C того самого дня, когда два компьютера впервые были подключены друг к другу и образовали корпоративную сеть, системные администраторы пытаются отыскать простые пути управления объединенными в сеть компьютерами. В операционной системе Windows 2000 корпорация Microsoft реализовала групповые политики, заложившие основу той системы управления компьютерами, которая применяется и поныне. В данной статье мы рассмотрим три продукта для работы с групповыми политиками. Каждый из них играет особую роль в структуре управления компьютерами сети. Два из упомянутых решений используют групповую политику или тесно интегрируются с ней, тогда как третье применяется в сочетании со специализированным решением.
BeyondTrust Privilege Manager
Задача диспетчера BeyondTrust Privilege Manager однозначна: обходить требование, в соответствии с которым пользователи могут выполнять программы, лишь будучи локальными администраторами на своих компьютерах. На первый взгляд она кажется простой — но это до тех пор, пока вы на практике не возьметесь за дело. Обычные пользователи не просто не могут выполнять приложения; помимо этого, они не могут изменять часовой пояс или запускать встроенную утилиту дефрагментации.
Privilege Manager позволяет с легкостью предоставлять разрешения на работу с тем или иным приложением.
Установка. Я следовал указаниям документа Privilege Manager Installation Guide. Это представленное в формате PDF руководство содержит пошаговые инструкции с описанием простой процедуры установки. Продукт Privilege Manager можно устанавливать в среде Windows Server 2003 SP1 и более новых версий или в системе Windows 2000 SP4. Установку программы следует выполнять на той системе, которая используется для редактирования групповой политики. Не забудьте установить платформу .NET Framework 2.0; ее можно загрузить на Web-узле Microsoft. Установка выполняется быстро. На нее уходит всего лишь несколько минут, причем никакого участия пользователя не требуется. Кроме того, это «чистая» установка; она не засоряет систему ни дополнительными ярлыками на рабочем столе, ни пунктами меню Start. Вместо этого диспетчер Privilege Manager добавляет самого себя в редакторе объектов групповых политик в качестве расширения групповой политики, как показано на экране 1. Privilege Manager выпускается как в 32-разрядной, так и в 64-разрядной версиях. Из трех протестированных мною решений продукт Privilege Manager был, вне всякого сомнения, самым простым в установке и настройке.
В дополнение к административному компоненту Privilege Manager, на каждый компьютер, которым предполагается управлять, необходимо установить клиентский компонент программы. Клиент имеет формат MSI, поэтому его можно с легкостью развернуть с использованием групповой политики. Клиент тоже выпускается как в 32-разрядной, так и в 64-разрядной версии.
Настройка и использование. Настройка новой политики Privilege Manager, позволяющей пользователям запускать программы, аналогична созданию новой настройки групповой политики. Новая политика может применяться к пользователям и компьютерам при запуске компьютеров либо при регистрации пользователей или же по истечении 90-минутных интервалов. Я начал с новой настройки групповой политики и перешел на расширение Group Policy Object (GPO) с именем Computer Security, которое добавляется при установке диспетчера Privilege Manager. Далее я щелкнул правой кнопкой мыши и создал новую политику Privilege Manager. Администратор может выбирать из девяти типов правил, включая правило для пути (допускается выполнение приложения с указанным путем), правило для хеша (допускается выполнение приложения с указанным хешем), а также правила для папок, файлов MSI и сертификатов. Правило «для всех приложений» (именуемое Shell Rule) дает пользователям возможность выполнять любые приложения по их желанию, строго соблюдая при этом все положения аудита данного вида деятельности. Это правило сочтут полезным «опытные пользователи» (например, разработчики); их права на выполнение программ не могут быть ограничены, но этим пользователям нужно напоминать, что они несут ответственность за все, что будет происходить на их системах. Можно даже создать правило, предписывающее пользователю ввести с клавиатуры разъяснение, почему он запускает то или иное приложение.
