Vvmebel.com

Новости с мира ПК
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Обновление политики безопасности

Information Security Squad

stay tune stay secure

🇸🇭 Использование GPUpdate для обновления параметров групповой политики

После изменения любого параметра групповой политики с помощью локального редактора объекта групповой политики (gpedit.msc) или редактора политики домена (gpmc.msc) новый параметр политики не сразу применяется к пользователю / компьютеру.

Вы можете подождать автоматического обновления объекта групповой политики (до 90 минут) или вы можете обновить и применить политики вручную с помощью команды GPUpdate.

Команда GPUpdate используется для принудительного обновления параметров политики компьютера и / или группы пользователей.

Заметка. Команда secedit/refreshpolicy использовалась в Windows 2000 для ручного обновления групповых политик. В следующих версиях Windows она была заменена утилитой GPUpdate.

Полный синтаксис инструментов gpupdate выглядит следующим образом:

Когда вы запускаете команду gpupdate без параметров, применяются только новые и измененные параметры политики пользователя и компьютера.

Computer Policy update has completed successfully.

User Policy update has completed successfully.

Обновлять политики пользователей или компьютеров можно только с помощью параметра /target. Например,

  • gpudate /target:user
  • gpupdate /target:computer

Для принудительного обновления параметров групповой политики вы можете использовать команду GPUpdate /force.

В чем разница между GPUpdate и GPUpdate / force?

Команда gpupdate применяет только измененные политики, а команда GPUpdate / force повторно применяет все клиентские политики — как новые, так и старые (независимо от того, были ли они изменены).

В большинстве случаев вам нужно использовать gpupdate для обновления политик на компьютере.

В больших доменах Active Directory частое использование параметра / force при обновлении объектов групповой политики создает большую нагрузку на контроллеры домена (поскольку компьютеры повторно запрашивают все политики, нацеленные на них или пользователей).

Как мы уже говорили ранее, групповые политики обновляются автоматически каждые 90 минут или во время запуска компьютера.

Поэтому в большинстве случаев не следует использовать команду gpupdate / force (особенно в различных сценариях) из-за высокой нагрузки на клиентские компьютеры и контроллеры домена.

Вы можете добавить задержку (до 600 секунд) перед обновлением политик с помощью параметра / wait:

Поскольку некоторые пользовательские политики не могут быть обновлены в фоновом режиме, а только при входе пользователя в систему (установка программ, перенаправление папок и т. д.), вы можете выйти из системы для текущего пользователя с помощью команды:

Некоторые параметры политики компьютера могут применяться только при запуске, поэтому вы можете запустить перезагрузку компьютера с помощью параметра /Boot:

Параметр /Sync указывает, что следующее приложение политики должно выполняться синхронно.

Активное применение политики происходит, когда компьютер перезагружается или когда пользователь входит в систему.

Командлет Invoke-GPUpdate был добавлен в PowerShell 3.0, который можно использовать для обновления политик на удаленных компьютерах.

Например, следующая команда запустит обновление удаленной групповой политики на компьютере ПК1:

Вы можете принудительно обновить политику на всех компьютерах в указанном подразделении Active Directory, используя команды:

Обновление членства в группах AD без перезагрузки / перелогина

Известный всем администраторам факт, что после добавления компьютера или пользователя в группу Active Directory, для обновления членства в группах и применения назначенных прав / политик, нужно перезагрузить компьютер (если в доменную группу добавлялась учетная запись компьютера) или перезайти в систему (для пользователя). Это связано с тем, что членство в группах AD обновляется при создании билета Kerberos, которое происходит при загрузке системы и при входе пользователя.

В некоторых случаях перезагрузка системы или logoff пользователя не выполним по производственным причинам. А воспользоваться полученным правами, доступом или применить новые политики нужно уже сейчас. Есть возможность обновить членство учетной записи в группах AD без перезагрузки или перерегистрации пользователя в системе.

Список групп, в которых состоит текущий пользователь можно получить из командной строки с помощью команды:

Список групп, в которых состоит пользователь содержится в разделе The user is a part of the following security groups.

