Групповые политики (GPO) Active Directory: разбираемся почему это важно и как ими управлять в GPOAdmin

    Групповая политика — важный элемент любой среды Microsoft Active Directory (AD). Её основная цель — дать ИТ-администраторам возможность централизованно управлять пользователями и компьютерами в домене. Групповая политика, в свою очередь, состоит из набора политик, называемых объектами групповой политики (GPO). У Microsoft реализованы тысячи разных политик и настроек, в которых можно утонуть и потом не всплыть. Все они подробно описаны в справочной таблице.

    image

    В этой статье мы расскажем о работах по настройке групповых политик и удобном инструменте для упрощения управления ими — Quest GPOAdmin. Подробности под катом.

    Как устроены групповые политики


    При создании домена AD автоматически создаются два объекта групповой политики:

    Политика домена по умолчанию устанавливает базовые параметры для всех пользователей и компьютеров в домене в трех плоскостях: политика паролей, политика блокировки учетных записей и политика Kerberos.

    Политика контроллеров домена по умолчанию устанавливает базовые параметры безопасности и аудита для всех контроллеров домена в рамках домена.

    Для вступления настроек в силу, объект групповой политики необходимо применить (связать) с одним или несколькими контейнерами Active Directory: сайт, домен или подразделение (OU). Например, можно использовать групповую политику, чтобы потребовать от всех пользователей в определённом домене использовать более сложные пароли или запретить использование съемных носителей на всех компьютерах только в финансовом подразделении данного домена.

    Объект групповой политики не действует, пока не будет связан с контейнером Active Directory, например, сайтом, доменом или подразделением. Любой объект групповой политики может быть связан с несколькими контейнерами, и, наоборот, с конкретным контейнером может быть связано несколько объектов групповой политики. Кроме того, контейнеры наследуют объекты групповой политики, например, объект групповой политики, связанный с подразделением, применяется ко всем пользователям и компьютерам в его дочерних подразделениях. Аналогичным образом, объект групповой политики, применяемый к OU, применяется не только ко всем пользователям и компьютерам в этом OU, но и наследуется всем пользователям и компьютерам в дочерних OU.

    Настройки различных объектов групповой политики могут перекрываться или конфликтовать. По умолчанию объекты групповой политики обрабатываются в следующем порядке (причем созданные позднее имеют приоритет над созданными ранее):

    • Локальный (индивидуальный компьютер)
    • Сайт
    • Домен
    • Организационная единица

    В эту последовательность можно и нужно вмешиваться, выполнив любое из следующих действий:

    Изменение последовательности GPO. Объект групповой политики, созданный позднее, обрабатывается последним и имеет наивысший приоритет, перезаписывая настройки в созданных ранее объектах. Это работает в случае возникновения конфликтов.

    Блокирование наследования. По умолчанию дочерние объекты наследуют все объекты групповой политики от родительского, но вы можете заблокировать это наследование.

    Принудительное игнорирование связи GPO. По умолчанию параметры родительских политик перезаписываются любыми конфликтующими политиками дочерних объектов. Вы можете переопределить это поведение.

    Отключение связей GPO. По умолчанию, обработка включена для всех связей GPO. Вы можете предотвратить применение объекта групповой политики для конкретного контейнера, отключив связь с объектом групповой политики этого контейнера.



    Иногда сложно понять, какие политики фактически применяются к конкретному пользователю или компьютеру, определить т.н. результирующий набор политик (Resultant Set of Policy, RSoP). Microsoft предлагает утилиту командной строки GPResult, который умеет генерировать отчет RSoP.



    Для управления групповыми политиками Microsoft предоставляет консоль управления групповыми политиками (GPMC). Используя этот бесплатный редактор групповой политики, ИТ-администраторы могут создавать, копировать, импортировать, создавать резервные копии и восстанавливать объекты групповой политики, а также составлять отчеты по ним. Microsoft также предлагает целый набор интерфейсов GPMC, которые можно использовать для программного доступа ко многим операциям, поддерживаемым консолью.

