ПР_6 Блокировка компьютера при простое с помощью GPO Рассмотрим настройку автоматической блокировки экрана/сессий на компьютерах и серверах домена с помощью GPO. Блокировка экрана компьютера при бездействии — это важный элемент информационной безопасности. Пользователь, отходя ненадолго от своего рабочего места, может забыть заблокировать свой компьютер (сочетание клавиш Win+L). В этом случае доступ к его данным может получить любой другой сотрудник или клиент, находящийся поблизости. Политика автоматической блокировки экрана позволят исправить этот недостаток. Рабочий стол пользователя через некоторое время простоя (неактивности) будет автоматически заблокирован, и, чтобы вернуться в свою сессию, пользователю нужно будет заново ввести свой доменный пароль. Создадим и настроим доменную политику управления параметрами блокировки экрана: 1. Откройте консоль управления доменными политиками Group Policy Management console (gpmc.msc), создайте новый объект GPO (LockScreenPolicy) и назначьте его на корень домена (или на OU с пользователями); 2. Перейдите в режим редактирования политики и выберите секцию User Configuration => Policies => Administrative Templates => Control Panel => Personalization (Конфигурация пользователя => Политики => Административные шаблоны => Панель управления => Персонализация); 3. В этом разделе GPO есть несколько параметров для управления экранной заставкой и настройками блокировки экрана: Enable screen saver - включить экранную заставку; Password protect the screen saver - требовать пароль для разблокировки компьютера; Screen saver timeout – через сколько секунд неактивности нужно включить экранную заставку и заблокировать компьютер; Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать. Чаще всего это scrnsave.scr (с помощью GPO можно сделать скринсейвер в виде слайдшоу); Prevent changing screen saver – запретить пользователям менять настройки экранной заставки. Включите все политики и задайте необходимое время неактивности компьютера в политики Screen saver timeout. Я указал 300. Это значит, что сессии пользователей будет автоматически блокироваться через 5 минут; Дождитесь обновления настроек групповых политики на клиентах или обновите их вручную командой (gpupdate /force). После применение GPO в интерфейсе Windows настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя автоматически блокироваться после 5 минут неактивности. Начиная с Windows Server 2012/Windows 8 есть отдельная политика безопасности компьютера, в которой задается период неактивности компьютера, после которого его нужно блокировать. Политика называется setting Interactive logon: Machine inactivity limit и находится в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options. В некоторых случаях вам может понадобится настроить различные политики блокировки для разных групп пользователей. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда. Для реализации такой стратегии вы можете использовать GPO Security Filtering или возможности Item Level Targeting в GPP. Рассмотрим второй вариант подробнее. Вы можете настроить параметры блокировки компьютеров не с помощью отдельных параметров GPO, а через реестр. Вместо рассмотренной выше политики вы можете через GPO распространить на компьютеры пользователей параметры реестра. Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop: Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1; Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300; Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr. Создайте в домене группу пользователей (SPB-not-lock-desktop), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра и с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop). Также придется создать еще 4 параметра реестра со значениями REG_SZ 0, которые принудительно отключают блокировку экрана для группы SPB-not-lock-desktop (иначе, политики не будут перезатирать установленные ранее значения). Настройка скринсейвера в виде слайдшоу с помощью GPO У руководства компании возникла идея установить на всех ПК организации одинаковый скринсейвер (экранную заставку), представляющий собой слайд-шоу с изображениями. В качестве изображений планируется использование картинок, выполненных в корпоративном стиле компании, на которых указываются основные правила информационной безопасности, полезные советы для пользователей и другая справочная информация. В результате, у меня получилось решение распространения файлов с картинками и управления экранной заставкой с помощью возможностей GPO (групповых политик). Сразу отмечу, что в компании в качестве клиентских ОС используются все поддерживаемые версии Windows: Windows 7, Windows 8.1 и Windows 10, поэтому решение по управлению корпоративной заставкой должно быть универсальным и работать на любой версии ОС. Первоначально рассматривался вариант по созданию собственного скринсейвера в формате *.scr, но такая методика требует дополнительного софта и недостаточно гибка и проста в управлении. В ОС Windows, начиная с Windows 7 на экране блокировки в качестве скринсейвера можно отображать слайд шоу из изображений в указанной папке, но управлять этими настройками с помощью GPO нельзя. Пришлось искать обходное решение. Содержание: Общий сетевой каталог с изображениями для слайд шоу Настройка параметра скинсейвера на эталонном ПК Групповая политика управления экранной заставкой Общий сетевой каталог с изображениями для слайда шоу В первую очередь на любом сервере сети создадим общий сетевой каталог, в котором будут храниться оригиналы файлов с изображениями для слайдшоу. Необходимо предоставить всем пользователям домена (группе Domain Users) права на чтение файлов в этой папке. К примеру, в нашем случае файлы хранятся по следующему UNС пути: \\srv1\Install\Img. Скопируем в нее файлы изображений. Затем создадим файл со скриптом copy_screens.bat, который должен подключать данную сетевую папку на клиентах и копировать файлы с изображениями для скринсейвера на локальный диск каждого компьютера в папку C:\Screen. Код скрипта copy_screens.bat представлен ниже. net use s: \\srv1\Install\Img mkdir C:\Screen del /Q C:\Screen\*.