Конфигурация программ установка программ

Оснастка «Редактор локальной групповой политики». Часть 1

Эта статья является базисом и введением в изучение групповых политик операционных систем Windows, от знания которой зависит работа со всем последующим материалом. Как уже говорилось в предыдущей статье по основам групповых политик: «Введение в изучение групповых политик», групповая политика – это компонент серверных и клиентских операционных систем Windows, начиная с Windows 2000, позволяющий централизовано управлять конфигурацией пользователей и компьютеров.

Групповые политики основываются на многих параметров политик, которые в свою очередь указывают на применение определенной настройки для выбранного компьютера или пользователя. В операционных системах Windows Server 2008 R2 и Windows 7 насчитывается более 3200 политик, при помощи которых можно оградить локальных пользователей и пользователей, расположенных в вашем домене или лесу от действий, которые они не должны выполнять. Методы создания собственных политик будут рассказаны в одной из последующих статей. Все параметры политик располагаются в объекте групповых политик GPO (Group Policy Object).

#13. Настройка групповых политик на Windows Server 2019.

Объекты групповых политик делятся на две категории:

• Доменные объекты групповых политик, которые используются для централизованного управления конфигурацией компьютеров и пользователей, входящих в состав домена Active Directory. Эти объекты хранятся только на контроллере домена;
• Локальные объекты групповых политик, которые позволяют настраивать конфигурацию локального компьютера, а также всех пользователей, созданных на этом компьютере. Эти объекты хранятся только в локальной системе. Локальные объекты групповых политик могут применяться, даже если компьютер входит в состав домена.

В этой статье речь пойдет об управлении локальными объектами групповых политик.

Управление локальными объектами групповых политик

Для управления локальными объектами групповых политик в операционных системах Windows используется оснастка консоли управления «Редактор локальной групповой политики». При помощи данной оснастки вы можете настраивать большинство системных компонентов и приложений. Рассмотрим подробно методы управления компьютером и пользователями при помощи данной оснастки:

Открытие оснастки «Редактор локальных групповых политик»

Вы можете открыть данную оснастку несколькими способами:

1. Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Редактор локальной групповой политики и откройте приложение в найденных результатах;
2. Воспользуйтесь комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите gpedit.msc и нажмите на кнопку «ОК»;
3. Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Редактор объектов групповой политики» и нажмите на кнопку «Добавить». В появившемся диалоге «Выбор объекта групповой политики» нажмите на кнопку «Обзор» для выбора компьютера или нажмите на кнопку «Готово» (по умолчанию установлен объект «Локальный компьютер»). В диалоге «Добавление или удаление оснасток» нажмите на кнопку «ОК»;

Установка ПО на ПК пользователей домена с помощью GPO

На следующем скриншоте отображена оснастка «Редактор объектов групповой политики»:

Узлы оснастки

В оснастке редактора локальных объектов групповой политики присутствуют два основных узла:

• Конфигурация компьютера, который предназначен для настройки параметров компьютера. В этом узле расположены параметры, которые применяются к компьютеру, невзирая на то, под какой учетной записью пользователь вошел в систему. Эти параметры применяются при запуске операционной системы и обновляются в фоновом режиме каждые 90-120 минут.
• Конфигурация пользователя, который предназначен для настроек параметров пользователей. Параметры, которые находятся в этом узле, применяются при входе конкретного пользователя в систему. Так же, как и параметры, расположенные в узле конфигурации компьютера, параметры, расположенные в узле конфигурации пользователя обновляются в фоновом режиме каждые 90-120 минут.

В этих основных узлах вы можете найти по три дочерних узла, при помощи которых настраиваются все параметры локальных объектов групповых политик.

Конфигурация программ

В узле конфигурации программ расположено только одно расширение клиентской стороны «Установка программ», благодаря которому, вы можете указать определенную процедуру установки программного обеспечения. Расширения клиентской стороны (Client-Side-Extension CSE) преобразовывает указанные параметры в объект групповой политики и вносит изменения в конфигурацию пользователя или компьютера. Создавать объекты GPO для развертывания программного обеспечения можно только в операционной системе Windows Server 2008/2008R2. Процесс создания GPO для установки программ будет подробно рассмотрен в одной из последующих статей.