Сбросить текущие тикеты Kerberos без перезагрузки может утилита klist.exe . Klist включена в ОС Windows начиная с Windows 7, для XP и Windows Server 2003 устанавливается в составе Windows Server 2003 Resource Kit Tools.

Чтобы сбросить весь кэш тикетов Kerberos компьютера (локальной системы) и обновить членство компьютера в группах AD, нужно в командной строке с правами администратора выполнить команду:

klist -lh 0 -li 0x3e7 purge

После выполнения команды и обновления политик к компьютеру будут применены все политики, назначенные группе AD через Security Filtering.

Что касается пользователя. Допустим, доменная учетка пользователя была добавлена в группу Active Directory для доступа к файловому ресурсу. Естественно, доступ к каталогу без перелогина у пользователя не появится.

Сбросим все тикеты Kerberos пользователя командой:

Чтобы увидеть обновлённый список групп, нужно запустить новое окно командной строк и через runas, чтобы новый процесс был создан с новым токеном безопасности.

Читать еще:  Языки программирования для приложений

Допустим, группа AD пользователю назначалась для предоставления доступа к сетевому каталогу. Попробуйте обратиться к нем по FQDN имени (к примеру, \msk-fs1.winitpro.locdistr) и проверьте, что TGT тикет был обновлен:

Сетевой каталог, к которому был предоставлен доступ через группу AD, должен открыться без перелогина пользователя (. обязательно использовать FQDN имя).

Настройка обновлений Windows 10 через групповые политики и редактор реестра

Настройка политики обновления Windows 10 это настройка способа получения обновлений в Windows 10. В Windows 10 параметры центра обновления перенесли из Панели управления в Параметры системы. В Windows 10 нет таких настроек как были в Панели управления и поэтому не стало возможности отключать обновления или выбирать способ их получения. Однако с помощью Редактора реестра и Редактора локальной групповой политики можно отключить обновления и установить способ их получения.

Настройка обновления с помощью Редактора локальной групповой политики

Запускаем Редактор локальной групповой политики нажав на клавиатуре сразу две клавиши WIN+R. Откроется окно Выполнить в которое вписываете команду gpedit.msc и нажимаете ОК.

Групповая политика обновления Windows 10

В левой части открывшегося окна редактора раскрываем Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Центр обновления Windows. Нажимаете на последний пункт Центр обновления Windows и затем в правой части находите пункт Настройка автоматического обновления и изменяете его настройки.

Настройка обновлений Windows 10 групповые политики

Для этого в открывшемся окне нужно вверху поставить точку у пункта Включено, а затем ниже установите настройки обновления. Нажмите кнопку ОК. Затем чтобы сделанные вами настройки заработали откройте Параметры системы — Обновление и безопасность — Центр обновления Windows и нажмите кнопку Проверка наличия обновлений.

Закончив настройку политик Windows 10, запустите обновление

После этого сделанные вами настройки в Редакторе локальной групповой политики вступят в силу.

Настройка обновлений с помощью Редактора реестра

Запускаем Редактор реестра нажав на клавиатуре сразу две клавиши WIN+R. Откроется окно Выполнить в которое вписываете команду regedit и нажимаете ОК.

В левой части открывшегося окна редактора раскрываем HKEY_LOCAL_MACHINE — SOFTWARE — Policies — Microsoft — Windows. Наведите курсор на последний пункт Windows и нажмите правую кнопку мыши. В открывшемся контекстном меню выбираете Создать — Раздел. Новый раздел назовите WindowsUpdate.
Затем наведите курсор на только, что созданный раздел WindowsUpdate и опять создайте раздел который назовите AU.
Затем наведите курсор на только, что созданный раздел AU и нажмите правую кнопку мыши и в открывшемся меню выберите Создать — Параметр DWORD (32-бита). Новый созданный параметр появится в правой части окна, назовите его AUOptions. Таким же образом наведя курсор на раздел AU создайте ещё три параметра и назовите первый NoAutoUpdate, второй ScheduledInstallDay, а третий ScheduledInstallTime (опционально NoAutoRebootWithLoggedOnUsers). Теперь в этих четырёх новых параметрах нужно изменить значение.

