Как да ограничите достъпа до Windows GPO File Explorer

Сред параметрите за сигурност, които като администратори трябва да вземем предвид и управляваме, е този на ограничете достъпа до информация до неоторизирани потребители или група определени площи според изискванията на организацията.

Всички знаем, че един от начините, по които файловете, хоствани на компютър, могат да бъдат проверени и достъпни, е чрез файловия изследовател и може да се сблъскаме със сериозен проблем със сигурността Тъй като има или ще съществуват файлове с поверителен характер, които, ако не са защитени по правилния начин, могат да бъдат достъпни от изследователя от всеки потребител и оттам да видят какво съдържа споменатият файл.

При тази възможност ще видим как можем да ограничим достъпа до File Explorer или някои от неговите параметри използване на групови правила или по -известни като GPO.

За да научите повече за груповите правила, посетете следната връзка:

Какво е File ExplorerПо принцип чрез File Explorer можем да управляваме и преглеждаме всички файлове (текст, изображения, музика и т.н.), които се съхраняват на твърдия диск на нашите компютри или сървъри.

По същия начин чрез File Explorer можем да получим достъп до системна информация като регистри, библиотеки dell и т.н., като използваме пътя C: \ Windows…; Оттук и значението на предотвратяването Неоторизирани потребители могат да имат достъп до файловия изследовател в домейна.

1. Отворете мениджъра на групови правила


За този анализ прилагаме политиката в Windows Server 2016, но същото важи и за всяко издание на Windows Server 2012.

За да започнем процеса на създаване и редактиране на груповата политика, трябва да влезем в конзолата за управление на груповата политика, използвайки някой от следните методи:

1) Използване на командата Run (комбинация от клавиши Windows + R) и в показания прозорец въведете термина

 gpmc.msc
2) От менюто "Старт" отидете на:
  • Всички приложения
  • Инструменти за управление
  • Управление на груповите политики

Ще се покаже прозорецът за управление на груповите политики, където можем да го редактираме според вкуса и нуждите на всеки отделен човек.

Не забравяйте, че чрез мениджъра на групови правила можем да създадем ограничения или разрешения за цялата организация или конкретни потребители, като изберете съответната организационна единица.

2. Създайте групови правила, за да ограничите достъпа до опциите на браузъра


След като отворим този прозорец, щракваме с десния бутон върху реда "Политика за домейн по подразбиране”Тъй като ще създадем тези ограничения за целия домейн и ще изберете опцията редактиране.

Увеличете

В показания прозорец трябва да преминем към следния маршрут:

  • Потребителски настройки
  • Директиви
  • Административни шаблони
  • Компоненти на Windows
  • Браузър на файлове

Ще видим следния прозорец:

Увеличете

Както можем да видим от дясната страна, имаме различни опции, свързани с параметрите на File Explorer.

3. Регулирайте параметрите на груповата политика


На това място няма да намерим политика, която да ограничава отварянето на файловия изследовател, но имаме много опции, които ни позволяват да предприемаме действия в изследователя, които могат да повлияят на оптималната производителност на машината.

От този прозорец можем да редактираме параметри като:

Предотвратете достъпа до устройства от моя компютърКато активираме тази политика и дефинираме кои единици да ограничим, можем да попречим на потребителите да имат достъп до различните единици на домейна и да направят неоторизирани промени, например можем да попречим на потребителите да имат достъп до устройство C и оттам да редактират стойностите на Windows.

Премахнете бутона за търсене от File ExplorerМожем да активираме тази политика за скриване на полето за търсене в този компютър, разположено в горната част и чрез което потребителите могат да търсят файлове в системата.

Премахнете менюто Файл от File ExplorerИзползвайки тази опция, можем да скрием опцията за файл от менюто във файловия изследовател и по този начин да попречим на потребителите да изпълняват действия като Промяна на папката и опциите за търсене, отваряне на Windows PowerShell, отваряне на командния ред и т.н.

Не позволявайте опциите на папката да се отварят от бутона „Опции“ в раздела „Преглед“Активирането на това правило ще попречи на потребителите на домейн да имат достъп до раздела „Опции“ и да изпълняват задачи като начина на отваряне на файлове и папки и т.н.

Скриване на раздела ХардуерКато активираме тази опция, ние ще попречим на потребителите да скрият раздела Хардуер, свързан с мишката, клавиатурата, аудиото и звука, за да предотвратим предприемането на действия върху него.

Премахнете споделените документи от моя компютърС това правило скриваме цялата папка, включваща документите, споделени в организацията, подобрявайки нейната сигурност, тъй като потребителят може да променя или изтрива споделен файл, ако не сме създали правила за ограничения.

Премахнете раздела ЗащитаКато активирате тази опция, потребителите на домейн няма да имат достъп до раздела Защита и това им пречи да правят промени в настройките за сигурност на папки и файлове или да виждат списъка с потребители, които имат достъп до ресурси.

По същия начин можем да продължим да анализираме всяка от наличните политики и да ги активираме въз основа на нуждите, които се изискват от организацията.

4. Активирайте правилата в мениджъра на групови правила


За да активираме групова политика, ще извършим следния процес:

След като сме дефинирали коя политика ще активираме, ще щракнем два пъти върху нея или щракнете с десния бутон / Редактиране и ще видим, че прозорецът, където можем да активираме тази политика, се показва.

Поставяме отметка в квадратчето Активирано и щракнете Приложи и след това OK, за да запазите промените.

Можем да видим какви правила сме конфигурирали в администратора.

Увеличете

5. Прилагайте правила на компютри с домейн


За да приложим правилата за компютрите на организацията, можем да използваме някоя от следните опции:
  • Изчакайте рестартирането на всеки компютър, за да вземете правилата.
  • Отворете командния ред и въведете командата:
     gpupdate / сила
    Тази команда ще принуди актуализирането и прилагането на новите правила, направени без да се налага да рестартирате компютрите.

6. Потвърждаване на политиката


След като потребителят иска да получи достъп до файловия изследовател, той ще може да види значителни промени в същата среда, което означава по -голяма сигурност за домейна.

Както виждаме, потребителят няма достъп до устройствата за съхранение на компютъра, нито пък има възможност да отвори менюто Файл, за да направи промени в изследователя.

Други начини, по които можем да използваме груповите правила повишаване на сигурността на нашето оборудване Намираме ги в следните връзки:

1. Достъп до контролния панел на GPO

2. Как да скриете дисковите устройства с GPO

3. Конфигурирайте защитната стена, използвайки GPO

Нека се възползваме изцяло от тези опции, включени в Windows Server 2016 и да увеличим параметрите за управление в нашата организация.

wave wave wave wave wave