Mariusz Maleszak MCP | MCTS | MCITP | MCT mariusz@maleszak.com Polityki zasad grupy Z cyklu „Windows NIE na wyciągnięcie ręki” część 4 Mariusz Maleszak MCP | MCTS | MCITP | MCT mariusz@maleszak.com

Przygotowanie środowiska

Przygotowanie środowiska Włączyć obsługę zdalnych połączeń pulpitu Utworzyć globalną grupę zabezpieczeń OCEAN\GPO Admins

Przygotowanie środowiska Utworzyć konta użytkowników Nazwa użytkownika User1 Hasło Pa$$w0rd Domena ocean.com Przynależność do grup Domain Users Remote Desktop Users Nazwa użytkownika Admin1 Hasło Pa$$w0rd Domena ocean.com Przynależność do grup Domain Users Remote Desktop Users GPO Admins

Przygotowanie środowiska Nadać prawa do logowania lokalnego oraz do logowania za pomocą Remote Desktop Services na kontrolerze domeny członkom grupy Domain Users

Przygotowanie środowiska Uruchomić konsolę Group Policy Management (GPMC) W gałęzi Group Policy Objects w domenie ocean.com utworzyć nowy obiekt GPO o nazwie WGUiSW Policy Za pomocą konsoli Group Policy Management Editor (GPME) włączyć ustawienie reguły zapory ogniowej „zezwalaj na przychodzący wyjątek administracji zdalnej”

Ćwiczenie 1 Delegowanie uprawnień do GPO

Delegowanie uprawnień do GPO Połączyć obiekt WGUiSW Policy z jednostką organizacyjną ocean.com/Domain Controllers Na zakładce Delegation ustawień obiektu WGUiSW Policy dodać grupę GPO Admins nadając jej uprawnienia Edit settings

Delegowanie uprawnień do GPO Uruchomić konsolę mmc używając poświadczeń użytkownika Admin1 Dodać snap-in Group Policy Management Zweryfikować możliwość edycji obiektu Default Domain Controllers Policy Zweryfikować możliwość edycji obiektu WGUiSW Policy

Delegowanie uprawnień do GPO Za pomocą konsoli GPMC uruchomionej z poświadczeniami administratora zmodyfikować delegację uprawnień tak, aby członkowie grupy GPO Admins posiadali uprawnienie edycji zabezpieczeń obiektu WGUiSW Policy

Ćwiczenie 2 Nadawanie uprawnień do stosowania obiektu polityki zasady grupy

Nadawanie uprawnień do stosowania obiektu Z użyciem konsoli GPMC użytkownika Admin1 zweryfikować poprawność zmian wprowadzonych w ćwiczeniu 1 dodając do deskryptora zabezpieczeń wpis listy kontroli dostępu definiujący uprawnienia odczytu oraz stosowania obiektu WGUiSW Policy dla użytkowników uwierzytelnionych.

Nadawanie uprawnień do stosowania obiektu UWAGA! Zmiany wprowadzić dwukrotnie, każdorazowo weryfikując skutki. Raz z użyciem filtru zabezpieczeń, kolejny raz ręcznie edytując listę kontroli dostępu. Weryfikacji dokonać logując się z użyciem poświadczeń użytkownika User1 (najlepiej w sesji terminalowej) Uruchomić konsolę Windows Firewall with Advanced Security (jako Administrator) i sprawdzić stan reguł „administracja zdalna”

Ćwiczenie 3 Delegowanie uprawnień modelowania

Delegowanie uprawnień modelowania W konsoli GPMC wybrać obiekt ocean.com W panelu szczegółów na zakładce Delegation z listy Permissions wybrać Perform Group Policy Modeling analyses Do listy kontroli dostępu dodać grupę GPO Admins Zweryfikować zmiany za pomocą konsoli GPMC użytkownika Admin1

Ćwiczenie 4 Delegowanie uprawnień generowania RSoP

Delegowanie uprawnień RSoP W konsoli GPMC wybrać obiekt ocean.com W panelu szczegółów na zakładce Delegation z listy Permissions wybrać Read Group Policy Results data Do listy kontroli dostępu dodać grupę GPO Admins Zweryfikować zmiany za pomocą konsoli GPMC użytkownika Admin1

Ćwiczenie 5 Inspekcja obiektów polityk zasad grupy

Inspekcja obiektów GPO Przejrzeć domyślnie zdefiniowaną dla obiektu WGUiSW Policy systemową listę kontroli dostępu Edytując ustawienia obiektu WGUiSW Policy włączyć inspekcję dla obiektów polityk zasad grupy Odświeżyć polityki (gpupdate)

Inspekcja obiektów GPO Połączyć obiekt WGUiSW Policy z domeną ocean.com Wykonać następujące zmiany obiektu WGUiSW Policy: Modyfikacja minimalnej długości hasła na wartość 5 Włączenie opcji wymuszania stosowania obiektu WGUiSW Policy Delegować uprawnienia do tworzenia RSoP dla użytkownika User1

Inspekcja obiektów GPO Zweryfikować funkcjonalność inspekcji przeglądając dziennik zdarzeń (Security)

Ćwiczenie 6 Zapobieganie tworzeniu kopii zapasowych…

Zapobieganie tworzeniu kopii zapasowych Przeprowadzić edycję listy kontroli dostępu obiektu WGUiSW Policy odbierając grupie GPO Admins uprawnienie odczytu właściwości ownerBL Zweryfikować zmiany posługując się konsolą GPMC użytkownika Admin1

Ćwiczenie 7 (opcjonalne) Zaawansowana inspekcja obiektów polityk zasad grupy

Zaawansowana inspekcja GPO Edytując ustawienia obiektu WGUiSW Policy w gałęzi Advanced Audit Policy Configuration włączyć inspekcję dla obiektów polityk zasad grupy Odświeżyć polityki (gpupdate)

Zaawansowana inspekcja GPO Wykonać następujące zmiany obiektu WGUiSW Policy: Modyfikacja minimalnej długości hasła na wartość 7 Wyłączenie opcji wymuszania stosowania obiektu WGUiSW Policy Cofnięcie delegacji uprawnienia do tworzenia RSoP dla użytkownika User1

Zaawansowana inspekcja GPO Zweryfikować funkcjonalność inspekcji przeglądając dziennik zdarzeń (Security)

Ćwiczenie 7 Zakładki Object i Properties…

Zakładki Object i Properties

Podsumowanie

Podsumowanie Obiekty polityk zasad grupy, są kolejnym przykładem „elementów systemu” posiadających własne deskryptory zabezpieczeń

Podsumowanie Z udziałem deskryptorów zabezpieczeń zdefiniowanych dla obiektów GPO możliwe jest delegowanie uprawnień innym administratorom, czy nawet użytkownikom (przynajmniej tym „bardziej świadomym”)

Podsumowanie Filtr zabezpieczeń obiektu GPO jest tak naprawdę interfejsem umożliwiającym edycję deskryptora zabezpieczeń

Podsumowanie Delegowanie uprawnień do modelowania lub tworzenia raportu RSoP możliwe jest do zrealizowania za pośrednictwem list kontroli dostępu kontenerów

Dziękuję za uwagę mariusz@maleszak.com http://maleszak.com