Для параметра AUOptions

  • 2 — Получать уведомление перед установкой и загрузкой любых обновлений.
  • 3 — Автоматически получать обновления и уведомления об их готовке к установке.
  • 4 — Автоматически получать и устанавливать обновления по заданному расписанию.
  • 5 — Разрешить локальным администраторам самим выбирать режим обновления и об уведомлениях.

Для параметра NoAutoUpdate

  • 0 — Включена автоматическая установка обновлений которые будут загружаться и устанавливаться в зависимости от сделанных настроек в параметре AUOptions.
  • 1 — Отключена автоматическая установка обновлений.

Для параметра ScheduledInstallDay

  • 0 — установка обновлений будет производится ежедневно при значении 4 параметра AUOptions.
  • 1 — установка обновлений будет производится каждый понедельник при значении 4 параметра AUOptions.
  • 2 — установка обновлений будет производится каждый вторник при значении 4 параметра AUOptions.
  • 3 — установка обновлений будет производится каждую среду при значении 4 параметра AUOptions.
  • 4 — установка обновлений будет производится каждый четверг при значении 4 параметра AUOptions.
  • 5 — установка обновлений будет производится каждую пятницу при значении 4 параметра AUOptions.
  • 6 — установка обновлений будет производится каждую субботу при значении 4 параметра AUOptions.
  • 7 — установка обновлений будет производится каждое воскресенье при значении 4 параметра AUOptions.

Для параметра ScheduledInstallTime

От 0 до 23 устанавливаться обновления будут во столько то часов в зависимости от установленного параметра и при значении 4 параметра AUOptions.

Как пользоваться командой gpupdate?

Команда gpupdate является заменой команды secedit /refreshpolicy, которая использовалась в операционной системе Windows 2000 для ручного запуска процесса обновления объектов групповой политики.

Хотя все политики обновляются автоматически, использование этой команды позволяет выполнить немедленное обновление объекта групповой политики. Часто это оказывается необходимо после внесения изменений в объект групповой политики.

Таким образом, можно убедиться в правильности изменений в объекте групповой политики. В отличие от команды secedit /refreshpolicy команда gpupdate по умолчанию выполняет обновление параметров политики пользователя и политики компьютера. При использовании утилиты secedit приходилось запускать две отдельные команды.

Читать еще:  Политика безопасности паролей

Команда gpupdate имеет следующий синтаксис:

Параметры команды gpupdate рассматриваются в следующей таблице.

Параметры команды gpupdate

Заставляет команду выполнять обновление только параметров компьютера или только параметров пользователя в объекте групповой политики. По умолчанию обновляются параметры компьютера и пользователя

Игнорирует все оптимизации обработки объектов групповой политики, например, обнаружение медленных связей, и повторно применяет все параметры

Позволяет указать количество секунд, за которое должна завершиться обработка политики. По умолчанию используется значение 600 (10 минут). Значение означает отсутствие ожидания, а значение -1 означает неограниченное ожидание

Завершает сеанс работы пользователя после применения параметров объекта групповой политики. Завершение сеанса работы пользователя требуется для обновления многих параметров политики, например, параметров рабочего стола, поэтому процесс завершения сеанса стоит автоматизировать

Перезагружает систему после обновления политики. Некоторые параметры компьютера, например, установка программного обеспечения, применяются только в процессе запуска операционной системы, поэтому для применения этих параметров требуется перезагрузка

Приводит к синхронному применению параметров объекта групповой политики к компьютерам в процессе загрузки и к пользователям в процессе регистрации. Такое поведение по умолчанию принято в операционной системе Windows 2000. Это приводит к применению всех политик в процессе регистрации. В операционных системах Windows XP и Windows Server 2003 политики, принятые по умолчанию, применяются асинхронно. При этом некоторые пользователи будут регистрироваться на основании кэшированных данных и не получат обновленные параметры групповой политики

Предположим, что в параметры политики пользователя были внесены изменения.

