункта «Сделать доступным автономно» Отключить всплывающее напоминание о том, что соединение разорвано и файлы находятся в автономном режиме Не показывать окно привествия «приступая к работе» при входе в систему Запретить изменение пароля Удалить Диспетчер задач при Контрел-Альт-Делите Интервал обновления групповой политики для пользователей Различные доступы к съемным устройствам (флешкам, дискам, лентам и т.д.) Запрет использования командной стройки Подключение сетевого диска Z: к группам пользователей Запрет удаления компьютера из домена Запрет изменения любых параметров системного реестра Запрет изменение разрешений для любой папки или файла Запрет изменения любых системных параметров, включая параметры, которые находятся в файлах в системной папке Установка любых приложений – только по паролю от админа +++++Отключенные оснастки++++++ Active directory (домены и доверие) Active Directory (сайты и службы) Active Directory (пользователи и компьютеры) Службы компонентов Управление компьютером Диспетчер устройств Дефрагментация диска Локальные пользователи и группы Службы Общие папки Сведения о системе Брандмауэр Виндоувс в режиме повышенной безопасности Редактирование ADSI Запрет вызова ММС, где можно добавлять различные оснастки Управление групповой политикой Редактор объектов групповой политики Редактор управления групповыми политиками Редактор стартового GPO групповой политики ++++++++++++++++++++++++++++++++ Запрет доступа к некоторым элементам панели управления Диспетчер устройств Расширения общих папок Свойства системы Расширение управления DFS Расширение управления дисками Удаление окна «Установка и удаление программ» Запрет запуска меню «выполнить» Автоматическое подключение принтеров Включение классического проводника Отключить кеширование эскизов в Thumds.db Отключить кэширование эксизов изображений Удалить команду «Свойства папки» из меню «Сервис» Удалить команды подключить сетевой диск и отключить сетевой диск Перенаправлять ВСЕ ДОКУМЕНТЫ в отдельную папку Очистка временных файлов Интернета Запретить интерактивным пользователям создавать данные результирующей политики (RSoP) отключить веб-публикацию в списке задач для файлов и папок отключить участие в программе улучшения подержки пользователей Windows messenger отключить службу сопоставления файлов Интернета запретить дополнительную настройку TCP/IP Запрет доступа к мастеру новых подключений Запрет доступа к пункту «Настройки удаленного доступа» меню «Дополнительно» Запрет доступа к меню «свойства» при нажатии правой кнопкой мыши по значку «Мой комп» в Пуске Удалить пункт «свойства» из контекстного меню значка «документы» Удалить пункт «свойства» из контекстного меню значка «корзина» Запретить пользователям вручную перенаправлять папки профилей (изменять расположение Моих Документов, рисунков и т.д.) Удалить мастер очистки рабочего стола - Удалить пункт «свойства» из контекстного меню значка «документы» скрыть команду "управление" из контекстного меню проводника Удалить вкладку оборудование Выполнять только указанные приложения Windows (задано списком) Добавить следующие программы: Не разрешать анимацию окон рабочего стола Не разрешать композицию рабочего стола Не разрешать смену цветов Полностью отключаем архивацию

____________________________ Internet Explorer - это такая программа от Microsoft, необходимая только для того, чтобы зайти на сайт mozilla.com и скачать себе новый браузер

vkleMr.Brightsideесть ли какая-нибудь политика, регулирующая сервер обновлений?Есть политика настройки автоматического обновления на клиентах WSUS, если это имели в виду. Конфигурация компьютера - Политики - Административные шаблоны - Компоненты Windows - Центр обновления Windows

Да, конечно!

Спасибо за подсказку: то что нужно!

vkleMr.Brightside5. Отключил возможность использовать командную строку. Однако, если создать батник руками (в блокноте, а потом сменить расширение) и запустить этот батник, то операция будет выполнена. Такая схема меня не улыбает.

Вопрос: как быть?cmd.exe в список запрещенных программ? Про PowerShell тогда уж еще не забудьте ))

черт, точно =)
причем, я задал списком явно разрешенные программы, а про cmd не подумал =)

Спасибо!

