В случае смены администраторов новому специалисту обычно не известны, например, те изменения прав доступа, которые выполнил прежний сотрудник. В некоторых случаях некорректное назначение прав может повлиять на стабильность работы системы.
В Windows существуют специальные средства, которые позволяют вернуть параметры безопасности к тем значениям, которые определены для вновь устанавли-
Рис. 4.12. Окно настройки прав пользователя в системе ваемой операционной системы. С этой целью используется оснастка Анализ и настройка безопасности. По умолчанию эта оснастка не включена в меню. Чтобы начать работу с ней, следует открыть консоль управления (команда mmc) и выполнить операцию добавления оснастки. В окне Добавить изолированную оснастку следует отметить строку Анализ и настройка безопасности и закрыть все последующие окна, нажимая на кнопки подтверждения операции.
В операционной системе хранятся шаблоны безопасности (шаблоны по умолчанию размещены в папке %windir%\Security\Templates), разработанные поставщиком, для нескольких типовых конфигураций компьютера. Это шаблон настроек безопасности, соответствующий установке системы, шаблоны безопасности для компьютеров (отдельно для рабочих станций, серверов и контроллеров домена), соответствующие различным уровням защищенности: совместимого с программным обеспечением предыдущих версий и т. д.
Программа позволяет сравнить значения, определенные в этих шаблонах, с фактическими параметрами настройки системы. Полученные результаты сохраняются в виде базы данных, которая может быть проанализирована пользователем: все отличия настроек специально выделены в отчете программы.
Строго говоря, можно проанализировать следующие параметры:
Политики учетных записей: политика паролей, политика блокировки учетных записей и политика Kerberos;
Локальные политики: политика аудита, назначение прав пользователя и параметры безопасности;
Журнал событий: параметры журналов приложений, системы и событий безопасности;
Группы с ограниченным доступом: членство в чувствительных к безопасности группах пользователей;
Системные службы: запуск системных служб и разрешения для них;
Реестр: разрешения для разделов реестра;
Файловая система: разрешения для папок и файлов.
Если администратор сочтет необходимым, то он может с помощью данной оснастки применить один из шаблонов безопасности - применение шаблона фактически означает установку соответствующих параметров системы (разрешений, прав) в те значения, которые определены в данном шаблоне.
Для анализа или применения настроек необходимо выполнить следующие действия:
1. Создать пустую базу данных.
2. Загрузить в нее желаемый шаблон.
3. Провести анализ и/или настройку системы.
Для применения шаблона следует выполнить команду Настроить компьютер. В завершение желательно проанализировать результаты операции.
Примечание Обратите внимание на шаблон compatws.inf, который позволяет перейти в режим совместимости с предыдущей версией ОС. В этом режиме учетным записям пользователей даются дополнительные права на доступ к ресурсам системы. В результате появляется возможность запуска программ, не в полной мере совместимых с последними версиями операционной системы. Эта операция в новых ОС разрешена только администраторам, но после применения данного шаблона необходимые разрешения будут предоставлены.
⇐Права учетной записи | Самоучитель системного администратора | Автоматически создаваемые учетные записи⇒