V operačních systémech Windows existuje mnoho modulů snap-in a zásad, které jsou sadou parametrů pro konfiguraci různých funkčních součástí operačního systému. Mezi nimi je i snap nazvaný "Místní bezpečnostní politika" a je zodpovědná za editaci ochranných mechanismů Windows. V dnešním článku se budeme zabývat komponenty zmiňovaného nástroje a diskutovat o jejich dopadu na interakci se systémem.
Jak již víte z předchozího odstavce, zmíněná politika se skládá z několika složek, z nichž každá sama získala parametry pro regulaci bezpečnosti samotného OS, uživatelů a sítí při výměně dat. Bude logické věnovat čas každému úseku, takže okamžitě začneme podrobnou analýzu.
Spuštěn "Místní bezpečnostní politiky" jedním ze čtyř způsobů, každý z nich bude pro některé uživatele nejužitečnější. V článku na následujícím odkazu se můžete seznámit s každou metodou a vybrat si vhodnou metodu. Rádi bychom vás však upozornili na skutečnost, že všechny dnes zobrazené snímky byly vytvořeny v samotném okně nástroje, a nikoli v editoru místních zásad skupiny, proto byste měli vzít v úvahu funkce rozhraní.
Další podrobnosti: Umístění místní zásady zabezpečení v systému Windows 10
Začněme s první kategorií nazvanou „Účetní zásady“ . Rozbalte ji a otevřete část Zásady hesla . Vpravo můžete vidět seznam parametrů, z nichž každý je zodpovědný za omezení nebo provedení akcí. Například v položce „Minimum password length“ (Minimální délka hesla) určujete počet znaků sami, a v položce Minimum password age (Minimální věk hesla) , počet dní, po které se má změna změnit.
Dvojitým kliknutím na jeden z parametrů otevřete samostatné okno s jeho vlastnostmi. Zpravidla existuje omezený počet tlačítek a nastavení. Například v položce „Minimální datum vypršení hesla“ nastavíte pouze počet dnů.
V záložce "Vysvětlení" je podrobný popis každého parametru od vývojářů. Obvykle je psáno poměrně široce, ale většina informací je zbytečná nebo zřejmá, takže je lze vynechat a zdůraznit pouze hlavní body pro sebe.
Ve druhé složce „Zásady uzamčení účtu“ jsou tři zásady. Zde můžete nastavit dobu, po kterou se počítadlo uzamčení resetuje, práh blokování (počet chyb zadaných heslem do systému) a dobu blokování uživatelského profilu. Jak jsou jednotlivé parametry nastaveny, již jste se z výše uvedených informací dozvěděli.
V sekci „Místní politiky“ je několik skupin parametrů rozděleno najednou, rozdělených podle adresářů. První se nazývá "Politika auditu" . Jednoduše řečeno, auditování je postup pro sledování akcí uživatele s jejich dalším zápisem do protokolu událostí a zabezpečení. Na pravé straně vidíte několik bodů. Jejich jména hovoří samy za sebe, takže na každém z nich zvlášť nezáleží.
Pokud je hodnota nastavena na „No audit“ , akce nebudou sledovány. Ve vlastnostech lze vybrat ze dvou možností - „Selhání“ a „Úspěch“ . Zaškrtnutím jednoho z nich nebo obou najednou uložíte úspěšné a přerušené akce.
Složka „Přiřazení uživatelských práv“ obsahuje nastavení, která umožňují skupinám uživatelů přístup k určitým procesům, například přihlášení jako služba, možnost připojení k Internetu, instalaci nebo odinstalování ovladačů zařízení a mnoho dalšího. Seznamte se se všemi body a jejich popisy sami, není o tom nic složitého
V "Vlastnosti" se zobrazí seznam skupin uživatelů, kterým je umožněno provést danou akci.
V samostatném okně přidejte skupiny uživatelů nebo pouze určité účty z místních počítačů. Vše, co musíte udělat, je určit typ objektu a jeho umístění a po restartování počítače se projeví všechny změny.
Část „Nastavení zabezpečení“ je věnována zajištění bezpečnosti obou předchozích politik. To znamená, že zde můžete nastavit audit, který zakáže systém, pokud není možné přidat odpovídající záznam auditu do protokolu nebo nastavit limit počtu pokusů o zadání hesla. Je zde více než třicet parametrů. Obvykle mohou být rozděleny do skupin - audity, interaktivní přihlášení, ovládání uživatelských účtů, přístup k síti, zařízení a zabezpečení sítě. Ve vlastnostech můžete aktivovat nebo deaktivovat každé z těchto nastavení.
