Политика безопасности. Практическое занятие. Практическое 1 Политика безопасности. Занятие Ограничения пользователей компьютера с помощью локальной групповой политики
 Скачать 1.9 Mb.
|
|
Негосударственное аккредитованное некоммерческое частное образовательное учреждение высшего образования «Академия маркетинга и социально-информационных технологий – ИМСИТ» (г. Краснодар) Факультет цифровой экономики и информационных технологий Кафедра математики и вычислительной техники ЗАДАНИЕ на практическое занятие № 1 по дисциплине Информационная безопасность Тема № 4. Политика безопасности Занятие Ограничения пользователей компьютера с помощью локальной групповой политики Обсуждено на заседании кафедры Математики и вычислительной техники протокол № ___ от ___ сентября 2020 г. Краснодар 2020 2 Учебные и воспитательные цели 1. Изучение основ информационной безопасности. 2. Исследование групповой политики. 3. Развитие творческого потенциала. Расчет учебного времени Содержание занятия Время (мин) Вступительная часть 5 Учебные вопросы (основная часть): 80 1. Ограничения с помощью групповой политики. 20 2. Ограничения с помощью групповой политики для отдельных учётных записей. 60 Заключительная часть 5 Итого: 90 Материальное обеспечение Для выполнения лабораторной работы Вам понадобится: Виртуальная машина VirtualBox, https://www.virtualbox.org/wiki/Downloads плагин VirtualBox Oracle VM VirtualBox Extension Pack к VirtualBox https://download.virtualbox.org/virtualbox/6.1.18/Oracle_VM_VirtualBox_Extensi on_Pack-6.1.18.vbox-extpack Стенд: Windows 7 SP1 Имя администратора: adminsns, пароль: P@$$w0rd. 3 1. Ограничения с помощью групповой политики. Групповая политика для всех пользователей компьютера Групповая политика – это инструмент, с помощью которого можно гибко настроить работу Windows. Управление этим функционалом осуществляется посредством редактора gpedit.msc. Для быстрого запуска его название можно ввести в поле внутрисистемного поиска или команды «Выполнить». Редактор содержит две основных ветки параметров: • «Конфигурация компьютера», где содержатся параметры для всего компьютера, то есть для всех его пользователей; • «Конфигурация пользователя» – каталог, содержащий параметры отдельных пользователей компьютера. Внесение изменений непосредственно в окне редактора будет иметь силу для всех учётных записей. Если, например, заблокировать запуск каких- то программ, эта блокировка будет применена и для администратора, и для стандартных пользователей. Если на компьютере проводится работа с единственной учётной записи администратора, можно сразу приступать к рассмотрению конкретных параметров, которые приводятся в последнем разделе статьи. Но если у других членов семьи есть свои учётные записи, при этом ограничения не должны касаться администратора, потребуется ещё кое- что настроить. 4 Групповая политика для отдельных учётных записей Как сделать так, чтобы с помощью локальной групповой политики можно было вносить изменения только для отдельных учётных записей? Возможность управления этим инструментом системы в части применения изменений не для всех, а лишь для выбранных пользователей компьютера, появится, если редактор добавить в качестве оснастки консоли ММС. С помощью внутрисистемного поисковика или команды «Выполнить» запускаем штатную утилиту mmc.exe. В меню «Файл» консоли выбираем «Добавить или удалить оснастку». В колонке справа выбираем «Редактор объектов групповой политики», жмём посередине «Добавить». 5 Теперь – «Обзор». 6 И добавляем пользователей. Выбираем: • либо «Не администраторы», если нужно, чтобы настройки применялись ко всем имеющимся в системе учётным записям типа «Стандартный пользователь»; • либо конкретного пользователя. Готово. 7 Жмём «Ок» в окошке добавления оснасток, затем в меню «Файл» выбираем «Сохранить как». Задаём файлу консоли имя, указываем какой-нибудь удобный путь сохранения, скажем, на рабочем столе, и сохраняем. Итак, мы создали оснастку редактора групповой политики для отдельного пользователя. Это, по сути, тот же редактор, что и gpedit.msc, но ограниченный наличием только единственной ветки «Конфигурация пользователя». В этой ветке и будем работать с параметрами групповой политики. 8 Сохранённый файл консоли нужно будет запускать каждый раз при необходимости изменить параметры групповой политики для отдельных учётных записей. Ограничения с помощью групповой политики Редактор групповой политики содержит массу параметров, которые вы, друзья, можете самостоятельно исследовать и решить, какие из них необходимо применять в вашем конкретном случае. Я же сделал небольшую подборку запретов в среде Windows 10 на своё усмотрение. Все они будут касаться только подконтрольного пользователя. И, соответственно, изменения будут вноситься в ветку редактора «Конфигурация пользователя». 9 Итак, если нужно внести ограничения для всех, кто пользуется компьютером, запускаем редактор gpedit.msc. А если нужно урезать возможности отдельных людей, но чтобы это не касалось администратора, запускаем созданный файл консоли и работаем с редактором внутри неё. Задание 1. Создать пользователя UserSNS_1, назначить ему пароль и создать для него отдельную локальную групповую политику. Отчет: Скриншоты выполняемых действий. 