Лабораторна робота №6, Реалізація безпеки Windows Server
Код роботи: 1828
Вид роботи: Лабораторна робота
Предмет: Адміністрування мережевих ресурсів
Тема: №6, Реалізація безпеки Windows Server
Кількість сторінок: 73
Дата виконання: 2016
Мова написання: українська
Ціна: 300 грн
Вправа 1. Настроювання політики облікових записів
Сценарій
Вас попросили реалізувати політику паролів відповідно до вимог нових політик безпеки компанії. Ваш керівник попросив вас настроїти параметри у відповідності з наступними критеріями; у ситуаціях, коли параметри не визначаються політикою компанії явно, повинні застосовуватися рекомендації.
Рекомендації
- Довжина пароля повинна бути не менш восьми знаків.
- Паролі повинні містити знаки принаймні трьох із чотирьох наступних типів: малі літери ( а-/), прописні літери (А-/.), цифри (0-9), не буквені символи (наприклад, !@ #$).
- Паролі повинні мінятися кожні 60 днів.
- Користувачі не можуть повторно використовувати пароль, поки вони
не змінили п'ять інших різних паролів.
- Після повторної невдалої спроби входу користувачі повинні блокуватися в системі.
У рамках даного вправи необхідно виконати наступні основні завдання.
1. Настройте параметри політики паролів відповідно до політики компанії.
2. Настройте параметри політики блокування облікових записів відповідно до політики компанії.
Завдання 1. Настроювання політики паролів
1. Відкрийте консоль керування груповими політиками.
2. Послідовно розгорніть вузли Stud:domain.local, Домени і domain.local. Правою кнопкою миші клацніть елемент Default Domain Policy і виберіть команду Змінити....
3. У розділі Конфігурація комп'ютера послідовно розгорніть Політики, Конфігурація Windows і Параметри безпеки, потім клацніть Політики облікових записів.
4. У вікні результатів двічі клацніть Політика паролів.
5. Двічі клацніть Вести журнал паролів і введіть 5 в поле Вести журнал для: Натисніть кнопку ОК.
6. Двічі клацніть Максимальний термін дії пароля і введіть 60 у поле Строк витікання дії пароля:. Натисніть кнопку ОК.
7. Двічі клацніть Мінімальна довжина пароля і введіть 8 у поле Довжина пароля не менш:. Натисніть кнопку ОК.
8. Двічі клацніть Пароль повинен відповідати вимогам складності і перевірте, що обране значення Включено. Натисніть кнопку ОК.
9. Зміните параметри політики паролів, обновивши відповідні параметри за допомогою представленої вище інформації.
Завдання 2. Настроювання параметрів політики блокування обліковому запису
1. Змініть параметри політики блокування облікових записів, обновивши відповідні параметри за допомогою представленої вище інформації.
2. Клацніть Політика блокування облікового запису в лівій області вікна редактора керування груповими політиками.
3. Двічі клацніть Граничне значення блокування і введіть 3 у поле Обліковий запис не буде блокований.
4. У діалоговім вікні Властивості: Граничне значення блокування натисніть кнопку ОК.
5. У вікні «Запропоновані зміни значень» натисніть кнопку ОК, щоб прийняти запропоновані значення.
6. Закрийте вікно редактора керування груповими політиками.
7. Закрийте консоль керування груповими політиками
Вправа 2. Безпека файлів і папок в NTFS
Сценарій
Дослідницька команда попросила створити на сервері нову папку для зберігання загальної інформації про дослідження, а також інформації про проекти і засекреченої інформації. Ця папка і увесь її вміст повинні бути повністю доступні для всієї дослідницької команди, крім засекреченої інформації, яка повинна бути доступна тільки Адміністраторові (він повинен мати повний доступ до неї). Члени дослідницької команди будуть звертатися до файлів і папок тільки по мережі.
Керівник попросив вас створити структуру загальних папок, відповідно до запиту дослідницької команди.
У рамках даного вправи необхідно виконати наступні основні завдання:
1. Створіть структуру папки С:\Дослідники.
2. Призначте відповідні дозволи NTFS файлам і папкам цієї структури.
