Включить локальную политику безопасности

Содержание

Локальная политика безопасности Windows 10: что это, где находится и как открыть, почему может отсутствовать или не открываться

Включить локальную политику безопасности

Если вы посчитали, что, настроив на своём сервере антивирусы, вы на 100% обезопасили себя и своих клиентов от каких бы то ни было инцидентов, то это ещё не всё. Вам не помешают групповые настройки, исключающие любые ошибки.

Зачем в Windows нужна локальная политика безопасности

Групповая (локальная) политика безопасности (ГПБ/ЛПБ) — это программные средства, обеспечивающие согласованную и максимально эффективную работу компьютеров компании или учреждения.

Иметь высокую производительность труда, экономя время и ресурсы — это о вас, если на ПК и ноутбуках под управлением Windows работают настройки группового соединения: вместе эти компьютеры образуют единое целое, помогающее вашей конторе расти и развиваться дальше. Для этого требуется их подключение к одному домену.

Какая версия Windows 10 подходит для настроек групповой политики

Вам нужна Professional/Enterprise — её используют работники частных фирм и госслужащие. Дело в том, что в версии Home/Starter, предназначенной для обычных пользователей, нет компонента gpedit.exe (англ. Group Politics Editor) — нужна его принудительная установка.

Почему в Windows Home/Starter нет инструмента GPEdit

В Home/Starter ГПБ представлена лишь службой «Клиент групповой политики», которую можно отключить совсем. Да и зачем она, если доступ к расширенным настройкам закрыт? Сделано это для предотвращения изменений, вносимых в настройки ОС вредоносным ПО под именем администратора.

Где находится и как работает локальная политика безопасности

Локальные средства безопасности «десятки» управляются службой «Клиент групповой политики». Если эта служба отключена, средство Group Politics Editor не запустится или будет давать сбои в настройке.

Запуск редактора локальной политики безопасности Windows 10

Дайте команду «Пуск — Выполнить» и введите в открывшейся строке команду gpedit.msc.

Подтвердите ввод, нажав OK

Запустить редактор также можно, введя «gpedit» в поиске главного меню Windows 8/10.

Функционал редактора групповой политики

Настройка сервиса ГПБ включает в себя:

  • конфигурацию программ — управляет сторонними приложениями;
  • конфигурацию «десятки» — управляет настройками безопасности системы;
  • административные шаблоны — фактически это замена утомительного редактирования настроек из реестра.Основное окно редактора показывает все настройки групповой политики

Как выключить локальную политику безопасности

Необходимо выключить службу «Клиент групповой политики». Но она «вшита» в Windows 7/8/10 настолько прочно, что остановить и деактивировать её с помощью встроенного мастера настройки служб, вызываемого из диспетчера задач, нельзя.

Самый действенный способ — вмешаться в реестр системы. Сделайте следующее:

  1. Войдите в уже знакомую строку запуска программ «Выполнить» и введите команду «regedit». Откроется редактор реестра.
  2. Перейдите в директорию \HKLM\SYSTEM\CurrentControlSet\Services\gpsvc (процесс gpsvc.exe, видимый в диспетчере задач при работе «Клиента групповой политики», запускается реестром Windows из этого места).
  3. Правый щелчок мышью откроет меню папки «gpsvc» — выберите «Разрешения».

    В редакторе реестра находим папку «gpsvc», нажимаем «Разрешения»

  4. Выберите другого владельца, зайдя в дополнительные параметры безопасности.

    Без изменения имени вы не сможете добраться до полного доступа к процессу gpsvc

  5. Отметьте все разрешения. Желательно удалить лишних пользователей из настройки неограниченного доступа к службе.

    Отметьте все разрешения, удалите лишних пользователей из настройки дополнительного доступа в графе «Группы или пользователи»

  6. Вернитесь к папке gpsvc в данной директории реестра и измените ключ Start, введя значение 4 («Отключено»).

    В папке gpsvc измените ключ Start, введя значение 4, и система отключится

  7. Закройте все окна, нажав OK, перезапустите компьютер.

Это ещё не всё! Вам будет мешать сообщение в трее о неработе службы «Клиент групповой политики».

Оно будет появляться каждый раз, уберите его

Чтобы его убрать, сделайте следующее:

  1. Запустите уже знакомый редактор реестра.
  2. Удалите из него папку HKLM\SYSTEM\CurrentControlSet\Control\Winlogonotifications\Components\GPClient.

    Запустите редактор реестра и удалите из него папку GPClient

Предварительно сохраните эту папку в отдельный файл реестра. Это делается на случай, если работу службы нужно быстро восстановить, не переустанавливая Windows. После удаления папки перезапустите компьютер — уведомление больше не появится.

