■ Политика блокировки учетной записи — с помощью данной политики можно определить правила поведения системы в случае нескольких попыток неудачного ввода пароля при аутентификации пользователя.
• Блокировка учетной записи на — определяет количество минут, на которое будет выполняться блокировка учетной записи после нескольких попыток неудачного ввода пароля. Значение может находиться в диапазоне от 1 до 99999 (если значение равно 0, то учетная запись будет заблокирована до тех пор, пока администратор компьютера ее не разблокирует самостоятельно). Для шаблона безопасности Setup security это правило не определено.
• Пороговое значение блокировки — указывает количество попыток неверного ввода пароля, после которых учетная запись будет заблокирована. Возможные значения лежат в пределах от 0 до 999. Для шаблона безопасности Setup security это 0 ошибок.
• Сброс счетчика блокировки через — определяет количество минут, по истечении которых счетчик неверных попыток ввода пароля будет обнулен. Значение может находиться в пределах от 1 до 99999. Для шаблона безопасности Setup security это правило не определено.
■ Политика Kerberos — определяет настройки протокола Kerberos, используемые при входе пользователя в систему. В контексте данной книги настройки данной политики рассмотрены не будут, так как они относятся к компьютерам, находящимся в домене, а это большая редкость на домашних компьютерах.
Раздел Локальные политики содержит три политики: Политика аудита, Назначение прав пользователя и Параметры безопасности.
■ Политика аудита — позволяет определить события, факты происхождения которых будут записываться в журнал Безопасность оснастки Просмотр событий. Можно указать запись в журнал Безопасность сведений об успешных или неудачных попытках выполнения следующих операций: вход в систему, доступ к объектам, имеющим собственный SACL (например, к принтерам, файлам, папкам), доступ к каталогам Active Directory и других. Для шаблона безопасности Setup security все события аудита, кроме аудита доступа к службе каталога (этот аудит не определен), отключены.
■ Назначение прав пользователя — с помощью данной политики можно определить права различных пользователей или групп пользователей на выполнение различных операций с объектами и компонентами операционной системы. Например, с помощью этой политики можно определить пользователей, которым разрешено входить локально в систему, разрешено входить в систему через службу терминалов, разрешено выполнять архивирование файлов и каталогов и т.д.
■ Параметры безопасности — с помощью данной политики можно настроить очень многие параметры реестра, относящиеся к безопасности компьютера. Довольно часто в Интернете можно прочитать советы об изменении тех или иных параметров реестра, настраивающих безопасность компьютера. Многие из параметров, указанных в таких советах, можно изменить и с помощью политики Параметры безопасности. Например, к наиболее часто упоминаемым в Интернете способам настройки безопасности с помощью реестра, которые также можно изменить и с помощью политики Параметры безопасности, относятся следующие.
• Очистка файла подкачки pagefile.sys при завершении работы компьютера. Для шаблона Setup security данное правило отключено.
• Сообщение, отображаемое перед входом пользователя в систему. Для шаблона Setup security данное правило не определено.
• Посылать незашифрованный пароль сторонним SMB-серверам. Для шаблона Setup security данное правило отключено.
• Запретить изменение паролей учетных записей пользователей. Для шаблона Setup security данное правило не определено.
• Пути в реестре, доступные через удаленное подключение. Для шаблона Setup security данное правило не определено.
• Разрешить анонимный доступ к общим ресурсам. Для шаблона Setup security данное правило не определено.
• Отключение или переименование учетных записей администратора и гостя. Для шаблона Setup security эти правила не определены (кроме отключения учетной записи гостя, по умолчанию эта запись отключена).
При этом большинство правил списка Параметры безопасности хранятся в реестре (то есть вы и сами можете добавить к данному списку свои правила изменения параметров реестра, чтобы изменять их с помощью шаблона безопасности). Для этого предназначена ветвь реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values. Она содержит разделы, названия которых соответствуют пути к изменяемому правилом параметру реестра (данный путь должен начинаться не с корневого раздела ветви, а с класса, в котором хранится объект операционной системы (операционная система Windows XP является объектно-ориентированной), например класс Machine определяет корневой раздел HKEY_LOCAL_MACHINE). Эти разделы хранят следующие параметры.
Читать дальше