Для проверки изменений можно запустить команду gpupdate /target:user /logoff. Эта команда выполняет обновление пользовательской части объекта групповой политики и автоматически завершает сеанс работы пользователя после окончания обновления. Как только пользователь зарегистрируется в системе повторно, он заметит внесенные изменения.

Вы можете задать вопрос по статье специалисту.

Управление обновлением и применением параметров безопасности в групповой политике

Не вызывает сомнения тот факт, что групповая политика (Group Policy) в Active Directory является самым эффективным и наиболее логичным способом настройки и поддержания безопасности для всех контроллеров домена, серверов и настольных компьютеров. Вопрос возникает по поводу того, как поддерживать и управлять применением параметров безопасности, а также о том, как обновлять параметры, которые вы задаете в объекте групповой политики (GPO)? Существует много способов контролирования того, как обновлять и управлять параметрами безопасности, некоторые из которых уже есть у вас в сети, и которые вы можете настраивать, если хотите двигаться по этому пути. В этой статье будут рассмотрены некоторые способы, которые доступны для управления тем, как обновлять и применять параметры безопасности в групповой политике.

Какие параметры относятся к параметрам безопасности?

Чтобы убедиться, что мы все открыли одну и ту же страницу, я хочу убедиться, что все точно знают, что входит в «параметры безопасности» в объекте групповой политики. Если вы откроете стандартный GPO на компьютере Windows Server 2008, вам нужно будет развернуть вкладки Конфигурация компьютера | Политики | Параметры Windows | Параметры безопасности, чтобы посмотреть все параметры, связанные с безопасностью, о которых я буду говорить в этой статье (есть несколько параметров, расположенных в Конфигурации пользователя | Политики | Параметры Windows | Параметры безопасности, но они не часто используются, однако тоже относятся к этой категории), как показано на рисунке 1.

Рисунок 1: Параметры безопасности в стандартном объекте групповой политики

Причина, по которой все эти параметры относятся к данной категории, кроется в том, что они управляются расширением безопасности клиентской стороны (Security Client Side Extension — CSE). Мы увидим, что безопасностью CSE можно управлять отдельно с других CSEs, и что она ведет себя немного по-другому.

Обновление вручную

Групповая политика имеет автоматическое фоновое обновление, но в некоторых случаях интервалы слишком велики для параметров, которые вы хотите применить. В этом случае обновление групповой политики можно инициировать простой командной, которая очень полезна во времена, когда вы тестируете или хотите задать параметры на компьютере немедленно. Чтобы обновить групповую политику (которая будет включать параметры безопасности), вам нужно будет запустить GPUPDATE в интерпретаторе команд. Для компьютеров, входящих в домен, она применит все новые параметры из всех объектов групповой политики в локальной директории и Active Directory.

Если вы НЕ вносили никаких изменений в GPO, содержащий ваши параметры безопасности, но все же хотите применить параметры вручную, вы можете использовать переключатель /force с командой GPUPDATE. Этот переключатель в принудительном порядке обеспечит применение всех параметров GPO без учета номера версии GPO или обновлений в GPO. Он просто повторно применит все параметры, содержащиеся во всех GPOs.

Читать еще:  Что значит объектно ориентированное программирование

Заметка: Если вы хотите использовать ручное обновление для применения параметров безопасности (или каких-либо других параметров) из центрального расположения, можете использовать GPUPDATE от Special Operations Software (www.specopssoft.com). Да, кстати…она бесплатна!

Автоматическое фоновое обновление

Групповая политика имеет отличную функцию, которая постоянно применена в фоновом режиме, пользователям при этом не нужно выходить из системы и входить снова, а компьютер не нужно перезагружать. По умолчанию фоновое обновление происходит примерно каждые полтора часа. Это базовое время фонового обновления, с получасовым смещением. Это автоматическое фоновое обновление управляется параметрами GPO во вкладке Конфигурация компьютера | Политики | Шаблоны администрирования | Система | Групповая политика. Параметры, которые вам нужно настроить, чтобы изменить стандартный параметр фонового обновления – это интервал обновления групповой политики для компьютера, как показано на рисунке 2.

