Настройка безопасности windows server 2012 r2

Обновлено: 27.04.2024

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Defender for Endpoint расширяет поддержку и включает операционную Windows Server. Эта поддержка обеспечивает расширенные возможности обнаружения и расследования атак с помощью консоли Microsoft 365 Defender. Поддержка Windows Server обеспечивает более глубокое представление о действиях сервера, освещении обнаружения атак ядра и памяти, а также позволяет реагировать на действия.

В этом разделе описывается, как Windows серверов в Microsoft Defender для конечной точки.

Практические рекомендации по вопросам лицензирования и инфраструктуры см. в Windows Servers with Defender for Endpoint.

Руководство по загрузке и использованию Безопасность Windows базовых данных для Windows серверов см. в Безопасность Windows Baselines.

Windows Обзор бортового сервера

Для успешной работы на бортовых серверах необходимо выполнить следующие общие действия.

Иллюстрация потока onboarding для Windows серверов и Windows 10 устройств

Windows Server 2012 R2 и Windows Server 2016 (Предварительная версия)

  • Загрузка пакетов установки и загрузки
  • Установка приложения
  • Выполните действия по вовсю для соответствующего средства

Windows Сервер Semi-Annual Enterprise channel и Windows Server 2019

  • Скачайте пакет onboarding
  • Выполните действия по вовсю для соответствующего средства

Новые функции в современном едином решении для Windows Server 2012 R2 и 2016 Preview

Предыдущая реализация onboarding Windows Server 2012 R2 и Windows Server 2016 требовала использования Microsoft Monitoring Agent (MMA).

Новый пакет единого решения упрощает работу на бортовых серверах путем удаления зависимостей и действий по установке. Кроме того, этот единый пакет решений поставляется со следующими основными улучшениями:

    с защитой следующего поколения для Windows Server 2012 R2 устройствах и файлах

Если вы ранее использовали серверы с помощью MMA, следуйте указаниям, предусмотренным в миграции Сервера, чтобы перейти к новому решению.

Несмотря на то, что этот метод Windows Server 2012 R2 и Windows Server 2016 находится в предварительном просмотре, вы можете продолжить использовать предыдущий метод Microsoft Monitoring Agent (MMA). Дополнительные сведения см. в рублях Установка и настройка конечных точек с помощью MMA.

Известные проблемы и ограничения

К новому пакету единого решения для R2 и Windows Server 2012 R2 2016 применяются следующие особенности:

  • Убедитесь, что требования к подключению, указанные в Внося доступ к URL-адресам службы Microsoft Defender для конечных точек на прокси-сервере, будут выполнены. Они эквивалентны тем, которые Windows Server 2019.
  • Ранее использование Microsoft Monitoring Agent (MMA) на Windows Server 2016 и ниже позволяло шлюзу OMS /Log Analytics предоставлять подключение к облачным службам Defender. Новое решение, например Microsoft Defender для конечной точки Windows Server 2019, Windows Server 2022 и Windows 10, не поддерживает этот шлюз.
  • На Windows Server 2016 убедитесь, что антивирусная программа в Microsoft Defender установлена, активна и устарела. Вы можете скачать и установить последнюю версию платформы с помощью Windows Update. Кроме того, скачайте пакет обновления вручную из каталога обновлений Майкрософт или из MMPC.
  • В Windows Server 2012 R2 пользовательский интерфейс для антивирусная программа в Microsoft Defender. Кроме того, пользовательский интерфейс на Windows Server 2016 позволяет только для базовых операций. Чтобы выполнять операции на устройстве локально, обратитесь к управление защитником Microsoft для конечной точки с PowerShell, WMI и MPCmdRun.exe. В результате функции, которые конкретно зависят от взаимодействия с пользователем, например, когда пользователю предложено принять решение или выполнить определенную задачу, могут работать не так, как ожидалось. Рекомендуется отключить или не включить пользовательский интерфейс и не требовать взаимодействия с пользователем на управляемом сервере, так как это может повлиять на возможности защиты.
  • Не все правила уменьшения поверхности атаки доступны во всех операционных системах. См. правила по уменьшению поверхности атаки ( ASR).
  • Чтобы включить защиту сети,требуется дополнительная конфигурация:
    -- Set-MpPreference-EnableNetworkProtection Включено
    -- Set-MpPreference AllowNetworkProtectionOnWinServer 1
    -- Set-MpPreference-AllowNetworkProtectionDownLevel 1
    -- Set-MpPreference-AllowDatagramProcessingOnWinServer 1
    Кроме того, на машинах с большим объемом сетевого трафика рекомендуется тестирование производительности в среде, прежде чем широко включить эту возможность. Возможно, потребуется учитывать дополнительное потребление ресурсов.
  • В Windows Server 2012 R2 сетевые события могут не заполняться в временной шкале. Эта проблема требует обновления Windows, выпущенного в рамках ежемесячного обновления 12 октября 2021 г. (KB5006714).
  • Обновления операционной системы не поддерживаются. Offboard then uninstall before upgrading.
  • Автоматические исключения для ролей сервера не поддерживаются Windows Server 2012 R2. Дополнительные сведения о добавлении исключений см. в рекомендациях по проверке вирусов для Enterprise компьютеров, на которые в настоящее время запущены поддерживаемые версии Windows.

