WINDOWS 2012 Nastavení GPO - ukázky
WINDOWS 2012 - GPO
1
VYTVOŘENÍ ADRESÁŘŮ
Obrázek 1 - Vytvořte adresář GPO
Obrázek 2 - Vytvořte podadresář Tapeta a Společný
1
WINDOWS 2012 - GPO
Obrázek 3 - Nastavte sdílení
Obrázek 4 - Nastavte bezpečnost
2
WINDOWS 2012 - GPO
2
VYTVOŘENÍ GRAFICKÝ SOUBOR
Obrázek 5 - Vytvořte obrázek
3
WINDOWS 2012 - GPO
3
VYTVOŘENI GPO
Obrázek 6 - Použití gpmc.msc
Obrázek 7 - Vytvoření organizačních jednotek
4
WINDOWS 2012 - GPO
Obrázek 8 - Vytvoření GPO s názvem Tapeta
Obrázek 9 - Nastavení GPO
5
WINDOWS 2012 - GPO
Obrázek 10 - Nastavení GPO Tapeta
6
WINDOWS 2012 - GPO
4
VYTVOŘENÍ GPO KE SDÍLENÉMU ADRESÁŘI - GPO\MAPOVANI
Obrázek 11 - Mapování disku
Obrázek 12 - Nastavení cesty k disku
7
WINDOWS 2012 - GPO
Obrázek 13 - Nastavení přístupu k disku
8
WINDOWS 2012 - GPO
5
ZÁKAZ PŘÍSTUPU K NASTAVOVACÍMU PANELU
Obrázek 14 - Vytvoření GPO Zákaz přístupu
Obrázek 15 - Nastavení zákazu přístupu
9
WINDOWS 2012 - GPO
Obrázek 16 - Aktivace zákazu přístupu
10
WINDOWS 2012 - GPO
6
NASTAVENÍ A AKTIVACE LINKŮ
Obrázek 17 - Aktivace linku ke sdílenému disku
Obrázek 18 - Aktivace linku k Tapetě
11
WINDOWS 2012 - GPO
Obrázek 19 - Link na zákaz přístupu k Ovládacímu panelu
12
WINDOWS 2012 - GPO
7
BEZPEČNÁ HESLA 1. V doméně Active Directory může mít heslo maximálně 127 znaků a 14 znaků v místní databázi zabezpečení Windows. 2. Mezi platné znaky platí malá a velká písmena, číslice a speciální znaky. 3. Zásady účtů se nastavují v doméně v objektu zásad skupiny (Default Domain Policy GPO). a. Otevřete objekt zásad skupiny. b. Otevřete položku Zásady účtů (Accoun Polices), pak Konfigurace počítače (Computer Configuration), Nastavení systému Windows (Windows Settings) a Nastavení zabezpečení (Security Settings). c. V uzlech nastavíme jednotlivé vlastnosti. i. Vynutit použití historie hesel (Enforce Password History). Ukládá až 24 starých heel. ii. Maximální stáří hesla (Maximum Password Age) iii. Minimální stáří hesla (Minimum Password Age) iv. Minimální délka hesla (Minimum Password Lenght). Alespoň 8 znaků, bezpečné heslo má 14 znaků. v. Heslo musí splňovat požadavky na složitost (Password must Meet Complexity Requirements). Minimálně 6 znaků, kontroluje slovníková jména, kontroluje 3 typy znaků ze 4. vi. Ukládat hesla pomocí reverzibilního šifrování (Store Password Using Reversible Encryption). Hesla se do databáze šifrují a tuto vlastnost nelze vrátit zpět. Používat výjimečně u některých aplikací.
13
WINDOWS 2012 - GPO
8
KONFIGURACE ZÁSAD UZAMČENÍ ÚČTŮ 1. Prahová hodnota pro uzamčení účtu určuje počet pokusů o přihlášení, než se účet zamkne. Rozumný rozsah je v rozmezí 7 až 17. Lze nastavit až 999. 2. Doba uzamčení účtu je v rozmezí 0 až 99 999 minut. Je to čas, který se počítá co překročení Prahové hodnoty pro uzamčení účtu. 3. Vynulovat čítač uzamčení účtu (Reset AccoutLockout After) – používá se k vynulování čítače neúspěšných přihlášení po určité době. Funkce: pokud po od posledního neúspěšného pokusu o přihlášení vypršel čas daný v zásadě, tak se vynuluje. Slouží pro odhalení opakující se útoků o prolomení hesla.
14
WINDOWS 2012 - GPO
9
ZÁSADY MODULU KERBEROS Kerberos v5 je primární ověřovací mechanizmus v doménách Active Directory. K ověřování používá protokol tzv. lístky. Ty obsahují zašifrovaná data potvrzující identitu pro účely ověřování identity nebo ověření uživatelských práv. Výrobce doporučuje do nastavení bez hlubší znalosti Kerberosu nezasahovat. Vlastnosti: a. Maximální doba života lístku služby (Maximum Lifetime For Service Ticket) b. Maximální doba života lístku uživatele (Maximum Lifetime For User Ticket) c. Maximální doba života pro obnovení lístku uživatele (Maximum Lifetime For User Ticket Renewal) d. Maximální tolerance synchronizace hodin počítače (Maximum Tolerance For Comcuter Clock Synchronization) e. Vynutit omezení přihlášení uživatele (Enforce User Logon Restrictions)
15
WINDOWS 2012 - GPO Použitý zdroj:
Stanek, William R., Microsoft Windows Server 2012, kapesní rádce administrátora, Computer Press, 2015, Brno. 1. vydání, 735 stran, ISBN 976-80-251-3817-5.
16