Конфигурация Windows

Узел «Конфигурация Windows» в основном предназначен для обеспечения безопасности компьютера и учетной записи, для которой применяются данные политики. В конфигурации Windows вы можете найти несколько узлов:

Политика разрешения имен

Этот узел предоставляет возможность управлением расширением таблицы политик разрешения имен (NRTP), которая хранит параметры конфигурации для безопасности DNS (DNSSEC). Политика разрешения имен – это объект групповой политики, в котором указаны сведения о политике, которые отображаются в NRTP. Это расширение стоит настраивать только в том случае, если ваш компьютер входит в состав домена Active Directory. Эта политика расположена только в узле «Конфигурация компьютера».

При создании правила вам следует обратить внимание на следующие моменты:

Правила можно создавать для следующих частей пространства DNS:

• Суффикс – это зона пространства имен DNS, к которой применяется данное правило. Суффикс является частью полного доменного имени;
• Префикс – это первая часть полного доменного имени, к которому применяется правило;
• Полное доменное имя – состоит из узла и имени домена, включая домен верхнего уровня;
• Подсеть (IPv4) – это адрес подсети в формате IPv4 для зоны, к которой в случае обратного просмотра будет применено правило;
• Подсеть (IPv6) – это адрес подсети в формате IPv6 для зоны, к которой в случае обратного просмотра будет применено правило;
• Любой – применяется для всех найденных пространств имен DNS.

В поле «Центр сертификации» вы можете указать ЦС, который используется для создания цифровых подписей. Можно вводить ЦС вручную или выбрать нужный, воспользовавшись кнопкой «Обзор».

На вкладке «DNSSEC» вы можете включить DNSSEC для создаваемого правила и указать принудительную проверку конфигурации для безопасности DNS, а также выбрать тип шифрования, который будет использоваться для данного правила. Доступные значения: «Без шифрования (только целостность)», «Тройной DES (3DES)», «Advanced Encryption Standard (AES)» с длиной ключа 128, 192 или 256 бит, или AES с длиной ключа 192 и 256 бит.

На вкладке «Параметры DNS для прямого доступа» вы можете указать серверы, которые клиент DNS будет использовать при соответствии указанного имени; прокси-сервер, который будет использоваться для подключения к Интернету; и можете указать тип шифрования для использования IPSec при взаимодействии между клиентом и сервером DNS.

Если вы нажмете на кнопку «Дополнительные параметры глобальной политики», то сможете настроить параметры роуминга, параметры ошибки запроса и разрешения запроса.

После того как все параметры будут указаны, нажмите на кнопку «Создать». После чего созданное правило отобразится в таблице политик разрешения имен. Изменения политики не будут сохранены, пока вы не нажмете на кнопку «Применить».

Сценарии

При помощи этого CSE-расширения вы можете указывать по два типа сценариев автозапуска или завершения работы для узлов конфигурации компьютера и пользователя соответственно. В том случае, если вы укажете более одного сценария, то они будут выполняться согласно перечню в списке. Время ожидания обработки сценариев – 10 минут. В операционных системах, предшествующих Windows Server 2008 R2 и Windows 7, можно было использовать только языки сценариев ActiveX (Microsoft Visual Basic, Jscript, VBScript, Perl) и пакетные файлы (*.bat, *.cmd). Теперь появилась возможность использовать сценарии PowerShell:

Для того чтобы назначить сценарий для автозагрузки или завершения работы, выполните следующие действия:

1. Откройте редактор локальной групповой политики;
2. Выберите «Сценарий запуск/завершение» из конфигурации Windows узла «Конфигурация компьютера» или «Конфигурация пользователя»;
3. Дважды щелкните левой кнопкой мыши на политике «Автозагрузка» или «Завершение работы»;
4. В диалоговом окне свойств политики нажмите на кнопку «Добавить»;
5. В диалоговом окне «Добавление сценария», в поле «Имя сценария» введите путь к сценарию или нажмите на кнопку «Обзор» для поиска файла, а в поле «Параметры сценария» введите необходимые параметры аналогично вводу этих параметров в командной строке;

При назначении нескольких сценариев они будут применяться в заданном порядке. Чтобы переместить сценарий в списке вверх, выберите его и нажмите на кнопку «Вверх». Для того чтобы переместить сценарий в списке вниз, выберите его и нажмите на кнопку «Вниз». Для того чтобы изменить сценарий, нажмите на кнопку «Изменить». Кнопка «Удалить» предназначена для удаления сценария из списка.