Локальная политика безопасности Windows 10 не включается

Причины, по которым не включается служба, следующие:

  • вы скачали сборку ОС, в которой этот компонент отключён. Вам поможет код реестра (можно сохранить и запустить как отдельный reg-файл): Windows [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] «EnableInstallerDetection»=dword:00000001. Перезапустите компьютер после запуска созданного твика;
  • вы используете Win 10 Home. Поставьте сервис «Локальная политика безопасности самостоятельно, если у вас нет сборки Professional или Enterprise. Воспользуйтесь инструкциями для Windows 7 и выполните похожее для Windows 10;
  • недостаточно прав, нужны «админские» права. Чтобы включить учётную запись администратора, воспользуйтесь командой «net user администратор /active:yes» в командной строке и зайдите в систему под именем администратора. Попытайтесь запустить редактор ГПБ заново известными выше способами. Как только надобность в GPEditor отпадёт и службу вы отключите, выйдите из учётной записи администратора и выключите его командой «net user администратор /active:no».

: как установить редактор групповой политики в Windows

Службы и процессы групповой безопасности Windows — полезный инструмент, здорово выручающий в работе. Когда он не нужен, его легко выключить.

  • Георгий Кулешовский
  • Распечатать

Источник: https://kompkimi.ru/windows10/redaktor-lokalnoy-gruppovoy-politiki-windows-10

Как управлять параметрами ОС Windows 10 с помощью редактора групповой политики

Включить локальную политику безопасности

В этой статье мы рассмотрим что такое редактор локальной групповой политики, как установить эту функцию на Windows 10 Home и как администраторам сети управлять и вносить нужные изменения в параметры операционных систем других ПК всего с одного компьютера.

Windows 10 является последней версией операционной системы от Microsoft и стала ядром большинства существующих платформ: персональные компьютеры, ноутбуки, планшеты, смартфоны и даже игровые консоли.

Тем не менее, компания разработчиков решила разделить единую операционную систему на подтипы. Практически наверняка ведущим мотиватором, как и для любой другой компании, стала прибыль.

Гораздо выгоднее повышать ценник с добавлением дополнительных функций, нежели сделать all inclusive с одной ценой.

Несмотря на то, что версий операционной системы Windows 10 целых 4, далеко не каждый пользователь сможет найти между ними разницу. Именно поэтому была создана Windows 10 Home Edition.

Она представляет собой базовую ОС со всеми необходимыми функции для начинающих юзеров.

К сожалению, Windows 10 Home не осталась без недостатков — в ней полностью отсутствует возможность выбора способа обновления ядра операционной системы.

Отличие версий Windows 10 Pro и Windows 10 Home

Базовые компоненты Pro и Home версий совершенно идентичны, разница заключается лишь в бизнес-компонентах. Они позволяют настроить связь между компьютерами внутри одной корпоративной сети и беспрепятственно работать целым офисом. В домашних же условиях эта особенность бесполезна и у нас нет нужды связывать два устройства.

Что отличает Windows 10 Pro от Windows 10 Home:

  • Поддержка подключения дополнительных устройств и возможность управления ими.
  • Доступ к шифрованию передаваемых данных в единой корпоративной сети.
  • Расширенный список сетевых стандартов.
  • Доступ к общим офисным документам и принтерам.
  • Работа с облаком.
  • Управление групповыми политиками.
  • Возможность недорогого обновления до Windows 10 Enterprise.

Большинство описанных выше функций не пригодятся обычному пользователю. Они предназначены для ведения бизнеса и работы с документами. Однако, особое внимание следует уделить такой особенности как управление групповыми политиками.

Данная функция открывает широкие возможности по настройке компьютера для каждого юзера и при этом не вынуждает идти на высокие риски.

О приложении gpedit.msc

Редактор групповой политики — это инструмент, позволяющий администраторам сети внести нужные изменения в параметры Windows всего с одного компьютера.

Данное приложение включает в себе все доступные варианты настройки операционной системы: реестровые параметры, настройки безопасности, параметры установки программного обеспечения, сценарии запуска и отключения компьютера, пере-направление папок.

С помощью редактора групповой политики вы можете с легкостью ограничить сотрудникам доступ к тем или иным корпоративным документам, или же, наоборот, открыть его. Таким образом появляется возможность контроля информации внутри предприятия.

Редактор групповой политики позволяет работать с одиночным компьютером и проводить с ним аналогичные манипуляции. Прекрасно подходит для настройки Windows в домашних условиях.

Отличие между редактором локальной групповой политики и редактором реестра

Если вы обратите внимание на функционал обоих редакторов, то быстро убедитесь в превосходстве редактора локальной групповой политики. Это объясняется тем, что работая в режиме групповой политики, вы всегда видите и понимаете с чем имеете дело — нет сложных кодов, которые доступны только людям, работающим в данной сфере.

