1 Mariusz Maleszak MCP | MCTS | MCITP | MCT [email protected]Polityki zasad grupy Z cyklu „Windows NIE na wyciągnięcie ręki” część 4 Mariusz Maleszak MCP | MCTS | MCITP | MCT
2 Przygotowanie środowiska
3 Przygotowanie środowiskaWłączyć obsługę zdalnych połączeń pulpitu Utworzyć globalną grupę zabezpieczeń OCEAN\GPO Admins
4 Przygotowanie środowiskaUtworzyć konta użytkowników Nazwa użytkownika User1 Hasło Pa$$w0rd Domena ocean.com Przynależność do grup Domain Users Remote Desktop Users Nazwa użytkownika Admin1 Hasło Pa$$w0rd Domena ocean.com Przynależność do grup Domain Users Remote Desktop Users GPO Admins
5 Przygotowanie środowiskaNadać prawa do logowania lokalnego oraz do logowania za pomocą Remote Desktop Services na kontrolerze domeny członkom grupy Domain Users
6 Przygotowanie środowiskaUruchomić konsolę Group Policy Management (GPMC) W gałęzi Group Policy Objects w domenie ocean.com utworzyć nowy obiekt GPO o nazwie WGUiSW Policy Za pomocą konsoli Group Policy Management Editor (GPME) włączyć ustawienie reguły zapory ogniowej „zezwalaj na przychodzący wyjątek administracji zdalnej”
7 Ćwiczenie 1 Delegowanie uprawnień do GPO
8 Delegowanie uprawnień do GPOPołączyć obiekt WGUiSW Policy z jednostką organizacyjną ocean.com/Domain Controllers Na zakładce Delegation ustawień obiektu WGUiSW Policy dodać grupę GPO Admins nadając jej uprawnienia Edit settings
9 Delegowanie uprawnień do GPOUruchomić konsolę mmc używając poświadczeń użytkownika Admin1 Dodać snap-in Group Policy Management Zweryfikować możliwość edycji obiektu Default Domain Controllers Policy Zweryfikować możliwość edycji obiektu WGUiSW Policy
10 Delegowanie uprawnień do GPOZa pomocą konsoli GPMC uruchomionej z poświadczeniami administratora zmodyfikować delegację uprawnień tak, aby członkowie grupy GPO Admins posiadali uprawnienie edycji zabezpieczeń obiektu WGUiSW Policy
11 Ćwiczenie 2 Nadawanie uprawnień do stosowania obiektu polityki zasady grupy
12 Nadawanie uprawnień do stosowania obiektuZ użyciem konsoli GPMC użytkownika Admin1 zweryfikować poprawność zmian wprowadzonych w ćwiczeniu 1 dodając do deskryptora zabezpieczeń wpis listy kontroli dostępu definiujący uprawnienia odczytu oraz stosowania obiektu WGUiSW Policy dla użytkowników uwierzytelnionych.
13 Nadawanie uprawnień do stosowania obiektuUWAGA! Zmiany wprowadzić dwukrotnie, każdorazowo weryfikując skutki. Raz z użyciem filtru zabezpieczeń, kolejny raz ręcznie edytując listę kontroli dostępu. Weryfikacji dokonać logując się z użyciem poświadczeń użytkownika User1 (najlepiej w sesji terminalowej) Uruchomić konsolę Windows Firewall with Advanced Security (jako Administrator) i sprawdzić stan reguł „administracja zdalna”
14 Ćwiczenie 3 Delegowanie uprawnień modelowania
15 Delegowanie uprawnień modelowaniaW konsoli GPMC wybrać obiekt ocean.com W panelu szczegółów na zakładce Delegation z listy Permissions wybrać Perform Group Policy Modeling analyses Do listy kontroli dostępu dodać grupę GPO Admins Zweryfikować zmiany za pomocą konsoli GPMC użytkownika Admin1
16 Ćwiczenie 4 Delegowanie uprawnień generowania RSoP
17 Delegowanie uprawnień RSoPW konsoli GPMC wybrać obiekt ocean.com W panelu szczegółów na zakładce Delegation z listy Permissions wybrać Read Group Policy Results data Do listy kontroli dostępu dodać grupę GPO Admins Zweryfikować zmiany za pomocą konsoli GPMC użytkownika Admin1
18 Ćwiczenie 5 Inspekcja obiektów polityk zasad grupy
19 Inspekcja obiektów GPOPrzejrzeć domyślnie zdefiniowaną dla obiektu WGUiSW Policy systemową listę kontroli dostępu Edytując ustawienia obiektu WGUiSW Policy włączyć inspekcję dla obiektów polityk zasad grupy Odświeżyć polityki (gpupdate)
20 Inspekcja obiektów GPOPołączyć obiekt WGUiSW Policy z domeną ocean.com Wykonać następujące zmiany obiektu WGUiSW Policy: Modyfikacja minimalnej długości hasła na wartość 5 Włączenie opcji wymuszania stosowania obiektu WGUiSW Policy Delegować uprawnienia do tworzenia RSoP dla użytkownika User1
21 Inspekcja obiektów GPOZweryfikować funkcjonalność inspekcji przeglądając dziennik zdarzeń (Security)
22 Ćwiczenie 6 Zapobieganie tworzeniu kopii zapasowych…
23 Zapobieganie tworzeniu kopii zapasowychPrzeprowadzić edycję listy kontroli dostępu obiektu WGUiSW Policy odbierając grupie GPO Admins uprawnienie odczytu właściwości ownerBL Zweryfikować zmiany posługując się konsolą GPMC użytkownika Admin1
24 Ćwiczenie 7 (opcjonalne) Zaawansowana inspekcja obiektów polityk zasad grupy
25 Zaawansowana inspekcja GPOEdytując ustawienia obiektu WGUiSW Policy w gałęzi Advanced Audit Policy Configuration włączyć inspekcję dla obiektów polityk zasad grupy Odświeżyć polityki (gpupdate)
26 Zaawansowana inspekcja GPOWykonać następujące zmiany obiektu WGUiSW Policy: Modyfikacja minimalnej długości hasła na wartość 7 Wyłączenie opcji wymuszania stosowania obiektu WGUiSW Policy Cofnięcie delegacji uprawnienia do tworzenia RSoP dla użytkownika User1
27 Zaawansowana inspekcja GPOZweryfikować funkcjonalność inspekcji przeglądając dziennik zdarzeń (Security)
28 Ćwiczenie 7 Zakładki Object i Properties…
29 Zakładki Object i Properties
30 Podsumowanie
31 Podsumowanie Obiekty polityk zasad grupy, są kolejnym przykładem „elementów systemu” posiadających własne deskryptory zabezpieczeń
32 Podsumowanie Z udziałem deskryptorów zabezpieczeń zdefiniowanych dla obiektów GPO możliwe jest delegowanie uprawnień innym administratorom, czy nawet użytkownikom (przynajmniej tym „bardziej świadomym”)
33 Podsumowanie Filtr zabezpieczeń obiektu GPO jest tak naprawdę interfejsem umożliwiającym edycję deskryptora zabezpieczeń
34 Podsumowanie Delegowanie uprawnień do modelowania lub tworzenia raportu RSoP możliwe jest do zrealizowania za pośrednictwem list kontroli dostępu kontenerów
35 Dziękuję za uwagę