Mariusz Maleszak MCP | MCTS | MCITP | MCT

Prezentacja na temat: "Mariusz Maleszak MCP | MCTS | MCITP | MCT"— Zapis prezentacji:

1 Mariusz Maleszak MCP | MCTS | MCITP | MCT mariusz@maleszak.com
Polityki zasad grupy Z cyklu „Windows NIE na wyciągnięcie ręki” część 4 Mariusz Maleszak MCP | MCTS | MCITP | MCT

2 Przygotowanie środowiska

3 Przygotowanie środowiska
Włączyć obsługę zdalnych połączeń pulpitu Utworzyć globalną grupę zabezpieczeń OCEAN\GPO Admins

4 Przygotowanie środowiska
Utworzyć konta użytkowników Nazwa użytkownika User1 Hasło Pa$$w0rd Domena ocean.com Przynależność do grup Domain Users Remote Desktop Users Nazwa użytkownika Admin1 Hasło Pa$$w0rd Domena ocean.com Przynależność do grup Domain Users Remote Desktop Users GPO Admins

5 Przygotowanie środowiska
Nadać prawa do logowania lokalnego oraz do logowania za pomocą Remote Desktop Services na kontrolerze domeny członkom grupy Domain Users

6 Przygotowanie środowiska
Uruchomić konsolę Group Policy Management (GPMC) W gałęzi Group Policy Objects w domenie ocean.com utworzyć nowy obiekt GPO o nazwie WGUiSW Policy Za pomocą konsoli Group Policy Management Editor (GPME) włączyć ustawienie reguły zapory ogniowej „zezwalaj na przychodzący wyjątek administracji zdalnej”

7 Ćwiczenie 1 Delegowanie uprawnień do GPO

8 Delegowanie uprawnień do GPO
Połączyć obiekt WGUiSW Policy z jednostką organizacyjną ocean.com/Domain Controllers Na zakładce Delegation ustawień obiektu WGUiSW Policy dodać grupę GPO Admins nadając jej uprawnienia Edit settings

9 Delegowanie uprawnień do GPO
Uruchomić konsolę mmc używając poświadczeń użytkownika Admin1 Dodać snap-in Group Policy Management Zweryfikować możliwość edycji obiektu Default Domain Controllers Policy Zweryfikować możliwość edycji obiektu WGUiSW Policy

10 Delegowanie uprawnień do GPO
Za pomocą konsoli GPMC uruchomionej z poświadczeniami administratora zmodyfikować delegację uprawnień tak, aby członkowie grupy GPO Admins posiadali uprawnienie edycji zabezpieczeń obiektu WGUiSW Policy

11 Ćwiczenie 2 Nadawanie uprawnień do stosowania obiektu polityki zasady grupy

12 Nadawanie uprawnień do stosowania obiektu
Z użyciem konsoli GPMC użytkownika Admin1 zweryfikować poprawność zmian wprowadzonych w ćwiczeniu 1 dodając do deskryptora zabezpieczeń wpis listy kontroli dostępu definiujący uprawnienia odczytu oraz stosowania obiektu WGUiSW Policy dla użytkowników uwierzytelnionych.

13 Nadawanie uprawnień do stosowania obiektu
UWAGA! Zmiany wprowadzić dwukrotnie, każdorazowo weryfikując skutki. Raz z użyciem filtru zabezpieczeń, kolejny raz ręcznie edytując listę kontroli dostępu. Weryfikacji dokonać logując się z użyciem poświadczeń użytkownika User1 (najlepiej w sesji terminalowej) Uruchomić konsolę Windows Firewall with Advanced Security (jako Administrator) i sprawdzić stan reguł „administracja zdalna”

14 Ćwiczenie 3 Delegowanie uprawnień modelowania

15 Delegowanie uprawnień modelowania
W konsoli GPMC wybrać obiekt ocean.com W panelu szczegółów na zakładce Delegation z listy Permissions wybrać Perform Group Policy Modeling analyses Do listy kontroli dostępu dodać grupę GPO Admins Zweryfikować zmiany za pomocą konsoli GPMC użytkownika Admin1

16 Ćwiczenie 4 Delegowanie uprawnień generowania RSoP

17 Delegowanie uprawnień RSoP
W konsoli GPMC wybrać obiekt ocean.com W panelu szczegółów na zakładce Delegation z listy Permissions wybrać Read Group Policy Results data Do listy kontroli dostępu dodać grupę GPO Admins Zweryfikować zmiany za pomocą konsoli GPMC użytkownika Admin1

18 Ćwiczenie 5 Inspekcja obiektów polityk zasad grupy

19 Inspekcja obiektów GPO
Przejrzeć domyślnie zdefiniowaną dla obiektu WGUiSW Policy systemową listę kontroli dostępu Edytując ustawienia obiektu WGUiSW Policy włączyć inspekcję dla obiektów polityk zasad grupy Odświeżyć polityki (gpupdate)

20 Inspekcja obiektów GPO
Połączyć obiekt WGUiSW Policy z domeną ocean.com Wykonać następujące zmiany obiektu WGUiSW Policy: Modyfikacja minimalnej długości hasła na wartość 5 Włączenie opcji wymuszania stosowania obiektu WGUiSW Policy Delegować uprawnienia do tworzenia RSoP dla użytkownika User1

21 Inspekcja obiektów GPO
Zweryfikować funkcjonalność inspekcji przeglądając dziennik zdarzeń (Security)

22 Ćwiczenie 6 Zapobieganie tworzeniu kopii zapasowych…

23 Zapobieganie tworzeniu kopii zapasowych
Przeprowadzić edycję listy kontroli dostępu obiektu WGUiSW Policy odbierając grupie GPO Admins uprawnienie odczytu właściwości ownerBL Zweryfikować zmiany posługując się konsolą GPMC użytkownika Admin1

24 Ćwiczenie 7 (opcjonalne) Zaawansowana inspekcja obiektów polityk zasad grupy

25 Zaawansowana inspekcja GPO
Edytując ustawienia obiektu WGUiSW Policy w gałęzi Advanced Audit Policy Configuration włączyć inspekcję dla obiektów polityk zasad grupy Odświeżyć polityki (gpupdate)

26 Zaawansowana inspekcja GPO
Wykonać następujące zmiany obiektu WGUiSW Policy: Modyfikacja minimalnej długości hasła na wartość 7 Wyłączenie opcji wymuszania stosowania obiektu WGUiSW Policy Cofnięcie delegacji uprawnienia do tworzenia RSoP dla użytkownika User1

27 Zaawansowana inspekcja GPO
Zweryfikować funkcjonalność inspekcji przeglądając dziennik zdarzeń (Security)

28 Ćwiczenie 7 Zakładki Object i Properties…

29 Zakładki Object i Properties

30 Podsumowanie

31 Podsumowanie Obiekty polityk zasad grupy, są kolejnym przykładem „elementów systemu” posiadających własne deskryptory zabezpieczeń

32 Podsumowanie Z udziałem deskryptorów zabezpieczeń zdefiniowanych dla obiektów GPO możliwe jest delegowanie uprawnień innym administratorom, czy nawet użytkownikom (przynajmniej tym „bardziej świadomym”)

33 Podsumowanie Filtr zabezpieczeń obiektu GPO jest tak naprawdę interfejsem umożliwiającym edycję deskryptora zabezpieczeń

34 Podsumowanie Delegowanie uprawnień do modelowania lub tworzenia raportu RSoP możliwe jest do zrealizowania za pośrednictwem list kontroli dostępu kontenerów

35 Dziękuję za uwagę