Продолжение. Начало см. здесь.

arch-gpo4-1Из предыдущих трех частей настоящего цикла статей, вы могли ознакомиться со структурой компонентов, на которых основывается технология групповой политики. В первой статье вы познакомились с самой архитектурой механизма групповой политики, а именно вы узнали о том, что такое модуль групповой политики, который считается основой для обработки общих функциональных параметров административных шаблонов и расширений клиентской стороны групповой политики. Помимо этого, в первой части был рассмотрен контейнер групповой политики – логический компонент, который хранит информацию о настройках объектов групповой политики в доменных службах Active Directory. Во второй части рассказывалось о принципе работы результирующей политики в режимах журналирования и планирования, а также вкратце были рассмотрены расширения клиентской стороны групповой политики. В третьей части статьи рассматривалось первое расширение клиентской стороны «Установка программ», предназначенное для развертывания программного обеспечения средствами GPO. В этой статье будут рассмотрены компоненты и принцип обработки очередного расширения клиентской стороны, расширения «Параметры безопасности».

В любой организации задачи по обеспечению безопасности должны быть наиболее приоритетными, так как именно защищенность инфраструктуры вашего бизнеса будет влиять на успех компании на рынке и в целом. Именно безопасность можно назвать изначальной областью задач администратора, так как задачи по обеспечению безопасности должны быть связаны напрямую с управлением рабочими станциями и серверами компании. В свою очередь, параметрами безопасности называется набор параметров, которые регулируют безопасность и управляются при помощи объектов групповой политики. Инфраструктура групповой политики операционной системы Windows Server 2008 и Windows Server 2008 R2 включает в себя свыше сотни параметров, предназначенных для обеспечения безопасности организации. Эти параметры являются расширениями клиентской стороны, которые включены в локальный объект групповой политики, настраиваемый при помощи оснастки «Редактор управления групповой политикой» как на контроллерах домена, так и на компьютерах, которые входят в рабочую группу. К таким параметрам можно отнести политики, предназначенные для управления учетными записями пользователей, политики аудита, журнала событий, системного реестра, служб Windows, политики проводной и беспроводной сети и многое другое. Большинство возможностей параметров безопасности уже рассматривались в моих статьях по технологии групповой политики, но, тем не менее, ни в одной из своих статей я не упоминал о компонентах, отвечающих за параметры безопасности, а также о том, как параметры безопасности взаимодействуют с компьютерами, на которые будут распространяться объекты групповой политики.

Архитектура параметров безопасности

Прежде всего, следует рассмотреть компоненты операционной системы Windows, которые имеют отношение к параметрам безопасности и взаимодействуют с инструментами, предназначенными для управления групповыми политиками. По сути, таких компонентов не так уж и много. Одним из основных компонентов является библиотека Scesrv.dll, которая располагается в процессе Servicecs.exe, выполняемого в контексте локальной системы и предназначена для обеспечения функциональности механизма безопасности. К таким функциям можно отнести настройку, распространение, импорт, а также анализ. Сам процесс анализа параметров безопасности, распространяемых на пользователей или компьютеры, выполняется путем вызова интерфейса программирования приложений API совместно с системным реестром, LSA и SAM. Если рассматривать контроллеры домена, то на них библиотека Scesrv.dll получает уведомления об изменениях, которые должны распространяться между контроллерами домена, указанных SAM и LSA.

Так как библиотека Scesrv.dll отвечает за ядро механизма обеспечения функциональности параметров безопасности, распространяемых средствами групповой политики, за интерфейс всего этого механизма должна отвечать еще какая-то библиотека. Библиотека Scecli.dll предоставляет механизму параметров безопасности пользовательский интерфейс, а также принимает участие в генерировании отчетов результирующей групповой политики. Для загрузки применяемых файлов групповой политики с параметрами безопасности, распространяемыми на клиентские компьютеры из папки Sysvol, библиотека Scrsrv.dll использует библиотеку Scecli.dll. В свою очередь, для отображения пользовательского интерфейса в оснастках MMC, данная библиотека загружается в Wsecedit.dll для установки параметров безопасности, установленных по умолчанию, включая настройки безопасности системного реестра, служб, настроек *.INF-файлов и многого другого. Помимо этого, для реализации настроек параметров безопасности и последующего анализа, утилита командной строки Secedit.dll также во время своей работы использует библиотеку Scrcli.dll.