Внося какое-либо изменение внутри редактора групповой политики, они автоматически будут задействованы и в редакторе реестра. Так же и наоборот. Если вы внесете изменения в редакторе реестра, значения редактора групповой политики будут изменены до следующей корректировки.

Интересный факт. Групповая политика в Windows 10 с определенным интервалом времени автоматически совершает обновление реестра. Это делается для сохранения его рабочего состояния. Как правило, интервал времени находится в диапазоне от 30 до 90 минут. Однако, при желании, вы всегда можете его изменить.

Как открыть редактор локальной групповой политики в Windows 10

Для пользователей операционных систем Windows 10 Pro и Windows 10 Enterprise открыть редактор локальной групповой политики довольно легко.

1. Откройте утилиту Выполнить с помощью комбинации клавиш Windows + R.

2. Введите команду gpedit.msc и нажмите клавишу Enter.

3. Выполните нужные действия в открывшемся окне приложения Редактор локальной групповой политики.

же проблема заключается в Windows 10 Home, а точнее в отсутствии редактора локальной групповой политики. Для пользователей данной версии операционной системы Windows мы подготовили подробный гайд и подготовке и установке gpedit.msc.

Особенности работы gpedit.msc на Windows 10 Home Edition

В установке редактора локальной групповой политики в Windows 10 Home нет ничего сложного. Достаточно загрузить установочный файл и запустить его — все, редактор на вашем компьютере! Однако, это было бы слишком просто, не будь здесь подводных камней.

К сожалению, редактор локальной групповой политики работает не на всех ПК под управлением Windows 10 Home. В этом случае, скорее всего, операционная система попросит вас установить устаревшие версии Microsoft NET Framework (v2.0 или v3.0).

Скачайте Редактор локальной групповой политики (gpedit.msc).

В нашем следующем руководстве мы опишем не столько процесс установки групповой политики, сколько способы заставить ее работать на вашем ПК.

Активация редактора локальной групповой политики

Как мы уже говорили выше, gpedit.msc не всегда торопится нормально работать в операционной системе Windows 10 Home. Тем не менее, мы можем его заставить. Для этого будут разобраны два способа: работа через системную папку SysWOW64 и работа со всеми любимой командной строкой.

SysWOW64
Подходит в случае когда система оповещает об отсутствии файла gpedit.msc.

1. Откройте папку C:\Windows\SysWOW64.
Чтобы упростить задачу, скопируйте путь и вставьте его в диалоговое окно меню Пуск или Проводника. Затем нажмите клавишу Enter.

2. Скопируйте папки GroupPolicy и GroupPolicyUsers.

3. Теперь пройдите по пути C:\Windows\System32 и вставьте скопированные папки.

Командная строка
Подходит в случае возникновения ошибки MMC could not create the snap-in.

1. Откройте командную строку от имени администратора.

2. Введите команду cd/ и нажмите клавишу Enter.

3. Теперь введите команду cd Windows.

4. Введите команду cd Temp.

5. Если на вашем компьютере все работает, вы получите следующее уведомление: Системе не удается найти указанный путь. Если же нет, перейдите к пункту 6 не покидая командной строки.

6. Введите команду x64.bat и нажмите клавишу Enter, чтобы завершить работу.

7. Перезапустите компьютер, чтобы внесенные изменения вступили в силу.

Некоторые функции редактора групповой политики (gpedit.msc)

Как только вы закончили с установкой редактора групповой политики, рекомендуем обратить внимание на ее возможности. Для этого мы подготовили пару примеров, с помощью которых покажем самые базовые возможности приложения.

Оно объединяет в себе буквально все параметры Windows, которые только можно найти. Главное только не забывать, что внося много рискованных изменений мы можем непреднамеренно повредить Windows.

Поэтому, совершая те или иные корректировки, соблюдайте осторожность.

Отключение Защитника Windows

Защитник Windows — это встроенный системный антивирус, задача которого оберегать своего пользователя от угроз из интернета и загруженных им приложений. В некоторых случаях он может потреблять слишком много ресурсов или начинает работать тогда когда в этом нет необходимости. Поэтому самым частым решением данной ситуации является отключение Защитника Windows.

Как отключить встроенный антивирус с помощью редактора групповой политики:

1. Откройте утилиту Выполнить с помощью комбинации клавиш Windows + R.

2. Введите команду gpedit.msc и нажмите клавишу Enter.

3. Проследуйте по следующему пути внутри приложения “Редактор локальной групповой политики”:
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows”.

4. Найдите параметр Выключить антивирусную программу “Защитник Windows”.

