Расширения групповой политики в Windows Vista и Windows Server 2008
ОГЛАВЛЕНИЕ
Если вы раньше когда-нибудь работали с политикой группы (group policies), то вы знаете, что существует большое количество настроек для политики группы , встроенных в операционную систему Windows. Очень сложно назвать вам точное число реально существующих настроек для политики группы, т.к. новые настройки для политики группы часто появляются вместе с выходом пакетов обновления (service pack), а иногда даже с загрузкой определенных приложений. Однако, я могу сказать, что в операционной системе Windows Server 2003 с пакетом обновления Service Pack 1 предлагает примерно 1700 настроек для политики группы. Это количество увеличилось примерно до 2400 в операционных системах Windows Vista и Windows Server 2008. Поэтому у меня просто не будет возможности рассказать о каждой отдельной существующей настройке политики группы. Поэтому я постараюсь рассказать вам о наиболее важных настройках для политики группы.
Защита от вирусов
Одной из самых часто встречающихся угроз для безопасности за последние несколько лет были вирусы, рассылаемые по электронной почте. Большинство антивирусных продуктов спроектировано для интеграции с Microsoft Outlook. Идея заключается в том, что это программное обеспечение может сканировать вложения к электронной почте в том момент, когда они открываются. Но, даже несмотря на это, операционной системе Windows всегда не хватала централизованного механизма, который гарантировал бы, что на компьютере установлено антивирусное программное обеспечение, и что оно работает правильно. К счастью, операционные системы Windows Vista и Windows Server 2008 теперь обладают настройками для политики группы, которые позволят вам улучшить антивирусные политики в вашей организации на уровне политики группы (group policy level).
Хотя настройки для политики группы, о которых я собираюсь вам рассказать, специфичны для операционных систем Windows Vista и Windows Server 2008, их также можно также использовать для управления компьютерами, работающих на Windows XP Service Pack 2. Вы можете найти настройки для политики группы, связанные с антивирусной защитой group, в дереве политик группы: User Configuration\Administrative Templates\Windows Components\Attachment Manager.
Уведомление антивирусной программы при открытии вложения
Эта настройка для политики группы используется для уведомления вашего антивирусного программного обеспечения, когда открывается вложение к электронному письму, чтобы это вложение было просканировано на наличие вирусов. Хотя это настройка для политики группы кажется достаточно простой, необходимо знать о подводных камнях, которые с ней связаны. Во-первых, если ваше антивирусное программное обеспечение спроектировано на автоматическое сканирование вложение к электронным письмам, то включение этой настройки будет избыточным.
Второй подводный камень заключается в том, что вы должны знать то, если включена эта настройка для политики группы, а ваше антивирусное программное обеспечение по каким-либо причинам не может проверить вложение, то Windows блокирует это вложение.
Не применять информацию о зонах к вложениям
Одна из основных концепций безопасности в браузере Internet Explorer связана с зонами. Internet Explorer позволяет администраторам разбить Web домены на различные зоны, в зависимости от степени доверия к вебсайту. В операционной системе Windows Vista и Windows Server 2008, концепцию зон можно применить и для электронных писем. Если электронное сообщение содержит вложение, то Windows может посмотреть на домен отправителя и сравнить его со списком зон Internet Explorer. Затем он может использовать эту информацию о зоне для определения, стоит ли доверять вложению или нет.
Эта настройка политики группы немного вводит в заблуждение. Если вы включите эту настройку для политики группы, то информация о зонах будет полностью игнорироваться. Если вы хотите, чтобы Windows использовала информацию о зонах для вложений к электронным письмам, то вы должны отключить эту настройку для политики группы.
Один важный аспект, связанный с безопасностью, основанной на использовании зон, заключается в том, что информация о зоне отправителя хранится в качестве атрибута к файлу. Это значит, что должна использоваться файловая систем NTFS file system. Если система отформатирована с использованием FAT или FAT-32, то информация о зонах будет недоступна, и Windows не сообщит о неудаче.
Спрятать механизм для удаления информации о зонах
В обычных обстоятельствах пользователю достаточно просто удалить информацию о зонах из файла. Для этого достаточно нажать на кнопку Unblock (разблокировать), которая находится в окне свойств файла. Если вы хотите запретить пользователям удалять информацию о зонах из файлов, то вы должны просто включить эту настройку для политики группы (policy). В результате этого мы спрячем любой механизм, с помощью которого пользователь сможет потенциально удалить информацию о зонах из файла.
Уровень риска по умолчанию для вложений
Эта настройка для политики группы позволяет вам автоматически присвоить высокий (high), средний (medium) или низкий (low) уровень риска (risk level) для вложений к электронным письмам. Более подробно об уровнях риска я расскажу в следующих разделах.
Список включения (Inclusion List) для типов файлов с высоким уровнем риска
Очевидно, то некоторые типы файлов гораздо более вероятно содержат вредоносный код, чем другие. Например, файл с расширением .EXE или .PIF более опасен, чем файл с расширением .PDF. Поэтому операционная система Windows позволяет вам выделить различные типы файлов, как с высоким уровнем риска, средним или низким.