3. Надайте доступ до папки Дослідники по мережі і задайте відповідні дозволи для загальної папки.
Завдання 1. Створіть структуру папки Дослідники
1. Створіть нову папку з іменем Дослідники.
2. Створіть у папці Дослідники дві вкладені папки з іменами Секретно і Проекти.
Завдання 2. Призначте відповідні дозволи NTFS файлам і папкам цієї структури
- Заблокуйте наслідування для папки Дослідники.
- Призначте групі Дослідники дозвіл Повний доступ для папки Дослідники.
Примітка. Якщо групи Дослідники не існує, то її попередньо необхідно створити.
- Заблокуйте наслідування для папки С:\Дослідники.
- Призначте дозвіл Повний доступ для папки С:\Дослідники тільки користувачеві Адміністратор.
1. У діалоговому вікні Властивості: Дослідження перейдіть на вкладки: Безпека і клацніть Додатково.
2. У діалоговім вікні Додаткові параметри безпеки для папки Дослідження натисніть кнопку Змінити дозвіл.
3. У діалоговім вікні Додаткові параметри безпеки для папки Дослідження зніміть прапорець Додати дозвіл, наслідувані від батьківських об'єктів і клацніть кнопку Додати у спливаючому діалоговому вікні Безпека Windows.
4. У діалоговім вікні Додаткові параметри безпеки для папки Дослідження натисніть кнопку ОК.
5. У діалоговім вікні Додаткові параметри безпеки для папки Дослідження знову натисніть кнопку ОК.
6. У діалоговім вікні Властивості: папки Дослідження перейдіть на вкладку Безпека і клацніть Змінити.
7. У діалоговім вікні Дозволу для групи папки Дослідження в області Групи або користувачі послідовно клацніть Користувачі (Users) і Вилучити.
8. У діалоговім вікні Дозволу для групи «Дослідження» натисніть кнопку Додати.
9. У діалоговім вікні Вибір: «Користувачі», «Комп'ютери», «Облікові записи служб» і «групи» у полі Введіть імена обраних об'єктів (приклади) введіть Дослідження, клацніть Перевірити імена і натисніть кнопку ОК.
10. У поле Групи або користувачі виберіть Дослідження.
11. У діалоговім вікні Дозволу для групи Дослідження поруч із елементом Повний доступ встановіть прапорець Дозволити і натисніть кнопку ОК.
12. У вікні «Властивості: Дослідження» натисніть кнопку ОК.
13. Двічі клацніть Дослідження, потім клацніть правою кнопкою миші папку Секретно і виберіть пункт Властивості.
14. У діалоговім вікні Властивості: Секретно перейдіть на вкладку Безпека і клацніть Додатково.
15. У діалоговім вікні Додаткові параметри безпеки для папки Секретно натисніть кнопку Змінити дозволу.
16. У діалоговім вікні Додаткові параметри безпеки для папки Секретно зніміть прапорець Додати дозволу, наслідувані від батьківських об'єктів і клацніть кнопку Додати в спливаючому діалоговому вікні Безпека Windows.
Примітка. Кнопка «Вилучити» видаляє всі дозволи NTFS для даної папки, включаючи дозволи вашого користувача Administrator. У результаті вам буде заборонено робити будь-які зміни із цією папкою, включаючи призначення дозволів.
17. У діалоговім вікні Додаткові параметри безпеки для папки Секретно натисніть кнопку ОК.
18. У діалоговім вікні Додаткові параметри безпеки для папки Секретно знову натисніть кнопку ОК.
19. У діалоговім вікні Властивості: Секретно перейдіть на вкладку Безпека і клацніть Змінити.
20. У діалоговім вікні Дозволи для папки Секретно в області Групи або користувачі клацніть групу Дослідники і натисніть кнопку Вилучити.
Завдання 3. Надайте доступ до папку С:\ Дослідження по мережі і задайте відповідні дозволи для загальної папки
1. Відкрийте загальний доступ до папки С:\Дослідження в мережі.
2. Призначте групі Дослідники дозвіл Повний доступ для папки С:\Дослідження.