5. Щелкните по параметру правой кнопкой мыши и нажмите Изменить.

6. Измените состояние параметра на Отключено.

7. Примените и сохраните внесенные изменения.

Отключение обновлений Windows

Часто обновление операционной системы начинается совершенно не вовремя, когда мы к этому не готовы и, например, работаем. Это нарушает распорядок дня и, хуже всего, если такое обновление заканчивается багом вследствие которого компьютер перестает запускаться. Единственным действенным решением в такой ситуации является откат апдейта.

Можно ли предотвратить неожиданные обновления Windows и получить контроль над этим процессом? Легко! С помощью редактора локальной групповой политики вы можете в два клика отключить автоматические обновления операционной системы. При желании, вы можете запустить процесс апдейта вручную.

1. Откройте утилиту Выполнить с помощью комбинации клавиш Windows + R.

2. Введите команду gpedit.msc и нажмите клавишу Enter.

3. Проследуйте по следующему пути внутри приложения “Редактор локальной групповой политики”:
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows.

5. Щелкните по параметру правой кнопкой мыши и нажмите Изменить.

6. Измените статус параметра на Отключено.

7. Примените и сохраните внесенные изменения.

Как вы, наверняка, заметили функционал редактора локальной групповой политики весьма обширен. Вы можете изменить каждый параметр операционной системы всего в одном приложении.

“С большой силой приходит большая ответственность”.

Поэтому, внося изменения в редакторе локальной групповой политики, вы вносите корректировки в реестр тоже. Помните об этом и соблюдайте осторожность.

Источник: www.starusrecovery.ru

Источник: https://zen.yandex.ru/media/starusrecovery/kak-upravliat-parametrami-os-windows-10-s-pomosciu-redaktora-gruppovoi-politiki-5dd525b6710eb34d51c31532

Основы работы с редактором локальной групповой политики в ОС Windows 10

Включить локальную политику безопасности

Групповые политики применяются ко всем областям конфигурирования операционной системы, начиная от настройки интерфейса операционной системы Windows 10 и заканчивая настройкой параметров безопасности

Групповые политики — это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.

Изменять групповые политики можно с помощью Редактора локальной групповой политики.

В редакциях операционной системы Windows 7 Starter, Home Basic и Home Premium редактор локальной групповой политики недоступен. Также он недоступен в редакциях Home Windows 8 и 10.

Групповые политики в Windows 10 позволяют управлять различными штатными средствами системы:

  1. Политики для настройки встроенного брандмауэра Windows;
  2. Политики для управления электропитанием;
  3. Политики для настройки панели управления, панели задач и др.
  4. Политики для настройки антивирусной защиты;
  5. Политики для управления подключаемых устройств;
  6. Политики для настройки штатных средств шифрования
  7. Политики для настройки штатного браузера;
  8. Политики для настройки беспроводных сетей и многое многое другое.

Для настройки параметров в операционной системе MS Windows 10 используется оснастка Редактор локальной групповой политики. Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.

Оснастку Редактор объектов групповой политики можно запустить, например, введя в окне Выполнить, либо в поисковой строке gpedit.msc.

Рис.1 Окно Выполнить

Оснастка Локальная политика безопасности входит в состав оснастки Редактор

Для удобства можно добавить ярлык оснастки на рабочий стол. Для этого необходимо открыть C:\Windows\System32, выбрать правой клавишей мыши gpedit и отправить ярлык на рабочий стол.

Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики

Чтобы работать с объектами локальной групповой политики, необходимо войти в систему с учетной записью администратора.

Структура редактора групповой политики

Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.

В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.

Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.

Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.

Рис.3 Редактор локальной групповой политики

Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика.

Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика.

Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.

Рис.4 Настройка частоты обновления политик

Рис.5 Настройка частоты обновления политик

Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:

  • осуществить перезагрузку операционной системы
  • использовать утилиту gpupdate.exe для принудительного обновления групповой политики. Для этого необходимо либо в окне Выполнить, либо в командной строке ввести gpupdate /force и нажать ОК.

Рис.6 Обновление политик в командной строке

С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.

Например, для выполнения обновления политик для пользователя, необходимо ввести gpupdate /target:user.

Рис.7 Обновление политик для пользователя в командной строке

Пример последовательности действий при редактировании определенной политики

Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:

  • Войти в систему под учетной записью администратора.
  • Запустить Редактор локальной групповой политики
    • Открыть окно Выполнить,
    • Ввести gpedit.msc,
    • Нажать Enter.
  • Последовательно развернуть элементы Конфигурация пользователя > Административные шаблоны > Панель управления в окне Редактора локальной групповой политики.

Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления

  • Дважды щелкнуть ЛКМ по параметру политики Отображать только указанные объекты панели управления.
  • Выбрать значение Включено.

Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления

  • Нажать кнопку Показать, чтобы вызвать диалоговое окно Вывод содержания.
  • Ввести имя апплета или апплетов, которые необходимо показывать в Панели управления, и нажать Enter.

Рис.10 Список разрешенных элементов панели управления

  • Нажать OK.
  • Закрыть редактор локальной групповой политики
  • Проверить результат

Для некоторых политик, чтобы изменения вступили в силу сразу, необходимо в окне Выполнить ввести gpupdate /force.

Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики

Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики

Изменения, которые вносятся через редактор локальной групповой политики, будут применены для всех учетных записей, зарегистрированных в системе, включая учетную запись администратора, который инициировал изменения.

Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:

  • стандартная локальная групповая политика, позволяющая изменять системные и пользовательские настройки, которые будут применены для всех пользователей операционной системы;
  • групповая политика для администраторов и не администраторов. Эта групповая политика содержит только конфигурационные параметры пользователя и применяется в зависимости от того, является ли используемая учетная запись пользователя членом локальной группы Администраторы или нет;
  • групповая политика для конкретного пользователя. Эта групповая политика содержит только конфигурационные параметры конкретного пользователя

Добавление объекта групповой политики первого уровня

  • В окне Выполнить ввести MMC и нажать Enter
  • Открыть меню Файл и выбрать опцию Добавить или удалить оснастку

Рис.13 Добавление оснастки через консоль управления

  • Найти и выделить Редактор объектов групповой политики и нажать кнопку Добавить

Рис.14 Диалоговое окно Добавление и удаление оснасток

  • В открывшемся мастере групповой политики в поле Объект групповой политики оставить по умолчанию Локальный компьютер (первый уровень, стандартная локальная политика) и нажать кнопку Готово.

Рис.15 Диалоговое окно выбора объекта групповой политики

Добавление объекта групповой политики второго уровня

  • В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
  • В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
  • На вкладке Пользователи выбрать Администраторы и нажать кнопку ОК и Готово

Рис.16 Настройка объекта групповой политики второго уровня

Добавление объекта групповой политики третьего уровня

  • В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
  • В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
  • На вкладке Пользователи выбрать нужную учетную запись.
  • Нажать ОК, чтобы закрыть диалоговое окно Добавление и удаление оснасток.

Рис.17 Консоль управления

  • Для удобства, используя команды в главном меню Файл >Сохранить как, сохранить файл консоли управления на рабочем столе для последующего редактирования политик.

Теперь, используя данную консоль, можно настраивать политики для определенных пользователей.

Галашина Надежда Евгеньевна, старший преподаватель факультета методов и техники управления НИУ ИТМО Санкт-Петербурга. Специально для портала Comss.ru

Источник: https://www.comss.ru/page.php?id=4809

Локальная политика безопасности. Часть 1: Введение

Включить локальную политику безопасности

В предыдущих моих статьях о групповых политиках было рассказано о принципах работы оснастки “Редактор локальной групповой политики”. Рассматривались некоторые узлы текущей оснастки, а также функционал множественной групповой политики.

Начиная с этой статьи, вы сможете узнать об управлении параметрами безопасности на локальном компьютере, а также в доменной среде.

В наше время обеспечение безопасности является неотъемлемой частью работы как для системных администраторов в крупных и даже мелких предприятиях, так и для домашних пользователей, перед которыми стоит задача настройки компьютера.

Неопытные администраторы и домашние пользователи могут посчитать, что после установки антивируса и брандмауэра их операционные системы надежно защищены, но это не совсем так.

Конечно, эти компьютеры будут защищены от множества атак, но что же спасет их от человеческого фактора? Сейчас возможности операционных систем по обеспечению безопасности очень велики. Существуют тысячи параметров безопасности, которые обеспечивают работу служб, сетевую безопасность, ограничение доступа к определенным ключам и параметрам системного реестра, управление агентами восстановления данных шифрования дисков BitLocker, управление доступом к приложениям и многое, многое другое.

В связи с большим числом параметров безопасности операционных систем Windows Server 2008 R2 и Windows 7, невозможно настроить все компьютеры, используя один и тот же набор параметров.

В статье “Настройки групповых политик контроля учетных записей в Windows 7” были рассмотрены методы тонкой настройки контроля учетных записей операционных систем Windows, и это только малая часть того, что вы можете сделать при помощи политик безопасности.

В цикле статей по локальным политикам безопасности я постараюсь рассмотреть как можно больше механизмов обеспечения безопасности с примерами, которые могут вам помочь в дальнейшей работе.