* xcopy S:\*.* C:\Screen Скопируйте скрипт в каталог SYSVOL на контроллере домена (C:\Windows\SYSVOL\sysvol\contoso.com\scripts). Затем с помощью редактора групповой политики создайте новую GPO или отредактируйте имеющуюся. С целью демонстрации, мы будем запускать задание копирования через разовое задание планировщика (если нужно обновить слайды, назначьте повторный запуск задания). Создадим с помощью GPO новое задание планировщика для всех ПК. Совет. Можно организовать копирование через Startup скрипт, но в этом случае, желательно модифицировать скрипт так, чтобы он проверял изменились ли файлы в исходном каталоге. Перейдите в раздел User Configuration => Preferences => Control Panel Settings => Scheduled Tasks и создайте новое задание (New => Scheduled Task at Least Windows 7) со следующими параметрами: Имя задания: CopyScreen Действие: Update Запускать задание из-под: %LogonDomain%\%LogonUser% На вкладке Triggers, добавим новое условие New Trigger => On a Schedule => One Time На вкладке Action укажем, что \\contoso.com\SYSVOL\contoso.com\scripts\copy_screens.bat нужно запускать Сохраните изменения в задании и назначьте политику на OU с пользователями. скрипт: Настройка параметра скринсейвера на эталонном ПК Теперь на эталонном компьютере нужно настроить скринсейвер, чтобы он брал изображения для слайдшоу из папки C:\Screen. Настройки соответствующих веток реестра этого компьютера в дальнейшем распространим на все ПК с помощью GPO. Примечание. На эталонном компьютере каталог C:\Screen должен существовать. В случае Windows 10 перейдите в следующий раздел настроек: Start => Settings => Personalization => Lock Screen. Промотайте вниз и найдите Screen Saver Settings. В качестве скринсейвера выберите ‘Photos’ и нажмите кнопку Settings. Укажите путь к папке C:\Screen, включите опцию Tick Shuffle Pictures и сохраните изменения. Теперь нам нужно экспортировать ветку реестра HKEY_CURRENT_USER => Software => Microsoft => Windows Photo Viewer => Slideshow => Screensaver в reg файл и импортировать ее на контроллере домена (или другом компьютере, с которого выполняется редактирование GPO). Важно. Путь к каталогу с изображениями хранится в ключе EncryptedPIDL в зашифрованном виде (Base64), поэтому изменить его вручную не получится. Но, т.к. Windows некорректно расставляет переносы строки в значении этого ключа, придется вручную отредактировать reg файл (с помощью блокнота) и сделать так, чтобы значения ключа EncryptedPIDL содержалось в одной строке. Сохраните reg файл и импортируйте его на компьютер, с которого вы редактируете GPO. Групповая политика управления экранной заставкой Откройте GPO и перейдите в ветку GPP: User Configuration => Preferences => Windows Settings => Registry. Создайте новый параметр New => Registry Wizard => Next Перейдите к ветке HKEY_CURRENT_USER => Software => Microsoft => Windows Photo Viewer => Slideshow => Screensaver. Отметьте следующие ключи и нажмите Finish: EncryptedPIDL Shuffle Speed Затем перейдите в раздел GPO User Configuration => Policies => Administrative Templates => Control Panel => Personalization. Включите политику Force specific screen saver, в качестве значения укажите PhotoScreensaver.scr. (по умолчанию Photoscreensaver.scr использует в качестве источника изображений для слайдшоу каталог C:\Users\Public\Pictures\Sample Pictures). Совет. Кроме того, можно включить следующие политики в разделе Personalization Enable Screen Saver Password Protect Screen – защита экрана блокировки паролем (позволяет автоматически заблокировать экран компьютера, если пользователель отошел от рабочего места) Screen Saver timeout – время простоя компьютера в секундах, после которого автоматически включается скринсейвер Закройте консоль Group Policy Management и обновите политики на клиентах (gpupdate /force). На всех компьютерах, после указанного времени простоя должен включаться единый корпоративный скринсейвер в виде слайдшоу из изображений в папке c:\Screen. ЗАДАНИЕ: 1. Ознакомьтесь с теоретическим блоком, выполните настройки и команды в соответствии с примером. 2. Создайте группу пользователей (OU) 11ССА211, добавьте в группу двух пользователей. 3. Создайте политику блокировки ПК с использованием скринсейвера с задержкой по времени 2 минуты. 4. Войдите на компьютер под управлением windows 10 под учетной записью пользователя из группы 11сса211, проверьте работу настроенной политики безопасности (блокировка экрана, не используемого ПК при простое). 5. Измените настройки политики безопасности для блокировки ПК с необходимостью ввода пароля пользователя. Проверьте что изменилось, войдя под учетными записями пользователей. При выполнении работы делайте снимки экрана, подготовьте отчет, поместите в отчет снимки экрана с подробным описанием выполняемых действий, вводимых команд и полученного результата. Оформите отчет и сдайте преподавателю.