3. Натисніть кнопку Назад, потім клацніть правою кнопкою миші папку Дослідження і виберіть пункт Властивості.
4. У діалоговім вікні Властивості: Дослідження перейдіть на вкладку Доступ і клацніть Розширене настроювання....
5. Встановіть прапорець Відкрити загальний доступ до цієї папки, ім'я загального ресурсу Дослідження залишіть без змін, потім клацніть Дозвіл.
6. У діалоговім вікні Дозволу для групи Дослідники в області Групи або користувачі послідовно клацніть Усі і Вилучити.
7. У діалоговім вікні Дозволу для групи Дослідники натисніть кнопку Додати.
8. У діалоговім вікні Вибір: «Користувачі», «Комп'ютери», «Облікові записи служб» і «групи» у полі Введіть імена обраних об'єктів (приклади) введіть Дослідники, клацніть Перевірити імена і натисніть кнопку ОК.
9. У поле Групи або користувачі виберіть Дослідники.
10. У діалоговім вікні Дозволу для групи Дослідники поруч із елементом Повний доступ установите прапорець Дозволити і натисніть кнопку ОК.
11. У діалоговім вікні Розширене настроювання загального доступу натисніть кнопку ОК.
12. У діалоговім вікні Властивості: Дослідження натисніть кнопку Закрити.
13. Закрийте провідник Windows.
Вправа 3. Шифрування файлів
Сценарій
Ваш начальник попросив, щоб на сервері певні файли з конфіденційною інформацією у підпапці Секретно загальної папки Дослідження були зашифровані з метою запобігти неавторизований доступ. Вас попросили перевірити шифрування папки Секретно. У рамках даного вправи необхідно виконати наступні основні завдання.
1. Зашифруйте файли і папки за допомогою EFS.
2. Перевірте, що файли зашифровані.
3. Розшифруйте файли і папки.
Завдання 1. Зашифруйте файли і папки за допомогою файлової системи, що шифрує (EFS)
- При необхідності ввійдіть на сервер під обліковим записом Адміністратор.
- Створіть тестовий файл Особисте.txt у папці С:\Дослідження\Секретно.
- Зашифруйте папку С:\Дослідження\Секретно і ті файли що утримуються в цій папці.
1. У правій області двічі клацніть папку Дослідження.
2. У правій області двічі клацніть папку Секретно.
3. Клацніть правою кнопкою миші в правій області і послідовно виберіть пункти Створити і Текстовий документ.
4. Перейменуйте файл Новий текстовий документ в Особисте.txt.
5. У лівому стовпці двічі клацніть Локальний диск (C:), потім клацніть папку Дослідження.
6. У правому стовпці клацніть правою кнопкою миші папку Секретно і виберіть пункт Властивості.
7. У діалоговім вікні Властивості: Секретно натисніть кнопку Інші....
8. У діалоговім вікні Додаткові атрибути встановіть прапорець Шифрувати вміст для захисту даних і натисніть кнопку ОК.
9. У діалоговім вікні Властивості: Секретно натисніть кнопку ОК.
10. У спливаючім діалоговім вікні Підтвердження зміни атрибутів перевірте, чи обрано перемикач до даної папки і до всіх вкладених папок і файлів, потім натисніть кнопку ОК.
11. Виконаєте операцію виходу із системи.
Завдання 2. Перевірте, що файли зашифровані
1. Увійдіть на сервер під обліковим записом відмінної від облікового запису Адміністратор
Примітка. При необхідності створіть обліковий запис нового користувача.
2. Переконаєтеся, що папка Секретно і файли, що утримуються в ній, зашифровані, спробувавши відкрити файл Особисто.txt з папки С:\Дослідження\Секретно. Імена зашифрованих файлів і папок повинні відображатися зеленим.
Завдання 3. Розшифровування файлів і папок
1. Увійдіть на сервер під обліковим записом Адміністратор.
2. Розшифруйте вміст папки С:\Дослідники\Секретно.
Результати. У ході цієї вправи ви виконали шифрування і розшифрування файлів і папок за допомогою системи ЕFS.