Конфигурирование политик безопасности

Политика безопасности – это набор параметров, которые регулируют безопасность компьютера и управляются с помощью локального объекта GPO. Настраивать данные политики можно при помощи оснастки “Редактор локальной групповой политики” или оснастки “Локальная политика безопасности”.

Оснастка “Локальная политика безопасности” используется для изменения политики учетных записей и локальной политики на локальном компьютере, а политики учетных записей, привязанных к домену Active Directory можно настраивать при помощи оснастки “Редактор управления групповыми политиками”.

Перейти к локальным политикам безопасности, вы можете следующими способами:

  1. Нажмите на кнопку “Пуск” для открытия меню, в поле поиска введите Локальная политика безопасности и откройте приложение в найденных результатах;
  2. Воспользуйтесь комбинацией клавиш +R для открытия диалога “Выполнить”. В диалоговом окне “Выполнить”, в поле “Открыть” введите secpol.msc и нажмите на кнопку “ОК”;
  3. Откройте “Консоль управления MMC”. Для этого нажмите на кнопку “Пуск”, в поле поиска введите mmc , а затем нажмите на кнопку “Enter”. Откроется пустая консоль MMC. В меню “Консоль” выберите команду “Добавить или удалить оснастку” или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге “Добавление и удаление оснасток” выберите оснастку “Редактор локальной групповой политики” и нажмите на кнопку “Добавить”. В появившемся диалоге “Выбор объекта групповой политики” нажмите на кнопку “Обзор” для выбора компьютера или нажмите на кнопку “Готово” (по умолчанию установлен объект “Локальный компьютер”). В диалоге “Добавление или удаление оснасток” нажмите на кнопку “ОК”. В оснастке “Редактор локальной групповой политики” перейдите в узел “Конфигурация компьютера”, а затем откройте узел “Параметры безопасности”.

В том случае, если ваш компьютер подсоединен к домену Active Directory, политика безопасности определяется политикой домена или политикой подразделения, членом которого является компьютер.

Применение политик безопасности для локального компьютера и для объекта групповой политики рабочей станции, подсоединенной к домену

При помощи следующих примеров вы увидите разницу между применением политики безопасности для локального компьютера и для объекта групповой политики рабочего компьютера, присоединенного к домену Windows Server 2008 R2.

Применение политики безопасности для локального компьютера

Для успешного выполнения текущего примера, учетная запись, под которой выполняются данные действия, должна входить в группу “Администраторы” на локальном компьютере.

Если компьютер подключен к домену, то эти действия могут выполнять только пользователи, которые являются членами группы “Администраторы домена” или групп, с разрешенными правами на редактирование политик.

В этом примере мы переименуем гостевую учетную запись. Для этого выполните следующие действия:

  1. Откройте оснастку “Локальные политики безопасности” или перейдите в узел “Параметры безопасности” оснастки “Редактор локальной групповой политики”;
  2. Перейдите в узел “Локальные политики”, а затем “Параметры безопасности”;
  3. Откройте параметр “Учетные записи: Переименование учетной записи гостя” дважды щелкнув на нем или нажав на клавишу Enter;
  4. В текстовом поле введите Гостевая запись и нажмите на кнопку “ОК”;
  5. Перезагрузите компьютер.

После перезагрузки компьютера для того чтобы проверить, применилась ли политика безопасности к вашему компьютеру, вам нужно открыть в панели управления компонент “Учетные записи пользователей” и перейти по ссылке “Управление другой учетной записью”. В открывшемся окне вы увидите все учетные записи, созданные на вашем локальном компьютере, в том числе переименованную учетную запись гостя:

Применение политики безопасности для объекта групповой политики рабочей компьютера, присоединенного к домену Windows Server 2008 R2

В этом примере мы запретим пользователю Test_ADUser изменять пароль для учетной записи на своем компьютере. Напомню, что для выполнения следующих действий вы должны входить в группу “Администраторы домена”. Выполните следующие действия:

  1. Откройте “Консоль управления MMC”. Для этого нажмите на кнопку “Пуск”, в поле поиска введите mmc , а затем нажмите на кнопку “Enter”;
  2. В меню “Консоль” выберите команду “Добавить или удалить оснастку” или воспользуйтесь комбинацией клавиш Ctrl+M;
  3. В диалоге “Добавление и удаление оснасток” выберите оснастку “Редактор локальной групповой политики” и нажмите на кнопку “Добавить”;
  4. В появившемся диалоге “Выбор объекта групповой политики” нажмите на кнопку “Обзор” для выбора компьютера и выберите нужный компьютер, как показано на следующем скриншоте:
  5. В диалоге “Выбор объекта групповой политики” убедитесь, что выбрали нужный компьютер и нажмите на кнопку “Готово”;
  6. В диалоге “Добавление или удаление оснасток” нажмите на кнопку “ОК”;
  7. В оснастке “Редактор локальной групповой политики” перейдите в узел “Конфигурация компьютера”, а затем откройте узел Параметры безопасности\Локальный компьютер\Параметры безопасности;
  8. Откройте параметр “Контроллер домена: Запретить изменение пароля учетных записей компьютера” дважды щелкнув на нем или нажав на клавишу Enter;
  9. В диалоге настроек параметра политики безопасности выберите опцию “Включить” и нажмите на кнопку “ОК”;
  10. Перезагрузите компьютер.

После перезагрузки компьютера для того чтобы проверить, применилась ли политика безопасности, перейдите на компьютер, над которым проводились изменения и откройте консоль управления MMC. В ней добавьте оснастку “Локальные пользователи и группы” и попробуйте изменить пароль для своей доменной учетной записи.

Применение политики безопасности для объекта групповой политики с контроллера домена Windows Server 2008 R2

При помощи этого примера, изменим число новых уникальных паролей, которые должны быть назначены учетной записи пользователя до повторного использования старого пароля.

Эта политика позволяет вам улучшать безопасность, гарантируя, что старые пароли не будут повторно использоваться в течении нескольких раз.

Войдите на контроллер домена или используйте средства администрирования удаленного сервера. Выполните следующие действия:

  1. Откройте консоль “Управление групповой политикой” – в диалоговом окне “Выполнить”, в поле “Открыть” введите gpmc.msc и нажмите на кнопку “ОК”;
  2. В контейнере “Объекты групповой политики” щелкните правой кнопкой мыши и из контекстного меню выберите команду “Создать”;
  3. В поле “Имя” введите название объекта GPO, например “Объект политики, предназначенный для тестирования” и нажмите на кнопку “ОК”;
  4. Щелкните правой кнопкой мыши на созданном объекте и из контекстного меню выберите команду “Изменить”;
  5. В окне “Редактор управления групповыми политиками” разверните узел Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики учетных записей\Политика паролей;
  6. Откройте параметр “Вести журнал паролей” дважды щелкнув на нем или нажав на клавишу Enter;
  7. В диалоге настройки параметра политики установите флажок на опции “Определить следующий параметр политики”, в тестовом поле введите 5 и нажмите на кнопку “ОК”;
  8. Закройте оснастку “Редактор управления групповыми политиками”.
  9. В консоли “Управление групповой политикой” нажмите правой кнопкой мыши на группе безопасности, для которой будут применяться изменения, и из контекстного меню выберите команду “Связать существующий объект групповой политики…”. В диалоге “Выбор объекта групповой политики” выберите созданный вами объект, как показано на следующем скриншоте:
  10. В фильтрах безопасности объекта политики выберите пользователя или группу, на которых будет распространяться указанные настройки.
  11. Обновите параметры политики на клиентском компьютере при помощи команды gpupdate.

Об использовании оснастки “Управление групповой политикой” на контроллерах домена и о команде gpupdate будет подробно рассказываться в последующих статьях.

Заключение

Из этой статьи вы узнали о методах применения локальных политик безопасности.

В предоставленных примерах проиллюстрирована настройка политик безопасности при помощи оснастки “Локальная политика безопасности” на локальном компьютере, настройка политик на компьютере, подсоединенном к домену, а также управление локальными политиками безопасности с использованием контроллер домена. В следующих статьях из цикла о локальных политиках безопасности вы узнаете об использовании каждого узла оснастки “Локальная политика безопасности” и о примерах их использования в тестовой и рабочей среде.

Ссылки по теме

Источник: http://www.interface.ru/home.asp?artId=23544

Общие сведения о локальной и доменной политиках безопасности

Включить локальную политику безопасности

Выполняя настройку компьютеров, системные администраторы в первую очередь должны обращать внимание на их безопасность. Что же это такое? Это совокупность функций, регулирующих безопасную работу ПК и управляющихся посредством локального объекта GPO.

Настройка политики безопасности на компьютерах с Windows XP, «Семёрка»

Настройку данных функций осуществляют (в Windows XP, «Семёрка») пользователи вручную через через специальную консоль «Local Group Politics Editor» (редактор локальных политик безопасности) или «Local Security Politics».

Окно «Local Group Politics Editor» используют при необходимости внести изменения в политику учётной записи домена, управляемой посредством Active Directory. Через консоль «Local Group Politics Editor» производится настройка параметров учётных записей и регулируется безопасность на локальных хостах.

Для открытия окна настроек Local Security Policy (в Windows XP, «Семёрка») нужно сделать следующее.

Нажимаем кнопку «Start» и в поисковом поле открывающемся меню вводим название окна Local Security Policy (см. рисунок ниже).

Нажав комбинацию кнопок +R, открываем пункт «Run», в поле ввода которого вводим sесpol.msc и нажимаем на ОК.

Сначала необходимо проверить, что учётный пользовательский аккаунт находится в администраторской группе (Windows XP, «Семёрка»). Для открытия консольного приложения ММС (в Windows XP, «Семёрка» ) нажимаем кнопку «Start» и в поисковом поле вводим mmс, после чего нажимаем на «Enter». В пустом консольном окне ММС нажимаем на надпись «Console» и выбираем «Add or Remove».

В открывшемся окне выбираем консоль «Local Group Politics Editor» и нажимаем на Add. В открывшемся диалоговом окне нужно найти и нажать на «Обзор», указать необходимые компьютеры и нажать на «Ready». В окне «Add or Remove» нажимаем на ОК.

Находим открытую консоль «Local Group Politics Editor» и переходим на пункт «Computer Configuration», а после этого открываем «Security Parameters».

При подсоединении вашего рабочего места к сети с доменом (Windows Сервер 2008), безопасность определяется политикой Active Directory или политика того подразделения, к которому относится компьютер.

Как применить Security Policy к компьютерам, являющимися локальными (с системой Windows XP и так далее), или подсоединённому к домену

Сейчас мы подробно рассмотрим последовательность настроек Local Security Policy и увидим различия между особенностями политики безопасности на локальном компе с Windows (XP, «Семёрка» и так далее) и на компе, подсоединённом к доменной сети через Windows Сервер 2008 R2.

Особенности настроек Security Policy на локальном компьютере

Следует напомнить, что все действия, проводимые здесь, выполнялись под учётным аккаунтом, входящим в администраторскую группу (Windows XP, «Семёрка») на локальном компьютере или в группу «Domen Administrators» (Windows Сервер 2008), в подсоединённом к доменной сети узле.

Чтобы выполнить этот пример необходимо сначала присвоить гостевому учётному аккаунту другое имя. Для этого выполняем следующие действия.

  1. Открывается консольное приложение «Local Security Politics» или выполняется переход в узел «Security Parameters» консоли «Local Group Politics Editor»;
  2. Переходим в раздел «Local Politics», а потом — в «Security Parameters»;
  3. Двойным нажатием на кнопку мышки открываем «User’s accounts: Rename guest user account»;
  4. В поле ввода прописываем Гостевая запись и нажимаем ОК.
  5. Компьютер нужно перезагрузить. (В Windows XP для этого нужно нажать на Завершение работы и нажать на Restart).

Заново включив комп, проверяем использование Security Policy к вашей ЭВМ. Для этого открывается Control Panel и в окне «User’s Accounts» переходим по ссылке «Другой учётный аккаунт. Управление». В открытом окне можно будет увидеть список всех учётных записей вашей локальной машины, куда входит и переименованный гостевой пользовательский учётный аккаунт.

Применяем Security Policy для компьютеров, подключенных к доменной сети через Windows Сервер 2008 R2

Этот пример показывает последовательность операций для запрета изменения пользовательского пароля для учётной записи Test_ADUser. Напомним, что изменять параметры Security Policy возможно только будучи в группе «Domen’s administrators». Делаем следующее.

Нажимаем на «Start» и в поисковом поле вводим ММС и нажимаем «Enter». Нажимаем на надпись «Console» и выбираем строку «Add or Remove». На экране сразу появится диалоговое окно. В нём нужно выбрать оснастку «Local Group Politics Editor» и там нажать на «Обзор», чтобы выбрать компьютер.

В появившемся окне выбираем нужные компьютеры и нажимаем Done.

  1. В окне «Add or Remove» нажимаем ОК.
  2. Находим открывшуюся консоль «Local Group Politics Editor» и переходим на узел «Computer Configuration» и там открываем узел «Security Parameters\Local Computer/Security Parameters»
  3. Находим параметр «Доменный контроллер: запретить изменения пароля учётных аккаунтов» и нажимаем на него два раза мышкой.
  4. В появившемся окне выбираем «Включить» и нажимаем ОК.
  5. Перезагружаемся.

После включения компьютеров проверяем изменения в Security Policy, перейдя на консоль ММС. В открывшейся консоли добавляем составляющую «Local users and computers» и пробуем поменять пароль своего учётного аккаунта.

Вывод

Прочитав эту статью, мы разобрались с особенностями методов использования Local Security Policy (на компах с Windows XP, «Семёркой», Windows Сервер 2008). В вышеприведенных примерах показаны иллюстрации c настройками Local Security Policy на компьютерах, которые являются локальными, и компьютерах, которые подключёны к доменной сети.

Источник: https://WindowsTune.ru/tuning/lokalnye-politiki-bezopasnosti.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.