В случае смены администраторов новому специалисту обычно не известны, например, те изменения прав доступа, которые выполнил прежний сотрудник. В некоторых случаях некорректное назначение прав может повлиять на стабильность работы системы.

В Windows существуют специальные средства, которые позволяют вернуть параметры безопасности к тем значениям, которые определены для вновь устанавли-

Рис. 4.12. Окно настройки прав пользователя в системе ваемой операционной системы. С этой целью используется оснастка Анализ и настройка безопасности. По умолчанию эта оснастка не включена в меню. Чтобы начать работу с ней, следует открыть консоль управления (команда mmc) и выполнить операцию добавления оснастки. В окне Добавить изолированную оснастку следует отметить строку Анализ и настройка безопасности и закрыть все последующие окна, нажимая на кнопки подтверждения операции.

В операционной системе хранятся шаблоны безопасности (шаблоны по умолчанию размещены в папке %windir%\Security\Templates), разработанные поставщиком, для нескольких типовых конфигураций компьютера. Это шаблон настроек безопасности, соответствующий установке системы, шаблоны безопасности для компьютеров (отдельно для рабочих станций, серверов и контроллеров домена), соответствующие различным уровням защищенности: совместимого с программным обеспечением предыдущих версий и т. д.

Программа позволяет сравнить значения, определенные в этих шаблонах, с фактическими параметрами настройки системы. Полученные результаты сохраняются в виде базы данных, которая может быть проанализирована пользователем: все отличия настроек специально выделены в отчете программы.

Строго говоря, можно проанализировать следующие параметры:

Политики учетных записей: политика паролей, политика блокировки учетных записей и политика Kerberos;

Локальные политики: политика аудита, назначение прав пользователя и параметры безопасности;

Журнал событий: параметры журналов приложений, системы и событий безопасности;

Группы с ограниченным доступом: членство в чувствительных к безопасности группах пользователей;

Системные службы: запуск системных служб и разрешения для них;

Реестр: разрешения для разделов реестра;

Файловая система: разрешения для папок и файлов.

Если администратор сочтет необходимым, то он может с помощью данной оснастки применить один из шаблонов безопасности - применение шаблона фактически означает установку соответствующих параметров системы (разрешений, прав) в те значения, которые определены в данном шаблоне.

Для анализа или применения настроек необходимо выполнить следующие действия:

1. Создать пустую базу данных.

2. Загрузить в нее желаемый шаблон.

3. Провести анализ и/или настройку системы.

Для применения шаблона следует выполнить команду Настроить компьютер. В завершение желательно проанализировать результаты операции.

Примечание Обратите внимание на шаблон compatws.inf, который позволяет перейти в режим совместимости с предыдущей версией ОС. В этом режиме учетным записям пользователей даются дополнительные права на доступ к ресурсам системы. В результате появляется возможность запуска программ, не в полной мере совместимых с последними версиями операционной системы. Эта операция в новых ОС разрешена только администраторам, но после применения данного шаблона необходимые разрешения будут предоставлены.

⇐Права учетной записи | Самоучитель системного администратора | Автоматически создаваемые учетные записи⇒