Параметры настройки Privilege Manager отличаются гибкостью. К примеру, можно создать точку для установки программного обеспечения силами пользователей (Self-Service Installation Point), которая представляет собой общедоступный сетевой ресурс с примененным к нему правилом для папки (Folder Rule). Такой пункт будет включать программные средства, которые пользователи смогут устанавливать самостоятельно. Если пользователь запросит то или иное приложение, вы можете просто загрузить его установочные файлы на этот сетевой ресурс, и пользователь установит программу самостоятельно.
Можно создать правило для каждого приложения, право на выполнение которого вы хотите передать пользователям, но наряду с этим в программе Privilege Manager имеются встроенные правила для выполнения типичных задач. Так, можно предоставить пользователям право изменять часовой пояс, выполнять процедуру дефрагментации диска, устанавливать параметры электропитания и использовать специальные возможности.
Иногда точные процедуры и переменные, используемые программой, не являются очевидными. Для таких случаев разработчики Privilege Manager предусмотрели замечательное средство диагностики Policy Monitor (PolMon.exe). Эта программа отображает конкретные команды, отдаваемые пользователем, когда он пытается изменить часовой пояс или дефрагментировать жесткий диск. Если у вас имеется специализированное приложение, дополнительные полномочия для работы с которым вы хотите дать пользователю, этот полезный инструмент предоставит вам все необходимые данные.
Любое правило Privilege Manager может быть отфильтровано с использованием неограниченного числа правил, задаваемых администратором. Так, можно осуществлять фильтрацию по имени компьютера, по диапазону IP-адресов, по операционной системе, по группам пользователей и группам безопасности, а также еще примерно по 22 другим фильтрующим объектам. Если эти правила не соответствуют вашим требованиям, вы можете даже написать собственный запрос WMI.
Privilege Manager существенно облегчает решение чрезвычайно трудной задачи удаления пользователей из группы локальных администраторов. Если ваша политика безопасности требует осуществления этой операции, лучше не выполнять ее вручную, а поручить это программе Privilege Manager.
Policy Commander
Эта программа позволяет защищать компьютеры сети на основе стандартов отрасли, таких как закон США о преемственности и отчетности в области медицинского страхования, Health Insurance Portability and Accountability Act (HIPAA). Пересылаемые по каналам электронной почты уведомления и отчеты помогают отслеживать состояние безопасности компьютеров.
Установка. Policy Commander состоит из четырех компонентов (не считая клиентского агента). Эти компоненты можно устанавливать на одном центральном сервере либо рабочей станции или по одному на нескольких системах, в исключительно крупных организациях. Во время тестирования я устанавливал их все на одном контроллере домена (DC).
Сначала нужно установить платформу .NET Framework 2.0. Далее запускается файл setup.exe; при его установке система предложит вам ввести лицензионный серийный номер и параметры установки. Программа установки (если только вы не работаете в среде Microsoft SQL Server 2000 SP3 или более поздней версии) автоматически установит и настроит SQL Express.
Установка заняла порядка 10 минут, но прошла без ошибок (после короткого звонка в службу технической поддержки фирмы Boundary Technologies). По завершении процесса на экране появилось окно справки с разъяснениями относительно того, как использовать данный продукт.
Настройка и использование. Моя первая задача в процессе настройки состояла в том, чтобы установить интервал опроса. В данном случае я выбрал режим непрерывного опроса. В производственной сети, однако, опрос выполняется намного реже — может быть, ежечасно или раз в день, в зависимости от требований безопасности.
Затем я добавил компьютеры, которыми намеревался управлять с помощью Policy Commander. Компьютеры можно добавлять вручную через консоль или с помощью сценария регистрации групповой политики. Последний метод дает возможность автоматически добавлять в консоль Policy Commander все добавленные в домен новые компьютеры. Консольный метод предусматривает перезагрузку клиентского компьютера, поэтому, перед тем как раздавать клиенты всем пользователям, следует предупреждать их об этом.
