Windows system >> Windowsの知識 >  >> Windows XPシステムチュートリアル >> XPシステムの基本 >> 楽しいWindowsシステムグループポリシー高度なスキル

楽しいWindowsシステムグループポリシー高度なスキル

  
システムグループポリシーは、ネットワーク管理者がネットワークを管理するために必要不可欠なツールの1つです。しかし、著者は私たちが注意深く注意している限り、システムグループ戦略から新しいアプリケーションスキルを掘り下げていきます。信じられない場合は、次のコンテンツを見てみましょうアプリケーションの新しい「新しい状態」に入るのに役立つと思います!プログラムに注意し、「自己ロック」に注意してください
Windows Serverには実行のみ許可される名前があります。 「Windowsアプリケーション」グループポリシープロジェクト。プロジェクトを有効にし、指定したプログラムが外部で実行されるように制限した後、「実行可能プログラムリストのみを許可する」にあるかどうかにかかわらず、gpedit.mscコマンドを追加します。 Windowsアプリケーションの実行を許可するグループポリシープロジェクトが有効になります。スーパー管理者アカウントで "gpedit.msc"コマンドを使用しても、システムのグループポリシーは自動的に "セルフロック"され、システムのグループポリシー編集ウィンドウを開くことはできません。アプリケーションの実行を制限し、システムグループポリシーが「自動ロック」されないようにする方法はありますか?その答えは「はい」です。ポップアップシステムの実行ボックスで、コマンドを実行し、文字列コマンド "gpedit.msc"を入力して、[OK]ボタンをクリックします[システムグループポリシーの編集]ウィンドウを開き、ウィンドウ内の[ユーザーの構成] /[管理用テンプレート] /[システム]プロジェクトを展開し、システムプロジェクトの右側のサブウィンドウで[ライセンスされたWindowsアプリケーションのみを実行する]をダブルクリックします。オプションは、ポップアップ表示されるインターフェイスで、[有効]オプションを選択します。その後、対応するウィンドウで[表示]ボタンが自動的にアクティブになるのを確認してから[表示]ボタンをクリックし、その後ウィンドウの[追加]ボタンをクリックし続けて、実行するアプリケーションの名前を入力します。 [設定の追加]ボックスで、最後に[OK]ボタンをクリックし、すぐに[グループポリシーの編集]ウィンドウを閉じないでください。その後、[システムの実行]ダイアログボックスを開き、[gpedit.msc]コマンドを実行します。システムグループポリシーエディタが機能しなくなったことがわかります!ただし、幸いにも、[グループポリシー編集]ウィンドウは閉じられていないため、[グループポリシー編集]ウィンドウで設定した[Windowsアプリケーションのみを許可]プロジェクトをダブルクリックします。ポップアップポリシー設定ウィンドウで、[未設定]オプションを選択し、最後に[OK]ボタンをクリックすると、アプリケーションの実行目的が制限されるだけでなく、システムグループポリシーが "セルフロック"されるのを防ぎます。ヒント:指定したアプリケーション名を[Windowsアプリケーションのみを許可する]リストに追加し、[グループポリシーの編集]ウィンドウを直接閉じた場合は、次の手順で回復できます。サーバーシステムを再起動します。起動プロセス中に、システムのブートメニューが表示されるまでF8ファンクションキーを押し続けてから、 "セーフモードとコマンドプロンプト"コマンドを実行して、サーバーシステムをコマンドラインプロンプト状態に切り替えます。コマンドプロンプトでmmc.exe stringコマンドを直接実行し、ポップアップシステムのコンソールインターフェイスで、[ファイル]メニュー項目をクリックし、ポップアップドロップダウンメニューから[スナップインの追加と削除]オプションをクリックします。ウィンドウの[独立]タブをクリックし、次に図1に示すタブページで[追加]ボタンをクリックし、下の[グループポリシー]、[追加]、[完了]をクリックします。 [OK]ボタンを閉じると、新しいグループポリシーコンソールを正常に追加でき、将来的にはグループポリシーを再度開くことができます。ウィンドウを少し編集してから上記の設定に従うと、実装によってアプリケーションの実行目的が制限されるだけでなく、システムグループポリシーによる "セルフロック"現象が防止されます。システムグループポリシーは、ネットワーク管理者がネットワークを管理するために必要なツールの1つであり、このツールの一般的なアプリケーションスキルは多くの人になじみがあると考えられています。しかし、著者は私たちが注意深く注意している限り、システムグループ戦略から新しいアプリケーションスキルを掘り下げていきます。信じられない場合は、次のコンテンツを見てみましょうアプリケーションの新しい「新しい状態」に入るのに役立つと思います!プログラムに注意し、「自己ロック」に注意してください