Windows предоставляет различные настройки политики группы для каждого списка с типами файлов. Причина, по которой Microsoft делает это таким образом, заключается в том, что это позволяет ужесточить настройки безопасности в случае конфликта. Предположим, например, что некоторый тип файла присутствует в списке с высокой степенью риска и со средней степенью риска. В такой ситуации к файлу этого типа будет применена политика для высокой степени риска, а не со средней, и файл будет рассматриваться с точки зрения высокой степени опасности вне зависимости от того, что диктуют другие политики.
Так что же в действительности значит классифицировать файл, как высокая степень риска? Когда пользователь пытается открыть файл, Windows смотрит не только на тип файла, но также и на зону, из которой он отправлен. Если файл отправлен из запрещенной зоны и классифицируется высокой степенью риска, то Windows запретит пользователю открыть этот файл. Если файл был получен из зоны Internet, Windows отобразит предупреждение пользователю.
Список включения для типов файлов с низким уровнем риска
Обработка вложения с типом файла, которому присвоен низкий уровень риска, работает очень похоже на обработку вложения с типом файла, которому присвоен высокий уровень риска (high risk), но есть пара отличий. Первое отличие заключается в том, что Windows по умолчанию рассматривает файлы некоторого типа, как файлы с высоким уровнем риска. Если вы присвоите одному из этих типов файлов низкий уровень, то ваши настройки будут иметь приоритет над встроенными настройками Window, и файл будет рассматриваться, как файл с низкой степенью риска. Конечно, если вручную добавите этот тип файл в список с высокой степень риска, а затем добавите его в список с низкой степенью риска, то файл будет рассматриваться, как имеющий высокую степень риска. Пользователю разрешается открывать типы файлов, включенные в список с низкой степень риска вне зависимости от зоны.
Список включения для файлов с умеренной степенью риска
Присвоить типу файлов среднюю степень риска означает, то же самое, что присвоить ему низкий уровень риска, но с одной оговоркой. Если файл был отправлен из ограниченной, запрещенной зоны или зоны Internet, то пользователь увидит предупреждение при попытке открыть файл.
Установки Group Policy
Установки group policy, о которых я буду говорить, расположены в Computer Configuration / Windows Settings / Security Settings / Local Policies / Security Options. Как вы можете видеть на Рисунке А, существует очень много установок group policy в Security Options, чтобы о всех них говорить. Поэтому я ограничу свой рассказ только теми установками group policy, которые являются полезными или наиболее интересными.
Статус аккаунта администратора
Одной из главных слабостей предыдущей операционной системы Windows всегда было существование локального аккаунта администратора на рабочих станциях. Пока Windows Vista использует локальный аккаунт администратора, установка политики Accounts: Administrator Account Status может быть использована для его блокировки.
По умолчанию аккаунт администратор включен, но отключить его легко. Все, что вам нужно сделать, это установить настройки group policy как Disabled. Прежде, чем вы начнете отключать локальные аккаунты администратора, существуют некоторые последствия, о которых вам стоит знать. Если вы заблокировали аккаунт администратора, то у вас не будет возможности снова его включить, если пароль локального аккаунта администратора не удовлетворяет требованию минимальной длины пароля и другим сложным требованиям. Другой администратор может переустановить пароль аккаунта, предполагая, что такой аккаунт существует.
Если вы обнаружили, что вы заблокированы от устройства, и больше нет ни одного администраторского аккаунта, который может переустановить пароль, то не все потерянно. Локальный аккаунт администратора всегда доступен, когда устройство запущено в безопасном режиме. Поэтому, вы можете загрузить устройство в безопасном режиме, зарегистрироваться как администратор, а затем переустановить пароль. После вы сможете снова включить локальный аккаунт администратора.
Ограничения использования пустых паролей
Вряд ли кто-то в вашей организации стал бы пользоваться пустыми паролями. Как мера предосторожности, политика Accounts: Limit Local Account Use of Blank Passwords to Console Logon Only устанавливает ограничения, как могут использоваться аккаунты с пустыми паролями.
Эти установки group policy, которые включены по умолчанию, работают таким образом, что аккаунту любого пользователя, у которого нет пароля, разрешено зарегистрироваться локально. Это означает, что любой может использовать этот аккаунт для регистрации напрямую в PC с помощью клавиатуры, но аккаунт не может быть использован для регистрации через другой механизм, такой как Remote Desktop.
Переименование аккаунта администратора
Майкрософт попросил нас переименовать аккаунт администратора по причинам безопасности. Проблемой этого является то, что у каждой рабочей станции есть свой собственный аккаунт администратора, который должен быть вручную переименован.