По завершении установки клиента я был готов к тому, чтобы быстро включиться в работу и начать блокировку системы. В программе Policy Commander политики можно назначать индивидуальным компьютерам или группам компьютеров. Имеется два вида групп: организационные группы (organizational groups) и настраиваемые группы (configuration groups). Организационные группы статичны и дают возможность администратору организовывать структуру так, как он сочтет целесообразным. Настраиваемые группы динамичны — объекты «компьютер» добавляются и удаляются в автоматическом режиме на основе конкретных критериев. Некоторые встроенные настраиваемые группы: версия Microsoft Office, версия операционной системы и группа безопасности. Кроме того, можно создавать собственные настраиваемые группы на основе таких значений, как объем свободного дискового пространства, значение параметров реестра и т. д. Эти группы можно создавать даже на базе значений, получаемых через WMI. К примеру, чтобы развернуть политику на всех компьютерах бухгалтерии, можно создать организационную группу и вручную перенести в нее все компьютеры, к которым, по вашему мнению, должна применяться эта политика. Или же вы можете создать настраиваемую группу, которая будет динамически формировать группу компьютеров бухгалтерии на основе некоего конкретного правила.
Определившись с тем, каким образом будут группироваться компьютеры, вы можете назначать им политики. Один из вариантов — выбрать нужные из тех 12 заранее заданных политик, которые включает в себя Policy Commander, но можно, конечно, создавать и собственные политики. На экране 2 показаны возможности Policy Commander в области построения графиков и отчетов, которые, по всей вероятности, заинтересуют менеджеров или сотрудников службы аудита. На этом экране представлено пять политик; три из них соответствуют требованиям и используются, одна не соответствует требованиям, а одна неприменима. Чтобы определить, какие системы не соответствуют требованиям, можно выбрать вкладку Policy Compliance консоли Policy Commander. Кроме того, вы можете получать уведомления по электронной почте относительно компьютеров, которые перестали удовлетворять требованиям, чтобы иметь возможность быстро принять меры.
Если 12 политик, заранее подготовленных разработчиками Policy Commander, не удовлетворяют всех потребностей вашей компании, вы можете воспользоваться редактором Policy Editor для создания собственных специализированных политик. Существует и еще одна возможность: загружать политики из базы знаний Policy Knowledge Base компании New Boundary Technologies. Например, если вы управляете компьютерами медицинского учреждения, у вас, возможно, возникнет потребность в реализации политик HIPAA. Или, если вы работаете в сети с высокими требованиями к защите данных, вам, возможно, имеет смысл загрузить политики безопасности, подготовленные специалистами соответствующих ведомств. Загрузка и установка этих политик осуществляется просто и в автоматическом режиме.
Продукт Policy Commander наделен исключительно добротными средствами фильтрации и применения политик к компьютерам в домене Active Directory (AD). Учтите, что данные политики не являются настройками групповых политик — это специализированные решения, использующие агентов на каждом компьютере. Если аудиторы, проверяющие выполнение вашей организацией требований закона Сарбейнса-Оксли, положений о стандартах аудита SAS-70 или закона HIPAA, требуют от вас доказательств защищенности вашей сети, стоит обратить внимание на Policy Commander.
GPOADmin with NetPro NetControl
Мне уже доводилось писать рецензию на более раннюю версию продукта GPOADmin. В ту пору он именовался просто GPOADmin (это было еще до приобретения Quest Software компании NetPro Computing). В разработанной сотрудниками NetPro программе GPOADmin недоставало одного компонента, реализованного на тот момент в продуктах конкурентов (Group Policy Administrator от компании NetIQ и Active Administrator от корпорации ScriptLogic). Речь идет о репозитории групповых политик. Внося изменения в настройки групповых политик, администратор, по сути дела, изменял существующие объекты. Новая версия GPOADmin располагает автономным репозиторием и наделена другими полезными возможностями.