На вкладке «Сценарий PowerShell» вы можете добавить сценарии с расширением *.ps1. Также, вы можете выбрать порядок выполнения обычных сценариев и сценариев PowerShell из раскрывающегося списка.

Политика безопасности

Этот узел позволяет настраивать безопасность средствами GPO. В этом узле для конфигурации компьютера доступны следующие настройки:

Политики учетных записей, которые позволяют устанавливать политику паролей и блокировки учетных записей. Этот функционал будет рассматриваться в одной из следующих статей.

Локальные политики, отвечающие за политику аудита, параметры безопасности и назначения прав пользователя. Этот функционал будет рассматриваться в одной из следующих статей.

Брандмауэр Windows в режиме повышенной безопасности, при помощи которых вы можете создавать правила входящих и исходящих подключений, а также правила безопасности подключений так же, как и в одноименной оснастке. Разница лишь в том, что после создания правила, его настройки нельзя будет изменить, а также в оснастке «Брандмауэр Windows в режиме повышенной безопасности» у вас не будет прав для удаления текущего правила. На следующем скриншоте вы увидите правило безопасности подключения туннельного режима, созданного средствами групповых политик и открытого в оснастке «Брандмауэр Windows в режиме повышенной безопасности»:

Политики диспетчера списка сетей, позволяющие управлять всеми вашими сетевыми профилями.

Политики открытого ключа, которые позволяют:

• настраивать компьютеры на автоматическую отправку запросов в центр сертификации предприятия и установку выдаваемых сертификатов;
• создавать и распространять список доверия сертификатов (CTL);
• добавлять агенты восстановления шифрованных данных и изменение параметров политики восстановления шифрованных данных;
• добавлять агенты восстановления данных шифрования диска BitLocker.

О политиках открытого ключа будет подробно рассказано в статье о локальных политиках безопасности.

Политики ограниченного использования программ, позволяющие осуществлять идентификацию программ и управлять возможностью их выполнения на локальном компьютере, в подразделении, домене и узле.

Политики управления приложениями, отвечающие за создание и управления правилами и свойствами функционала AppLocker, который позволяет управлять установкой приложений и сценариев.

Политики IP-безопасности на «Локальный компьютер», которые позволяют создавать политику IP-безопасности локального компьютера и управлять списками IP-фильтров. Более подробно будет рассказано в статье о локальных политиках безопасности.

Конфигурация расширенного аудита, который предоставляет дополняющие локальные политики, отвечающие за аудит. Об этих параметрах речь пойдет в статье, связанной с политиками аудита.

В дополнение ко всем этим параметрам безопасности Windows 7, в операционной системе Windows Server 2008 R2 доступны еще следующие параметры:

Журнал событий, который позволяет настраивать параметры журналов событий приложений, системных событий и событий безопасности.

Группы с ограниченным доступом, которые позволяют включать пользователей в отдельные группы. Об этих параметрах будет подробно рассказываться в статье о делегировании прав групповых политик.

Системные службы, определяющие типы запуска и разрешения доступа для системных служб.

Реестр, который задает разрешения контроля доступа к отдельным разделам системного реестра.

Файловая система, определяющие разрешения контроля доступа для файлов и папок NTFS.

Политики проводной сети (IEEE 802.3), которые управляют настройками проводных сетей.

Политики беспроводной сети (IEEE 802.11), которые управляют настройками беспроводных сетей.

Network Access Protection, которые позволяют создавать политики защиты сетевого доступа.

QoS на основе политики

Этот узел определяет политики, управляющих сетевым трафиком, которые позволяют настраивать проводные сети. Параметры QoS на основе политик позволяют настраивать приоритеты и управлять скоростью передачи для исходящего трафика на основе следующих факторов:

• Отправляющее приложение;
• URL-адрес;
• Исходные или конечные адреса или префиксы адресов IPv4 и IPv6;
• Исходные или конечные порты или диапазоны портов протоколов TCP и UDP;
• Протоколы TCP или UDP.

Создание политик QoS будет подробно рассмотрено в одной из следующих статей.

Развернутые принтеры

Эта функция полезна, когда принтер используется совместно в закрытой среде, такой как школа, где все компьютеры в аудитории или офисе должны иметь доступ к одному принтеру или когда пользователю при перемещении в другое местоположение необходимо автоматическое подключение принтера.

Настройки Internet Explorer

Чаще всего эти параметры используются для настройки внешнего вида браузера и его функций для применения стандартов организации, связанных с Интернетом, а также, чтобы предоставить пользователям общий интерфейс браузера. При помощи этого функционала вы можете настраивать заголовки браузера, панели инструментов, строки User-Agent, зон безопасности, оценки содержимого и многое другое. Подробно эти параметры будут рассматриваться в одной из последующих статей.

В узле «Конфигурация Windows» операционной системы Windows Server 2008R2 вы также можете найти узел «Перенаправленные папки», которые позволяют менять местоположение специальных папок внутри профиля пользователя на новое, например, на место в общем сетевом ресурсе.

Заключение

На этом заканчивается первая часть статьи, посвященной оснастке «Редактор локальной групповой политики». При помощи текущей оснастки вы можете проводить разнообразные действия для настройки компьютера и повышения его безопасности. В этой статье был проведен краткий обзор функционала узлов «Конфигурация программ» и «Конфигурация Windows», используя которые вы можете управлять установкой программ, аудитом пользователей, изменять запуска служб, сценарии автозапуска и завершения, правил брандмауэра Windows в режиме повышенной безопасности и многое другое. В следующей части статьи я расскажу о принципах работы с узлом «Административные шаблоны», а также о фильтрации параметров политик данной оснастки.

Источник: dimanb.wordpress.com

Настройка параметров развертывания ПО

Для просмотра и настройки основных параметров пакета ПО выполните действия описанные в продолжении статьи.

1. В GPMC щелкните правой кнопкой GPO, который хотите использовать для развертывания, и выберите Изменить (Edit).

2. В редакторе политики откройте узел Конфигурация компьютераКонфигурация программУстановка программ (Computer Configuration Software SettingsSoftware Installation) или Конфигурация пользователяКонфигурация программУстановка программ (User ConfigurationSoftware SettingsSoftware Installation) в зависимости от нужного типа развертывания.

3. Щелкните дважды пакет установки ПО. В окне свойств просмотрите или измените параметры развертывания ПО.

4. На вкладке Развертывание (Deployment), вы можете изменить тип развертывания и настроить следующие параметры развертывания и установки:

• Автоматически устанавливать приложение при обращении к файлу с соответствующим расширением (Auto-Install This Application By File Extension Activation) Объявляет все расширения файлов, спязаиные с приложением, для развертывания при первой попытке использования. Этот флажок по умолчанию установлен.

• Удалять это приложение, если его использование выходит за рамка, допустимые политикой управления (Uninstall This Application When It Falls Out Of The Scope Of Management) Удаляет приложение, если оно более не применимо к пользователю.

• Не отображать это приложение в окне мастера установки и удаления программ панели управления (Do Not Display This Package In The Add/Remove Programs Control Panel) Отменяет отображение приложения в окне мастера установки и удаления программ. Это лишит пользователя возможности отменить установку приложения.

• Устанавливать это приложение при входе в систему (Install This Application At Logon) Задает полную установку приложения — не просто объявление о наличии — при входе пользователя в систему. При развертывании публикацией этот параметр недоступен.

• Пользовательский интерфейс при установке (Installation User Interface Options) Управляет выполнением установки. При значении по умолчанию — Полный (Maximum) — пользователь видит все окна и сообщения программы установки. Выбор параметра Простой (Basic) означает, что пользователь в процессе установки увидит только сообщения об ошибках и о завершении работы.

5. Щелкните ОК.

Сегодня я неконец заменил экран у своего ноутбука, после того как на него села моя жена. Нашёл контору по замене экрана в интернете, обошлось всё в около 200$ с работой. В принципе нормально для 17″ монитора.

Источник: logi.cc

Разграничение информационных систем при защите персональных данных

Предмет данной статьи — разграничение информационных систем при защите персональных данных с помощью программы Киберсейф Межсетевой экран. В статье будет показан пример развертывания программы и разграничения доступа групп ПК в реальной компании.

Требования к защите информационных систем персональных данных

ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Согласно приказу ФСТЭК России №21 от 18 февраля 2013 г., для обеспечения 3 уровня защищенности персональных данных применяются (пункт 12б):

межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно­телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно­-телекоммуникационными сетями международного информационного обмена;

В этой статье будет рассмотрено практическое использование программы Киберсейф Межсетевой экран, которая на данный момент сертифицирована по 4-ому уровню защищенности, однако в течение месяца будет сертифицирована по 3-ему уровню (сертификат уже находится на подписи в ФСТЭК). С соответствующим сертификатом можно ознакомиться на сайте компании КиберСофт. Ссылка на государственный реестр сертифицированного ПО будет приведена в конце статьи.

Постановка задачи

Структура компании, в которой мы недавно внедряли программу Киберсейф Межсетевой экран, изображена на рис. 1.

Рис. 1. Структура компании

Рассматриваемая компания содержит пять отделов (Агроотдел, IT-отдел, юридический отдел, отдел управления, ИСПДн «Атлант ПД») и три филиала. Связь с удаленными филиалами осуществляется через Интернет. На шлюзе, как и на остальных компьютерах сети, установлена программа Киберсейф Межсетевой экран.
Далее в этой статье будет показано развертывание программы Киберсейф Межсетевой экран на все компьютеры сети с помощью Active Directory, а также настройка групповых правил.
Наша задача — оградить группу ИСПДн от внешнего мира (то есть закрыть ей доступ в Интернет) и от остальной локальной сети. Таким образом, компьютеры в ИСПДн смогут «общаться» только друг с другом. Стоит отметить, что данный продукт был специально создан для максимально быстрого решения задач по ограничению доступа к группам ПК. В других продуктах решение поставленной задачи занимает гораздо больше времени или вообще невозможно (если используется система динамического распределения сетевых адресов). Если не учитывать время, необходимое на развертывание программы с помощью Active Directory, ограничить доступ одной группы компьютеров к другой вы сможете за считанные минуты.
Данная схема не претендует на оригинальность или новизну. Задача была сделать продукт максимально удобным для разграничения нескольких ИС или ограничить одну ИС с конфиденциальной информацией от других секторов локальной сети и интернет в строгом соответсвии с законодательством РФ.

Создание файла трансформации

• Откройте программу Киберсейф Удаленный сервер (входит в состав пакета программ Киберсейф Межсетевой экран).
• Выберите команду меню Инструменты, Установочный скрипт файл.
• Заполните параметры, которые будут занесены в сценарий развертывания, а именно порт, на котором будет работать файрвол (обычно 50001), порт удаленного сервера, IP-адрес удаленного сервера, ключ активации, e-mail администратора, пользователь и пароль по умолчанию (рис. 2).
• Нажмите кнопку Сохранить скрипт.
• В окне сохранения файла выберите формат сценария — для развертывания с помощью Active Directory нужно выбрать формат *.mst (рис. 3)

Рис. 2. Создание сценария развертывания

Рис. 3. Сохранение сценария развертывания

Подробно программа Киберсейф Удаленный сервер рассмотрена в руководстве по программе Киберсейф Межсетевой экран (http://cybersafesoft.com/rus/products/cybersafe-firewall/).
Если в вашей организации не используется Active Directory, то с помощью программы Киберсейф Удаленный сервер вы можете создать командный файл (*.bat). Для развертывания программы на всех компьютерах сети достаточно будет скопировать его на каждый компьютер вместе с инсталлятором программы (MSI-файл) и запустить его (командный файл). Если же для каждого компьютера нужны уникальные пользователи, тогда можно на каждом компьютере вручную запустить инсталлятор программы (MSI-файл), при этом вам не нужны ни файл трансформации, ни командный файл.