Вправа 4. Настроювання брандмауера Windows у режимі підвищеної безпеки
Сценарій
Необхідно створити правило брандмауера, що блокує вхідний трафік ICMPv4. щоб зловмисники не могли використовувати програму ping.exe.
У рамках даного вправи необхідно виконати наступні основні завдання.
1. Перевірте зв'язок за допомогою команди Ping.
2. Настройте нове правило брандмауера.
3. Перевірте правило.
4. Відключіть нове правило.
Завдання 1. Перевірте зв'язок за допомогою команди Ping
1. Підключіться на комп'ютер SERVER:
2. Відкрийте командний рядок.
3. У командному рядку введіть наступну команду і натисніть клавішу ВВЕДЕННЯ.
Pingclent
4. Перевірте зв'язок з комп'ютером CLENT.
Завдання 2. Настройте нове правило брандмауера
1. На комп'ютері CLIENT відкрийте брандмауера Windows у режимі підвищеної безпеки.
2. Створіть нове правило для вхідних підключень, використовуючи для завершення процесу наступну інформацію.
- Тип правила: Настроюванні
- Програма: Усі програми
- Тип протоколу: ICMPv4
- Область: значення за замовчуванням
- Дія: Блокувати підключення
- Профіль: значення за замовчуванням
- Ім'я: Правило ICMPv4
3. Клацніть правою кнопкою Правила для вхідних підключень і виберіть пункт Створити правило.
4. У вікні майстра створення правила для нового вхідного підключення на сторінці Тип правила клацніть Налагодження і натисніть кнопку Далі.
5. На сторінці Програма виберіть Всі програми і натисніть кнопку Далі.
6. На сторінці Протокол і порти в списку Тип протоколу клацніть ICMPv4 і натисніть кнопку Далі.
7. На сторінці Область натисніть кнопку Далі.
8. На сторінці Дія виберіть Блокувати підключення і натисніть кнопку Далі.
9. На сторінці Профіль натисніть кнопку Далі.
10. На сторінці Ім'я у полі Ім'я введіть Правило ICMPv4 і натисніть
Кнопку Готово.
Питання. Чи відображається нове правило у вузлі «Спостереження» розділу брандмауера?
Завдання 3. Перевірте правило
1. Знову перейдіть на комп'ютер SЕRVЕR.
2. У командному рядку введіть наступну команду і натисніть
клавішу ВВЕДЕННЯ.
Ping CLIENT
Питання. Чи вдається перевірити зв'язок з CLENT?
Завдання 4. Відключення нового правила
Знову перейдіть на комп'ютер CLIЕNT.
1. В оснащенні «Брандмауер Windows у режимі підвищеної безпеки» клацніть Правила для вхідних підключень.
2. Відключіть Правило ІСМРv4.
3. Закрийте вікно «Брандмауер Windows у режимі підвищеної безпеки».
4. Знову перейдіть на комп'ютер SERVER.
Питання. Вдається перевірити зв'язок з CLIENT?
Вправа 5. Настроювання відповідності захисту доступу до мережі (NAP)
Сценарій
Необхідно включити примусове використання NAP з DHCP для досягнення мети - контролю того, що на підключених до мережі клієнтських комп'ютерах запущено антивірусне ПЗ.
У рамках даного вправи необхідно виконати наступні основні завдання.
1. Встановити роль сервера політики мережі.
2. Настроїти роль DHCP-Сервера.
3. Настройте засіб перевірки працездатності системи.
4. Відключити неважливі мережні політики.
5. Створіть обов'язкові політики працездатності.
6. Створіть обов'язкові мережні політики.
7. Настройте параметри NAP клієнтів.
8. Настройте клієнтський комп'ютер на динамічне одержання ІРv4 адpecу.
9. Перевірте захист доступу до мережі.
Завдання 1. Встановіть роль сервера мережних політик
1. На панелі завдань клацніть Диспетчер сервера.
2. У диспетчерові сервера клацніть Ролі.
3. Нa панелі дій клацніть Додати ролі.
4. У майстру додавання ролей на сторінці Перед початком роботи натисніть кнопку Далі і потім на сторінці Вибір ролей сервера встановіть прапорець Служби політики мережі і доступу і натисніть кнопку Далі.
5. На сторінці Служби політики мережі і доступу натисніть кнопку Далі.
6. На сторінці Вибір служб ролей встановіть прапорець Сервер політики мережі і натисніть кнопку Далі.
7. На сторінці Підтвердження обраних елементів для установки клацніть Установити.
8. На сторінці Результати установки клацніть Закрити.
Завдання 2. Настроювання ролі DHCP-Сервера
1. Відкрийте вікно DHCP з вікна Адміністрування.
2. Перегляньте Властивості області.
3. На вкладці Захист доступу до мережі виберіть Включити для цієї області.
4. На панелі навігації клацніть Параметри області.
5. Клацніть правою кнопкою миші Параметри області і виберіть команду Настроїти параметри.
6. На вкладці Додатково в списку Клас користувача виберіть Клас захисту доступу до мережі за замовчуванням.
7. У списку Доступний параметр настройте для параметра 006 Dns-сервери IР-Адреса 192.168.0.100.
8. Настройте для 015 Dns-Ім'я домену строкове значення stud.domain. local.
9. Закрийте DHCP.
Завдання 3. Настройте засіб перевірки працездатності системи
1. На комп'ютері SERVER відкрийте Сервер політики мережі у вікні Адміністрування.
2. Нa панелі навігації послідовно розгорніть вузли Захист доступу до мережі, Засобу перевірки працездатності системи і Засіб перевірки працездатності системи безпеки Windows, потім клацніть Параметри.
3. В області результатів двічі клацніть Конфігурація по замовчанню.
4. У діалоговім вікні Засіб перевірки працездатності системи безпеки Windows зніміть усі прапорці, крім прапорця Антивірусна програма включена, і натисніть кнопку ОК.
Завдання 4. Відключення неважливих мережевих політик
1. На панелі навігації консолі «Сервер мережних політик» розгорніть вузол Політики і клацніть Мережні політики.
2. В області результатів клацніть правою кнопкою миші кожну із двох відображуваних політик і для кожної з них виберіть Виключити.
Завдання 5. Створіть обов'язкові політики працездатності
1. На панелі навігації клацніть Політики працездатності.
2. Створіть нову політику працездатності з наступними властивостями:
3. Ім'я політики: Працездатний клієнт
4. Клієнти, що перевіряються SHV: Клієнт проходить усі перевірки SHV
5. Засіб перевірки працездатності: Засіб перевірки працездатності системи безпеки Windows
6. Створіть нову політику працездатності з наступними властивостями:
7. Ім'я політики: Непрацездатний клієнт
8. Клієнти, що перевіряються SHV: Клієнт не проходить одну або кілька перевірок SHV
9. Засіб перевірки працездатності: Засіб перевірки працездатності системи безпеки Windows
Завдання 6. Створіть обов'язкові мережні політики
1. На панелі навігації клацніть Мережні політики.
2. Клацніть правою кнопкою миші Мережні політики і виберіть команду Новий документ.
3. У майстру створення політик мереж на сторінці Вкажіть ім'я політики мережі і тип підключення у поле Ім'я політики введіть Працездатний клієнт без обмежень і натисніть кнопку Далі.
4. На сторінці Вкажіть умови клацніть Додати.
5. У діалоговім вікні Вибір умови клацніть Політики працездатності і натисніть кнопку Додати.
6. У діалоговім вікні Політики працездатності в списку Політики працездатності виберіть Працездатний клієнт і натисніть кнопку ОК.
7. Нa сторінці Вкажіть умови натисніть кнопку Далі.
8. На сторінці Вкажіть дозвіл доступу натисніть кнопку Далі.
9. На сторінці Настроювання методів перевірки дійсності зніміть усі прапорці, установіть тільки прапорець Виконувати тільки перевірку працездатності комп'ютера і натисніть кнопку Далі.
10. На сторінці Настроювання обмежень натисніть кнопку Далі.
11. На сторінці Нacтроювання параметрів у списку Параметри виберіть Примусове використання NAP.