Vista и Server 2008 теперь предлагают нам установки group policy, которые могут быть использованы для автоматического переименования локального аккаунта администратора. Эта установка называется Accounts: Rename Administrator Account. Чтобы использовать эту установку group policy, вам нужно ввести новое имя для аккаунта администратора, и изменение будет передаваться на все устройства, для которых применяется group policy.
Проверка резервных и восстанавливающих операций
Одной из наиболее интересных установок group policy является Audit: Audit the Use of Backup and Restore Privilege setting. Основной идеей этой установки является то, что при ее включении (по умолчанию установка курса действий не включена) начинается проверка резервных и восстанавливающих операций.
Это одна из наиболее интересных установок group policy, потому что у нее есть как плюсы, так и минусы. Эта политика хороша в том, что позволяет вам контролировать, что человек, ответственный за резервирование системы, выполняет резервирование в соответствии с политикой организации. Она также позволяет вам знать обо всех произошедших восстанавливающих операциях. Минусом использования этой установки является то, что она производит запись для каждого файла, прошедшего резервацию. Это означает, что ваша проверка регистрации может быть переполнена записями, относящимися к резервированию. Конечно, при записи логов также потребуются некоторое место на диске и CPU ресурсы. Сами по себе эффекты записи являются номинальными. Если вы делаете сотни или тысячи записей в одно время, то записи могут оказывать сильное влияние на производительность.
Съемный носитель
Во многих организациях, использование съемного носителя просто не разрешается. Такие съемные носители, как CD и DVD позволяют пользователям приносить неавторизированные данные или прикладные программы в организации или делать копии нужных данных и уносить эти данные из организации. С тех пор, как использование съемных носителей часто является запрещенным, Майкрософт создал установку политики Devices: Allowed to Format and Eject Removable Media. Как подразумевается в самом названии, эта установка может быть использована для предупреждения пользователей о форматировании или выбрасывании съемного носителя.
Драйверы принтера
Windows разработан таким образом, что если пользователь хочет напечатать на сетевом принтере, то ему обычно не нужен CD, содержащий драйверы для принтера, а нужно только скачать драйвер из Интернета. Когда пользователь использует универсальное именное обозначение (UNC) для подключения принтера, который отделен устройством Windows, главная машина проверяет рабочую станцию пользователя, чтобы увидеть есть ли у него подходящий драйвер. Если ни одного драйвера не существует, тогда главная машина принтера отсылает копию драйвера принтера в устройство, только что подключенное к совместно используемому ресурсу.
Во многих случаях, это является вполне желанным поведением, потому что это позволяет пользователям делать их работу без обращения к меню помощи каждый раз, когда им нужно напечатать на разных принтерах. Даже в хорошо защищенном окружении считается рискованным позволять пользователям печатать на принтерах, которые специально им не предназначались. Для того, чтобы пользователи не могли воспользоваться неавторизованными принтерами, как вариант, нужно не допустить для них установку драйверов принтера.
Вы можете остановить пользователей от установки драйверов принтера путем включения установки политики Devices: Prevent Users from Installing Printer Drivers. Эта установка по умолчанию отключена на рабочих станциях, но по умолчанию она включена в серверах.
Существует пара вещей, которые вам нужно запомнить, если вы подумываете о включении этой установки group policy. Для начала, эта установка не предотвращает пользователя от добавления локальных принтеров, она только останавливает пользователей при установке драйверов для сетевых драйверов. Еще вам нужно запомнить, что включение этой политики не остановит пользователя от использования сетевого принтера, для которого у пользователя есть уже драйвер. Наконец, включение этой настройки не действует на администратора.
User Account Control (Контроль Аккаунта Пользователя)
Это обеспечение безопасности обладало первостепенной важностью при разработке Windows Server 2008 и Windows Vista, и не удивляйтесь, что некоторые новые настройки группового курса действий специально зависят от того, как реализуются эти различные новые устройства безопасности. Я хочу начать эту статью с рассказа об установках группового курса действий, которые относятся к новому устройству безопасности, называемому User Account Protection (Защита Аккаунта Пользователя) (на который также ссылаются в некоторых документах Микрософт как на User Account Control (Контроль Аккаунта Пользователя) или UAC).
В случае если вы не знакомы с User Account Protection, то это устройство безопасности, разработанное для защиты Windows от пользователей с чрезмерными полномочиями. В операционной среде Windows XP обычно было необходимо для пользователей иметь локальные административные полномочия для того, чтобы они могли делать свою работу. Когда разрабатывалась Vista, то Микрософта долго рассматривал те возможности, в которых на самом деле нуждались пользователи, и поместил все эти возможности в стандартный пользовательский аккаунт, поэтому пользователи не получили локальные административные полномочия. Например, в те задания, которые Windows Vista разрешает выполнять путешествующему пользователю без наличия у него административных полномочий, входят установка драйвера принтера, ввод WEP ключа, настройка VPN соединения и установка обновлений прикладной программы.
Суть User Account Protection не заключается в простой передаче пользователю дополнительных полномочий. Устройство также разработано для защиты администраторов от самих себя. Даже если кто-то зарегистрировался как администратор, Windows обработает его как обычного пользователя. Если пользователи попытается совершить некоторые действия, которые запрашивают администраторские полномочия, Windows спросит пользователя можно ли временно поднять их привилегий для выполнения задания вручную.
У администраторов также есть выбор остаться зарегистрированным как простой пользователь. Если обычный пользователь нуждается в выполнении действия, которое запрашивает администраторские полномочия, то они не должны использовать команду Run As. Напротив, Vista автоматически попросит их ввести совокупность логина и пароля, которые могут быть использованы для этого задания.
Сейчас, когда вы уже получили общие сведения о User Account Protection и о его работе, давайте взглянем на установки группового курса действий, которые принадлежат к User Account Protection. Как и многие другие установки группового метода, о которых я говорил в этой серии статей, нынешний установки являются совместимыми только с Windows Server 2008 и Windows Vista. Поэтому раз Windows Server 2008 выпущен, и у вас есть контроллер домена Windows Server 2008 в вашей сети, эти установки группового курса действий должны быть установлены в уровень локального компьютера иерархии группового метода.
Относящиеся к User Account Protection установки группового метода могут быть найдены в регистре Group Policy Object в Computer Configuration | Windows Settings | Security Settings | Local Policies | Security Options.
Первой установкой, относящейся к User Account Control, является User Account Control: Admin Approval Mode для установки встроенного аккаунта администратора. Эта опция, которая включена по умолчанию, обрабатывает встроенный аккаунт администратора как обычного пользователя. Любое действие, которое запрашивает администраторские привилегии, вынудит Windows попросить у пользователя разрешения перед выполнением действия. Если эта опция будет выключена, то Vista будет вести себя как Windows XP. Встроенный аккаунт администратора будет обрабатываться как настоящий администратор, и у пользователя никогда не попросят дать разрешение Windows на выполнение действия.
Следующей доступной опцией является User Account Control: Behavior of the Elevation Prompt для Администраторов в опции режима подтверждения админа. Как вы уже знаете, Vista разработана таким образом, что она не будет выполнять административное действие без соглашения администратора. Эта опция позволяет вам контролировать тип соглашения, которое администратор должен дать, чтобы запрашиваемое действие было выполнено.
Опция по умолчанию является простой подсказкой для принятия. Это означает, что администратора спросят хочет ли он разрешить или запретить действие. Как альтернатива, администратора могут спросить полномочия. Это заставит администратора ввести свой пароль для выполнения некоторых администраторских действий. Эта опция считается тяжелой в использовании, но ей отдается предпочтение в высоко охраняемой операционной среде.
Последняя опция используется для возвышения полномочий без запроса у администратора утверждения действия. Я не рекомендую использовать эту опцию.
Так как Windows Vista ограничивает действия, которые администратор может выполнять без полномочий, еще ограничиваются возможности обычного пользователя. Вы можете контролировать то, что происходит, когда обычный пользователь пытается выполнить действие, которое запрашивает возвышенные привилегии, используя User Account Control: Behavior of the Elevation Prompt для установок обычного пользователя.
Когда обычный пользователь пытается выполнить действие, которое запрашивает возвышение привилегий, могут произойти некоторые события. Пользователя также могут попросить ввести полномочия администратора, или запрос может быть автоматически отклонен без разрешения пользователя. По умолчанию, у обычных пользователей запрашиваются полномочия администратора, если они оперируют в домашней операционной среде, но поднятые запросы автоматически отклоняются для пользователей, оперирующих в кооперативной операционной среде.
Хотя Windows Vista разработан для запроса о поднятии привилегий для заданных типов действий, некоторые из которых могут быть настроены так, что они могут выполняться без возвышения привилегий. Одним из примеров является установка программного обеспечения. The User Account Control: Detect Application Installations и Prompt for Elevation установки позволяют прикладным программам быть установленными без запроса возвышения привилегий.
Отсутствие возвышения привилегий для установки программного обеспечения может означать, во-первых, продуктивность счетчика, но существует оправданное использование для этой установки. В управляемых операционных средах прикладные программы обычно применяются через установку группового курса действий, или через SMS сервер, или похожий механизм. В таких ситуациях будет непрактично запрашивать администратора подтвердить действие на каждом «Рабочем столе» каждый раз, когда прикладная программа устанавливается. Поэтому вы можете отключить запрос на возвышение привилегий в каждой операционной системе. Запомните, что это отнюдь не означает, что обычные пользователи смогут устанавливать прикладные программы. Это всего лишь означает, что те, у кого есть подходящие привилегии, не будут обеспокоены запросом на возвышение привилегий.
Диагностика отказа диска (Disk Failure)
Кто-то однажды сказал, что существует два вида жестких дисков; те, которые уже отказали и те, которые только собираются отказать. Эти отказы в работе были абсолютно непредсказуемы, но технология S.M.A.R.T. позволяет жестким дискам обнаруживать потенциальный отказ и сообщать об этом операционной системе, прежде чем произойдет ее сбой.