Интеграция с Azure Defender

Microsoft Defender для конечной точки интегрируется с Azure Defender. На бортовых серверах можно автоматически отображать серверы, отслеживаемые Защитником Azure, в Defender for Endpoint и проводить подробные расследования в качестве клиента Azure Defender.

Для Windows Server 2012 R2 и 2016 для запуска современного унифицированного предварительного просмотра решения интеграция с Центром безопасности Azure и Azure Defender для серверов для оповещения и автоматического развертывания еще недоступна. Пока вы можете установить новое решение на этих машинах, в Центре безопасности Azure не будут отображаться оповещения.

Windows Server 2012 R2 и Windows Server 2016

Несмотря на то, что этот метод Windows Server 2012 R2 и Windows Server 2016 находится в предварительном просмотре, вы можете продолжить использовать предыдущий метод Microsoft Monitoring Agent (MMA). Дополнительные сведения см. в рублях Установка и настройка конечных точек с помощью MMA.

Предварительные требования

Необходимые условия для Windows Server 2012 R2 Если вы полностью обновили свои машины с помощью последнего ежемесячного пакета обновления, дополнительных условий нет.

Пакет установщика проверит, установлены ли следующие компоненты с помощью обновления:

Необходимые условия для Windows Server 2016

Убедитесь, антивирусная программа в Microsoft Defender установлена, активна и устарела. Вы можете скачать и установить последнюю версию платформы с помощью Windows Update. Кроме того, скачайте пакет обновления вручную из каталога обновлений Майкрософт или из MMPC.

Новый пакет обновлений для Microsoft Defender для конечной точки Windows Server 2012 R2 и 2016

Чтобы получать регулярные улучшения и исправления для компонента EDR Sensor, убедитесь Windows что обновление KB5005292 будет применено или утверждено. Кроме того, чтобы сохранить компоненты защиты обновлены, см. в антивирусная программа в Microsoft Defender обновления и применить базовые показатели.

Загрузка пакетов установки и загрузки

В Центр безопасности в Microsoft Defender перейдите к Параметры > управления устройствами > onboarding.

Выберите Windows Server 2012 R2 и 2016.

Выберите пакет установки Загрузка и сохраните .msi файл. Вы можете запустить пакет msi через мастера установки или выполнить действия командной строки в Install Microsoft Defender для конечной точки с помощью командной строки.

антивирусная программа в Microsoft Defender будет установлена и будет активна, если вы не установите его в пассивный режим. Дополнительные сведения см. в антивирусная программа в Microsoft Defender в пассивном режиме..