    По умолчанию любой член группы администраторов домена может создавать объекты групповой политики и управлять ими. Кроме того, существует глобальная группа под названием «Владельцы-создатели групповых политик»; его члены могут создавать объекты групповой политики, но они могут изменять только созданные ими политики, если им специально не предоставлены разрешения на редактирование других объектов групповой политики.

    В этой же консоли можно делегировать вспомогательным ИТ-администраторам разрешения для различных действий: создание, редактирование и создание связей для определенных объектов групповой политики. Делегирование — ценный инструмент; например, можно предоставить группе, ответственной за управление Microsoft Office, возможность редактировать объекты групповой политики, используемые для управления настройками Office на рабочем столе пользователей.



    Управление групповой политикой и делегирование


    Делегирование— та вещь, которая быстро выходит из-под контроля. Права делегируются то так то эдак и, в конце концов, не те люди могут получить не те права.

    Ценность групповой политики заключается в ее силе. Одним махом вы можете применить политики в домене или подразделении, которые значительно укрепят безопасность или улучшат производительность бизнеса. Или наоборот.

    Но этой властью также можно злоупотребить, намеренно или случайно. Одно неправильное изменение объекта групповой политики может привести к нарушению безопасности. Взломщик или злонамеренный администратор могут легко изменить объекты групповой политики, чтобы, например:

    • Разрешить неограниченное количество попыток угадать пароль учетной записи.
    • Включить возможность подключения съемных носителей для упрощения кражи данных.
    • Развернуть вредоносное ПО на всех машинах в домене.
    • Заменить сайты, сохранённые в закладках браузеров пользователей, вредоносными URL-адресами.
    • Запустить вредоносный сценарий при запуске или завершении работы компьютера.

    Интересно, что хакерам даже не нужно много навыков, чтобы взломать объекты групповой политики. Все, что им нужно сделать, это получить данные учетной записи, имеющую необходимые права для нужного объекта групповой политики. Есть инструмент с открытым исходным кодом BloodHound (прямо как известная группа, только без Gang), который предоставит им список этих учетных записей. Несколько целевых фишинговых атак и хакер контролирует объект групповой политики. Политика домена по умолчанию (Default Domain Policy) и политика контроллеров домена по умолчанию (Default Domain Controllers Policy) — наиболее популярные цели, т.к. они создаются автоматически для каждого домена и контролируют важные параметры.

    Почему встроенные инструменты работы с GPO недостаточно удобны


    К сожалению, встроенные инструменты не всегда позволяют в удобном формате поддерживать безопасность и контроль групповой политики. Изменения, внесенные в объекты групповой политики, по умолчанию вступают в силу, как только окно закрывается — отсутствует кнопка «Применить», которая могла бы дать администраторам шанс остановиться, одуматься и выявить ошибки, прежде чем организация подвергнется атаке.

    Из-за того, что разрешения безопасности основаны на объектах групповой политики, любой администратор домена может изменять любой параметр безопасности объекта групповой политики. И даже параметры, которые должны препятствовать злонамеренным действиям этого человека. Например, администратор может отключить объект групповой политики, который отвечает за разрешение входа в систему на определенном сервере, на котором размещены конфиденциальные данные. Ну, а дальше скопировать часть или весь ценный контент на свой компьютер и продать в даркнете.

    Но самое ужасное во всей этой истории с безопасностью GPO — изменения настроек не отслеживаются в собственных журналах безопасности, нет предупреждений, следовательно, невозможно отслеживать такие нарушения, даже если использовать SIEM-систему.

    Как обезопасить GPO (объекты групповой политики)


    Лучший способ минимизировать риск неправильной настройки объектов групповой политики — это создать многоуровневую структуру безопасности, которая дополняет собственные инструменты. Для надёжной защиты групповой политики нужны решения, которые позволят:

    • Понять, кто и к каким объектам групповой политики имеет доступ.
    • Внедрить воркфлоу с опцией согласования и разделением обязанностей для управления изменениями в GPO.
    • Отслеживать, выполнять мониторинг и оповещать об изменениях в GPO.
    • Предотвратить изменение наиболее важных настроек GPO.
    • Быстро откатывать нежелательные изменения в GPO.