12. В області результатів клацніть Дозволити повний доступ до мережі і натисніть кнопку Далі.
13. На сторінці Завершення створення політики мережі натисніть кнопку Готово.
14. Клацніть правою кнопкою миші Мережні політики і виберіть команду Новий документ.
15. У майстру створення політик мереж на сторінці Вкажіть ім'я політики мережі і тип підключення в поле Ім'я політики введіть Непрацездатний клієнт із обмеженнями і натисніть кнопку Далі.
16. На сторінці Вкажіть умови клацніть Додати.
17. У діалоговім вікні Вибір умови клацніть Політики працездатності і натисніть кнопку Додати.
18. У діалоговім вікні Політики працездатності в списку Політики працездатності виберіть Непрацездатний клієнт і натисніть кнопку ОК.
19. На сторінці Вкажіть умови натисніть кнопку Далі.
20. На сторінці Вкажіть дозвіл доступу натисніть кнопку Далі.
21. На сторінці Настройка методів перевірки дійсності зніміть усі прапорці, установіть тільки прапорець Виконувати тільки перевірку працездатності комп'ютера і натисніть кнопку Далі.
22. Нa сторінці Настройка обмежень натисніть кнопку Далі.
23. На сторінці Настроювання параметрів у списку Параметри виберіть Примусове використання NAP.
24. В області результатів клацніть Дозволити обмежений доступ і натисніть кнопку Далі.
25. На сторінці Завершення створення політики мережі натисніть кнопку Готово.
Завдання 7. Настройте параметри NAP клієнтів
26. Перейдіть на комп'ютер CLIENT.
27. Запустите програму napclcfg.msc.
28. Включіть клієнт примусового карантину для DHCP.
29. Закрийте napclcfg.msc.
30. Запустите програму services.msc.
31. Настройте агент захисту доступу до мережі для автоматичного запуску, а потім вручну запустіть цей агент.
32. Закрийте services.msc.
33. Запустите mmc.exe.
34. Додайте оснащення Редактор об'єктів групової політики в консоль, використовуючи значення за замовчуванням.
35. У дереві консолі послідовно розгорніть вузли Політика «Локальний комп‘ютер»/Конфігурація комп'ютера/Адміністративні шаблони/Компонента Windows/Центр забезпечення безпеки. Двічі клацніть Включити центр забезпечення безпеки (тільки для комп'ютерів у домену), клацніть Включити і натисніть кнопку ОК.
36. Закрийте консоль.
Завдання 8. Настройте клієнтський комп'ютер на динамічне одержання ІРv4-адреcу
1. Натисніть кнопку Пуск, у поле Знайти програми і файли введіть Мережа і у списку Панель керування (3) клацніть Центр керування мережами і загальним доступом.
2. У лівій області центру керування мережами і загальним доступом клацніть Зміна параметрів адаптера.
3. Клацніть правою кнопкою миші Підключення по локальній мережі і виберіть пункт Властивості.
4. Настройте для адаптера наступні параметри.
5. Одержати Ip-Адресу автоматично.
6. Одержати адресу DNS-сервера автоматично.
Примітка. Настройте протокол TCP/IPv4.
Завдання 9. Перевірте захист доступу до мережі
1. Нa комп'ютері CLIENT відкрийте командний рядок.
2. Введіть команду ipconfig /release і натисніть клавішу ВВЕДЕННЯ.
3. Введіть команду ipconfig /renew і натисніть клавішу ВВЕДЕННЯ.
4. Введіть команду ipconfig /all і натисніть клавішу ВВЕДЕННЯ. Питання. Вкажіть Dns-Суфікс для цього підключення.
Питання. Який поточний стан карантину?
Вправа 6. Обмеження на додатки за допомогоюAppLocker
Сценарій
Вас попросили заблокувати запуск WordPad на комп'ютерах Користувачів дослідницького відділу.
У рамках даного вправи необхідно виконати наступні основні завдання.
1. Створіть об'єкт групової політики, щоб застосувати правила файлів, що виконуються, AppLocker® за замовчуванням.