Развертывание Киберсейф Межсетевой экран с помощью Active Directory

Теперь рассмотрим процесс развертывания программы Киберсейф Межсетевой экран с помощью ActiveDirectory. Все иллюстрации для этого раздела были созданы в Microsoft Windows Server 2012 R2, но все приведенные инструкции будут работать и в более старых версиях (Microsoft Windows Server 2003/2008), возможно, немного будут отличаться иллюстрации.
Первым делом нужно создать папку для развертывания программного обеспечения. Она будет содержать все MSI-пакеты, развертывания которых вам нужно выполнить (не нужно создавать отдельную папку для программы Киберсейф Межсетевой экран).
Пусть это будет папка C:Install. В этой папке создайте подпапку CSFirewall. В нее нужно поместить установочный файл csfirewall.msi и файл трансформации csfirewall.mst, который вы создали в предыдущем разделе.
К папке C:Install нужно предоставить общий доступ. Для этого щелкните правой кнопкой по папке и выберите команду Свойства. На вкладке Доступ нажмите кнопку Общий доступ и предоставьте доступ на чтение и запись администратору и доступ только на чтение всем остальным пользователям сети.
Далее запустите редактор групповой политики gpmc.msc. Мы предполагаем, что программу Киберсейф Межсетевой экран нужно установить на все компьютеры сети. Поэтому щелкните правой кнопкой мыши на домене и выберите команду Создать объект групповой политики в этом домене и связать его (рис. 4).

Рис. 4. Редактор групповой политики

Назовите новый объект групповой политики CS_Firewall (рис. 5). В разделе Фильтры безопасности удалите группу Прошедшие проверку и добавьте компьютеры, группы и пользователей, к которым будут применены параметры данного объекта групповой политики (рис. 6). Другими словами добавьте компьютеры, на которые должна быть установлена программа.

Рис. 5. Создание нового объекта GPO

Рис. 6. Созданный объект GPO

Щелкните правой кнопкой мыши на только что созданном GPO (CS Firewall) и выберите команду Изменить. Перейдите в раздел Конфигурация пользователя, Политики, Конфигурация программ, Установка программ (рис. 7).

Рис. 7. Раздел Конфигурация пользователя, Политики, Конфигурация программ, Установка программ

Щелкните правой кнопкой на разделе Установка программ и выберите команду Создать, Пакет. В появившемся окне нужно выбрать путь к MSI-файлу программы. Обратите внимание, что вводить нужно не локальный путь, а сетевой, поскольку пользователи будут получать доступ к пакету по сети.
Следующий шаг — выбор метода развертывания. Поскольку мы хотим предоставить файл трансформации (mst-файл, созданный программой Киберсейф Удаленный сервер), то нужно выбрать особый метод развертывания (рис. 8). Благодаря этому будет открыто окно настройки пакета развертывания (рис. 9).

Затем перейдите на вкладку Модификации, нажмите кнопку Добавить и выберите файл трансформации (.mst-файл), рис. 10.

Рис. 8. Выбор метода развертывания

Рис. 9. Настройка пакета развертывания

Рис. 10. Указываем файл трансформации

Нажмите кнопку OK.

Примечание. После нажатия кнопки OK пакет и файл трансформации (файлы .msi и .mst соответственно) будут прокэшированы. Если вам понадобится изменить файл трансформации после создания пакета, то придется создавать пакет развертывания заново.

На этом работа с редактором групповой политики завершена. Закройте все окна, откройте командую строку (или хотя бы окно Выполнить, нажав комбинацию клавиш Win + R) и введите команду:

gpupdate /force

На этом все. Программа будет автоматически установлена на компьютеры после их перезагрузки и до отображения окна входа в систему. Пользователь ни на что не может повлиять и ни в чем не может ошибиться.
Иногда программа не устанавливается автоматически. Чаще всего такая проблема наблюдается на рабочих станциях под управлением Windows XP. Чтобы произвести ее установку, нужно вручную ввести на ней команду gpupdate /force.