Выберите пакет загрузки и сохраните .zip файл.

Установите пакет установки с помощью любого из параметров для установки антивирусная программа в Microsoft Defender. (См. антивирусная программа в Microsoft Defender на Windows Server.)

Следуйте шагам, предусмотренным в разделе "Действия на борту".

Параметры установки Microsoft Defender для конечной точки

В предыдущем разделе вы скачали пакет установки. Пакет установки содержит установщик для всех компонентов Microsoft Defender для конечных точек.

Установка Защитника Майкрософт для конечной точки с помощью командной строки

Используйте пакет установки на предыдущем этапе для установки Microsoft Defender для конечной точки.

Запустите следующую команду для установки Microsoft Defender для конечной точки:

Чтобы удалить, убедитесь, что машина отключена сначала с помощью соответствующего сценария offboarding. Затем используйте программы и функции панели управления для > > выполнения удалить.

Кроме того, запустите следующую команду удалить, чтобы удалить Microsoft Defender для конечной точки:

Чтобы добиться успеха, необходимо использовать тот же пакет, который использовался для установки для вышеуказанной команды.

Переключатель /quiet подавляет все уведомления.

антивирусная программа в Microsoft Defender автоматически не переходить в пассивный режим. Вы можете задать антивирусная программа в Microsoft Defender для работы в пассивном режиме, если вы работаете с антивирусным решением, не относя к Майкрософт. Для установок командной строки необязательный элемент немедленно задает антивирусная программа в Microsoft Defender пассивный режим, чтобы FORCEPASSIVEMODE=1 избежать помех. Затем, чтобы убедиться, что антивирус Defender остается в пассивном режиме после встраив в поддержку таких возможностей, как EDR Block, установите ключ реестра ForceDefenderPassiveMode.

Дополнительные сведения см. в антивирусная программа в Microsoft Defender в пассивном режиме..

  • Пакет onboarding для Windows Server 2019 и Windows Server 2022 через Microsoft Endpoint Manager в настоящее время проходит по сценарию. Дополнительные сведения о развертывании скриптов в Диспетчер конфигурации см. в тексте Пакеты и программы в Configuration Manager.
  • Локальный сценарий подходит для доказательства концепции, но не должен использоваться для развертывания производства. Для развертывания производства рекомендуется использовать групповую политику или Microsoft Endpoint Configuration Manager.

Поддержка Windows Server обеспечивает более глубокое представление о действиях сервера, освещении обнаружения атак ядра и памяти, а также позволяет реагировать на действия.

Установка Защитника Майкрософт для конечной точки с помощью скрипта

Сценарий установки также можно использовать для автоматизации установки, деинсталлации и бортовой установки.

Windows Сервер Semi-Annual Enterprise Channel и Windows Server 2019 и Windows Server 2022

Пакет onboarding для Windows Server 2019 и Windows Server 2022 через Microsoft Endpoint Manager в настоящее время проходит по сценарию. Дополнительные сведения о развертывании скриптов в Диспетчер конфигурации см. в тексте Пакеты и программы в Configuration Manager.

Пакет загрузки

В Центр безопасности в Microsoft Defender перейдите к Параметры > управления устройствами > onboarding.

Выберите Windows Server 1803 и 2019.

Выберите пакет Загрузка. Сохраните его как WindowsDefenderATPOnboardingPackage.zip.

Следуйте шагам, предусмотренным в разделе "Действия на борту".

Этапы onboarding

Теперь, когда вы скачали необходимые пакеты бортовых данных, используйте инструкции, перечисленные в средствах и методах для сервера.

(Применимо только в том случае, если вы используете стороннее решение по борьбе с вредоносными программами). Необходимо применить следующие параметры антивирусная программа в Microsoft Defender режима. Убедитесь, что она была настроена правильно:

Установите следующую запись реестра:

  • Путь: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
  • Имя: ForceDefenderPassiveMode
  • Тип: REG_DWORD
  • Value: 1

Запустите следующую команду PowerShell, чтобы убедиться, что пассивный режим настроен:

  • Интеграция между Azure Defender для серверов и Microsoft Defender для конечной точки расширена для поддержки Windows Server 2022, Windows Server 2019 и Windows Virtual Desktop (WVD).
  • Мониторинг конечной точки сервера с использованием этой интеграции отключен для Office 365 GCC клиентов.

Подтверди, что обнаружено недавнее событие, содержащее событие пассивного режима:

Изображение результата проверки пассивного режима

  • При использовании Azure Defender для мониторинга серверов автоматически создается клиент Defender для конечных точек (в США для пользователей США, в ЕС для европейских пользователей и в Великобритании для пользователей Великобритании). Данные, собранные Defender для конечной точки, хранятся в географическом расположении клиента, как определено во время предварительной обработки.
  • Если вы используете Defender для конечной точки перед использованием Azure Defender, ваши данные будут храниться в указанном вами расположении при создания клиента, даже если вы интегрируете с Azure Defender позднее.
  • После настройки невозможно изменить расположение, в котором хранятся данные. Если необходимо переместить данные в другое расположение, необходимо обратиться в службу поддержки Майкрософт для сброса клиента.

Проверка бортовой и установки

Убедитесь, антивирусная программа в Microsoft Defender и Microsoft Defender для конечной точки запущены.

Запустите тест обнаружения для проверки бортовой

После работы на устройстве можно выполнить тест обнаружения, чтобы убедиться, что устройство правильно вошел в службу. Дополнительные сведения см. в таблице Выполнить тест обнаружения на недавно созданном устройстве Microsoft Defender для конечных точек.

Запуск антивирусная программа в Microsoft Defender не требуется, но рекомендуется. Если основным решением защиты конечной точки является другой антивирусный продукт, можно запустить антивирус Defender в пассивном режиме. Вы можете подтвердить, что пассивный режим запущен после проверки работы сенсора Microsoft Defender для конечной точки (SENSE).

Запустите следующую команду, чтобы убедиться, что антивирусная программа в Microsoft Defender установлена:

Этот шаг проверки необходим только в том случае, если вы используете антивирусная программа в Microsoft Defender в качестве активного решения для борьбы с антивирусами.

sc.exe query Windefend

Если в результате "указанная служба не существует в качестве установленной службы", вам потребуется установить антивирусная программа в Microsoft Defender. Дополнительные сведения см. в антивирусная программа в Microsoft Defender на Windows Server.

Сведения об использовании групповой политики для настройки и управления антивирусная программа в Microsoft Defender на Windows серверах см. в этой Windows параметры групповой политикидля настройки и управления антивирусная программа в Microsoft Defender .

Запустите следующую команду, чтобы убедиться, что microsoft Defender для конечной точки запущен:

sc.exe query sense

Результат должен показать, что он запущен. Если возникли проблемы с бортовой съемкой, см. в таблице Устранение неполадок.

Выполнить тест обнаружения

Выполните действия в запуске теста обнаружения на недавно настроеном устройстве, чтобы убедиться, что сервер сообщается в Defender для службы Endpoint.

Дальнейшие действия

После успешного встройки устройств в службу необходимо настроить отдельные компоненты Microsoft Defender для конечной точки. Следуйте порядку принятия, чтобы ориентироваться на включение различных компонентов.

Offboard Windows серверов

Вы можете Windows Server 2012 R2, Windows Server 2016, Windows Server (SAC), Windows Server 2019, Windows Server 2019 Core в том же методе, что и для Windows 10 клиентских устройств.

Для других Windows серверных версий у вас есть два варианта отключения Windows серверов из службы:

  • Удалить агент MMA
  • Удаление конфигурации рабочего пространства Defender для конечной точки

*Эти инструкции по отключению для других версий сервера Windows также применяются, если вы работаете с предыдущей microsoft Defender для конечной точки Windows Server 2016 и Windows Server 2012 R2, которая требует MMA. Инструкции по миграции в новое невыверченное решение находятся в сценариях миграции Сервера в Microsoft Defender для конечной точки.

Традиционно, когда говорят о компьютерной безопасности подразумевают прежде всего сетевую безопасность Server 2012. Не случайно считается что самый безопасный компьютер – это компьютер который от сети отключен.

Сейчас фактически невозможно представить себе работу без использования интернета.
В этой статье я выделю несколько тем о которых пойдет повествование ниже, а именно:
1) Модель OSI
2) Межсетевой экран (Firewall)
Начнем с Модели ISO – эта модель была предложена в 1978 году, пересмотрена в 1984 году и назначалась для того что бы описывать архитектуру сети. Несмотря на то что эта модель так и не была использована для создания именно сетевого протокола, но она описывает сам принцип работы сети, в этой модели выполняются свои собственные функции.

Сейчас мы подробнее их рассмотрим:

Самым нижнем уровнем является "Физический уровень" он определяет способ передачи данных которые представлены в двоичном виде от одного устройства к другому.

Вторым уровнем является "Канальный" он предназначен для того что бы обеспечивать взаимодействия по физическому уровню, полученные с этого уровня данные представлены в битах на канальном уровне упаковываются, проверяется их целостность, возможные ошибки и передаются на 3-й уровень

Который является "Сетевым" данный уровень небходим для определения путей по которым передаются данные, определяется трансляция логического адреса и имени, определяются кратчайшие маршруты, отслеживаются различные сбои в сети

4-й уровень "Транспортный" предназначен для распределения проверенных передач данных от отправителя к получателю

5-й уровень "Сеансовый" поддерживает сеанс связи, позволяет приложениям осуществлять связь между собой продолжительное время

6-й уровень – это уровень "Представления" который обеспечивает преобразование протоколов из шифрования

Последний уровень "Прикладной" обеспечивает взаимодействие пользовательских программ или приложений с сетью

"Межсетевой экран (Firewall)" предназначен для защиты компьютера и компьютерной сети от сетевых атак, защита осуществляется благодаря фильтрации пакетов данных, которые передаются по сети!

Межсетевой экран (Firewall)

Межсетевой экран защищает хосты одной сети от хостов с другой сети, например трафик которых приходит с интернета отфильтровывается в Firewall и в нашу сеть поступает только разрешенный трафик, тоже самое будет происходить и в обратном порядке.

Давайте теперь попробуем создать правила для нашего Firewall и посмотрим как изменится поведение системы.

Для этого зайдите на контроллер домена Server 2012, далее в сервер-менеджере выберете пункт "Средства" далее "Брандмауэр Windows в режиме повышенной безопасности"


Здесь мы можем создавать правила входящие и исходящие подключения, изменять существующие правила, отслеживать результаты работы сети и т.д

Сейчас мы создадим правило для одной из пользовательских служб Windows. Что бы это сделать перейдите на "Правила для входящих подключений" щелкните ПКМ и жмите "Создать правило"



Для начала определимся что мы хотим сделать, в качестве примера я разберу запрет команды Ping пользователем, для этого ставлю чек-бокс на "Предопределенные" и в раскрывающимся списке выбираю "Доменные службы Active Directory" и "Далее"


Выбираем 2 пункт и жмем "Далее"



И в завершающем этапе ставим "Блокировать подключение" и соответственно "Готово"



Для проверки правила переходим на компьютер пользователя открываем командную строку, для этого жмите сочетание клавиш "WIN + R" и вбейте команду "cmd"



Пишем команду ping и ip адрес нашего сервера, и жмем "Enter" для проверки правила. Как вы можете наблюдать ping не проходит



Теперь попробуем удалить правило и проделать ту же самую операцию на компьютере пользователя. Для этого снова открываем "Брандмауэр Windows" затем "Правила для входящих подключений" и удаляем правило которые мы создали

Заходи назад к нашему пользователю AD и проверяем работу команды Ping, как видим все работает


Если в процессе чтения у ваз возникли вопросы по теме задавайте их в комментарии и не забываем подписываться на рассылку!

Здравствуйте, в сегодняшней статье мы рассмотрим базовую настройку и защиту Windows Server 2012 R2 после установки, а также установим роль Hyper V. Настройку Active Directory рассматривать мы не будем, т.к тестовый сервер, на котором производились все манипуляции не включен в домен. Нас интересует только Windows Server hyper v
Прежде чем начать любые манипуляции убедитесь, что на случай, если вы сделали что-то не так у вас есть физический доступ к серверу/иной способ получить доступ к управлению.

winserver hyperv

Включение RDP

Смена порта RDP

Нам необходимо открыть редактор реестра (Win+R, затем regedit )
И перейти в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Отыскиваем параметр Port Number, открываем его и переводим редактор в десятичный режим, затем вписываем порт, который хотим использовать в дальнейшем. Порт должен быть в диапазоне от 1 до 65535. Советую использовать что-то на 40xxx, они редко сканируются.

После чего нажимаем ОК, закрываем редактор реестра. Переходим в брандмауэр Windows в режиме повышенной безопасности.


Открываем правила для входящих подключений, нажимаем создать правило.
Выбираем вариант "для порта".


Затем выбираем определенные локальные порты и протокол TCP, затем вписываем наш порт. В моем случае 49150.


И разрешаем подключение для всех.


После чего разрешаем правило для доменной, частной и публичной сети. Затем придумываем имя нашему правило.

Затем снова открываем Win+R и вписываем команду shutdown /r /t 0
Это перезагрузит наш сервер. После чего мы к нему подключаемся уже по адрес:49150 , где 49150 соответственно ваш порт.

Включение звука в системе

windows server

Переходим в администрирование, затем открываем службы. Или в Win+R команда services.msc
Находим службу Windows Audio, открываем её.

windows server

Выставляем параметр автоматически, запускаем службу, затем применить.

windows server

После чего служба должна начать выполняться и звук в системе появиться, если мы подключены удаленно, либо если стоят драйвера на звуковую карту, если мы взаимодействуем с сервером физически.

Переименование учетной записи Администратора.


Нам необходимо открыть локальную политику безопасности (команда secpol.msc для Win+R), затем перейти в раздел локальные политики, в параметры безопасности. Находим пункт "Учетные записи: переименование учетной записи администратора"

windows server

Открываем и вписываем имя, которое нам необходимо. Затем нажимаем применить.

Также советую поменять время, после которого вам будет приходить уведомление о рекомендации сменить пароль. Пункт для изменения находится чуть ниже в том же разделе.

Установка Hyper V

windows server

Сразу обращаю ваше внимание, что на виртуальной машине гипервизор установить не получится из-за ограничений Microsoft и особенностей реализации данного программного продукта. Только на физическом компьютере/сервере.
Также для виртуальной машины максимум возможно 32 виртуальных потока, 1ТБ ОЗУ, 64ТБ диск.
Открываем диспетчер серверов, затем управление, добавить роли и компоненты.


Нажимаем далее, затем выбираем вариант установка ролей или компонентов


После чего выбираем наш сервер


Затем выбираем роль Hyper-V и добавляем компоненты.


Поскольку для работы сети в виртуальных машинах нам будет необходим виртуальный коммутатор, привязанный к внешней сети - выбираем нашу основную сетевую карту для создания этого самого виртуального коммутора.


Миграцию не настраиваем, оставляем галочку пустой.


После чего переходим к настройке хранилища, тут уже сами выбираем, где у нас будут хранится виртуальные машины.


И подтверждаем установку, разрешив автоматическую перезагрузку. Во время установки сервер перезагрузиться.


После перезагрузки у нас появится диспетчер Hyper V.