Но как бы замечательно ни звучала технология предупреждения ошибок S.M.A.R.T., с ними есть одна проблема. По умолчанию, сообщения об ошибках S.M.A.R.T. передаются в системный протокол событий. Если событие было записано на рабочей станции, оно, скорее всего, останется абсолютно незамеченным. Большинство компаний просто не располагают такими ресурсами, чтобы просматривать все протоколы событий каждой рабочей станции.
К счастью, существует пара новых настроек политики групп, которые могут помочь в решении этой проблемы. Обе политики находятся по адресу Computer Configuration | Administrative Templates | System | Troubleshooting and Diagnostics | Disk Diagnostic.
Первая настройка, о которой я хочу вам рассказать – это настройка Disk Diagnostic Configure Execution Level. Если вы захотите активировать эту настройку политики групп, то Windows все равно будет записывать отчеты об ошибках S.M.A.R.T в системный протокол событий, но она также будет давать сигнал пользователю и вести его через процесс создания резервных копий и восстановления данных с тем, чтобы избежать потери данных или свести их к минимуму.
Я настоятельно рекомендую активировать функцию диагностики диска: настройку политики групп Configure Execution Level. Даже в этом случае во многих организациях попытки пользователя создать резервные копии и восстановить данные будут рассматриваться, как нечто отрицательное. К счастью, вам не нужно давать команду Windows сообщать конечному пользователю о том, как запустить процесс резервирования. Есть еще одна установка политики групп, которую можно использовать при настройке сообщений, показываемых конечному пользователю в случае возникновения ошибки S.M.A.R.T. Например, вы можете заменить сообщение по умолчанию на сообщение, которое скажет конечному пользователю вызвать меню помощи.
Имя установки политики групп, позволяющей вам настраивать текст сообщения об ошибке S.M.A.R.T., пишется так: Disk Diagnostic: Configure Custom Alert Text. Чтобы использовать эту установку, просто активируйте ее и введите текст сообщения, которое будут видеть ваши пользователи. Windows ограничивает этот текст до 512 знаков.
Гибридные жесткие диски
Windows Vista и Windows Server 2008 также позволяют регулировать использование гибридных жестких дисков с помощью настройки политики групп. В случае если вы не знакомы с гибридными жесткими дисками, это жесткие диски с крайне большим КЭШем, состоящим из долговременной флэш-памяти. Этот кэш обычно имеет размер около 1 GB, и использует память подобную той, что используется в USB накопителях.
Причина такого дизайна кроется в том, что долговременный кэш устройства настолько велик, что тарелки диска практически никогда не вращаются в отличие от традиционных жестких дисков, в которых тарелки вращаются практически постоянно. Это снижает износ устройства, а также снижает энергопотребление и выделение теплоты диском. Однако самым главным преимуществом таких дисков является скорость. Компьютер может считывать данные из КЭШа жесткого диска с гораздо большей скоростью, чем, если бы данные считывались с тарелок диска.
Windows Vista и Windows Server 2008 имеют четыре параметра настройки политики групп, которые помогают вам контролировать то, как операционная система использует гибридные жесткие диски. Каждую из этих четырех настроек можно найти в Computer Configuration | Administrative Templates | System | Disk NV Cache
Первая настройка называется Turn Off Boot and Resume Operations. Основная идея заключается в том, что если вы активируете данную настройку политики, Windows не будет использовать долговременный кэш диска для оптимизации процесса загрузки. В противном случае система будет помещать файлы, используемые в последовательности загрузки, в долговременный кэш с целью более быстрой загрузки.
Обычно, если компьютер находится в спящем режиме, данные, необходимые для возобновления работы, копируются в долговременный кэш. Это помогает компьютеру выходить из спящего режима гораздо быстрее. Активация этой настройки политики групп принуждает компьютер записывать эти данные на тарелки диска, а не в долговременный кэш.
Вторая настройка политики групп, связанная с гибридными жесткими дисками, называется Turn Off Cache Power Mode. При нормальных обстоятельствах, Windows агрессивно пытается снизить потребление энергии путем снижения скорости вращения тарелок диска при любой возможности. Хотя такой прием экономит энергию и снижает тепловыделение, он также может снизить производительность. Это происходит потому, что Windows должна вращать тарелки диска для поддержки всякий раз, когда нужно считать файлы, которые не кэшированы в долгосрочной памяти.
Третья настройка политики групп, связанная с гибридными жесткими дисками, называется Turn Off Non Volatile Cache Feature. Эта одна из тех настроек, имена которых могут слегка вводить в заблуждение. Если вы взглянете на название политики, может показаться, что она используется для полной дезактивации долговременного КЭШа диска. Существует настройка для дезактивации долговременного КЭШа диска, но это не она.
Суть настройки Turn off Non Volatile Cache Feature заключается в том, что если вы активируете ее, Windows будет работать так, словно она не поддерживает гибридные диски. Это не означает, что ничего не будет кэшироваться, это означает, что процесс кэширования не будет управляться Windows. В большинстве случаев ваша система будет работать с большей производительностью, если вы позволите Windows управлять долговременным КЭШем.
Последняя настройка, связанная с гибридными дисками, называется Turn Off Solid State Mode. Когда данная настройка политики групп активирована, Windows работает с гибридными дисками, как с обычными. Это означает, что долговременный кэш полностью отключен. В этом случае, диск не будет обладать более высокой скоростью производительности и более высоким энергопотреблением, а просто будет работать, как обычный жесткий диск.
Настройка диагностики
Настройки политики группы, которые я собираюсь вам показать в этой статье, все связаны со службой Windows Vista под названием Diagnostic Policy Service (служба политики для диагностики). Если вы не знакомы со службой политики для диагностики, то я поясню, что это компонент диагностической инфраструктуры Windows Diagnostic Infrastructure (WDI). Служба политики для диагностики (Diagnostic Policy Service или DPS) спроектирована для координации различных компонентов, использующихся для обнаружения, диагностики и решения проблем.
Первые две настройки политики группы, которые я хочу вам показать, можно найти в Computer Configuration\Administrative Templates\System\Troubleshooting and Diagnostics. Первая из этих настроек политики группы – настройка под названием Diagnostics: Configuration Scenario Retention (сохранение конфигурационного сценария). Основная идея этой настройки заключается в том, что для работы службы политики для диагностики (Diagnostic Policy Service) необходимо собирать информацию о том, что происходит внутри Windows. Эта информация называется данными для сценария.
По умолчанию, после того как Vista соберет 128 MB данных для сценария, эти данные удаляются, чтобы освободить место для свежих данных. Вы можете использовать параметр Diagnostics: Configure Scenario Retention для задания объема данных для сценария, которые будут сохраняться на ваше усмотрение.
Другой конфигурационный параметр, который располагается здесь же, называется Diagnostic: Configure Scenario Execution Level (настройка уровня выполнения сценария). Этот параметр позволяет вам контролировать, что случиться, если Windows обнаружит проблему. Если вы включите этот параметр, то вы должны выбрать один из двух различный уровней выполнения. Первый уровень выполнения (execution level) называется Problem Detection and Troubleshooting (обнаружение и отладка проблем). Если вы выберете этот уровень выполнения, то при возникновении проблемы Windows обнаружит проблему и попытается определить главный источник этой проблемы. Затем эта информация записывается в журнал событий компьютера.
Другой уровень выполнения называется Detection, Troubleshooting, and Resolution execution level (обнаружение, отладка и решение). Если выбрать этот уровень выполнения, то Windows попытается автоматически предпринять корректирующее действие при возникновении проблемы. В некоторых случаях Windows не может автоматически предпринять корректирующее действие. В таких случаях Windows может предоставить пользователю информацию, чтобы тот вручную устранил проблему.
Диагностика совместимости приложений
Теперь, когда я рассказал о некоторых настройках, которые касаются основной диагностики Windows, давайте посмотрим, как настройки политики группы могут помочь в более специфичных диагностических ситуациях. Редактор объектов политики группы (Group Policy Object Editor) имеет несколько дочерних папок в разделе дерева \Computer Configuration\Administrative Templates\System\Troubleshooting and Diagnostics. Каждая из этих папок содержит настройки политики группы, которые используются для устранения проблем определенного типа. Первая из этих папок называется Application Compatibility Diagnostics (диагностика совместимости приложений).
Извещение о блокированных драйверах
Первая настройка политики группы, которая находится в папке Application Compatibility Diagnostic – это Notify Blocked Drivers (извещение о блокированных драйверах). Как вы, вероятно, знаете, есть некоторые драйвера, которые превосходно работают с Windows XP, но не совместимы с Windows Vista. Если операционная система Vista обнаруживает несовместимые драйвера устройств, она блокирует их использование, чтобы избежать появления синего окна с ошибкой.
Именно тут вступает в игру настройка Notify Blocked Drivers. Если включена настройка Notify Blocked Drivers, то тогда Windows будет извещать пользователя, когда будет заблокирован драйвер, и даст ему возможность проверить сайт Microsoft Web на наличие решения данной проблемы. Если вы отключите данную настройку, то Windows просто блокирует несовместимые драйвера устройств, не сообщая об этом пользователю.
Обнаружение прикладных ошибок, вызванных устаревшими Windows DLL или COM объектами
Следующая доступная настройка для диагностики совместимости приложений называется Detect Application Failures Caused By Depreciated Windows DLLs or COM Objects (обнаружение прикладных ошибок, вызванных устаревшими Windows DLL или COM объектами). Эта настройка контролирует, будет ли Windows проводить диагностику проблем совместимости приложений, связанных с загрузкой DLL или с созданием COM объектов.
Если вы включите эту настройку, то инструмент Windows под названием Program Compatibility Assistant (ассистент совместимости программ) будет проводить мониторинг приложений и проверять, что они не используют DLL или COM объекты, которые существовали в предыдущих версиях Windows, но которые были удалены в Windows Vista. Если ассистент совместимости программ Program Compatibility Assistant обнаруживает, что используются такие файлы, то приложение, которое использует эти файлы, уничтожается, а Program Compatibility Assistant сообщает об этом пользователю и отправляет пользователя на веб сайт Microsoft на поиски решения проблемы.
Если вы отключите эту настройку политики группы, то вы не только выключите уведомление, но также ассистент совместимости программ Program Compatibility Assistant перестанет проверять использование правильных файлов DLL и COM объектов. Результат этого действия непредсказуем. Некоторые приложения могут работать правильно, но большинство перестанет работать.
Обнаружение неудачных установок приложений
Следующая по списку настройка политики группы позволяет вам контролировать, хотите ли вы, чтобы Windows обнаруживала неудачные установки приложений. Как вы, вероятно, знаете, большинство приложений используют программу SETUP.EXE, которая использует стандартный API. Microsoft встроил различные возможности для диагностики в этот API, которые позволяют операционной системе Windows Vista контролировать установку, когда она имеет место.
Если вы включите эту настройку, то операционная система Vista будет осуществлять мониторинг установок приложений и смотреть на признаки неудачных установок. Если возникает ошибка при установке приложения, то Vista дает пользователю возможность перезапустить процесс установки, но запустить его в режиме совместимости с Windows XP.
Если вы решите отключить настройку Detect Application Installation Failures, то Vista будет полностью игнорировать любые ошибки, возникающие при установке приложения. Ошибку могут по-прежнему возникать, и могут обрабатываться самой программой Setup, но Vista не будет предоставлять пользователю возможности запустить программу Setup в режиме совместимости с Windows XP.
Если вас это удивляет, то Windows Vista спроектирована на обнаружение ошибок при установке приложений по умолчанию. Поэтому, даже если вы не настроите это параметр политики группы, операционная система Vista будет предоставлять пользователям шанс запустить установку в режиме совместимости с Windows XP. Обычно, вам нужно лишь включить эту настройку политики группы, если вы хотите гарантировать, что всегда обнаруживаются ошибки при установке приложения, и что они не блокируются другими настройками политики группы.
Некоторые администраторы предпочитают блокировать обнаружение ошибок при установке, т.к. они верят, что запуск программы Setup в режиме совместимости с Windows XP подрывает безопасность системы. Мое личное мнение заключается в том, что режим совместимости с Windows XP уменьшает безопасности системы, но не приводит к возникновению значительных уязвимостей.
Инсталляторы прикладных программ обнаружения (Detect Application Installers)
Предыдущую часть этой статьи я завершил рассказом об настройках Групповой Политики, имеющих отношение к диагностики на совместимость прикладных программ. Вы можете найти диагностику на совместимость прикладных программ, имеющую отношение к редактору настроек Политики в Настройки Компьютера\Административные шаблоны\Система\Устранение проблем и Диагностика\Диагностика на совместимость прикладных программ.
Следующая установка в этой секции - Инсталляторы прикладных программ обнаружения (Detect Application Installers), которые необходимо запустить как Администратора. Основной идеей этой настройки является тот факт, что большинство лицензионных программ не работают в Vista, потому что программа принимает, что у нее должна быть полная свобода во всей системе. Однако Контроль Аккаунта Пользователя (User Account Control) Vista не позволяет запускать программы с административными привилегиями.
Проблема заключается в том, что вы не можете установить некоторые программы, потому что инсталляторы требуют административный доступ в систему. В таком случае вы можете включить эту Групповую Политику. Когда вы это сделаете, Vista покажет, что инсталлятор обладает несоответствующими привилегиями и предложит перезапустить его как администратора. Кстати, эта установка Групповой Политики будет работать, только если будут запущены Помощник Программной Совместимости (Program Compatibility Assistant) и Сервис Политики Диагностики (Diagnostic Policy Service).
Запомните, что Vista разработан специально для обнаружения того факта, что инсталлятору по умолчанию необходимы административные привилегии (при условии, что запущены Помощник Программной Совместимости (Program Compatibility Assistant) и Сервис Политики Диагностики (Diagnostic Policy Service)). Именно поэтому вы можете использовать эту установку для того, чтобы убедиться, что инсталляторы при необходимости всегда запускаются с административными привилегиями, или для отключения административных привилегий для инсталляторов.
Программы обнаружения, включенные для запуска инсталляторов в UAC
Одним из самых главных направлений в индустрии программного обеспечения является создание такого программного обеспечения, которое время от времени проверяет Интернет на наличие обновлений. Но иногда это программное обеспечение может вызывать проблемы с Vista, потому что хотя программа и не требует административных привилегий, но дочерний процесс, который она запускает для обнаружения обновлений, часто требует административные привилегии.
