Blandt de sikkerhedsparametre, som vi som administratorer skal tage hensyn til og administrere, er det af begrænse adgangen til oplysninger til uautoriserede brugere eller en gruppe bestemt af områder i henhold til organisationens krav.
Vi ved alle, at en af måderne, hvorpå filer, der hostes på en computer, kan verificeres og tilgås, er gennem filudforskeren og vi kan støde på et alvorligt sikkerhedsproblem Da der er eller vil eksistere filer af fortrolig karakter, som, hvis de ikke er beskyttet på den rigtige måde, kan tilgås fra explorer af enhver bruger og derfra se, hvad filen indeholder.
I denne mulighed vil vi se hvordan vi kan begrænse adgangen til file explorer eller nogle af dens parametre ved hjælp af gruppepolitikker eller bedre kendt som GPO'er.
Hvis du vil vide mere om gruppepolitikker, kan du besøge følgende link:
Hvad er file explorerGrundlæggende gennem filudforskeren kan vi administrere og se alle de filer (tekst, billeder, musik osv.), Der er gemt på harddisken på vores computere eller servere.
På samme måde kan vi via filudforskeren få adgang til systemoplysninger såsom registre, dell -biblioteker osv. Ved hjælp af stien C: \ Windows…; Derfor er det vigtigt at forebygge Uautoriserede brugere kan få adgang til filudforskeren på domænet.
1. Åbn Group Policy Manager
Til denne analyse implementerer vi politikken i Windows Server 2016, men det samme gælder for enhver udgave af Windows Server 2012.
For at starte processen med at oprette og redigere gruppepolitikken skal vi gå ind i gruppepolitikstyringskonsollen ved hjælp af en af følgende metoder:
1) Brug af kommandoen Kør (tastekombination Windows + R) og indtast udtrykket i det viste vindue
gpmc.msc2) Gå til menuen Start til:
- Alle applikationer
- Management værktøjer
- Gruppepolitisk ledelse
Vinduet Gruppepolitikstyring vises, hvor vi kan redigere det, så det passer til den enkeltes smag og behov.
Huske på, at gennem gruppepolitikchefen kan vi oprette begrænsninger eller tilladelser til hele organisationen eller specifikke brugere ved at vælge den respektive organisationsenhed.
2. Opret gruppepolitik for at begrænse adgangen til browserindstillinger
Når vi har dette vindue åbent, vil vi højreklikke på rækken "Standard domænepolitik”Da vi skal oprette disse begrænsninger på hele domænet og vælge indstillingen Redigere.
FORSTØRRE
I det viste vindue skal vi gå til følgende rute:
- Brugerindstillinger
- Direktiver
- Administrative skabeloner
- Windows -komponenter
- Filbrowser
Vi ser følgende vindue:
FORSTØRRE
Som vi kan se på højre side, har vi forskellige muligheder relateret til parametrene for filudforskeren.
3. Juster gruppepolitiske parametre
På dette sted finder vi ikke en politik, der begrænser åbningen af filudforskeren, men vi har mange muligheder, der gør det muligt for os at foretage handlinger i explorer, som kan påvirke maskinens optimale ydelse.
Fra dette vindue kan vi redigere parametre som:
Forhindrer adgang til drev fra Denne computerVed at aktivere denne politik og definere, hvilke enheder der skal begrænses, kan vi forhindre brugere i at få adgang til de forskellige enheder i domænet og foretage uautoriserede ændringer, for eksempel kan vi forhindre brugere i at få adgang til drev C og derfra redigere Windows -værdier.
Fjern knappen Søg fra File ExplorerVi kan aktivere denne politik for at skjule boksen Søg i denne computer øverst, og gennem hvilken brugere kan søge efter filer på systemet.
Fjern menuen Fil fra File ExplorerVed hjælp af denne mulighed kan vi skjule filindstillingen fra menuen i filudforskeren og dermed forhindre brugere i at udføre handlinger som f.eks. Skift mappe og søgemuligheder, åbne Windows PowerShell, åbne kommandoprompt osv.
Tillad ikke, at mappeindstillinger åbnes fra fanen Visning på knappen IndstillingerAktivering af denne politik forhindrer domænebrugere i at få adgang til fanen Indstillinger og udføre opgaver, f.eks. Måden filer og mapper åbnes osv.
Skjul fanen HardwareVed at aktivere denne mulighed forhindrer vi brugere i at skjule fanen Hardware, der er knyttet til musen, tastaturet, lyden og lyden for at forhindre, at der udføres handlinger på den.
Fjern delte dokumenter fra Denne computerMed denne politik skjuler vi hele mappen, der indeholder de dokumenter, der deles i organisationen, og forbedrer dens sikkerhed, da en bruger kan ændre eller slette en delt fil, hvis vi ikke har oprettet begrænsningspolitikker.
Fjern fanen SikkerhedVed at aktivere denne mulighed har domænebrugere ikke adgang til fanen Sikkerhed, og det forhindrer dem i at foretage ændringer i sikkerhedsindstillingerne for mapper og filer eller fra at se listen over brugere, der har adgang til ressourcer.
På samme måde kan vi fortsætte med at analysere hver af de tilgængelige politikker og aktivere dem baseret på de behov, der kræves af organisationen.
4. Aktiver politik i Group Policy Manager
For at aktivere en gruppepolitik udfører vi følgende proces:
Når vi har defineret, hvilken politik vi skal aktivere, vil vi dobbeltklikke på den eller højreklikke / redigere, og vi vil se, at vinduet, hvor vi kan aktivere denne politik, vises.
Vi markerer feltet Aktiveret og klik på ansøge og derefter OK for at gemme ændringerne.
Vi kan se, hvilke politikker vi har konfigureret i administratoren.
FORSTØRRE
5. Anvend politikker på domænecomputere
For at anvende politikkerne på organisationens computere kan vi bruge en af følgende muligheder:
- Vent på genstart af hver computer for at følge politikkerne.
- Åbn kommandolinjen, og indtast kommandoen:
gpupdate / force
Denne kommando tvinger til at opdatere og anvende de nye politikker uden at skulle genstarte computere.
6. Politikvalidering
Når brugeren ønsker at få adgang til filudforskeren, vil han kunne se betydelige ændringer i det samme miljø, hvilket betyder større sikkerhed for domænet.
Som vi kan se, har brugeren ikke adgang til computerens lagerenheder og har heller ikke mulighed for at åbne menuen Fil for at foretage ændringer i explorer.
Andre måder, vi kan bruge gruppepolitikker til øge sikkerheden af vores udstyr Vi finder dem i følgende links:
1. Adgang til GPO -kontrolpanel
2. Sådan skjules diskdrev med GPO
3. Konfigurer firewall ved hjælp af GPO
Lad os drage fuld fordel af disse muligheder inkluderet i Windows Server 2016 og øge styringsparametrene i vores organisation.
