Konfiguracja ustawień i zabezpieczeń dla wdrażanych stacji klienckich Windows 7 PAWEŁ PŁAWIAK Training and Development Manager for Microsoft Technology Compendium - Centrum Edukacyjne pawel.plawiak@compendium.pl
Informacje techniczne Pomocy technicznej online przez cały czas trwania sesji udziela Krzysztof Jóźwiak >>> Krzysiek / Pomoc techniczna
Informacje techniczne W trakcie spotkania dyżur pełni autoryzowany administrator Prometric (Test Center Administrator Prometric) Anna Rubińska >>> Ania / TCAP
Informacje techniczne Jeżeli po podłączeniu do sesji Live Meeting 2007 pojawia się komunikat błędu, proszę go zamknąć i wybrać opcję Join Audio.
Informacje techniczne Plik z prezentacją jest do pobrania z poziomu klienta Live Meeting.
Informacje techniczne Odpowiedzi na najczęściej zadawane pytania znajdziecie na: http://www.wss.pl/forum/watek/srody-z-certyfikatem-70-686-sesja-4-konfiguracja-ustawien-izabezpieczen-dla-wdrazanych-stacji-klienckich-windows-7,630095
Informacje techniczne Pytania do prowadzącego oraz odpowiedzi na pytania konkursowe przekazujemy wyłącznie poprzez moduł Q&A.
A co w inne dni tygodnia?
Konkurs 1 1 lutego 2 8 lutego 7 szt. 3 15 lutego LOSOWANIE 4 22 lutego 5 29 lutego 7 szt. FINAŁOWE 6 7 marca 7 14 marca 7 szt.
Konkurs W trakcie każdego LM (od dziś) w pewnym momencie zostanie przedstawione na slajdzie pytanie. Trzy pierwsze osoby, które odpowiedzą prawidłowo wygrywają (do wyboru wg kolejności) jedną z nagród: Koszulka polo, Kubek, Akumulator AA ładowany z USB. Liczą się odpowiedzi udzielone wyłącznie przez moduł Q&A. Osoby, które w trakcie spotkania lub najpóźniej do godziny 23.59 tego samego dnia prześlą na adres pawel.plawiak@compendium.pl poprawną odpowiedź oraz poprawne odpowiedzi (minimum z sześciu spotkań) w trakcie pozostałych spotkań (wg tych samych zasad) będą uczestniczyły w finałowym losowaniu nagród.
Nagrody finałowe 1 szt. 3 szt. 1 szt. 1 szt. Vouchery 100% na egzamin 5 szt. 20 szt. 3 szt. 1 szt. 1 szt.
Statystyki Maksymalna liczba osób na spotkaniu 300 250 200 150 100 2 7 2 2 8 4 2 4 6 50 0
Statystyki Poprawne odpowiedzi Błędne odpowiedzi 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 3 1 % 6 9 % 3 4 % 6 6 % 3 2 % 6 8 %
Tematyka spotkania Projektowanie strategii konfiguracji stacji klienckich wybór metody konfiguracji wykorzystanie Group Policy wykorzystanie skryptów Tworzenie bazowej konfiguracji stacji klienckich polityki kontroli przekierowanie folderów profile użytkowników Konfiguracja zabezpieczeń stacji klienckich szyfrowanie reguły zapory ogniowej określanie reguł dotyczących kont konfiguracja zasad User Account Control konfiguracja praw i zasad zabezpieczeń ustawienia w zakresie usług systemowych polityki urządzeń przenośnych Konfiguracja Internet Explorer Pakiet Internet Explorer Administration Kit ustawienia Gpo dla IE
Wybór metody konfiguracji GROUP POLICY STARTUP & SHUTDOWN SCRIPTS LOGON & LOGOFF SCRIPTS
Tworzenie GPOs Środowisko zdecentralizowne L GP ML GP Środowisko scentralizowane Default Domain Policy Default Domain Controllers Policy
Local Group Policy Editor
Group Policy Management Editor
Group Policy Management Console
Dostęp do GPMC Member server DCs GPMC domyślnie zainstalowane
Zarządzanie AD DS GPO z Windows 7 Remote Server Administration Tools Microsoft Download Center
GPO & CMDLETS Import-Module GroupPolicy
CC UC Computer Configuration User Configuration Software Installation Software Installation Security Settings Security Settings Administrative Templates Administrative Templates ADM ADMX Local Central Store
Policies Preferences GPO CC UC Policies Preferences Policies Preferences
Starter GPO
Starter GPO Specialized Security Limited Functionality (SSLF) duże ograniczenia Enterprise Client (EC) środowisko AD DS
Monolithic GPO Functional GPO MONOLITHIC GPO FUNCTIONAL GPO Computer Configuration Policies Computer Configuration Policies User Configuration Preferences User Configuration Preferences Administrative Templates Administrative Templates Functional GPO Większa złożoność Wydajność
Strategia projektowania GPO Layer based Wykorzystuje hierarchię AD DS Według przeznaczenia Functional GPO Type based Role based Model oparty o role
Aspekty wydajności GPO Link speed określa czas potrzebny do pobrania GPO ma związek z parametrem Slow Link Detection (SLD) do oceny SLD wykorzystywany jest protokół Network Location Awareness (NLA) Change frequency ma związek ze zmianami inicjującymi przetwarzanie np. członkostwo w grupach w przypadku częstych zmian preferowane są Functional GPO użycie Monolithic GPO wpływa na powtarzanie przetwarzania Client Side Extension (CSE) Foreground vs. background processing przetwarzanie Foreground processing odbywa się przy restarcie i logowaniu się użytkownika przetwarzania Background processing zachodzi w regularnych interwałach czasowych w przypadku SLD Background processing wyklucza przetwarzanie Software Installation oraz Folder Redirection Asynchronous vs. synchronous processing przetwarzanie Asynchronous wykorzytuje Background processing dzięki czemu dostęp do stacji jest szybki domyślnie realizowane jest przetwarzania Asynchronous zasady wymagające przetwarzania Foreground processing są oznaczane do takiego zastosowania przy kolejnym logowaniu
Aspekty wydajności GPO Włączenie przetwarzania synchronicznego zapewnia stosowanie zasad Foreground w jednym przetwarzaniu ale wydłuża proces logowania. Monitorowanie > Event Viewer
Wdrażanie GPO Site GPO można wiązać do różnych obiektów (site/domain/ou) Wdrażanie = wiązanie Do określonego obiektu (site/domain/ou) można wiązać wiele GPO OU Domain
Kolejność przetwarzania GPO Local GPOs Site GPOs Domain GPOs Organizational unit GPOs LocalGPOs Site GPOs Domain GPOs Grandparent OU GPOs Parent OU GPOs Local GPOs Administrators & Non- Administrators Users
Group Policy Inheritance OU1 GPO1 GPO2 OU2 GPO1 GPO2 BLOKOWANIE DZIEDZICZENIA OU3 X GPO1 GPO2 GPO3 GPO4 OU4 GPO3 GPO4
Enforcing GPO GPO w stanie Enforced przetwarzane jest jako ostatnie. W przypadku wielu GPO w stanie Enforced obowiązują standardowe zasady przetwarzania.
Security Filtering
WMI & GPO
Języki skryptowe Batch files *.bat / *.cmd zawiera zbiór poleceń wykonywanych sekwencyjnie Windows PowerShell *.ps1 oparty na technologii.net główny język skryptowy Windows VBS scripts *.vbs język uruchamiany w ramach Windows Script Host (WSH) wspierany od Windows 2000
Wdrażanie skryptów w kontekście Local system w kontekście użytkownika
Polityki kontroli
Polityki kontroli
Polityki kontroli
Przekierowanie folderów
Przekierowanie folderów
Profile użytkowników Rodzaje profili Local Roaming Mandatory Temporary Normal Super NTUSER.DAT v NTUSER.MAN NTUSER.DAT
Profile użytkowników & GPO Administrative Templates System User Profiles Computer Configuration User Configuration
Szyfrowanie ENCRYPTING FILE SYSTEM (EFS) FILE AND FOLDER ENCRYPTION FULL VOLUME ENCRYPTION BITLOCKER DRIVE ENCRYPTION (BDE) ULTIMATE ULTIMATE ENTERPRISE ENTERPRISE PROFESSIONAL
Szyfrowanie EFS CMD PS CIPHER.EXE.
Opcje odzyskiwania EFS Data Recovery Agent Computer Configuration Windows Settings Security Settings Public Key Policies Encrypting File System
Opcje startowe BitLocker TPM-only mode BitLocker without TPM TPM with startup key TPM with PIN and startup key TPM with PIN
Opcje startowe BitLocker Computer Configuration Administrative Templates Windows Components BitLocker Drive Encryption Operating System Drives CMD PS BDE-MANAGE.EXE-.