Рисунок 2: Обновление групповой политики можно изменить с помощью этого параметра политики

Я показываю вам этот параметр не потому, что его можно изменять здесь. Существует несколько довольно веских причин не делать этого. Во-первых, каждые девяносто минут вполне достаточный параметр для обновлений групповой политики. Во-вторых, если вы измените интервал обновления, он повлияет на все CSE, а не только на параметры безопасности. Это может вызвать серьезные проблемы с производительностью всех компьютеров в сети, что, конечно, совсем не является желаемым результатом!

Однако вы можете сделать следующее относительно параметров безопасности во время фонового обновления, вы можете убедиться, что они применяются каждый раз. Это необязательно в силу поведения параметров безопасности с другим интервалом (смотреть следующий раздел), однако, если у вас возникла ситуация, в которой пользователи были настроены в качестве администраторов собственных компьютеров, не такая уж плохая мысль в принудительном порядке обеспечивать применение всех параметров безопасности при каждом фоновом обновлении групповой политики. Чтобы задать этот параметр для параметров безопасности в GPO, перейдите по вкладкам Конфигурация компьютера | Политики | Административные шаблоны | Система | Групповая политика. Там вы найдете политику под названием Обработка политики безопасности, которая показана на рисунке 3.

Рисунок 3: Параметры безопасности можно принудительно применять при каждом применении GPO

Выбирая обработку, даже если объекты групповой политики не изменились, вы лишь сможете запустить принудительное применение параметров безопасности каждый раз, а не для каждого CSE.

>’Уникальное’ фоновое обновление параметров безопасности

Имея более 30 CSE, GPO постоянно выполняет свою работу в вашей сети. Однако один CSE, который уникален, это CSE параметров безопасности. Этот CSE ведет себя подобно остальным CSE, за исключением того факта, что каждые 16 часов параметр безопасности CSE применяет все параметры во всех GPO независимо от наличия или отсутствия изменений в GPO. В других CSE в ситуации отсутствия изменений параметров GPO, параметры GPO не применяются повторно.

Это отличная функция и ее можно изменять. В отличие от других параметров, которые я показывал вам в этой статье, этот параметр НЕ относится к параметрам GPO. Он скорее является параметром реестра. Если вы хотите изменить этот параметр самостоятельно, вы можете сделать это, изменив MaxNoGPOListChangesInterval, который расположен в системном реестре:

HKLM Software | Microsoft | Windows NT | CurrentVersion | Winlogon GPExtensions |

(Заметка: Эта длинная строка цифр является GUID для безопасности CSE.) Вы можете посмотреть этот путь в параметрах интервала ключа на рисунке 4.

Рисунок 4: Параметры безопасности CSE реестра, включая значение MaxNoGPOListChangesInterval

Заметка: MaxNoGPOListChangesInterval значение реестра является вводом DWORD значения и имеет элементы минут. Если вы хотите задать это значение на 16 часов, это будет 960 минут в реестре.

Резюме

Если безопасность является важной для вашей организации, и вы используете групповую политику для применения безопасности, вы можете получить дополнительное управление над тем, как групповая политика обеспечивает параметры безопасности. У вас есть множество опций для принуждения и управления обновлениями, и даже обеспечения целостности параметров безопасности со временем в групповой политике. Существуют ручные способы, которыми можно управлять на целевом компьютере, а также решения, которые интегрируются непосредственно в Active Directory Users and Computers инструменты для управления обновлениями групповой политики из центрального места, как например Specops. Если вы хотите, чтобы ваши параметры безопасности обновлялись при каждом фоновом обновлении, вы можете задать CSE параметры для обеспечения этого. Наконец, вы можете изменять периоды специальных фоновых обновлений параметров безопасности, которые по умолчанию происходят каждые 16 часов. Благодаря всем этим элементам управления, ваша безопасность на серверах и машинах будет постоянно в действии, а также будет соответствовать вашим требованиям постоянно.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector