Для каждой Организационной Единицы, отражающей какой-либо набор структурных подразделений организации, формируется индивидуальный набор групповых политик. Общие настройки, характерные для всех пользователей, например указание настроек прокси-сервера, будут выделены в групповую политику, привязываемую на уровне общей Организационной Единицы или сайта.
5.1.1 Групповые политики уровня домена.
На уровне домена создаются и привязываются следующие групповые политики:
• Политика перенаправления папок. Чтобы обеспечить независимость пользователей от физических машин, на которых они работают, сократить время простоя в случае выхода машины из строя и обеспечить возможность централизованного резервного копирования и восстановления пользовательских данных используются перемещаемые пользовательские профили и перемещаемые папки пользователей. Правила перемещения папок определяются групповой политикой Folder Redirection, которая привязывается на уровне домена. Правом управления этими политиками обладают только Администратор Домена и Администратор Предприятия. • Политика применения паролей. ГП, определяющая размер паролей пользователей, правила составления и срок актуальности. • Политика распространения обновлений системного ПО.
5.1.2 Групповые политики уровня Организационной Единицы.
На уровне OU целесообразно создать и привязать следующие групповые политики:
• Политика настроек «рабочего стола». ГП, определяющая «вид рабочего» стола ОС пользователя, доступность элементов настройки. • Политика разрешенного ПО. ГП, определяющая наборы прикладного ПО разрешенного для запуска на рабочих станциях пользователей. • Политика авторизации пользователей. Политика, ограничивающая возможность разных групп пользователей авторизоваться на рабочих станциях других подразделений. • Политики гостей и сторонних разработчиков
5.2 Политики аудита.
По умолчанию политики аудита не активизированы, т.к. это требует расходования вычислительных ресурсов серверов и снижает общую производительность. Настраивая политики аудита по своему усмотрению, администраторы системы и сотрудники службы информационной безопасности могут контролировать использование различных учетных записей в сети, определять кто пытался выполнить различные действия в службе каталога. Примеры контролируемых событий:
• удаление файлов и каталогов, • переименование файлов, • создание и удаление объектов каталога (пользователей, групп и т.д.) • использование привелегировнных учетных записей Enterprise Admin, Schema Admin • попытки авторизоваться на компьютерах
При комплексном использовании системы аудита вместе с различными системами мониторинга, такими как Microsoft Operation Manager, NetIQ, HP Operations возможно построение системы обнаружения вторжений.
В настоящем проекте предлагается активизировать систему аудита. В дальнейшем администраторы системы и сотрудники службы информационной безопасности смогут самостоятельно дополнительно настраивать ее под свои нужды.
5.2.1 Настройка журналов аудита.
Изменения данных параметров политики аудита производятся отдельно для каждого из вида журналов средствами групповых политик (Settings for Event Log)
Максимальный размер системных журналов при условии еженедельного сохранения журналов - 10Мб:
- Maximum application log size - Maximum security log size - Maximum system log size Для ограничения права гостевого доступа к журналам устанавливаются в “Enabled” следующие параметры:
- Restrict guest access to application log - Restrict guest access to security log - Restrict guest access to system log С учетом того, что перезапись журналов может привести к потере информации, время перезаписи журналов не конфигурируется:
- Retain application log - Retain security log - Retain system log Retention method устанавливается в “Overwrite events as needed” для упрощения работы системных администраторов.