    Для выполнения перечисленных выше задач (и не только их) предлагаем присмотреться к специальному прокси-решению GPOAdmin. Ниже мы приведём несколько скриншотов интерфейса этого продукта и расскажем о его возможностях.

    Консолидация GPO

    В интерфейсе можно выбрать избыточные или конфликтующие параметры групповой политики и объединить их в один объект групповой политики или создать новый.

    image

    Откат. Можно легко откатиться к предыдущим версиям объектов групповой политики и устранить негативные последствия.

    image

    Настраиваемый воркфлоу. В интерфейсе GPOADmin можно заранее определить автоматические действия для различных сценариев.

    image

    Политики защищенных настроек. Определите список параметров, по которым проверяются разрешенные настройки для политик.

    image

    Управление объектами. В интерфейсе легко определить, кто отвечает за управление определенными политиками.

    image

    Подтверждение по электронной почте. Утверждать или отклонять запросы на изменение объекта групповой политики можно прямо из письма в почте.

    image

    Пользовательские шаблоны писем. Для определенных ролей шаблоны писем можно кастомизировать.

    image

    Синхронизация GPO. Доступна возможность синхронизации настроек между несколькими GPO.

    image

    Сравнение GPO. Обеспечьте целостность настроек GPO и снизьте риск нарушения политики.

    image

    С GPOAdmin можно навести порядок в работе десятка администраторов, которые могут намеренно или случайно вносить неправильные изменения в объекты групповой политики. Теперь о каждом изменении будут знать все.

    Мы готовы провести для вас демонстрацию или развернуть решение в вашей инфраструктуре, чтобы вы могли убедиться в ценности GPOAdmin для вашей организации. Решение, действительно, поможет уберечься от фатальных ошибок и навести порядок в домене. Свяжитесь с нами удобным для вас способом.



    А еще у нас есть:

    Gals Software
    Системы ИТ-мониторинга

    Комментарии 7

      0
      Интересная альтернатива AGPM для не имеющих подписки SA.
      Для тех, у кого есть SA вполне может быть достаточно AGPM из комплекта MDOP.
      Доменные контроллеры 2019, функциональный уровень схемы 2016. AGPM работает, снимает головную боль с версионированием и утверждениями на применение. Рекомендую.
        0
        Есть возможность собрать управление GP разных доменов на одном сервере?
          0
          Одной консолью управления GPOADmin можно подцепляться к нескольким экземплярам серверной части GPOADmin. Сама серверная часть GPOADmin может быть подключена как к доверенному (trusted) так и недоверенному (non-trusted) домену/лесу. Вы также можете дать доступ пользователям из недоверенных доменов и лесов к подключению к ненадежным средам.

          Один из кейсов использования GPOAdmin — возможность переноса объектов групповой политики из тестовой среды в промышленную.
            0
            Т.е. я в одном окне могу видеть деревья политик разных доменов? Есть возможность сравнивания политик из разных доменов? Копирования или перемещения между доменами?
              0
              Да, в одном окне сможете увидеть. Копировать и перемещать можно. Например, для переноса между разными средами (тест-прод).
          0
          Прошу прощения что может не совсем в тему — но есть вопрос. В windows 2008 — remote app можно было создавать без Active Directory. Дальше (насколько я понимаю с Windows Server 2012) в 2016 и 2019 — только с включенным AD.
          Если небольшая фирма из 4-х компьютеров хочет установить например 1С и пользоватся им как remoteapp в режиме терминального сервера — то зачем им AD? Не могу понять смысла.
          Нашел RemoteApp Tool — и вопрос как бы решает (говорят с нюансами в виде В диспетчере задач видно, что при закрытии программы сессия пользователя не переходит в режим (Отключен) из-за этого не работает отключение. ), но смысл заводить AD что бы запустить 1 програму без необходимости загрузки всего рабочего стола rdp — мне не понятен. Кто то может объяснить зачем так сделала Microsoft?
            0
            Возможно, Вам поможет на _сервере_ —

            HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
            RemoteAppLogoffTimeLimit REG_DWORD 0

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое