Настройки интерфейса пользователя
Большинство настроек, доступных в GPO, предназначены для конфигурирования и блокировки интерфейса пользователя. Это весьма скользкая тема, поскольку пользователи часто привыкли использовать особенности Windows, которые администраторы часто удаляют или запрещают использовать на терминальных серверах (например, командная строка, команда Run, Task Manager и т.п.). Я рекомендую прочесть статью Microsoft “How to Lock Down a Win2K Terminal Server Session”. Затем вы можете добавлять или удалять ограничения в зависимости от требований пользователей.
Ниже приведен список политик, которые рекомендует Microsoft (настройки разделены на Computer Configuration и User Configuration):
Настройки Computer Configuration:
Do not display last user name in logon screen (Не выводить имя последнего пользователя на экране входа)
Restrict CD-ROM access to locally logged-on user only (Ограничить доступ к CD-ROM только для локально вошедших пользователей)
Restrict floppy access to locally logged-on user only (Ограничить доступ к FDD только для локально вошедших пользователей)
Disable Windows Installer—Always (Запретить Windows Installer - Насовсем)
Настройки User Configuration:
Folder Redirection: Application Data
Folder Redirection: Desktop
Folder Redirection: My Documents
Folder Redirection: Start Menu
Remove Map Network Drive and Disconnect Network Drive (Удалить команды Map Network Drive и Disconnect Network Drive)
Remove Search button from Windows Explorer (Удалить кнопку Search из Windows Explorer)
Disable Windows Explorer’s default context menu (Запретить контекстное меню в Windows Explorer)
Hide the Manage item on the Windows Explorer context menu (Спрятать команду Manage в контекстном меню Windows Explorer)
Hide these specified drives in My Computer (enable this setting for A through D) (Спрятать следующие диски в My Computer - от A до D)
Prevent access to drives from My Computer (enable this setting for A through D) (Запретить доступ к этим дискам в My Computer - от A до D)
Hide Hardware Tab (Запретить вкладку Hardware)
Prevent Task Run or End (Запретить запуск и завершение задач)
Disable New Task Creation (Запретить создание новых задач)
Disable and remove links to Windows Update (Запретить и удалить ссылки на Windows Update )
Remove common program groups from Start Menu (Удалить группу общих программ из меню Start)
Disable programs on Settings Menu (Запретить программы в меню Start)
Remove Network and Dial-up Connections from Start Menu (Убрать пункт Network and Dial-up Connections из меню Start)
Remove Search menu from Start Menu (Убрать пункт Search из меню Start)
Remove Help menu from Start Menu (Убрать пункт Help из меню Start)
Remove Run menu from Start Menu (Убрать пункт Run из меню Start)
Add Logoff to Start Menu (Добавить понкт Logoff в меню Start)
Disable and remove the Shut Down command (Запретить и удалить команду Shut Down )
Disable changes to Taskbar and Start Menu Settings (Запретить изменения в панель задач и настройки меню Start)
Hide My Network Places icon on desktop (Спрятать иконку My Network Places на рабочем столе)
Prohibit user from changing My Documents path (Запретить пользователю менять путь My Documents)
Disable Control Panel (Запретить Панель Управления)
Disable the command prompt (Set Disable scripts to No) (Запретить командную строку)
Disable registry editing tools (Запретить инструменты редактирования реестра)
Disable Task Manager (Запретить Task Manager)
Disable Lock Computer (Запретить Lock Computer)
Очевидно, что если вы используете все эти политики, то получите крайне строгую среду, почти не пригодную к использованию. Например, Microsoft рекомендует удалить команду Map Network Drive, но если вы находитесь в распределенной среде, ваши пользователи могут потребовать этой возможности для доступа к своим документам. Тем не менее этот список может служить хорошей отправной точкой.
Я рекомендую начать с крайне ограничительной политики, а затем протестировать и при необходимости разрешить отдельные настройки. Вы не должны полагаться только на политики при защите вашего сервера, поскольку они оставляют множество лазеек для злонамеренных пользователей. Например, если вы используете Prevent access to drives in My Computer в качестве единственного метода защиты файлов на сервере, злоумышленник может легко создать пакетный файл. Вместо этого вы должны применить ограничения NTFS для защиты файловой системы и использовать политику Prevent access to drives in My Computer для предотвращения использования диска C сервера в качестве диска C своего клиентского устройства. Если вы запускаете сервер в режиме Full Security, то большинство ключевых областей файловой системы и реестра по умолчанию защищены.
Вам следует быть осторожными, создавая разные политики для пользователей и системных администраторов. Очевидно, что администраторам требуются некоторые функции, которые не нужны пользователям. Для создания отдельных политик, создайте два объекта GPO, один для пользователей, которые включает все ограничения, которые вы хотите реализовать, а второй - для администраторов, в котором ограничения запрещены. Установите делегирование на пользователскую политику для применения ее к Authenticated Users, а администраторскую политику примените только к доменной группе, содержащей учетные записи администраторов. Наконец, поместите в порядке применения администраторскую политику перед пользовательской.
Содержание раздела