Кроме этих двух библиотек, принимающих ключевую роль в расширении клиентской стороны параметров безопасности также можно выделить такие компоненты, как:

  • Библиотеку Wsecedit.dll, которая представляет собой расширение оснастки редактора управления групповой политикой «Параметры безопасности» и используется для настройки параметров безопасности в самом объекте групповой политики;
  • Пользовательские базы данных, представляющие собой любой тип баз данных, отличных от системных баз данных, созданных системным администратором для настройки и анализа параметров безопасности;
  • Secedit.sdb. Файл, который находится в папке %%Windir\Security\database, представляющий собой постоянную базу данных, применяемую для распространения политики;
  • Шаблоны *.INF, которые представляют собой текстовые файлы, содержащие декларативные параметры безопасности, загружаемые в базу данных и хранящиеся в INF-файлах в папке Sysvol на контроллерах домена.

Схема компонентов параметров безопасности выглядит следующим образом:

arch-gpo4-2

Рис. 1. Компоненты параметров безопасности групповой политики

Процесс распространения параметров безопасности

Принцип распространения объектов групповых политик с параметрами безопасности на пользователей и компьютеры ничем не отличается от распространения объектов GPO с административными шаблонами. Другими словами, во время загрузки операционной системы сначала запускается сеть, а вместе с сетью запускаются служба удаленного вызова процедур (RPCSS) и поставщик множественных UNC (MUP). После этого компьютер получает список объектов групповой политики, которые должны применяться к учетной записи компьютера, в зависимости от того, входит ли пользователь в домен Active Directory, а также от расположения учетной записи компьютера в домене. Далее применяются параметры групповой политики, настраиваемые в узле «Конфигурация компьютера» оснастки «Редактор управления групповой политики». Следующими обрабатываются сценарии запуска, причем, каждый сценарий выполняется последовательно. После выполнения сценариев запуска пользователь видит на экране текст с предложением воспользоваться комбинацией Ctrl+Alt+Delete для выполнения входа в систему. Затем, после успешной проверки подлинности, загружается пользовательский профиль, во время чего применяются параметры групповой политики, связанные с учетной записью пользователя. В этот момент применяются политики пользователя, сценарии входа в систему. И уже после того, как все параметры групповой политики будут применены к компьютеру и пользователю, для пользователя станет доступен дружественный интерфейс операционной системы. На протяжении всего этого процесса, параметры безопасности, указанные в объектах групповой политики распространяются следующим образом:

arch-gpo4-3

Рис. 2. Процесс распространения групповой политики с настроенными параметрами безопасности

Рассмотрим процесс, отображенный на иллюстрации более подробно:

    1. Во время обработки объектов групповой политики, механизм групповой политики определяет применяемые параметры безопасности;
    2. В том случае, если в объекте групповой политики присутствуют настроенные параметры безопасности, групповая политика вызывает библиотеку Scecli.dll с расширением клиентской стороны параметров безопасности;
    3. Расширение CSE параметров безопасности вместе с динамической библиотекой Scecli.dll загружает политику из определенного расположения в домене Active Directory;
    4. В соответствии с приоритетами объектов групповой политики, расширение клиентской стороны параметров безопасности объединяет все параметры политики и обрабатывает их в известном вам порядке: локальные объекты групповой политики, объекты групповой политики, назначенные на уровне сайта, затем на уровне домена и, в конце-концов, на уровне подразделения. Если с подразделением, в которое входит пользователь или компьютер распространяются несколько объектов групповой политики с настроенными параметрами безопасности и настройки параметров безопасности одного объекта не противоречат настройкам остальных, в таком случае все параметры политики считаются накопительными и объединяются при обработке. Если же настройки параметров безопасности одного объекта групповой политики противоречат настройкам другого, то к пользователю или к компьютеру будут применяться те настройки, объект групповой политики которых обладает наивысшим приоритетом. Например, в объекте GPO 1 установлена минимальная длина пароля 8 символов, а в объекте GPO 2, значением того же параметра является 12 символов и объект GPO 2 обладает высшим приоритетом для подразделения, в которое входит учетная запись компьютера, на котором пользователь выполняет вход, то минимальная длина пароля пользователя будет составлять 12 символов;
    5. Результат настроек параметров безопасности динамическая библиотека обеспечения основной функциональности механизма безопасности Scesrv.dll сохраняет в базе данных secedit.sdb;
    6. После всего указанного выше, библиотека Scesrv,dll применяет параметры безопасности к компьютерам.

Продолжение следует.

Реклама