2. Застосуєте об'єкт групової політики до домену.
3. Перевірте правило AppLocker.
Завдання 1. Створіть об'єкт групової політики, щоб застосувати правила файлів, що виконуються, AppLocker за замовчуванням
1. Переключитесь на комп'ютер SERVER.
2. Послідовно розгорніть вузли Stud: domain.local і Домени.
3. Розгорніть вузол domain.local.
4. Клацніть Об'єкти груповий політики.
5. Клацніть правою кнопкою миші Об'єкти групової політики і виберіть Створити.
6. Назвіть новий об'єкт групової поли гики Політика обмеженого використання WordРad і натисніть кнопку ОК.
7. Правою кнопкою миші клацніть елемент Політика обмеженого використання WordРad і виберіть команду Змінити.
8. Послідовно розгорніть Конфігурація комп'ютера, Політики, Конфігурація Windows і Параметри безпеки, Політики керування додатками і AppLocker.
9. Виберіть Правила файлів, що виконуються, потім клацніть правою кнопкою миші і виберіть команду Створити нове правило.
10. Натисніть кнопку Далі.
11. Нa екрані Дозволу виберіть Заборонити і натиснути кнопку Далі.
12. На екрані Умови виберіть Видавець і натисніть кнопку Далі.
13. Натисніть кнопку Огляд..., потім клацніть Комп'ютер.
14. Двічі клацніть значок Локальний диск (С:).
15. Послідовно двічі клацніть Program Files, Windows NT, Стандартні, виберіть wordpad.exe і натисніть кнопку Відкрити.
16. Перемістіть повзунок нагору на Ім'я файлу: і натисніть кнопку Далі.
17. Ще раз натисніть кнопку Далі і клацніть Створити.
18. При запиті на створення правил за замовчуванням натисніть кнопку Так.
19. У редакторі групових політик послідовно розгорніть вузли Конфігурація комп'ютера, Конфігурація Windows і Параметри безпеки.
20. Розгорніть вузол Політики керування додатками.
21. Клацніть AppLocker, потім клацніть правою кнопкою миші і виберіть пункт Властивості.
22. На вкладці Застосування у розділі Правила файлів, що виконуються, встановіть прапорець Настроєно і виберіть Примусове застосування правил.
23. Натисніть кнопку ОК.
24. У редакторі групових політик послідовно розгорніть вузли Конфігурація комп'ютера, Конфігурація Windows і Параметри безпеки.
25. Клацніть Системні служби, потім двічі клацніть Посвідчення додатка.
26. У діалоговім вікні Властивості: посвідчення додатка встановите прапорець Визначити наступний параметр політики
27. Виберіть значення автоматично в поле Виберіть режим запуску служби і натисніть кнопку ОК.
28. Закрийте редактор керування груповими політиками.
Завдання 2. Застосуєте об'єкт групової політики до домену
1. У вікні керування груповими політиками розгорніть Stud: domain. local.
2. Розгорніть вузол Домени.
3. Розгорніть domain.local
4. Розгорніть Об'єкти групової політики.
5. Перетягніть Політика обмеженого використання WordРad до верхньої частини контейнера домену Stud: domain. local.
6. Натисніть кнопку ОК, щоб зв'язати об'єкт групової політики з доменом.
7. Закрийте Консоль керування груповими політиками.
8. Натисніть кнопку Пуск, у поле Знайти програми і файли введіть cmd і натисніть клавішу ВВЕДЕННЯ.
9. У вікні командного рядка введіть gpupdatе /force і натисніть клавішу ВВЕДЕННЯ. Почекайте, поки політику обновиться.
Завдання 3. Перевірте правило AppLocker
1. Увійдіть на комп'ютер CLIENT.
2. Обновить групову політику, виконавши команду gpudate /force з командного рядка.
3. Запустіть програму Пуск - Усі програми - Стандартні - WordРad.
Примітка. Політика AppLocker повинна забороняти вам запуск цього додатка.
Якщо додаток запуститься, вийдіть із комп'ютера CLІЕNT і ввійдіть знову. Обмеження використання додатка включається після застосування політики.
