При помощи мастера настройки безопасности (SCW) можно создавать, изменять и применять политики безопасности. Также можно выполнить откат последней применявшийся политики, если она не функционирует нужным образом.

В SCW входит Scwcmd - программа командной строки, которая используется для выполнения различных задач. Дополнительные сведения см. по ссылке https://go.microsoft.com/fwlink/?LinkId=92612.

Создание новой политики безопасности

Можно создать политику безопасности, которая настраивает службы, брандмауэр Windows в режиме повышенной безопасности, параметры политики аудита и определенные параметры реестра. Политика безопасности представляет собой XML-файл, который можно изменить и применить с помощью SCW. При помощи программы командной строки Scwcmd политику можно преобразовать в объект групповой политики (GPO). После запуска SCW не обязательно выполнять все разделы в течение одного сеанса. Установите флажок Пропустить этот раздел в начале каждого невыполняемого раздела, сохраните политику и используйте SCW для ее изменения впоследствии. В случае установки флажка Пропустить этот раздел после настройки части раздела изменения не сохраняются и не применяются. Параметры в пропущенных разделах остаются неопределенными, пока политика безопасности не будет изменена для их настройки.

Изменение существующей политики безопасности

При помощи SCW можно изменить уже созданную политику безопасности. Переход к расположению политики безопасности, которую требуется изменить, возможен после выбора варианта Изменить существующую политику безопасности. Изменяемая политика может храниться локально или в сети. С помощью SCW можно изменять политики в виде XML-файлов. Шаблоны безопасности с расширением INF не могут быть изменены в SCW.

Изменение политик безопасности вручную не поддерживается. Для изменения политик безопасности, созданных при помощи SCW, необходимо использовать SCW.

Применение существующей политики безопасности

Создав политику безопасности в SCW, можно применить ее на тестовом сервере или в производственной среде. При помощи программы командной строки Scwcmd можно применить одну и ту же политику на нескольких серверах. Для создания объектов групповой политики можно использовать команду scwcmd transform. При помощи SCW можно применять только политики безопасности в формате XML.

Если выбранный сервер является членом домена Active Directory, то параметры реестра, непосредственно заданные через SCW, обычно переопределяются GPO доменной политики безопасности. Чтобы предотвратить это, можно создать объект групповой политики, выполнив команду scwcmd transform, и применить его с помощью доменных служб Active Directory (AD DS).

Дополнительные сведения о параметрах реестра, настраиваемых при помощи SCW, см. в разделе Параметры реестра.

Важно!

Настоятельно рекомендуется тестировать вновь созданные или измененные политики безопасности перед их применением в производственной среде. Тестирование снижает до минимума вероятность того, что новая политика может вызвать в производственной среде непредвиденные проблемы, такие как проблемы совместимости.

Откат последней примененной политики безопасности

Если политика безопасности, примененная с помощью SCW, вызывает снижение функциональных возможностей сервера или другие нежелательные последствия, можно выполнить откат этой политики безопасности, отменяющий ее применение к серверу. Однако в случае изменения примененной политики в оснастке «Локальная политика безопасности» откат внесенных изменений невозможен, и они останутся в текущей конфигурации.

Для служб и параметров реестра в процессе отката восстанавливаются значения, которые были изменены в процессе настройки. Для брандмауэра Windows в режиме повышенной безопасности при откате удаляется любая действующая политика SCW и применяется предыдущая политика, которая действовала во время настройки.


Содержание