Настройка правил брандмауэра

Используя панель администрирования Киберсейф межсетевой экран, вы можете задать глобальные и групповые правила для всех межсетевых экранов Киберсейф, установленных в вашей сети. Глобальные правила распространяются на все компьютеры, на которых установлена программа Киберсейф межсетевой экран, а групповые правила определяют поведение программы Киберсейф межсетевой экран, установленной на определенной группе компьютеров.
Прежде, чем приступить к настройке глобальных и групповых правил, нужно назначить пользователя администратором. Сделать это можно только с помощью программы Киберсейф Удаленный сервер.
Администратор может с помощью панели администрирования управлять удаленным брандмауэром. Итак, в программе Киберсейф Удаленный сервер разверните узел Пользователи и выберите пользователя, которого вы хотите сделать администратором и включите переключатель Администратор (рис. 11).

Рис. 11. Назначение пользователя администратором

Теперь приступим к решению нашей задачи. Напомню, нам нужно запретить доступ компьютерам ИСПДн «Атлант» доступ к Интернету и к другим компьютерам сети.
Войдите в программу Киберсейф Межсетевой экран и выберите команду меню Файрвол, Панель администрирования.
Создайте различные группы компьютеров, которые будут соответствовать имеющимся в сети отделам (см. рис. 1). Для создания группы щелкните правой кнопкой мыши на рабочей области и выберите команду Добавить группу. А чтобы добавить в группу компьютер просто перетащите его пиктограмму на пиктограмму группы. Конечный результат приведен на рис.

12. Обязательно нажмите кнопку Применить, чтобы программа «запомнила» созданные группы.
Нужно отметить, что при изменении IP-адресов входящих в группу компьютеров состав созданной группы не изменится. Поэтому не стоит волноваться о составе группы в случае использования в вашей организации DHCP-сервера.

Рис. 12. Созданные группы

Выделите ИСПДн «Атлант ПД» и нажмите кнопку Установить правила. Так вы сможете установить групповые правила. Для установки глобальных правил нужно выделить узел Все и нажать кнопку Установить правила.
Итак, установим правила для группы ИСПДн «Атлант ПД». В появившемся окне перейдите в раздел Правила безопасности и нажмите кнопку Добавить (рис. 13).

Рис. 13. Правила безопасности: пока не заданы

На вкладке Общие (рис. 14) задайте описание правила — «Запрет обмена данными с группой ».
Установите тип правила — Запретить пакеты, выберите направление пакетов — Для всех пакетов и протокол — Любой.

Рис. 14. Вкладка Общие

В качестве источника укажите ИСПДн «Атлант ПД», а в качестве получателя — одну из групп вашего предприятия, например, IT-отдел. Нажмите кнопку OK.
Что делает это правило? Оно запрещает компьютерам ИСПДн «Атлант ПД» передавать любые пакеты в группу IT-отдел. Даже если какой-то компьютер из группы IT-отдел попытается установить соединение с компьютером группы ИСПДн «Атлант ПД», то компьютеры группы ИСПДн «Атлант ПД» все равно не смогут ответить ему, поскольку им это запрещает правило.

Рис. 15. Вкладка Источник

Рис. 16. Вкладка Получатель

Повторите описанную процедуру для остальных групп в вашей сети. У вас должен получиться набор правил, показанный на рис. 17.

Рис. 17. Созданные правила для группы ИСПДн «Атлант ПД»

1. Описание — Запрет доступа к Интернету
2. Тип правила — Запретить пакеты
3. Направление пакетов — Для всех пакетов
4. Протокол — Любой

На вкладке Источник выберите в качестве источника ИСПДн «Атлант ПД» (рис. 15). На вкладке Получатель установите IP-адрес сервера (внутренний), например, 192.168.1.1 (рис. 18).

Рис. 18. Запрет доступа к Интернету

Нажмите кнопку OK. По умолчанию все правила являются выключенными. Для их включения щелкните на каждом правиле правой кнопкой мыши и выберите команду Включить. Окончательный вариант правил показан на рис. 19.

Обратите внимание на статус правила — Включено.

Рис. 19. Окончательный вариант правил

Закройте окно редактирования правил безопасности, а в окне Панель администрирования нажмите кнопку Применить, а затем закройте само окно.

Вывод

Поставленная задача решена и теперь компьютеры группы ИСПДн «Атлант ПД» не могут взаимодействовать с остальными компьютерами локальной сети и у них нет доступа к Интернету. Средствами программ Киберсейф Межсетевой экран информационная система персональных данных была полностью изолирована от остальной сети.

Источник: habr.com