Не рекомендуется изменять состояния правил непосредственно в стандартных шаблонах. Лучше для этого создать новый шаблон на основе одного из стандартных.

Импортирование шаблона безопасности

Шаблон безопасности создан. Но что теперь с ним делать? Для ответа на данный вопрос можно воспользоваться либо оснасткой Групповая политика, либо оснасткой Анализ и настройка безопасности. Можно также воспользоваться командой командной строки secedit.exe.

■ Групповая политика — когда рассматривалась оснастка Групповая политика, были пропущены такие ее разделы, как Политики учетных записей и Локальные политики. Теперь вы знаете, что хранится в этих разделах, а также умеете создавать свои собственные шаблоны. Если вы уже создали свой шаблон с изменениями состояния правил данных разделов, то существует возможность его импортирования в групповую политику, чтобы настройки из шаблона применялись вместе с настройками групповой политики. Для этого необходимо в контекстном меню элемента Параметры безопасности консоли Групповая политика выбрать команду Импорт политики. После этого консоль управления Microsoft попросит указать путь к шаблону безопасности и использует его содержимое для настройки разделов Политики учетных записей и Локальные политики. При этом остальные настройки шаблона безопасности применяться не будут.

■ Анализ и настройка безопасности — с помощью данной оснастки можно не только применить к компьютеру любой созданный шаблон (в отличие от Групповой политики оснастка использует все содержимое шаблона, а не только настройки разделов Политики учетных записей и Локальные политики), но и проанализировать текущие настройки компьютера с настройками из шаблона безопасности. Оснастка Анализ и настройка безопасности имеет GUID-номер {011BE22D-E453-11D1-945A-00C04FB984F9}. После ее добавления к консоли управления Microsoft в дереве консоли отобразится единственный элемент — Анализ и настройка безопасности. Если вы раньше никогда не использовали данную оснастку, то перед началом работы с ней необходимо создать базу данных текущих настроек безопасности компьютера. Для этого в контекстном меню оснастки необходимо выбрать команду Открыть базы данных и в отобразившемся диалоге ввести имя новой базы данных. После этого консоль управления Microsoft предложит указать имя шаблона безопасности, настройки которого будут импортированы в созданную базу данных (если вы используете уже существующую базу, то можно очистить ее содержимое перед импортом настроек шаблона безопасности).

Несмотря на то, что создаваемая база данных хранит информацию о настройках компьютера в неудобном для чтения виде, тем не менее злонамеренные пользователи смогут ее использовать для анализа текущих настроек безопасности компьютера.

 После создания или открытия базы данных настроек шаблона в контекстном меню оснастки станут доступными команды Анализ компьютера и Настроить компьютер. 

Если вы хотите только определить, соответствуют ли текущие настройки безопасности настройкам, содержащимся в открытой базе данных шаблона безопасности, то необходимо воспользоваться командой Анализ компьютера. После этого консоль управления Microsoft предложит вам указать путь к текстовому файлу, в который будет записан журнал процесса анализа компьютера. Затем в дереве оснастки отобразятся разделы, аналогичные разделам шаблонов безопасности. Эти разделы будут хранить описание текущего состояния (на вашем компьютере) установленных в шаблоне безопасности правил. Если текущие настройки состояния правила на вашем компьютере соответствуют настройкам из шаблона, то напротив правила будет установлен зеленый флажок. Если же настройки состояния правила в шаблоне безопасности отличаются от текущих настроек на вашем компьютере, то напротив соответствующего правила будет установлен красный крестик (рис. 11.12). 

Рис. 11.12. Анализ текущей настройки безопасности компьютера

Чтобы установить настройки компьютера в соответствии с настройками из открытой базы данных, необходимо выбрать команду Настроить компьютер. После этого консоль управления Microsoft также предложит вам указать путь к текстовому файлу, используемому для хранения журнала процесса настройки компьютера.

С помощью команды Secedit.exe можно выполнить как настройку и создание шаблонов безопасности, так и анализ текущих настроек компьютера на основе шаблона безопасности или применение шаблона безопасности. Если работа с данной программой заинтересовала вас, то предлагаю воспользоваться стандартной справкой по данной программе, которую можно открыть с помощью команды secedit.exe /?.