Windows Serverには実行のみ許可される名前があります。 「Windowsアプリケーション」グループポリシープロジェクト。プロジェクトを有効にし、指定したプログラムが外部で実行されるように制限した後、「実行可能プログラムリストのみを許可する」にあるかどうかにかかわらず、gpedit.mscコマンドを追加します。 Windowsアプリケーションの実行を許可するグループポリシープロジェクトが有効になります。スーパー管理者アカウントで "gpedit.msc"コマンドを使用しても、システムのグループポリシーは自動的に "セルフロック"され、システムのグループポリシー編集ウィンドウを開くことはできません。アプリケーションの実行を制限し、システムグループポリシーが「自動ロック」されないようにする方法はありますか?その答えは「はい」です。ポップアップシステムの実行ボックスで、コマンドを実行し、文字列コマンド "gpedit.msc"を入力して、[OK]ボタンをクリックします[システムグループポリシーの編集]ウィンドウを開き、ウィンドウ内の[ユーザーの構成] /[管理用テンプレート] /[システム]プロジェクトを展開し、システムプロジェクトの右側のサブウィンドウで[ライセンスされたWindowsアプリケーションのみを実行する]をダブルクリックします。オプションは、ポップアップ表示されるインターフェイスで、[有効]オプションを選択します。その後、対応するウィンドウで[表示]ボタンが自動的にアクティブになるのを確認してから[表示]ボタンをクリックし、その後ウィンドウの[追加]ボタンをクリックし続けて、実行するアプリケーションの名前を入力します。 [設定の追加]ボックスで、最後に[OK]ボタンをクリックし、すぐに[グループポリシーの編集]ウィンドウを閉じないでください。その後、[システムの実行]ダイアログボックスを開き、[gpedit.msc]コマンドを実行します。システムグループポリシーエディタが機能しなくなったことがわかります!ただし、幸いにも、[グループポリシー編集]ウィンドウは閉じられていないため、[グループポリシー編集]ウィンドウで設定した[Windowsアプリケーションのみを許可]プロジェクトをダブルクリックします。ポップアップポリシー設定ウィンドウで、[未設定]オプションを選択し、最後に[OK]ボタンをクリックすると、アプリケーションの実行目的が制限されるだけでなく、システムグループポリシーが "セルフロック"されるのを防ぎます。ヒント:指定したアプリケーション名を[Windowsアプリケーションのみを許可する]リストに追加し、[グループポリシーの編集]ウィンドウを直接閉じた場合は、次の手順で回復できます。サーバーシステムを再起動します。起動プロセス中に、システムのブートメニューが表示されるまでF8ファンクションキーを押し続けてから、 "セーフモードとコマンドプロンプト"コマンドを実行して、サーバーシステムをコマンドラインプロンプト状態に切り替えます。コマンドプロンプトでmmc.exe stringコマンドを直接実行し、ポップアップシステムのコンソールインターフェイスで、[ファイル]メニュー項目をクリックし、ポップアップドロップダウンメニューから[スナップインの追加と削除]オプションをクリックします。ウィンドウの[独立]タブをクリックし、次に図1に示すタブページで[追加]ボタンをクリックし、下の[グループポリシー]、[追加]、[完了]をクリックします。 [OK]ボタンを閉じると、新しいグループポリシーコンソールを正常に追加でき、将来的にはグループポリシーを再度開くことができます。ウィンドウを少し編集してから上記の設定に従うと、実装によってアプリケーションの実行目的が制限されるだけでなく、システムグループポリシーによる "セルフロック"現象が防止されます。次にDOSコマンドプロンプトで、文字列コマンド "gpupdate /target:computer"を入力してEnterキーを押すと、新しく変更されたセキュリティポリシーがすぐに有効になります。 DOSのコマンドプロンプトで文字列コマンド "gpupdate /target:user"を実行するだけです。コンピュータポリシーとユーザーポリシーの両方を更新したい場合は、文字列コマンド "gpupdate"を直接実行できます。異なるユーザー、異なるアクセス許可、多分サーバーには多数のユーザーが存在しますが、サーバーのセキュリティを保護するために、これらのユーザーにサーバーへの異なるアクセス制御権を与え、将来サーバーが事故に遭遇したときにアクセス許可に従って処理できるようにします。違う、あなたはすぐに "無秩序"なユーザーを見つけることができます。ユーザーごとに異なるアクセス制御権限を割り当てるには、サーバーグループポリシーを設定するだけです:具体的な設定手順は次のとおりです:[スタート] /[ファイル名を指定して実行]コマンドを順にクリックすると、システムがポップアップします。 [ファイル名を指定して実行]ボックスに、文字列コマンド "gpedit.msc"を入力し、[OK]ボタンをクリックしてシステムグループポリシー編集ウィンドウを開き、このウィンドウで[コンピュータの構成] /[Windowsの設定] /[セキュリティ]を展開します。 "/" Local Policy "/" User Rights Assignment "項目を設定すると、" User Rights Assignment "項目に対応する右側のウィンドウ領域に、図3に示すように、割り当てる複数の権限があることがわかります。