Как и при подготовке предыдущей рецензии, я протестировал GPOADmin в условиях, характерных для типичной крупной компании, пытающейся организовать управление изменениями групповых политик. Я создал процесс управления изменением групповых политик, после чего использовал GPOADmin для реализации групповых политик внутри этого процесса. Упомянутый процесс состоит из следующих этапов:
- Направляется запрос на создание или изменение групповой политики.
- Запрос анализируется другими специалистами и тестируется в лаборатории.
- Реализация санкционируется.
- Исходный GPO (если это применимо) резервируется для возможного применения в сценарии «возврата» к прежнему состоянию.
- Автономный GPO создается, редактируется и проверяется коллегами-специалистами.
- Получивший санкцию объект GPO ассоциируется с соответствующей организационной единицей (OU), ассоциация со старым GPO разрывается, если это применимо.
- Проверяется, используется ли новый GPO.
- Внесенные в объекты GPO изменения периодически проходят аудит для обеспечения выполнения правил.
Установка. Как и в случае с Privilege Manager и Policy Commander, для функционирования GPOADmin требуется платформа .NET Framework 2.0. Кроме того, для работы GPOADmin необходима бесплатно распространяемая корпорацией Microsoft консоль управления групповыми политиками Group Policy Management Console (GPMC), а также либо Microsoft SQL Server, либо SQL Server Express. Для установки GPOADmin необходимо запустить четыре отдельные программы установки: NetPro Server, NetPro Console, GPOADmin Extensions и средство NetPro GPOADmin. Программа установки NetPro Server предлагает пользователю указать лицензионный файл, а также имя системы SQL Server, на которой будет установлен репозиторий групповых политик. У меня были проблемы с файлом лицензии, предоставленным мне для подготовки настоящей рецензии, а также возник ряд вопросов по тем приложениям, которые мне предстояло установить и настроить. Все они были быстро решены после звонка в службу технической поддержки.
Настройка и использование. Установив продукт, я открыл NetPro NetControl и завершил процесс настройки: включил базу данных, средства управления версиями, средства маскирования, автономного редактирования и регистрации (все эти функции не были реализованы в рассматриваемом продукте, когда я рецензировал его два года назад). Интерфейс содержал пошаговые инструкции для каждого процесса. С его помощью мне удалось даже организовать соединение с системой SQL Server и создать новую базу данных.
GPOADmin представляет собой расширение разработанной Microsoft консоли GPMC, поэтому для создания или редактирования настройки групповой политики необходимо вызывать это хорошо знакомое инструментальное средство. Щелкнув на домене, вы увидите на панели в правой части экрана четыре вкладки: Monitoring, Reports, Deleted Items и Lineages. На пятой вкладке, именуемой Standard, просто отображается окно GPMC, которое появилось бы в случае, если бы программа GPOADmin не была установлена.
Вкладка Access and Monitoring дает возможность сравнивать две или большее число настроек групповой политики. Эта функция полезна при проведении диагностики, когда один объект функционирует в соответствии с ожиданиями, а другой — нет. Названия вкладок Reports («Отчеты») и Deleted Items («Удаленные элементы») говорят об их назначении, хотя надо сказать, что реализованные в этих вкладках возможности представляют собой удачные дополнения к стандартной консоли GPMC. Вкладка Lineage помогает развертывать настройки новых групповых политик по стадиям, а также быстро возвращаться к прежнему состоянию объектов GPO, функционирующих не так, как надо. В представленном выше процессе управления изменением групповых политик эти новые функции выполняют шаги от четвертого до восьмого. Но есть одно средство, которое действительно превращает GPOADmin в продукт уровня предприятия: это функция управления этапами развертывания, реализованная в компоненте изделия NetControl.
Управление развертыванием в компоненте NetControl состоит из четырех этапов: Request, Review, Approve и Commit. Разрешения на выполнение этих четырех этапов предоставляются в приложении NetContol, как показано на экране 3. Администратор может предоставлять пользователям или группам разрешения на запрос, просмотр или санкционирование настроек групповых политик. Когда приходит время выполнения, вы можете предписать приложению GPOADmin выполнить политику непосредственно после ее санкционирования или подождать до указанного времени (например, до истечения рабочих часов). После сохранения объекта GPO пользователю или членам группы распространения по электронной почте может быть направлено сообщение о применении новой политики.
