Статьи

Налаштовуємо блокування комп'ютера при просте через screen saver за допомогою Group Policy Preferences

У більшості організацій, які застосовують у своїй ІТ інфраструктури локальні стандарти та регламенти інформаційної безпеки, приділяється окрему увагу питанню блокування консолей робочих станцій користувачів при настанні деякого періоду бездіяльності У більшості організацій, які застосовують у своїй ІТ інфраструктури локальні стандарти та регламенти інформаційної безпеки, приділяється окрему увагу питанню блокування консолей робочих станцій користувачів при настанні деякого періоду бездіяльності. Наприклад, в якості обов'язкової вимоги для більшості категорій користувачів може виставлятися блокування робочого столу комп'ютера при відсутності активності користувача більше 15 хвилин. У керованому середовищі Active Directory в доменних групових політиках адміністраторам надається ряд параметрів, що дозволяють централізовано налаштувати призначену для користувача середовище для форсованого застосування механізму блокування робочого столу посредствам спрацьовування програми - заставки (screen saver), або як її ще називають, заставки. Ці параметри розташовані в розділі групової політики:

User Configuration> Policies> Administrative Templates> Control Panel> Personalization

Ось типовий можливий приклад таких налаштувань:

Password protect the screen saver = Enable
Screen saver timeout = Enable (900 Seconds)
Force specific screen saver = scrnsave.scr

В даному прикладі включено обов'язковий запуск конкретного файлу екранної заставки (scrnsave.scr) при простої більше 15 хвилин з вимогою введення пароля користувача при спробі подальшого доступу до робочого столу.

В системі, де встановлено значення резервування параметри GPO, все встановити заставку для користувача стають недоступними для змін.

В системі, де встановлено значення резервування параметри GPO, все встановити заставку для користувача стають недоступними для змін

На практиці зустрічається ситуація, коли за комп'ютером працює змінний добовий персонал, якому постійно необхідно в режимі спостереження бачити робочий стіл комп'ютера. При цьому такий персонал може навіть мати кілька робочих столів комп'ютерів, за якими потрібен нагляд і не потрібно інтерактивну взаємодію з клієнтської ОС. Для такого роду користувачів потрібен дещо інший підхід з точки зору автоматичного блокування комп'ютерів при просте.

Для забезпечення установки енергозберігаючої заставки для змінного персоналу і для всіх інших користувачів ми можемо створити дві окремі групові політики - одна з обов'язковим спрацьовуванням заставки, інша - без нього. Але з використанням механізмів настройки реєстру за допомогою Group Policy Preferences (GPP) ми зможемо гнучко об'єднати ці настройки всередині однієї групової політики.

Для того, щоб задіяти механізми GPP для даного завдання, ми скористаємося параметрами реєстру, які змінюються стандартними Адміністративними шаблонами, зазначеними нами раніше. Порівняємо зазначені раніше параметри GPO з ключами реєстру які вони змінюють в клієнтській системі:

Політика: Password protect the screen saver
Кущ реєстру: HKEY_CURRENT_USER
Гілка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaverIsSecure REG_SZ = 1

Політика: Screen saver timeout
Кущ реєстру: HKEY_CURRENT_USER
Гілка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveTimeout REG_SZ = 900

Значення "900" означає кількість секунд від моменту початку бездіяльності до спрацьовування екранної заставки (15 хвилин простою)

Політика: Force specific screen saver
Кущ реєстру: HKEY_CURRENT_USER
Гілка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
Ключ: ScreenSaveActive REG_SZ = 1
Ключ: SCRNSAVE.EXE REG_SZ = scrnsave.scr

Експерименти з застосуванням цієї політики показали, що ключ реєстру ScreenSaveActive додається лише на системах Windows XP, а після відключення цієї політики, він з реєстру коректно не видаляється. Дослідним шляхом вдалося з'ясувати, що відсутність цього ключа не вносить ніяких змін, тому будемо розглядати його як рудиментарний елемент і виключимо з наших налаштувань GPP.

Отже, в груповій політиці, що діє на наших користувачів, переведемо три перерахованих параметра в стан Not configured (якщо вони раніше були налаштовані), а в розділі політики User Configuration> Preferences> Windows Settings> Registry створимо логічну групу, в якій будуть зберігатися наші настройки , наприклад ScreenSaver.

Усередині цієї групи створимо дві підгрупи налаштувань - Enabled і Disabled, в яких відповідно будуть зберігається настройки для включення і відключення форсованого застосування заставки. У нашому прикладі важливо, щоб параметри включення оброблялися перед параметрами відключення.

У групі Enabled створимо три правила для створення / оновлення раніше перерахованих ключів призначеного для користувача реєстру. Націлювання (Item-level targeting) для цієї групи використовувати не будемо, тобто ці параметри реєстру будуть застосовуватися для всіх користувачів.

У групі Disabled створимо три правила для видалення цих же ключів реєстру. Група Disabled матиме націлювання на спеціально створену доменну групу безпеки, в яку будуть включені всі користувачі, для яких потрібно відключити форсоване застосування заставки.

Таким чином, логіка обробки параметрів реєстру буде полягати в обов'язковому включенні заставки для всіх користувачів за винятком тих, хто включений в спеціальну групу безпеки. Тобто при включенні будь-якого користувача до цієї групи, з його користувальницького реєстру будуть видалятися ключі форсованої встановити заставку, і він самостійно зможе, наприклад, відключити її зовсім, так як в ОС діалогові елементи призначеного для користувача інтерфейсу стануть доступними.

Тобто при включенні будь-якого користувача до цієї групи, з його користувальницького реєстру будуть видалятися ключі форсованої встановити заставку, і він самостійно зможе, наприклад, відключити її зовсім, так як в ОС діалогові елементи призначеного для користувача інтерфейсу стануть доступними

схоже

Новости