たとえば、aaaユーザーがネットワーク接続を介してサーバー上のコンテンツにリモートでアクセスするだけで、コンテンツの書き込みやアプリケーションの実行のためにサーバーにローカルにログインすることを許可しない場合は、[Deny local login]アクセス許可をダブルクリックします。後で開く設定ウィンドウで、[追加]をクリックし、aaaユーザーに対応するアカウント名を選択して[追加]をクリックすると、将来aaaユーザーはリモートネットワーク経由でのみサーバーにアクセスできるようになります。内容は消えています。同様に、bbbユーザーにローカルログイン制御権を割り当てたり、cccユーザーにファイルやその他のオブジェクトの所有権を割り当てたりすることができます。異なる制御権が異なるユーザーに割り当てられたら、後でアクセス権レベルに応じて変更できます。ユーザーの的を絞った管理と管理。たとえば、サーバーがネットワークに接続されていないときに、サーバーがそのサーバーに不正な情報を自由にアップロードできることがわかった場合は、aaaユーザーを簡単に除外できますが、結局、aaaユーザーにはそのような「コピー機能」がありません。競合を避けるために設定を保護するLANでは、ワークステーションのIPアドレスが自由に変更されることが多く、IPの競合が発生します。これはLANの運用効率に影響します。 IPアドレスの競合を避けるために多くの方法がありますが、慎重に精査することはありますが、これらの方法の中には一部の新人ユーザーにとっては少し難しいことが簡単にわかります;実際、グループポリシー機能を使うとLANを簡単に制限できます。ネットワーク内のIPアドレスの競合を回避するために、ワークステーションのネットワーク設定パラメータを任意に変更します。[スタート] /[ファイル名を指定して実行]コマンドをクリックし、ポップアップシステムの操作ボックスに文字列コマンド "gpedit.msc"を入力します。 [OK]ボタンをクリックした後、システムグループポリシー編集ウィンドウを開き、[ネットワークとダイヤル]に対応するウィンドウの[ユーザーの構成] /[管理用テンプレート] /[ネットワーク] /[ネットワークとダイヤルアップ接続]ポリシー項目を展開します。 Connectionポリシーの右側のウィンドウ領域で、[Allow TCP /IP Advanced Settings]項目をダブルクリックし、図4に示すポップアップ設定ウィンドウで[Disable]オプションを選択して[OK]ボタンをクリックします。この場合、どのワークステーションユーザーも将来TCP /IPプロパティ設定ウィンドウを開いたときにnoと表示されます。ワークステーションのIPアドレスやその他のネットワークパラメータを変更するには、「詳細」設定ウィンドウ、IPアドレスを入力し、LANは、この方法は、紛争になりやすいという大きなではありません。監査を強化し、攻撃から身を守るデフォルトでは、Windows 2003サーバーは、サーバーのセキュリティを保護するためのセキュリティ監査を一切有効にしていません。サーバーが攻撃されるのを防ぐために、サーバーのセキュリティを保護するためにサーバーのグループポリシーを保護することでセキュリティ監査ポリシーを有効にすることができます。 "Start" /"Run"コマンドをクリックしてシステムをポップアップします。 [ファイル名を指定して実行]ボックスに、文字列コマンド "gpedit.msc"を入力し、[OK]ボタンをクリックしてシステムグループポリシー編集ウィンドウを開き、[コンピュータの構成] /[Windowsの設定] /[セキュリティの設定]でマウスを探します。 [ローカルポリシー] /[監査ポリシー]グループポリシーブランチの[監査ポリシー]ブランチの下に、図5に示すように、指定する必要がある監査イベントが複数あることが表示されたら、[ポリシー変更]プロジェクトをダブルクリックします。ポップアップ設定ウィンドウで、「成功」オプションが選択されている場合、サーバーは将来すべてのイベントの成功した操作を確認し、「失敗」オプションが選択されている場合、サーバーは将来すべてのイベントの失敗を確認します。早い段階でサーバーのセキュリティリスクを知ることができるようにするために、私たちは通常「システムのこと」を行う必要があります。 「」、「ログインイベント」、「アカウントログインイベント」、「アカウント管理イベント」の成功した操作と失敗した操作は別々に見直されるため、いくつかの操作が実行されたが成功した攻撃がない場合でも操作レコードは一つずつになります。レコードを注意深く分析した後、「オブジェクトアクセス」イベント、「ディレクトリサービスアクセス」イベント、「特権使用」イベントなどのセキュリティリスクを発見し、タイムリーに対策を講じることができます。一般的に、彼らが彼らの作戦に失敗する限り、彼らは攻撃記録を捕らえるという目的を達成することができます。グループポリシーを通じて関連イベントの監査機能が有効になると、サーバーは将来関連イベントの監査レコードをシステムの「イベントビューア」に保存します将来、ログの内容を時間内に開いて慎重に分析するだけで済みます。サーバーがこの時点で攻撃されているかどうかを確認できます。
Copyright © Windowsの知識 All Rights Reserved