10 2. Ограничения с помощью групповой политики для отдельных учётных записей 1. Запрет запуска отдельных программ Если кого-то нужно ограничить в работе с отдельными программами или играми, следуем по пути: Административные шаблоны - Система Выбираем параметр «Не запускать указанные приложения Windows». Включаем его, жмём «Применить». 11 Появится список запрещённых приложений. Кликаем «Показать» и в графы появившегося окошка поочерёдно выписываем десктопные программы и игры, запуск которых будет заблокирован. Вписываем их полное имя с расширением по типу: AnyDesk.exe После чего снова жмём «Применить» в окне параметра. Теперь подконтрольный пользователь вместо запуска программы или игры увидит только вот это. 12 По такому же принципу можно сформировать перечень только разрешённых для запуска программ и игр, выбрав параметр в этой же ветке ниже «Выполнять только указанные приложения Windows». И тогда для пользователя будет блокироваться всё, что не разрешено этим перечнем. 2. Ограничение размера профиля Пыл любителей скачивать с Интернета что попало и захламлять раздел (C:\) можно поубавить, если ограничить профиль таких пользователей в размере. Идём по пути: Административные шаблоны – Система – Профили пользователей Выбираем параметр «Ограничить размер профиля». 13 Включаем, устанавливаем максимальный размер профиля в кБ, при желании можем отредактировать сообщение о превышении лимита пространства профиля и выставить свой интервал появления этого сообщения. Применяем. 14 При достижении указанного лимита система будет выдавать соответствующее сообщение. 15 3. Отключение записи на съёмные носители Отключение возможности записи на съёмные носители – это мера предосторожности скорее для серьёзных организаций, бдящих о сохранении коммерческой тайны. Таким образом на компьютерах сотрудников блокируется возможность переноса на флешки или прочие носители важных данных. Но в семьях бывают разные ситуации. Так что если потребуется, для отдельных людей можно отключить работу с подключаемыми носителями – и чтение, и запись. Делается это по пути: Административные шаблоны – Система – Доступ к съёмным запоминающим устройствам. Чтобы, например, кто-то из близких не перенёс на съёмный носитель (любого типа) хранящуюся на компьютере ценную информацию, выбираем параметр «Съёмные диски: Запретить запись». Включаем, применяем. 16 4. Удаление файлов мимо корзины При частом захламлении диска (C:\) учётные записи активно участвующих в этом процессе пользователей можно настроить так, чтобы их файлы удалялись полностью, минуя корзину. Это делается по пути: Административные шаблоны – Компоненты Windows – Проводник Отрываем параметр «Не перемещать удаляемые файлы в корзину». 17 Включаем, применяем. 5. Запрет доступа к дискам компьютера Ограничить доступ других пользователей к отдельным дискам компьютера можно разными методами. Например, путём установки запрета доступа в свойствах диска или посредством функционала шифрования, в частности, штатного BitLocker. Но есть и способ с помощью групповой политики. Правда, работает он только для штатного проводника. Идём по пути: Административные шаблоны – Компоненты Windows – Проводник Открываем параметр «Запретить доступ к дискам через «Мой компьютер». 18 Включаем, применяем. Появится окошко выбора дисков компьютера. Выбираем нужный вариант и применяем настройки. 19 6. Запрет доступа к панели управления и приложению «Параметры» Стандартные учётные записи в любом случае ограничены UAC, и с них невозможно без пароля администратора вносить какие-то серьёзные настройки в систему. Но при необходимости для стандартных пользователей можно и вовсе запретить запуск панели управления и приложения «Параметры». Чтобы не могли менять даже и то, на что не требуется разрешение администратора. Идём по пути: Административные шаблоны – Компоненты Windows – Проводник Запускаем параметр «Запретить доступ к панели управления и параметрам компьютера». Включаем, применяем. 20 Задание 2. В групповой политике, созданной в задании 1, настроить запрет запуска отдельных программ: WordPad и Paint. Проверить действие политики. Отчет: Скриншоты выполняемых действий. Задание 3. В групповой политике, созданной в задании 1, настроить ограничение размера профиля. Проверить действие политики. Отчет: Скриншоты выполняемых действий. Задание 4. В групповой политике, созданной в задании 1, настроить запрет записи на съёмные носители. Проверить действие политики. Отчет: Скриншоты выполняемых действий. Задание 5. В групповой политике, созданной в задании 1, настроить удаление файлов минуя корзину. Проверить действие политики. Отчет: Скриншоты выполняемых действий. 21 Задание 6. В групповой политике, созданной в задании 1, настроить запрет доступа к дискам компьютера. Проверить действие политики. Отчет: Скриншоты выполняемых действий. Задание 7. В групповой политике, созданной в задании 1, настроить запрет доступа к панели управления и приложению «Параметры». Проверить действие политики. Отчет: Скриншоты выполняемых действий. |