Među sigurnosnim parametrima koje kao administratori moramo uzeti u obzir i njima upravljati je i ograničiti pristup informacijama neovlaštenim korisnicima ili grupi određena područja prema zahtjevima organizacije.
Svi znamo da je jedan od načina na koji se datoteke i datoteke hostovane na računalu mogu provjeriti i pristupiti im je istraživač datoteka i mogli bismo naići na ozbiljan sigurnosni problem Budući da postoje ili će postojati datoteke povjerljive prirode kojima, ako nisu zaštićene na ispravan način, bilo koji korisnik može pristupiti iz istraživača i odatle vidjeti što ta datoteka sadrži.
Ovom prilikom ćemo vidjeti kako možemo ograničiti pristup istraživaču datoteka ili nekim njegovim parametrima pomoću grupnih pravila ili poznatijih kao GPO -ovi.
Da biste saznali više o pravilima grupe, posjetite sljedeću vezu:
Što je File ExplorerU osnovi putem istraživača datoteka možemo upravljati i pregledavati sve datoteke (tekst, slike, glazbu itd.) Koje su pohranjene na tvrdom disku na našim računalima ili poslužiteljima.
Slično, putem istraživača datoteka možemo pristupiti informacijama o sustavu kao što su registri, knjižnice Dell itd., Koristeći put C: \ Windows…; Otuda i važnost prevencije Neovlašteni korisnici mogu pristupiti istraživaču datoteka na domeni.
1. Otvorite Upravitelj grupnih pravila
Za ovu analizu provodimo pravila u sustavu Windows Server 2016, ali isto vrijedi i za bilo koje izdanje sustava Windows Server 2012.
Da bismo započeli proces stvaranja i uređivanja grupnih pravila, moramo ući u konzolu za upravljanje grupnim pravilima na bilo koji od sljedećih načina:
1) Korištenjem naredbe Pokreni (kombinacija tipki Windows + R) i u prikazani prozor unesite pojam
gpmc.msc2) Iz izbornika Start idite na:
- Sve aplikacije
- Alati za upravljanje
- Upravljanje grupnim politikama
Prikazat će se prozor za upravljanje pravilima grupe gdje ga možemo urediti prema ukusu i potrebama svakog pojedinca.
Zapamti to putem upravitelja grupnih pravila možemo stvoriti ograničenja ili dopuštenja za cijelu organizaciju ili određene korisnike odabirom odgovarajuće organizacijske jedinice.
2. Izradite grupna pravila za ograničavanje pristupa opcijama preglednika
Nakon što otvorimo ovaj prozor, desnom tipkom miša kliknite red "Zadana pravila domene”Budući da ćemo stvoriti ova ograničenja za cijelu domenu i odabrati opciju Uredi.
POVEĆAJTE
U prikazanom prozoru moramo ići na sljedeću rutu:
- Korisničke postavke
- Direktive
- administrativni predlošci
- Windows komponente
- Preglednik datoteka
Vidjet ćemo sljedeći prozor:
POVEĆAJTE
Kao što vidimo s desne strane, imamo razne mogućnosti vezane za parametre istraživača datoteka.
3. Prilagodite parametre pravila grupe
Na ovom mjestu nećemo pronaći pravila koja ograničavaju otvaranje istraživača datoteka, ali imamo mnogo opcija koje nam omogućuju poduzimanje radnji u istraživaču koje mogu utjecati na optimalne performanse stroja.
U ovom prozoru možemo uređivati parametre kao što su:
Spriječite pristup pogonima s računalaOmogućivanjem ovih pravila i definiranjem koje jedinice ograničiti, možemo spriječiti korisnike u pristupu različitim jedinicama domene i izvršiti neovlaštene promjene, na primjer, možemo spriječiti korisnike u pristupu pogonu C i odatle uređivati Windows vrijednosti.
Uklonite gumb Traži iz Istraživača datotekaMožemo omogućiti ovo pravilo da sakrije polje Pretraživanje na ovom računalu koje se nalazi pri vrhu i kroz koje korisnici mogu pretraživati datoteke u sustavu.
Uklonite izbornik Datoteka iz Istraživača datotekaPomoću ove opcije možemo sakriti opciju datoteke iz izbornika u istraživaču datoteka i na taj način spriječiti korisnike u izvršavanju radnji kao što su Promjena mape i opcije pretraživanja, otvaranje Windows PowerShell -a, otvaranje naredbenog retka itd.
Ne dopustite otvaranje mogućnosti mape s gumba Opcije na kartici PogledOmogućivanje ovih pravila spriječit će korisnike domene u pristupu kartici Opcije i izvršavanju zadataka, poput načina otvaranja datoteka i mapa itd.
Sakrijte karticu HardverOmogućavanjem ove opcije spriječit ćemo korisnike da sakriju karticu Hardver povezanu s mišem, tipkovnicom, zvukom i zvukom kako bi spriječili poduzimanje radnji na njoj.
Uklonite dijeljene dokumente s računalaOvim pravilima skrivamo cijelu mapu koja uključuje dokumente podijeljene u organizaciji, poboljšavajući njezinu sigurnost jer korisnik može izmijeniti ili izbrisati dijeljenu datoteku ako nismo stvorili pravila ograničenja.
Uklonite karticu SigurnostOmogućivanjem ove opcije, korisnici domene neće imati pristup kartici Sigurnost, što ih sprječava u izmjenama sigurnosnih postavki mapa i datoteka ili uvidu u popis korisnika koji imaju pristup resursima.
Na isti način možemo nastaviti analizirati svaku od dostupnih politika i omogućiti ih na temelju potreba koje organizacija zahtijeva.
4. Omogućite pravila u Upravitelju grupnih pravila
Kako bismo omogućili grupna pravila, provest ćemo sljedeći proces:
Nakon što definiramo koju ćemo politiku omogućiti, dvaput ćemo je kliknuti ili desnom tipkom miša / urediti i vidjet ćemo da se prikazuje prozor u kojem možemo omogućiti ovu politiku.
Provjeravamo okvir Omogućeno i kliknite Primijeni a zatim OK za spremanje promjena.
U administratoru možemo vidjeti koja smo pravila konfigurirali.
POVEĆAJTE
5. Primijenite pravila na računala domene
Za primjenu pravila na računalima organizacije možemo koristiti bilo koju od sljedećih opcija:
- Pričekajte ponovno pokretanje svakog računala da biste preuzeli pravila.
- Otvorite naredbeni redak i unesite naredbu:
gpupdate / force
Ova naredba će prisiliti ažuriranje i primjenu novih pravila bez ponovnog pokretanja računala.
6. Validacija politike
Nakon što korisnik poželi pristupiti istraživaču datoteka, moći će vidjeti značajne promjene u istom okruženju, što znači veću sigurnost domene.
Kao što vidimo, korisnik nema pristup memorijskim jedinicama računala niti ima mogućnost otvaranja izbornika Datoteka za unošenje promjena u istraživaču.
Drugi načini na koje možemo koristiti grupna pravila za to povećati sigurnost naše opreme Nalazimo ih na sljedećim linkovima:
1. Pristup GPO upravljačkoj ploči
2. Kako sakriti pogone diska pomoću GPO -a
3. Konfigurirajte vatrozid pomoću GPO -a
Iskoristimo u potpunosti ove mogućnosti uključene u Windows Server 2016 i povećajmo upravljačke parametre u našoj organizaciji.