А как быть с оснастками?

Кроме того, может есть у кого конкретные примеры настройки политик для организаций? скажем, вот как здесь

Sergey Orlov Ну а если с нуля, то с учетом того, что практически все проги сейчас пишут некоторые свои параметры в реестр, что даст юзанье D:\User_progs....

Понял, в этом нет смысла

Разрешу в Progrma Files права на папки/файлы или на ветки реестра + буду использовать политики ограниченного использования программ

Хорошо, я так понимаю, что с оснастками вопрос решить можно запретив права на файлы оснасток конечным пользователям.

vkleДля многих прог - ничего. А кино, музон, картинки-с-котиками надо же юзерам где то хранить. Как раз попадает под правило

Отказался от этой идеи

Единственное, что сделал - так это папку "Мои документы" через реестр перенес на Д:

Приложения ставлю в Program Files, только приходится держать инвентаризацию прог, ради этого я и делал все =) Чтобы не пришлось вносить пути файловой системы и реестра на КД, а просто указать хеш экзешника и все. А права уже определены полными правами на папку на диске Д:

Возник у меня тут вопрос не относящийся к первоначальной теме...

В параметрах безопасности настроил политики для NTLMv2, обязательных цифровых подписей пакетов SMB на клиенте и на сервера и полное отвержение LM и NTLMv2.

Теперь не могу понять работает ли.

На клиентских машиах политика применилась, но в логах я не вижу, чтобы у меня использовался NTLMv2 с цифровой подписью. Вернее, я не знаю, как посмотреть =)

Включены следующие аудиты:

- Входа в систему
- Доступа к объектам
- Доступа к службе каталогов
- Изменения политики
- Событий входа в систему
- Управления учетными записями.

Согласно майкрософт для записи в журнал событий связанных с NTLM необходимо включить Аудит доступа к объектам (включено)

Кроме того, были настроены следующие политики:

- Сетевая безопасность: уровень проверки подлинности LAN Manager (Отправлять только NTLMv2 ответ, отказывать LM и NTLM)
- Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC) (Требовать сеансовую безопасность на базе NTLMv2/Требовать 128-битовое шифрование)
- Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC) (Требовать сеансовую безопасность на базе NTLMv2/Требовать 128-битовое шифрование)
- Клиент сети Microsoft: использовать цифровую подпись (всегда)
- Сервер сети Microsoft: использовать цифровую подпись (всегда)

Я бы хотел как-нибудь проверить, работает ли NTLMv.2, цифровая подпись, шифрование

Неправильно сформулировал вопрос, может быть поэтому никто не отвечает...

Параметр "Сеансковая безопасность: уровень проверки подлинности Lan Manager" настроен на параметр "отправлять только NTLMv2 ответы, отвергать LM и NTLM"

Также включена минимальная сеансовая безопасность NTLMv2 и требование 128-битного шифрования.

Я знаю, что доменные машины все равно будут использовать Kerberos в процессе "договаривания" о типе безопасности, так как это основной протокол безопасности.

Знаю, также, что Керберос используется всеми ОСями выше Windows 2000, если они входят в домен. Если они ниже 2000 Windows или не входят в домен или доменные машины не имеют доступа к КД, то авторизация проходит по NTLM.

Согласно моим настройка она должна проходить по NTLMv2, верно?

Тогда почему когда я с Win7, которая не введена в домен, а является обычной рабочей станцией принесенной из дома подключаюсь к доменным ресурсам по NTLM 1(!)?

Вот лог:





Кроме того, согласно моим политикам, у меня запрещен анонимный доступ к сетевым ресурсам, а тут по анонимному доступу я вхожу... Предоставляю на входе логин/пароль и вхожу.

Помогите разобраться с вопросом. Хочу, чтобы сторонние машины, подставляющие NTLM протокол не пускались к ресурсам и надо было принудильно им выставлять необходимый протокол.

Кроме того, вопрос по поводу шифрования и цифровых подписей:

Правильно ли я понимаю, что чтобы мне воспользоваться цифровой подписью и шифрованием безопасного канала, мне надо использовать КД под Windows NT с SP6?