Вправа 7. Використання майстра настроювання безпеки
Сценарій
Вас попросили за допомогою майстра настроювання безпеки створити політику безпеки для контролерів домену Stud: domain. local на підставі конфігурації сервера SERVER. Потім ця політика безпеки буде перетворена в об'єкт групової політики, яка буде розгортатися на контролерах домену за допомогою груповий політики.
У рамках даного вправи необхідно виконати наступні основні завдання.
1. Створіть політику безпеки.
2. Перетворіть політикові безпеки в об'єкт групової політики.
Завдання 1. Створіть політику безпеки
1. На комп'ютері SЕRVЕR натисніть кнопку Пуск. Адміністрування і запустіть Майстер настройки безпеки.
2. На сторінці Майстер настройки безпеки натисніть кнопку Далі.
3. На сторінці Дія настройки виберіть Створити нову політику безпеки і натисніть кнопку Далі.
4. Нa сторінці Вибір сервера прийміть ім'я сервера за замовчуванням SERVER і натисніть кнопку Далі.
5. На сторінці Обробка бази даних настроювання безпеки можна клацнути Перегляд бази даних і переглянути виявлену конфігурацію сервера.
6. Натисніть кнопку Далі.
7. На початковій сторінці розділу Настроювання служб на основі ролей натисніть кнопку Далі.
8. На сторінці Вибір ролей сервера можна переглянути виявлені параметри сервера, однак змінювати їх не слід. Натисніть кнопку Далі.
9. На сторінці Вибір клієнтських можливостей можна переглянути, виявлені параметри сервера, однак змінювати їх не слід. Натисніть кнопку Далі.
10. На сторінці Вибір керування і інших параметрів можна переглянути виявлені параметри, однак змінювати їх не слід. Натисніть кнопку Далі.
11. На сторінці Вибір додаткових служб можна переглянути виявлені параметри сервера, однак змінювати їх не слід. Натисніть кнопку Далі.
12. Нa сторінці Обробка невизначених служб не змінюйте параметр за замовчуванням. Не змінюйте режим запуску цієї служби. Натисніть кнопку Далі.
13. На сторінці Підтвердження змін для служб у списку Перегляд виберіть Усі служби.
14. Перегляньте параметри в стовпці Поточний режим запуску, що відображає режими запуску служб на комп'ютері SERVER, і порівняєте їх з параметрами в стовпці Режим запуску політики.
15. У списку Перегляд виберіть Змінені служби.
16. Натисніть кнопку Далі.
17. На початковій сторінці розділу Мережна безпека натисніть кнопку Далі.
18. На сторінці Правила мережної безпеки можна перевірити правила брандмауера, отримані з конфігурації. Не міняйте ніякі параметри. Натисніть кнопку Далі.
19. На початковій сторінці розділу Параметри реєстру натисніть кнопку Далі.
20. На кожної зі сторінок розділу Параметри реєстру перевірте параметри, не змінюючи їх, і натисніть кнопку Далі. Натискайте кнопку Далі на всіх сторінках, поки не з'явиться сторінка Зведення параметрів реєстру, переглянете параметри і натисніть кнопку Далі.
21. На початковій сторінці розділу Політика аудита натисніть кнопку Далі.
22. На сторінці Політика аудита системи перевірте параметри, але не змінюйте їх. Натисніть кнопку Далі.
23. Нa сторінці Зведення політики аудита перевірте параметри в стовпцях Поточне значення і Параметр політики. Натисніть кнопку Далі.
24. На початковій сторінці розділу Збереження політики безпеки натисніть кнопку Далі.
25. У поле Ім'я файлу політики безпеки клацніть кінець шляху до файлу і введіть Політику безпеки контролера домену.
26. Натисніть кнопку Перегляд політики безпеки.
27. Натисніть кнопку Так.
28. Завершивши вивчення політики, закрийте вікно.
29. У майстру настроювання безпеки натисніть кнопку Далі.
30. На сторінці Застосування політики безпеки прийміть параметр за замовчуванням застосувати пізніше і натисніть кнопку Далі.
31. Натисніть кнопку Готово.