Monitor programu Windows Defender Firewall v režimu rozšířeného zabezpečení je jedním z nejsložitějších oddílů místních zásad zabezpečení . Vývojáři se snažili zjednodušit proces nastavování příchozích a odchozích připojení přidáním Průvodce instalací, nicméně noví uživatelé budou mít stále potíže se všemi položkami, ale tyto parametry jsou u takové skupiny uživatelů zřídka potřebné. Zde můžete vytvářet pravidla pro programy, porty nebo předdefinovaná připojení. Blokujete nebo povolíte připojení výběrem sítě a skupiny.
Tato část také určuje typ zabezpečení připojení - izolace, server-server, tunel nebo výjimku z ověřování. Nemá smysl se zabývat všemi nastaveními, protože je užitečný pouze pro zkušené administrátory a je schopen nezávisle zajistit spolehlivost příchozích a odchozích spojení.
Všimněte si samostatného adresáře "Zásady správce seznamu sítě" . Počet zde zobrazených parametrů závisí na aktivním a dostupném internetovém připojení. Například bude vždy přítomna položka „Neznámé sítě“ nebo „Identifikace sítě“ a „Síť 1“ , „Síť 2“ atd. - v závislosti na implementaci vašeho prostředí.
Ve vlastnostech můžete zadat název sítě, přidat oprávnění pro uživatele, nastavit vlastní ikonu nebo nastavit umístění. To vše je k dispozici pro každý parametr a mělo by být použito samostatně. Po provedení změn je nezapomeňte použít a restartovat počítač, aby se projevily. Někdy je třeba restartovat směrovač.
Část „Zásady veřejného klíče“ bude užitečná pouze pro ty, kteří používají počítače v podniku, kde jsou veřejné klíče a centra specifikací používány pro provádění kryptografických operací nebo jiných bezpečných manipulací. To vše umožňuje flexibilitu pro monitorování vztahů důvěryhodnosti mezi zařízeními a poskytuje stabilní a bezpečnou síť. Změny jsou závislé na aktivním mocnickém centru.
Nástroj AppLocker je umístěn v zásadách aplikací . Obsahuje řadu různých funkcí a nastavení, které vám umožní upravit práci s programy na vašem PC. Umožňuje například vytvořit pravidlo, které omezuje spouštění všech aplikací kromě uvedených, nebo nastavit omezení pro změnu souborů podle programů nastavením jednotlivých argumentů a výjimek. Kompletní informace o zmíněném nástroji lze získat v oficiální dokumentaci společnosti Microsoft, vše je zde napsáno co nejpodrobněji, s vysvětlením každé položky.
AppLocker v operačním systému Windows
Pokud jde o nabídku „Vlastnosti“ , je zde nastavena aplikace pravidel pro kolekce, například spustitelné soubory, instalační program systému Windows, skripty a aplikace sbalené. Každá hodnota může být vynucena, vynechání jiných omezení místních zásad zabezpečení .
Nastavení v části „Zásady zabezpečení IP pro místní počítač“ mají určité podobnosti s možnostmi dostupnými ve webovém rozhraní směrovače, například povolení šifrování provozu nebo jeho filtrování. Uživatel vytváří neomezený počet pravidel prostřednictvím vestavěného Průvodce tvorbou, specifikuje metody šifrování, omezení přenosu a příjmu provozu a také aktivuje filtrování podle IP adres (povolení nebo odepření připojení k síti).
Na obrázku níže vidíte příklad jednoho z pravidel komunikace s ostatními počítači. Zde je seznam IP filtrů, jejich akce, metody ověření, koncový bod a typ připojení. To vše nastavuje uživatel ručně, podle jeho potřeb pro filtrování přenosu a příjmu provozu z určitých zdrojů.
V jedné z předchozích částí dnešního článku jste již byli obeznámeni s audity a jejich konfigurací, existují však další parametry, které jsou obsaženy v samostatné části. Zde již vidíte rozsáhlejší auditní činnost - vytvoření / ukončení procesů, změny v souborovém systému, registru, zásady, správu skupin uživatelských účtů, aplikací a mnoho dalšího, se kterými se můžete seznámit.
Úprava pravidel se provádí stejným způsobem - stačí zaškrtnout „Úspěch“ , „Neúspěch“ pro spuštění procesu monitorování a záznamu v protokolu zabezpečení.
Na této seznámení s "Local Security Policy" v systému Windows 10 je dokončeno. Jak vidíte, zde je mnoho z nejužitečnějších parametrů, které vám umožní uspořádat dobrý systém ochrany. Důrazně doporučujeme, abyste před provedením určitých změn pečlivě prostudovali popis samotného parametru, abyste pochopili jeho pracovní princip. Úprava některých pravidel někdy vede k vážným problémům operačního systému, takže vše pečlivě.