Opcje odzyskiwania dla BitLocker Data Recovery Agent Computer Configuration Windows Settings Security Settings Public Key Policies BitLocker Drive Encryption key
Opcje odzyskiwania dla BitLocker Choose How BitLocker-Protected Operating System Drives Can Be Recovered Choose How BitLocker-Protected Fixed Drives Can Be Recovered
BitLocker To Go WRITE WINDOWS 7 ENTERPRISE / WINDOWS 7 ULTIMATE READ WINDOWS 7 / WINDOWS VISTA / WINDOWS XP FAT32 NTFS
BitLocker To Go BITLOCKERTOGO.EXE
BitLocker To Go & GPO Computer Configuration Control Use Of BitLocker On Removable Drives Administrative Templates BitLocker Drive Encryption Deny Write Access To Removable Drives Not Protected By BitLocker Allow Access To BitLocker-Protected Removable Data Drives From Earlier Versions Of Windows Configure Use Of Passwords For Removable Data Drives Removable Data Drives Choose How BitLocker-Protected Removable Drives Can Be Recovered
EFS <> BitLocker Dane zaszyfrowane EFS pozostają zaszyfrowane, kiedy są kopiowane na inny wolumin NTFS. Dane zaszyfrowane BitLocker pozostają zaszyfrowane, kiedy są kopiowane na inny wolumin zaszyfrowany technologią BitLocker. Dane zaszyfrowane EFS są automatycznie deszyfrowane, kiedy użytkownik posiadający dostęp do danych zaszyfrowanych skopiuje je na wolumin nie wspierający EFS, np. system plików FAT32. EFS można wykorzystywać dla i między określonymi użytkownikami. BitLocker oraz BitLocker To Go pracuje na poziomie całego woluminu, więc ograniczenia dla określonych użytkowników muszą być realizowane na poziomie uprawnień NTFS (lub EFS). EFS nie umożliwia tworzenia reguł w oparciu o grupy. Transfer danych chronionych EFS na inny komputer wymusza import powiązanego certyfikatu, który był wykorzystany do szyfrowania.
Zapory ogniowe w Windows 7 Windows Firewall reguły względem programów lub usług Windows Firewall with Advanced Security (WFwAS) reguły w oparciu o porty, protokoły, adresy, użytkowników, komputery
Windows Firewall with Advanced Security Inbound/Outbound Rules Connection Security Rules
Tworzenie reguł WFwAS Computer Configuration Windows Settings Security Settings Konfiguracja reguł opartych na określonym protokole i porcie. Ograniczenie reguł do określonych adresów (źródłowych /docelowych). Konfiguracja reguł względem określonych aplikacji lub usług. Konfiguracja reguł wchodzących i wychodzących do grup komputerów.
Connection Security Rules Umożliwiają tworzenie reguł odpowiadających za uwierzytelnianie i szyfrowanie połączeń. Działąją w oparciu o IPSec. Zastępują reguły IPSec z poprzednich wersji Windows. Computer Configuration Windows Settings Security Settings
Tworzenie reguł CSR Custom Tunnel Isolation Authentication exemption Server-toserver
Account Policies
Zmiana i resetowanie haseł
UAC Policies Computer Configuration Windows Settings Security Settings Local Policies Security Options Szczegóły dotyczące zasad UAC Egzamin 70-680 "Windows 7, Configuration" www.microsoftvirtualacademy.com
User Rights Computer Configuration Windows Settings Security Settings Local Policies User Rights Assignment
Locking Down Policies Usługi nie wymagane przez standardową instalację Windows 7 nie są ustawiane na start typu Automatic. Automatic (Delayed Start) Automatic Manual Disabled
AppLocker Windows 7 Enterprise Windows 7 Ultimate Reguły dokładniejsze nadpisują reguły ogólniejsze AppLocker można stosować dla określonego użytkownika lub grupy użytkowników Za AppLocker odpowiada usługa systemowa Application Identity AppLocker standardowo nie tworzy reguł domyślnych
AppLocker kategoria i reguły Executable Rules *.exe *.com) Kategorie ograniczeń AppLocker Windows Installer Rules Script Rules *.msi *.msp *.ps1 *.bat *.cmd *.vbs *.js ) Reguły AppLocker Publisher Rules Hash Rules Path Rules DLL Rules *.dll *.ocx
AppLocker właściwości i zdarzenia
Removable Drive Policies Computer Configuration All removable storage classes CD and DVD Floppy drives Administrative Templates System Custom classes DENY Execute DENY Read DENY Write Removable Storage Access WPD devices (media players and smart phones) Tape drives Removable disks
IE & GPO Computer Configuration User Configuration User Configuration Administrative Templates Security Zones Cache Settings Windows Settings Administrative Templates Windows Components Browsing History Proxy Server Connections InPrivate Browsing InPrivate Filtering Internet Explorer Maintenance Windows Components Internet Explorer Privacy Settings Add-ons Accelerators Internet Explorer
Internet Explorer Administration Kit Centralna dystrybucja i zarządzanie instalacją Windows Internet Explorer. Konfiguracja profili połączeń dla komputerów Windows 7. Dostosowywanie ustawień Windows Internet Explorer.
Konfiguracja ustawień i zabezpieczeń dla wdrażanych stacji klienckich Windows 7. PYTANIA