Создание виртуальной машины


Нажимаем создать, выбираем виртуальную машину.
После чего у нас откроется мастер создания виртуальной машины.


Нажимаем далее, придумываем имя виртуальной машине.


После чего нам необходимо выбрать поколение. 1 поколение - обычный Legacy BIOS, UEFI загрузка и все ее преимущества не поддерживаются. Второе - UEFI BIOS.


Затем выделяем необходимое нам количество ОЗУ.


Теперь можно выбрать размер виртуального жесткого диска и его расположение.


Затем можно выбрать образ ОС для установки. Можно даже образ с дискеты или с физического CD/DVD/BD привода. Я выберу установить позже, т.к создаю лишь тестовую виртуальную машину.


Затем идет общая сводка по всем параметрам. Нажимаем готово.


Затем в диспетчере Hyper-V нажимаем подключить.


И в открывшемся меню пуск. На этом всё. После нажатия кнопки пуск виртуальная машина будет запущена и готова.

Первичная настройка Windows Server

Читать статью по первичной установке и настройке windows server.

Изучайте Linux и DevOPS вместе с нами!

Попробовать бесплатного чат-бота, который научит поднимать wordpress, nginx, mysql.

Настройка домена и групповых политик в Windows Server

Доменом в Windows Server называют отдельную область безопасности компьютерной сети.

В домене может быть один или несколько серверов выполняющих различные роли. Разрешения, применяемые администратором, распространяются на все компьютеры в домене.

Пользователь, имеющий учетную запись в домене, может войти в систему на любом компьютере, иметь учетную запись на локальном компьютере не требуется.

В домене могут работать несколько тысяч пользователей, при этом компьютеры могут принадлежать к разным локальным сетям.

Несколько доменов имеющих одну и ту же конфигурацию и глобальный каталог называют деревом доменов. Несколько деревьев могут быть объединены в лес.

В домене есть такое понятие как групповая политика. Под групповой политикой понимают настройки системы, которые применяются к группе пользователей. Изменения групповой политики затрагивают всех пользователей входящих в эту политику.

Параметры групповой политики хранятся в виде объектов групповой политики (Group Policy Object, GPO). Эти объекты хранятся в каталоге подобно другим объектам. Различают два вида объектов групповой политики – объекты групповой политики, создаваемые в контексте службы каталога, и локальные объекты групповой политики.

Не будем подробно вдаваться в теорию и перейдем к практике.

Создание домена в Windows Server

Добавить роли и компоненты

На первой странице мастер напоминает, что необходимо сделать перед началом добавления роли на сервер. Нажмите «Далее».

На втором шаге нужно выбрать «Установка ролей и компонентов» и нажать «Далее».

Установка ролей и компонентов

Выбираем сервер, на который нужно установить Active Directory (он у нас один), «Далее».

Выбор целевого сервера

Теперь нужно выбрать роль, которую нужно добавить. Выбираем «Доменные службы Active Directory». После чего откроется окно, в котором будет предложено установить службы ролей или компоненты, необходимые для установки роли Active Directory, нажмите кнопку «Добавить компоненты», после чего кликните «Далее».

Доменные службы Active Directory

PЗатем нажимайте «Далее», «Далее» и «Установить».

Процесс установки Active Directory

После того, как роль была добавлена на сервер, необходимо настроить доменную службу, то есть установить и настроить контроллер домена.

Настройка контроллера домена Windows Server

Затем нажимайте «Далее» несколько раз до процесса установки.

Когда контроллер домена установиться компьютер будет перезагружен.

Добавление и настройка групп и пользователей в домене Windows Server

Теперь нужно добавить пользователей домена, что бы присоединить к сети рабочие места сотрудников.

пользователи и компьютеры Active Directory

Отроем «Пользователи и компьютеры Active Directory». Для этого перейдите в Пуск –> Панель управления –> Система и безопасность –> Администрирование –> Пользователи и компьютеры Active Directory.