Другие полезные функции программы GPOADmin — Cloak («Сокрытие») и Lock («Блокировка»). Функция Cloak позволяет скрывать настройку групповой политики, которую вы пока не готовы демонстрировать. Lock предотвращает изменение созданной вами настройки групповой политики другими администраторами. Но хотя эти функции используются только графическим интерфейсом пользователя GPOADmin, основой их функциональности являются группы безопасности. Если другой администратор воспользуется встроенными в операционную систему Windows средствами редактирования GPO, эти правила сохранят свою силу, и настройки групповой политики останутся защищенными.
Разные проблемы, разные решения
Управление сетевыми компьютерами — дело непростое. Каждый из трех продуктов — Privilege Manager, Policy Commander и GPOADmin — заполняет некий пробел в системах Windows. Если вам требуется удалить учетные записи пользователей из группы локальных администраторов или возникла необходимость заблокировать все компьютеры и иметь возможность подтвердить это с помощью оперативных отчетов, а также если вам нужно организовать процесс санкционирования этапов утверждения групповой политики, рекомендую присмотреться к этим трем продуктам. Один из них может оказаться именно тем инструментом, который вам нужен.
Эрик Ракс (ebrux@mvps.org) — старший администратор сети Windows в крупной консалтинговой компании
Экран 1. Добавление Privilege Manager в редакторе объектов групповых политик
Экран 2. Графики и отчеты Policy Commander
Экран 3. Разрешение на управление развертыванием в приложении NetContol
BeyondTrust Privilege Manager
ЗА: продукт облегчает расширение прав пользователей, касающихся работы с тем или иным приложением; прост в установке.
ПРОТИВ: лицензионные выплаты за рабочее место могут оказаться слишком высокими для компаний с ограниченным бюджетом.
ОЦЕНКА: 4 из 5
ЦЕНА: 37,20 долл. за рабочее место (включая подписку на обновления Upgrade Assurance и расширенную программу поддержки Premium Support).
РЕКОМЕНДАЦИИ: Privilege Manager можно рекомендовать в тех случаях, когда у вас нет времени на поиск вручную средств для смягчения ограничений на работу с папками и реестром, чтобы не было необходимости наделять пользователей полномочиями локальных администраторов.
КОНТАКТНАЯ ИНФОРМАЦИЯ: BeyondTrust, www.beyondtrust.com
Policy Commander
ЗА: загружаемые политики безопасности избавляют от необходимости проводить работу по защите компьютера вслепую.
ПРОТИВ: чтобы настройки вступили в силу, нужно предварительно установить клиент; требуется создать настройку групповой политики для установки клиента сразу же после того, как объект «компьютер» добавляется к организационной единице.
ОЦЕНКА: 4 из 5
ЦЕНА: 30 долл. за рабочее место (за 15 долл. в расчете на рабочее место можно также приобрести версию, предназначенную только для управления электропитанием).
РЕКОМЕНДАЦИИ: возможность приобретения Policy Commander стоит рассматривать в тех случаях, когда аудиторы, проверяющие выполнение вашей организацией требований закона Сарбейнса-Оксли, положений о стандартах аудита SAS-70 или закона HIPAA, требуют доказательств защищенности вашей сети.
КОНТАКТНАЯ ИНФОРМАЦИЯ: New Boundary Technologies, www.newboundary.com
GPOADmin with NetPro NetControl
ЗА: новая функция организации потока работ превращает продукт в подлинное решение уровня предприятия.
ПРОТИВ: сложный процесс установки.
ОЦЕНКА: 4 из 5
ЦЕНА: 12 долл. за активированную учетную запись пользователя.
РЕКОМЕНДАЦИИ: используйте этот продукт для организации процесса санкционирования групповых политик.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Quest Software, www.quest.com