Как вы уже, наверное, заметили, эта установка Групповой Политики при необходимости позволяет программам запускать инсталляторы, используемые для обновления программного обеспечения с административные привилегиями.
Все те же ограничения применяются для настройки Групповой Политики, которая используется в последнем показанном мной примере. Обычно, это означает, что по умолчанию Vista позволяет обновлять программы настройки для запуска с административными привилегиями, если возникает такая необходимость. Однако вы можете использовать установку Групповой Политики, чтобы убедиться, что Vista всегда позволяет обновлять инсталлятор для пользования административными привилегиями, если необходимо, или для предотвращения передачи инсталлятору административных привилегий.
Как и предыдущая установка, о которой я вам ранее рассказал, эта установка Групповой Политики эффективна только, если запущены Помощник Программной Совместимости (Program Compatibility Assistant) и Сервис Политики Диагностики (Diagnostic Policy Service).
Восстановление поврежденного файла
Другой возможностью диагностики, которую теперь можно контролировать через Групповую Политику, является обнаружение поврежденных файлов. Установка Политики для восстановления поврежденного файла располагается в: Настройки Компьютера\Административные шаблоны\Система\Устранение проблем и Диагностика\ Восстановление поврежденного файла.
Включенная установкаНастройка восстановления поврежденных файлов может быть установлена в один из трех режимов. Первый режим называется Регулярный. Регулярный режим, который установлен по умолчанию, разработан для автоматического обнаружения поврежденных файлов и для знакомства пользователя с дисплеем интерфейса пользователя, который сообщает о том, что нужно делать для фиксирования проблемы.
Установка Настройка восстановления поврежденных файлов также может быть установлена для работы в Тихом режиме. Работая в Тихом режиме, Windows автоматически обнаруживает, определяет уровень проблемы и «лечит» поврежденные файлы, не предупреждая об этом пользователя. Однако Windows отправит активность в протокол событий.
Другим режимом возможного восстановления поврежденного файла является Только устранение. Когда Windows работает в режиме Только устранение, поврежденные файлы будут автоматически обнаруживаться, и Windows будет автоматически устранять проблему. Windows не будет автоматически ни «лечить», ни сообщать об этом пользователю. Если «лечение» возможно, то тогда Windows поместит сообщение в протокол событий с инструкциями «лечения».
Диагностика диска
У Windows Vista также есть возможность контроля диагностики диска через настройки Групповой Политики. Соответствующие настройки могут быть найдены в: Настройки Компьютера\Административные шаблоны\Система\Устранение проблем и Диагностика\Диагностика диска.
Существует две различных настройки Групповой Политики, имеющие отношение к диагностики диска. Первой из них является установка Диагностика диска: Настройка текста обычного уведомления.
Как вы знаете, у включенного жесткого диска - S.M.A.R.T. (Технология самонаблюдения и отправления - Self Monitoring And Reporting Technology), есть возможность отправлять надвигающиеся проблемы в операционную систему. Когда такое уведомление получено из жесткого диска, у Windows Vista появляется возможность показать пользователю обычное сообщение с уведомлением. Эта установка Групповой Политики позволяет вам ввести текст сообщения. Обратите внимание, что сообщение с уведомлением ограничено до 512 символов.
Другой установкой, имеющей отношение к диагностике диска, является Настройка уровня выполнения. Когда эта установка включена (или не настроена), Windows попытается выполнить корректировку, когда будут обнаружены ошибки S.M.A.R.T. Это означает, что Windows попытается провести пользователя через резервный процесс и процесс восстановления с целью уменьшения потери данных.
Если вы отключите эту установку Политики, то ошибки S.M.A.R.T. все равно будут обнаружены, но об этом не будет сообщено пользователю. Напротив, событие будет записано в протокол событий, но Windows не сообщит пользователю или не предпримет попыток корректировки.
В связи с тем, что эти ошибки могут иметь катастрофические последствия, я рекомендую всегда включать эту установку. Запомните, что эта установка будет работать только, если компьютер оснащен S.M.A.R.T., которое включает жесткий диск. Более того, эта установка Групповой Политики будет работать только, если запущен сервис Политики Диагностики.
Сервис Политики диагностики
Несколько настроек Групповой Политики, о которых я говорил, находятся в Сервисе Политики Диагностики. Если вы хотите включить этот сервис, введите команду MMC в командную строку. Когда вы это сделаете, Windows откроет Панель управления Микрософт (Microsoft Management Console). Выберите команду Add/Remove Snap-in из панели меню Файла, и панель загрузит список доступных встроенных модулей. Теперь выберите Services snap-in из списка и нажмите кнопку Add. Убедитесь, что выбрана опция Local Computer и нажмите Finish, и далее OK.
Теперь панель загрузит список сервисов. Найдите в списке Diagnostic Policy Service. Вид запуска дожжен быть установлен на Automatic, и сервис должен быть запущен (по умолчанию).Брайн Позей (Brien Posey)