Создать подразделение

Подразделения служат для управления группами компьютеров пользователей. Как правило их именуют в соответствии с подразделениями организации.

Создайте учетную запись пользователя в новом подразделении. Для этого в контекстном меню нового подразделения выберите пункт Создать –> Пользователь. Пусть первым пользователем будет Бухгалтер.

Создание нового пользователя в подразделении домена

Группа безопасности в Winndows Server

Теперь нужно ввести компьютер в домен и зайти под новым пользователем. Для этого на клиентском компьютере нужно указать DNS-адрес. Для этого откройте «Свойства сетевого подключения» (Пуск –> Панель управления –> Сеть и Интернет – >Центр управления сетями и общим доступом – Изменение параметров адаптера), вызовите контекстное меню подключения и выберите «Свойства».

Выделите «Протокол Интернета версии 4 (TCP/IPv4)», нажмите кнопку «Свойства», выберите «Использовать следующие адреса DNS-серверов» и в поле «Предпочитаемый DNS-сервер» укажите адрес вашего DNS-сервера. Проверьте, что задан IP-адрес и маска той же подсети, в которой находится сервер.

Присоединение компьютера к домену

Первый вход в домен

После перезагрузки войдите в систему под доменной учётной записью пользователя, которая была создана ранее

После ввода пароля операционная система попросит вас сменить пароль.

Вернемся на сервер. Нажмите «Пуск» -> Администрирование и перейдите в окно Управления групповой политикой. Выбираем наш лес, домен, Объекты групповой политики, щелкаем правой кнопкой мыши -> создать. Называем его buh (это объект групповой политики для группы Бухгалтерия).

Связать существующий объект групповой политики

Теперь необходимо привязать данный объект групповой политики к созданной группе. Для этого нажмите правой кнопкой на созданное подразделение (Бухгалтерия) и выберите «Связать существующий объект групповой политики…», затем выберите созданный ранее объект в списке и нажмите «ОК».

Далее выбираем созданный объект.

Выбор объекта групповой политики

Выбранный объект должен появиться в списке связанных объектов групповой политики. Для редактирования параметров, определяемых данным объектом, нажмите на него правой кнопкой и выберите «Изменить».

Установка параметров безопасности

Ограничения парольной защиты

Редактор управления групповыми политиками

Ограничение на параметры парольной системы защиты задаются в контексте «Конфигурация компьютера». Выберите Конфигурация Windows –> Параметры безопасности –> Политики учетных записей –> Политика паролей.

В данном разделе объекта групповой политики определяются следующие параметры:

  1. «Минимальный срок действия пароля» задает периодичность смены пароля.
  2. «Минимальная длина пароля» определяет минимальное количество знаков пароля.
  3. «Максимальный срок действия пароля» определяет интервал времени, через который разрешается менять пароль.
  4. «Пароль должен отвечать требованиям сложности» определяет требования к составу групп знаков, которые должен включать пароль.
  5. «Хранить пароли, используя обратимое шифрование» задает способ хранения пароля в базе данных учетных записей.
  6. «Вести журнал паролей» определяет количество хранимых устаревших паролей пользователя.

Тут нужно указать необходимые параметры (определите самостоятельно).

Политика ограниченного использования программ

Объекты групповой политики позволяют запретить запуск определенных программ на всех компьютерах, на которые распространяется действие политики. Для этого необходимо в объекте групповой политики создать политику ограниченного использования программ и создать необходимые правила. Как это сделать.

После обновления объекта групповой политики на рабочей станции, политика ограниченного использования программ вступит в действие и запуск программ, соответствующих правилам, будет невозможен.

Давайте запретим использовать командную строку на клиентском компьютере.


Запрет запуска командной строки (cmd.exe).

На этом все. Если у вас остались вопросы, обязательно задайте их в комментариях.

Запрет запуска командной строки

Анатолий Бузов

Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.

Читайте также: