Локальные политики безопасности windows 10. Сохранение состояния в параметрах безопасности

22.04.2019

Редактор локальной групповой политики, один из инструментов windows 10, windows 7, windows 8, windows 8.1, кроме версий home, который не очень популярный среди обычных пользователей, но пришелся по вкусу сетевым администраторам.

Он позволяет контролировать все параметры ОС из одной точки. Это особенно полезно, если вы администратор сети и нужно установить одинаковые правила для нескольких компьютеров / ноутбуков или пользователей в одной и той же самой области.

Также редактор локальной групповой политики предлагает широкий набор возможностей и настроек, которые не найти в обычных местах и может быть очень полезным для обычных пользователей.

Прочтите это руководство, чтобы узнать, что такое локальная групповая политика, где она находится, как ее открыть и как с нею работать на всех версиях виндовс.

Что такое редактор локальной групповой политики

По определению, групповые политики является функцией, которая дает вам точку доступа для администрирования, настройки операционной системы, программ и пользовательских настроек на компьютерах и ноутбуках.

Разумеется, это очень полезно, если вы являетесь администратором сети и вам необходимо ввести определенные правила или параметры для компьютеров и или пользователей.

Тем не менее, этот сценарий не является целью данного учебника. Локальная политика представляют управление компьютерами, не только тех, кто зарегистрирован в группе.

Проще говоря, вы должны думать о групповой политике как о инструменте, регулирующим функционирование ОС windows 10, windows 7, windows 8, windows 8.1 на вашем компьютере.

Кто может запустить редактор локальной групповой политики

Поскольку редактор локальной групповой политики является инструментом хорошо развитым, вы должны знать, что он не доступен для редакций home. Вы можете запустить его только на:

Windows 7 Professional, Ultimate и Enterprise
Windows 8 и1 Professional, Enterprise
Windows 10 Pro и Enterprise

Что можно сделать в редакторе локальной групповой политики

Вы можете настроить множество параметров ОС как администратор и другие пользователи не смогут ваши параметры изменить позже. Вот несколько примеров:

Можете позволить пользователям использовать определенные приложения на вашем компьютере.
Блокировать доступ к внешним устройствам (например, карты памяти USB), подключенных к компьютеру.
Блокировать доступ пользователей к панели управления или настройкам приложений.
Скрыть некоторые элементы панели управления.
Задает фон, для рабочего стола и блокировать способность пользователей его изменить.
Блокировать включение или отключение сетевых соединений и доступ к их свойствам.
Запретить пользователям считывать или записывать данные на CD, DVD, внешних накопителях памяти и т.д.
Отключить все комбинации клавиш, которые начинаются с кнопки Win. Например, Win+R (открывает «Выполнить»).

Таковы лишь некоторые примеры, а на самом деле есть множество других параметров.

Как открыть редактор локальной групповой политики на Windows 7

Чтобы открыть редактор локальной групповой политики на Windows 7 используйте функцию поиска.

Для этого нажмите «меню Пуск», и в поисковой линейке впишите «gpedit.msc» (без кавычек) и в поле вывода результата нажмите на значок «gpedit.msc» или «Редактировать групповую политику» — смотря какая появится.

В качестве альтернативы можно использовать инструмент «Выполнить». Самый быстрый способ его запустить — одновременно нажмите «Win+R», написать «gpedit.msc» и нажать кнопку «OK».

Как войти в редактор локальной групповой политики на Windows 8.1

Как и в Windows 7 инструмент можно быстро запустить, используя поиск и ведя в него без кавычек — «gpedit.msc».

После этого в результате поиска, нажмите «gpedit». Также можете использовать окно, «Выполнить», как описано в предыдущем разделе.

Как открыть редактор локальной групповой политики в Windows 10

В операционной системе Windows 10, запустить редактор локальной групповой политики также же, как в Windows 8.1 и Windows 7.

Точно также можете в окне поиска прописать — «gpedit.msc» и нажать на соответствующий значок в выдаче результатов.

Кому нравится пользоваться окном «Выполнить» можете открыть его и запустить редактор как описано в разделах выше – на десятке идентично.

Вот какой имеет открытый вид редактора локальной групповой политики в Windows 10.

ПРИМЕЧАНИЕ: редактор локальной групповой политики выглядит почти идентично и предлагает те же опции, настройки и функции что Windows 7, Windows 8 или Windows 10. Поэтому, здесь будут использованы скриншоты, сделанные только в Windows 10.

Как работать с редактором локальной групповой политики

Редактор локальной групповой политики делится на две части: в левой части отображаются в категории, а в правой содержимое активной категории.

Политика групп организована в двух основных разделах:

Конфигурация компьютера — содержит параметры, которые применены во всех компьютерах, независимо от пользователей.
Конфигурация пользователя — содержит параметры для пользователей. Они применяются сугубо к пользователям, а не к компьютеру.

Настройки ПО — программное обеспечение, раздел которого по умолчанию должен быть пустым.
Параметры Windows — содержит параметры безопасности. Это место, где можете найти или добавить скрипты, которые должны выполняться при запуске или завершении работы компьютера.

Административные шаблоны — содержит большое количество настроек, которые контролируют многие аспекты работы вашего компьютера. Здесь можете просматривать, редактировать и даже накладывать всевозможные настройки и правила. Упомянем лишь несколько примеров. Вы можете управлять параметрами пользователей, Панелью управления, Сетью, меню Пуск и панелью задач.

Как редактировать с помощью редактора локальной групповой политики

Для того, чтобы лучше понять процесс использования, возьмем пример. Допустим, вы хотите, установить определенный фон для рабочего стола, который будет использоваться для каждого существующего пользователя.

Чтобы добраться до настроек рабочего стола, вам необходимо перейти в категорию «Конфигурация пользователя» в левой панели. Затем перейдите к параметру «Административные шаблоны», откройте «Рабочий стол» и выберите «Настройки рабочего стола».

В правой панели увидите все параметры, которые можно настроить из выбранного административного шаблона. Для каждого параметра, в его правой части отображаются два столбца:

Колонка «Состояние» говорит, какие параметры не настроены и активны или не активны.

В левой части этой панели показано подробную информацию о том, что делает конкретный параметр и его эффекты. Эта информация отображается в левой панели, всякий раз, когда вы выбираете настройку.

Например, если вы выбираете «фоновый рисунок рабочего стола», на левой стороне вы увидите, что установка может быть применена к версии от Windows 2000 и более новых.

Если вы хотите изменить настройки, фонового рисунка рабочего стола, дважды щелкните по нему правой кнопкой мыши или нажмите ПКМ и выберите «Изменить».

Появится окно с настройками для редактирования. Например, в нашем случае можем указать фон для рабочего стола.

Для этого нужно поставить птичку напротив слова «Включено» и указать путь к изображению.

В конце, необходимо нажать кнопку «Применить» (Apply) или OK, чтобы активировать настройку.

Это лишь самый простой пример. Я не хочу сейчас даже упоминать о прописывании различных сценариев, так как большинство не будет их использовать.

В целом редактор локальной групповой политики представляет собой сложный инструмент, которым, как ни странно, можно легко установить различные правила для ваших компьютеров и их пользователей.

Чтобы рассмотреть каждый аспект и все доступные настройки придется книгу написать, но надеюсь, что теперь вы как минимум знаете основные принципы этого инструмента.

Если у вас есть какие-либо вопросы о редакторе локальной групповой политики, не стесняйтесь сказать об этом в комментарии ниже. Успехов.

Рубрики: Без рубрики

Администрирование компьютера – тонкое и гибкое дело, требующее взвешенного подхода и вдумчивости. Также, чтобы заниматься этим профессионально, понадобится масса знаний и умений. Да, если вы хотите обдуманного контроля над операционной системой, стоит всерьез поразмыслить над установкой серверной версии Windows (благо, в ней намного больше инструментов и средств для администрирования, чем в пользовательской и бизнес-версиях Windows 10).

Но даже в версии Professional можно найти достаточно много механизмов для полного контроля над работой системы, пользовательским доступом, сферой применения программ, поведением UAC и других функций, над которыми рядовой пользователь даже не задумывается (редакция Home не подойдет). Львиная доля этих механизмов сосредоточена в редакторе локальной групповой политики Windows 10.

Если копнуть глубже, здесь можно встретить практически каждый аспект поведения ОС, начиная от правил разрешения сертификатов и заканчивая шифрованием по алгоритму BitLocker. Понадобится недюжинное умение и довольно немало времени, чтобы разобраться во всех настройках и нюансах редактора. Однако я сэкономлю ваше время и расскажу об основных операциях, которые можно проделать с помощью редактора локальной групповой политики в «десятке».

Чтобы включить клиент групповой политики, используйте комбинацию Win+R и на возникшей форме введите название оснастки, - gpedit.msc. После этого редактор откроется. Альтернативный вариант – воспользоваться встроенным в систему поиском, нажав пиктограммку в форме лупы в левом нижнем углу панели задач.

Внешний вид редактора внешне абсолютно ничем не отличается от всех других оснасток для управления и контроля над ПК: сервисов, разметки жесткого диска, системного монитора, средства проверки памяти и других узлов. В левой части активного окна находится структура папок для иерархического доступа к параметрам кастомизации, а в правой части – сами эти параметры. Настройки в левой части оснастки поделены на две основные категории: для управления конфигурацией компьютера (т.е. те, которые действуют для системы в целом, вне зависимости от того, с помощью какого аккаунта был выполнен вход в ОС) и для настройки конфигурации пользователя (т.е. актуальный только для того юзера, который залогинился в операционку). См. также Как войти в Windows 10 как администратор.

Как создать учетную запись Microsoft на Windows 10

Каждая из представленных категорий вмещает в себя параметры трех типов:

административные шаблоны (настройки для кастомизации ключей из реестра Windows. По существу, те же самые операции можно выполнить и напрямую из реестра, но сделать это при использовании редактора локальной групповой политики гораздо удобнее);
конфигурация Виндовс (параметры безопасности и системы, прочие настройки среды);
конфигурация приложений (настройки, имеющие отношение к программам, установленным на ПК).

Рассмотрим несколько простых возможностей, доступных в редакторе. Откроем папку «Конфигурация пользователя», и в ней Административные шаблоны -> Система. Как видим, тут доступны такие занимательные опции, как «Запрет доступа к средствам правки реестра», «Запрет применения режима командной строки», «Запрет запуска заданных приложений Windows» и «Разрешение запуска лишь заданных приложений Windows».

Откроем параметр «Запрет запуска заданных приложений Виндовс». Как несложно догадаться, в этом поле можно указать программы, которые в вашей операционной среде запускаться не смогут. Эта настройка очень простая, и с ней смогут разобраться даже те, кто мало что понимает в средствах администрирования.

По умолчанию данный параметр отключен. Включим его. Для этого в левом верхнем углу выберем опцию «Включено», а рядом с полем «Список запрещенных приложений» нажмем кнопку «Показать».

Теперь перед вами окно, где в каждой из строчек можно задать имя исполняемого файла для приложения, которое вы желаете заблокировать. Впишем в это поле значение “mspaint.exe”, которое соответствует простому графическому редактору Paint, вшитому в базовую комплектацию Windows 10.

Подтвердим свой выбор. После заданных настроек программа Paint будет заблокирована для запуска, а при попытке запустить графический редактор напрямую, через проводник, на экране появится системное сообщение о невозможности выполнения данной операции.

Чтобы отключить групповую политику, выберите вариант «Не задано».

Как настроить локальную сеть в Windows 10

Рассмотрим еще одну функциональную возможность, а именно изменим уровень контроля UAC в качестве примера.

Откроем категорию «Конфигурация компьютера», и в ней папки Конфигурация Windows –> Параметры безопасности -> Локальные политики -> Параметры безопасности. В ней найдем пункт «Контроль над учетными записями: действие запроса, соответствующего повышению привилегий администратора» и выполним двойной щелчок на нем.

По дефолту тут выставлено значение «Запрос на согласие запуска файлов, не соответствующих стандартной поставке Windows» (если выбран этот вариант, при каждом запуске программы, пытающейся внести некие изменения в настройки или параметры ОС, у пользователя каждый раз будут спрашивать согласия).

Рассмотрим другие значения. Первый вариант «Повышение прав без запроса» является наиболее уязвимым, поскольку полностью отключает UAC, позволяя запускать какие-угодно приложения в операционке без каких-либо запросов. Это не вполне безопасно, поэтому данный вариант стоит рассматривать в самую последнюю очередь.

Следующая опция – «Запрос учетных данных на безопасном рабочем столе». Если используется это значение, при каждой попытке запустить на исполнение (или инсталлировать) программу, вносящую изменения в настройки среды, у пользователя будут спрашивать логин и пароль текущей учетной записи. Один из наиболее безопасных режимов, если вы хотите обеспечить максимум контроля над ОС, если за вашим компьютером работает кто-то еще.

Еще один вариант – «Запрос согласия на безопасном рабочем столе». Значение, схожее с предыдущим, с той лишь разницей, что вместо данных для аутентификации перед пользователем будут возникать запросы на подтверждение операции с файлом.

Следующие два значения ведут себя схожим образом, с той лишь разницей, что область применения указанной настройки не распространяется лишь на зону рабочего стола.

Если присмотреться к настройке UAC с помощью редактора, то здесь вариативность и возможности кастомизации гораздо шире, чем с помощью дефолтного метода, из панели управления. Там таких возможностей нет и в помине, а в совокупности с другими модулями клиента локальной групповой политики перед вами открываются огромнейшие горизонты для тонкого управления поведением своей основной рабочей среды.

Что такое торрент и что такое торрент-трекер?

Напоследок я расскажу, как с помощью групповых политик включить защитника Windows 10.

Перейдем в раздел «Конфигурация компьютера», и в нем откроем каталог «Административные шаблоны» -> «Компоненты Windows» -> «Endpoint Protection».

Если в качестве значения параметра «Выключить Endpoint Protecton» указана опция «Включено», выполните двойной щелчок на ней и установите значение «Отключено» или «Не задано».

Возможностей для изменения групповых политик в редакторе действительно предостаточно. Если вы хотите поближе познакомиться с навыками администрирования ОС Windows при помощи данной оснастки, в сети можно найти достаточно много справочных руководств на эту тематику. В этой статье я лишь описал некоторые из основных приемов.

composs.ru

Как на практике применить групповые политики в Windows 10

Здравствуйте, уважаемые читатели моего блога. В некоторых статьях я неоднократно использовал возможности системной утилиты gpedit, которая позволяет управлять запуском и установкой приложений, контролировать поведение пользователей, ограничивать некоторые возможности ОС. Сегодня я хотел бы подробно рассказать о такой важной вещи, как настройка групповых политик в Windows 10. Будет рассмотрено несколько полезных примеров, которые могут Вам пригодиться.

Сразу же подчеркну, что подобный функционал доступен только в «Профессиональной» и «Корпоративной» версиях операционной системы Microsoft. Но есть способ установить утилиту и для «Домашней» (Home) версии. Если этого не делать, то вносить изменения в некоторые аспекты ОС придется через редактирование реестра, что менее безопасно и не так удобно, чем с помощью графического интерфейса.

Добавление утилиты для версий «Домашняя» и «Стартер»

Нам понадобится скачать вот этот архив с патчем:

Распаковываем в любую папку и запускаем установщик setup.exe с правами администратора.

Когда появится последнее окно с кнопкой «Закончить установку» (Finish), не спешите её нажимать. Если используете систему 64 bit, то следует зайти в каталог, где расположены системные файлы (Windows) и скопировать из временной папки Temp/gpedit следующие dll-файлы:

gpedit
appmgr
gptext
fdeploy
gpedit.msc

Вставляем их в директорию %WinDir%\System32
Теперь заходим в каталог SysWOW64 и с него копируем папки:

GroupPolicy
GroupPolicyUsers
GPBAK
И один файл gpedit.msc

Вставляем их System32 и перезапускаем ПК.
После запуска пробуем войти в консоль «Выполнить» (Win + R) и вбиваем в поле ввода следующую команду:

В случае возникновения ошибки (если не удается войти) следует пройти по пути: Windows\ Temp\ gpedit и там в ручном режиме запустить файл, соответствующий разрядности Вашей ОС – xbat или x86.bat.

Вот и всё. Теперь Ваша «Домашняя» версия поддерживает возможность настройки групповых политик.

Примеры работы групповых политик на практике

О том, как запустить утилиту было сказано выше. Не буду повторяться. Когда откроется окно редактора локальной групповой политики, слева отобразится перечень элементов для конфигурации ПК и пользователя, а справа – более конкретные параметры, а также подробная информация о выбранном пункте.

Уверен, Вы хотите поскорее перейти от сухой теории к рассмотрению живых примеров.

Установка запрета на запуск приложений

Переходим по следующему пути: «Конфигурация пользователя», затем «Административные шаблоны», выбираем подпапку «Система».
Справа отобразится перечень возможностей.

Допустим, мы не хотим запускать определенные приложения из соображений безопасности. Для этого открываем настройки пункта «Не запускать указанные приложения Windows».
В открывшемся окне выделяем отметку «Включить», а после этого кликаем по кнопке «Показать» (которая откроет перечень запрещенных программ).

Теперь осталось только прописать имена.exe файлов в данном списке, и сохранить изменения, нажав на «ОК».
После попытки запуска указанного софта будет появляться следующая ошибка:

Чтобы отключить запрет, нужно просто удалить нужный файл из «черного списка».

Внесение изменений в UAC

Если Вам надоело всплывающее окно, которое появляется каждый раз, когда Вы пытаетесь запустить стороннее приложение, значит необходимо изменить некоторые параметры управления учетными записями. Для этого:

Переходим к папке «Конфигурация ПК», затем – «Конфигурирование Windows». После этого открываем директорию «Параметры безопасности», переходим в «Локальные политики».
Справа отобразится перечень настроек. Нас интересует следующая опция: «Запрос согласия для исполняемых файлов не из Windows».
Чтобы полностью отказаться от появления уведомлений, выбираем из списка вариант «Повышение без запроса».

Это лишь парочка простейших примеров, которые могут помочь в решении некоторых проблем. Я рекомендую более подробно изучить работу данного системного клиента, чтобы научиться управлять большинством возможностей Windows 10.

Может Вы поделитись своими способами применения групповых политик в Windows. Буду ждать Ваших примеров в комментариях.

C уважением, Виктор

it-tehnik.ru

Как Windows 10 сбросить настройки локальной групповой политики.

Редактор групповой политики это важный инструмент ОС Windows с его помощью системные администраторы могут настраивать тонкие параметры системы. Он имеет несколько вариантов конфигурации и позволят вам внести коррективы производительности, настройки безопасности для пользователей и компьютеров.

Иногда после неудачной настройки вашего редактора групповой политики ваш компьютер начинает вести себя не лучшим образом. Это значит, что пришло время, сбросить все настройки групповой политики и вернуть значения по умолчанию, тем самым сэкономив время и нервы вместо переустановки Windows. В этом руководстве мы покажем вам, как сбросить все настройки групповой политики по умолчанию в операционной системе Windows 10.

Сброс групповой политики к значениям по умолчанию

Настройки Групповой политики могут различаться между несколькими конфигурациями, как персонализация, настройки брандмауэра, принтеры, политики безопасности и т.д. Мы рассмотрим несколько способов с помощью которых вы можете сбросить соответствующие политики в состояние по умолчанию.

Сбросить параметры объекта групповой политики с помощью редактора локальной групповой политики

Выполните следующие действия, чтобы сбросить измененные параметры объекта групповой политики.

1. Нажмите Клавиша Windows + R на клавиатуре, для запуска аплета Выполнить. Введите в строку gpedit.msc и нажмите Enter, чтобы открыть редактор локальных групповых политик.

2. Перейдите к следующему пути на левой боковой панели окна редактора групповой политики:

Политика Локальный компьютер> Конфигурация компьютера> Административные шаблоны> Все Параметры

3. Теперь, в правой стороне окна, упорядочить параметры политики с помощью столбца Состояние, так что все политики, которые включены / отключены можно получить в верху списка.

5. Повторите то же самое для пути указанного ниже:

Политика локальный компьютер> Конфигурация пользователя> Административные шаблоны> Все Параметры

6. Это позволит восстановить все параметры групповой политики в состояние по умолчанию. Однако, если вы столкнулись с некоторыми серьезными проблемами, как потеря привилегий администратора или проблемы входа в систему, то вы можете попробовать метод ниже.

Восстановление локальных политик безопасности по умолчанию

Политики безопасности о вашей учетной записи администратора в Windows 10, находятся в другой консоли управления - secpol.msc (Локальная политика безопасности). Эта оснастка параметр безопасности расширяет групповые политики и помогает определить политики безопасности для компьютеров в домене.

Выполните следующие действия, чтобы изменить политику безопасности на вашей машине:

1. Нажмите КлавишиWindows + X на клавиатуре, запустив Quick Link меню. Выберите Командная строка (Admin) , чтобы открыть командную строку с повышенными правами.

2. Введите следующую команду в окне командной строки и нажмите клавишу ВВОД:

Secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

3. После завершения задачи, перезагрузите компьютер, чтобы изменения вступили в силу.

Сброс объектов групповой политики с помощью командной строки

Данный метод включает в себя удаление папки параметров групповой политики с диска, на котором установлена операционная система. Выполните следующие действия, чтобы сделать это с помощью командной строки от имени администратора.

1. Откройте командную строку как администратор

2. Введите следующие команды в CMD и выполнять их одну за другой.

RD /S /Q "%WinDir%\System32\GroupPolicyUsers" RD /S /Q "%WinDir%\System32\GroupPolicy" gpupdate /force

3. После этого, перезагрузите компьютер.

Примечание: Убедитесь, что вы создали точку восстановления системы перед внесением изменений в реестр или объектов групповой политики.

g-ek.com

Административные шаблоны в Windows 7: основы

“Административные шаблоны” или “Административные политики” в Windows 7 – это специально созданный файл, в котором находятся настройки реестра. Операционная система считывает эти настройки как при запуске, так и при входе пользователя.

Параметры “Административных шаблонов” находятся в Редакторе локальной групповой политики, и присутствую как в узле “Конфигурация компьютера“, так и в узле “Конфигурации пользователя“.

Так что же такое политика и как ими пользоваться

Рассмотри такое известное свойства рабочего стола Windows 7, как “Обои“. Вы можете поменять обои в любое время, так же и сменить заставку, тему. Все это пользовательские свойства. Политики, устанавливаемые администратором имеют более высокий приоритет, чем свойства пользователя. В системе приоритеты политик и свойств распределяются следующим образом:

Политика и свойства не установлены – применяются параметры по умолчанию
Политика не установлена, применено пользовательское свойство – система использует свойство пользователя.
Политика установлена, свойство не используется – система будет использовать политику.
Политика установлена и установлено пользовательское свойство – система будет использовать политику, а свойство нет

Вывод прост: если применена политика, установлена администратором, то все попытки пользователя изменить свойства останутся без результата.

Еще одно большое преимущество “Административных шаблонов” – это изменение параметров конфигурации без редактора реестра (regedit). Не надо искать в реестре раздел, имя ключа или параметра. Достаточно войти в “Редактор локальной групповой политики” и изменить состояние нужной политики, тем более, что политика управляет окружением всех пользователей. Администратору достаточно изменить состояние политики, чтобы изменения были применены для всех пользователей.

Примечание: чтобы изменять параметры в “Редакторе локальной политики“, необходимо иметь права “Администратора“.

Запуск “Редактора локальной политики”

Чтобы открыть “Редактор локальной групповой политики” нажмите кнопку Пуск – Выполнить и введите команду gpedit.msc, и нажмите клавишу ОК. В открывшемся “Редакторе локальной групповой политики” видим “Административные шаблоны” присутствуют как в “Конфигурации компьютера“, так и в “Конфигурации пользователя“. Соответственно параметры “Конфигурации компьютера” находятся в разделе HKEY_LOCAL_MACHINE\Software\Policies, а параметры “Конфигурации пользователя” в разделе HKEY_CURRENT_USER\Software\Policies.Так же параметры могут быть и в разделе SOFTWARE\Microsoft\Windows\CurrentVersion\Policies. Доступ к этим параметрам имеют только администраторы.

Практическое применение политик

Вернемся к свойству экрана и посмотрим, как можно отключить этот параметр. Запускаем Редактор локальной групповой политики. В левой панели переходим в раздел Конфигурация пользователя – Административные шаблоны – Панель управления – Окно свойств экрана. В правой панели два раза кликаем мышкой на “Отключить окно свойств экрана в панели управления“. Как видим политика имеет три состояния:

Не задано – применяется свойство пользователя.
Включить – в этом состоянии в реестре значение параметра меняется на 1 (или 0), что соответствует активному состоянию
Выключить – соответствующий параметр в реестре имеет значение 0

Если выбрать состояние Включить, то при попытке открыть окно свойств экрана, появится сообщение, что выполнение этого действия запрещено.

Как видим “Административные шаблоны” достаточно мощный инструмент в управление компьютером, тем более, что в Windows 7 эти политики были значительно обновлены и расширены. Применение тех или иных политик требует определенной осторожности, достаточно посмотреть список политик, который находится в Административных шаблонах.

В этой небольшой статье мы затронули лишь малую часть возможностей Административных шаблонов. Более подробно узнать о Редакторе локальной групповой политики можно из справки, которая вызывается из меню редактора. В этой справке есть большой раздел по настройке Internet Explorer.

windata.ru

Настройки групповой политики Windows 8

Групповая политика в Windows 8 мало чем отличается от аналогичного инструмента в «десятке». Рассмотрим его на примере Windows 10, подразумевая что в «восьмёрке» он ничем не отличается, за исключением наличия нескольких дополнительных опций.

Что это за инструмент

Групповая политика – это обширный набор плавил, опций и настроек, посредством которых системный администратор может конфигурировать параметры компьютера. Сюда относится возможность изменять различные значения, устанавливать всевозможные ограничения, отключать или активировать функции. В общем, групповая политика предоставляет пользователю возможность редактировать записи системного реестра посредством удобного и понятного инструмента, в котором каждый параметр имеет название с кратким описанием, чего не предоставляет редактор реестра.

Эта оснастка доступна только для пользователей, которые установили на свои компьютеры Windows 10 профессиональную (Pro) или для бизнеса (Enterprise). В ином случае придется обновлять операционную систему или остаться без нижеописанных возможностей.

Запуск редактора

Прежде чем ознакомиться с функционалом редактора, необходимо выяснить, каким образом он запускается, и как быстрее вызвать оснастку.

Выполняем команду «gpedit.msc», скопировав или вбив ее в поисковую строку начального экрана, или «Пуск» в Windows 10, или текстовую форму командного интерпретатора (вызывается на экран посредством Win + R).

Добавление редактора в Виндовс Домашняя

Если появилось сообщение, оповещающее о невозможности запустить редактор, или используете домашнюю версию Windows 10 или «восьмерки», тогда придется выполнить интеграцию инструмента в операционную систему.

Внимание! Редактор групповой политики в домашнюю версию Виндовс не добавляется с XP, и Виндовс 10 не стала исключением.

Скачиваем архив с установочным файлом и несколькими заплатками, которые собрала команда энтузиастов, по ссылке http://winitpro.ru/wp-content/uploads/tools/add_gpedit_msc.zip.
Выполняем декомпрессию загруженного архива.
Выполняем файл «setup.exe» с привилегиями администратора через его контекстное меню.
Устанавливаем недостающую оснастку, выполняя приведенные инструкции.

Посмотрите ещё: Как переустановить Windows 8

При использовании операционной системы разрядностью x32 бит закрываем окно, нажав «Finish», в 64-х битной редакции Виндовс 10 и 8 эту кнопку ни в коем случае не трогаем.
Заходим в папку «Temp», расположенную в директории «Windows» системного тома.
Копируем туда динамические библиотеки (файлы с расширением dll) gpedit, fde,gptext, appmgr, fdeploy с распакованного архива.
Копируем файл «gpedit.msc» в директорию «System32», которая находится в той же системной папке «Windows».

Создаем копии GroupPolicy, GPBAK файлов GroupPolicyUsers иmsc, расположенных в «SysWOW64», в папке «System32».
Если все прошло успешно, жмем «Finish» и перезагружаем Windows 10.

При возникновении ошибки в случае копирования документов придется подождать около минуты и повторить попытку или освободить проблемные файлы от использования их запущенными приложениями при помощи Unlocker.

Бывает, что при точном выполнении всех пунктов инструкции появляется ошибка с текстом о невозможности создания оснастки MMC. Тогда идем в каталог «Temp\gpedit», расположенный в «Windows», и запускаем командный файл x86.bat при использовании 32-х битной Виндовс 10, или x64.bat, если на компьютере используется 64-х разрядная ОС.

Как ни печально, но ни одна новая политика для «восьмерки» и «десятки» не будет доступной, ведь инструмент разрабатывался для «семерки» и был лишь незначительно подкорректирован для поддержания «десяткой».

Работаем в редакторе

Внешний вид окна редактора политики мало чем отличается от классического проводника и редактора реестра концептуально. Здесь присутствует все та же иерархическая структура каталогов с подкаталогами (аналогично разделам реестра и папкам в проводнике) и параметрами (файлы в проводнике и ключи в реестре) с подробной информацией о каждом из них.

Аналогично кустам реестра, список доступных опций в редакторе политики разделен на две части, первая из которых применима для активного пользователя, а вторая – для всех юзеров компьютера. В каждом разделе содержится ещё по три подраздела:

«Конфигурация программ» - настройки, касающиеся ограничений на запуск приложений на компьютере;
«Конфигурация Windows» - перечень групповых политик, влияющих на безопасность, позволяющих внедрять пользовательские скрипты для их выполнения во время запуска ПК;
«Административные шаблоны» - пункт содержит перечень всех настроек, которые доступны для пользователя через «Панель управления».

Посмотрите ещё: Восстановление системы Windows 8

Пользователя, владеющего базовыми знаниями о возможностях, которые предоставляют групповые политики, ждет приятное открытие – доступ к массе спрятанных в дебрях системы и даже недоступных посредством графического интерфейса функциям.

(Visited 2 386 times, 1 visits today)

В этой статье рассматриваются различные методы Администрирование параметров политики безопасности на локальном устройстве или малые и средние организации.

Параметры политики безопасности следует использовать как часть вашего общего реализации безопасности для обеспечения безопасного домена контроллеры, серверы, клиентских устройств и другие ресурсы в вашей организации.

Параметры политики безопасности - это правила, которые можно настроить на устройстве или несколько устройств, для защиты ресурсов на устройстве или в сети. Параметры безопасности расширение оснастки редактора локальных групповых политик (Gpedit.msc) позволяет определить конфигурации безопасности в рамках из объекта групповой политики (GPO). Объекты групповой политики связаны с контейнерами Active Directory, таких как сайты, домены и подразделения, и они позволяют администраторам управлять параметрами безопасности для нескольких компьютеров с любого устройства, присоединенных к домену.

Для управления параметрами безопасности:

Проверка подлинности пользователя к сети или устройства.
Ресурсы, которые пользователи могут получить доступ к.
Следует ли запись пользователя или группу пользователя действий в журнале событий.
Членство в группе.

Сведения о каждого параметра, в том числе описание управление и настройки по умолчанию и вопросы безопасности см. Справочник по параметрам политики безопасности .

Для управления конфигурациями безопасности для нескольких компьютеров, можно использовать один из следующих вариантов:

Измените параметры безопасности в объекте групповой Политики.
Используйте оснастку Шаблоны безопасности для создания шаблона безопасности, который содержит политики безопасности, которые вы хотите применить и затем импортировать шаблон безопасности в объект групповой политики. Шаблон безопасности - это файл, который представляет конфигурацию безопасности, и его можно импортировать в объект групповой Политики или применяются на локальном устройстве или его можно использовать для анализа безопасности.

Что изменилось в том, как осуществляется параметров?

Со временем новые способы управления параметрами политики безопасности были добавлены, которые включают новые функции операционной системы и добавление новых параметров. В следующей таблице перечислены различные средства, какие безопасности можно администрировать параметры политики.

Средство или возможность	Описание и использования
	Оснастки MMC позволяет управлять только параметры политики безопасности.
	Настраивает и анализирует безопасность системы, сравнивая текущую конфигурацию для шаблонов безопасности.
	Средство загрузки Решение, которое поможет вам планирования, развертывания, эксплуатации и управлять вашей базовые параметры безопасности для клиента Windows и серверных операционных систем и приложений Майкрософт.
	SCW - это средство на основе ролей доступно только на серверах: его можно использовать для создания политики, которая включает службы, правила брандмауэра и параметры, которые необходимы для выбранного сервера для выполнения определенных ролей.
	Этот набор средств позволяет создавать, использовать и изменять параметры безопасности для вашего локального устройства, подразделения или домена.
	GPMC.msc и Gpedit.msc Консоль управления групповыми политиками использует редактор групповой политики для отображения локальных параметров безопасности, которые можно включить в объекты групповой политики для распространения в домене. Редактор локальных групповых политик выполняет аналогичные функции на локальном устройстве.
	Политики ограниченного использования программ (SRP) - это компонент на основе групповой политики, определяющий программного обеспечения на компьютерах в домене, и он управляет возможность запуска этих программ.
	Запрещает вредоносных программ (вредоносного по) и неподдерживаемыми приложениями из влияют на компьютерах в вашей среде, и он не позволяет пользователям в вашей организации с помощью неавторизованных приложений, а установка.

С помощью оснастки локальной политики безопасности

Оснастки локальной политики безопасности (Secpol.msc) ограничивает представлении объектов локальной политики к возможностям и следующие политики:

Политики учетных записей
Локальные политики
Брандмауэр Windows в режиме повышенной безопасности
Политики диспетчера списка сетей
Политики открытого ключа
Политики ограниченного использования программ
Политики управления приложениями
Политики безопасности IP на локальном компьютере
Расширенные аудита политики конфигурации

Если компьютер присоединен к домену, могут быть перезаписаны политики, заданные локально.

Локальная политика безопасности оснастки входит в набор средств диспетчера настройки безопасности. Сведения о других средств в это средство установки, см. в разделе в этом разделе.

С помощью средства командной строки secedit

Средство командной строки secedit работает с помощью шаблонов безопасности и предоставляет шесть основных функций:

Настройка параметра помогут устранить несоответствия безопасности между устройствами, применив к серверу ошибочные правильный шаблон.
Анализ параметра сравнивает конфигурацию безопасности сервера с помощью выбранного шаблона.
Импорта параметров позволяет создать базу данных из существующего шаблона. Средство анализа и настройки безопасности делает это также.
Экспорт параметра позволяет экспортировать параметры из базы данных в шаблон параметров безопасности.
Проверка параметра позволяет проверить синтаксис каждого или все строки текста, созданные или добавляется в шаблоне безопасности. Это гарантирует, что если не удается применить синтаксис шаблона, шаблон не будет проблему.
Параметр Создания откат сохраняет сервера текущие параметры безопасности в шаблоне безопасности, поэтому его можно использовать для восстановления большую часть параметров безопасности сервера в известном состоянии. Исключениями являются, когда применяются, шаблон отката не изменит списка управления доступом для файлов или записей реестра, которые были изменены, наиболее недавно применен шаблон.

С помощью диспетчера соответствия требованиям безопасности

Security Compliance Manager - это средство загрузки, которое поможет вам планирования, развертывания, эксплуатации и управлять вашей базовые параметры безопасности для операционных систем Windows клиента и сервера и для приложений Microsoft. Он содержит полный базы данных рекомендуемые параметры безопасности, методы для настройки вашей базовые параметры, а параметр для реализации этих параметров в различных форматах - XLS, объекты групповой политики, в том числе пакетов управления требуемой конфигурации (DCM) или безопасности содержимого Протокол автоматизации (SCAP). Security Compliance Manager используется для экспорта базовые показатели в среде, чтобы автоматизировать процесс проверки развертывания и соответствие базовые параметры безопасности.

Администрирование политик безопасности с помощью диспетчера соответствия требованиям безопасности

Скачайте последнюю версию. Вы можете узнать дополнительные сведения в блоге Руководство Майкрософт по безопасности .
Ознакомьтесь с документацией базовые соответствующие безопасности, включенного в это средство.
Загрузите и импортируйте базовые параметры безопасности, соответствующих. Процесс установки этапы выбора базовый план.
Откройте раздел справки и следуйте инструкциям, настройки, сравнение и объединение вашего базовые параметры безопасности перед развертыванием этих базовых параметров.

С помощью мастера настройки безопасности

Мастер настройки безопасности (SCW) поможет выполнить процесс создания, редактирования, применив или откат политики безопасности. Политика безопасности, созданный с помощью SCW представляет собой XML-файл, который, при применении настраивает службы, безопасность сети, определенные разделы реестра и аудита политики. SCW - это средство на основе ролей: его можно использовать для создания политики, которая включает службы, правила брандмауэра и параметры, которые необходимы для выбранного сервера для выполнения определенных ролей. Например сервер может быть файлового сервера, сервера печати или контроллера домена.

SCW отключает ненужные службы и предоставляет брандмауэра Windows в режиме повышенной безопасности поддержки.
Политики безопасности, которые были созданы с помощью SCW не так же, как шаблонов безопасности, которые представляют собой файлы с расширением INF. Шаблоны безопасности содержат дополнительные параметры безопасности, чем те, которые можно настроить с помощью SCW. Тем не менее можно включить шаблон безопасности в файл политики безопасности SCW.
Вы можете развернуть политики безопасности, создаваемые с помощью SCW с помощью групповой политики.
SCW не установить или удалить возможности, необходимые для выполнения роли сервера. Вы можете установить возможности конкретных ролей сервера через диспетчер серверов.
SCW обнаруживает зависимостей роли сервера. При выборе роли сервера, автоматически выбирает зависимые роли сервера.
Все приложения, которые используют протокол IP и порты должна быть запущена на сервере, при запуске мастера настройки безопасности.
В некоторых случаях должен быть подключен к Интернету для использования ссылок в справке SCW. > Примечание Мастер настройки, доступные только в Windows Server и применимо только к установке server.

Мастер настройки может осуществляться через диспетчер серверов или путем запуска scw.exe. Мастер этапы конфигурацию безопасности сервера, чтобы:

Создайте политику безопасности, которая может применяться к любому серверу в сети.
Измените существующую политику безопасности.
Примените существующую политику безопасности.
Откатить последнюю примененную политику безопасности.

Мастер политики безопасности настраивает службы и безопасность сети, основанные на роли сервера, а также настраивает аудит и параметры реестра.

См. Дополнительные сведения о Мастере, включая процедуры, Мастер настройки безопасности .

Работа с помощью Configuration Manager безопасности

Набор средств безопасности Configuration Manager позволяет создать и применить изменение безопасности для вашего локального устройства, подразделения или домена.

Инструкции о том, как использовать диспетчер конфигураций безопасности, см. раздел Безопасности Configuration Manager .

В следующей таблице перечислены функции диспетчера настройки безопасности.

Средства безопасности Configuration Manager	Описание

	Определяет политики безопасности в шаблоне. Эти шаблоны могут применяться к групповой политике или на локальном компьютере.
	Изменение отдельных параметров безопасности в домене, узла или подразделения.
	Изменение отдельных параметров безопасности на локальном компьютере.
	Автоматизация задач настройки безопасности в командной строке.

Анализ и настройка безопасности

Анализ и настройка безопасности - это оснастки MMC для анализа и настройки безопасности локальной системы.

Анализ безопасности

Состояния операционной системы и приложений на устройстве являются динамическими. Например необходимо временно изменить уровни безопасности таким образом, вы можете сразу же устранить администрирования или сетевой неполадки. Тем не менее это изменение часто забывают. Это означает, что компьютер может больше не соответствует требованиям безопасности предприятия.

Обычный анализ позволяет отслеживать и обеспечить достаточный уровень безопасности на каждом компьютере в рамках программы управления рисками предприятия. Можно настроить уровень безопасности и, самое главное, определять любой недостатков безопасности, которые могут возникнуть в системе со временем.

Анализ и настройка безопасности позволяет быстро просмотреть результаты анализа безопасности. Он рекомендации вместе с текущими параметрами системы и используется для выделения областей, где текущие параметры не совпадают предложенный уровень безопасности visual флагов или "Примечания". Анализ и настройка безопасности также предоставляет возможность устранения несоответствий, анализ показывает.

Настройка безопасности

Анализ и настройка безопасности могут также использоваться для непосредственной настройки локальной системы. Используются личные базы данных можно импортировать шаблонов безопасности, которые были созданы с помощью шаблонов безопасности и применять эти шаблоны на локальном компьютере. Это немедленно настраивает безопасность системы с уровнями, заданными в шаблоне.

Шаблоны безопасности

С помощью шаблонов безопасности оснастки консоли управления Microsoft можно создать политику безопасности для вашего устройства или сети. Это единая точка входа, где полный спектр безопасность системы может быть учтено. Оснастки шаблонов безопасности не предоставляет новых параметров безопасности, а упорядочивает все существующие атрибуты безопасности в себе для упрощения администрирования безопасности.

При импорте шаблона безопасности в объект групповой политики облегчается администрирование домена, настроив безопасности для домена или подразделения за один раз.

Чтобы применить шаблон безопасности на локальном устройстве, можно использовать анализ и конфигурацию безопасности или средство командной строки secedit.

Шаблоны безопасности можно использовать для определения:

Политики учетных записей
- Политика паролей
- Политика блокировки учетной записи
- Политика Kerberos
Локальные политики
- Политика аудита
- Назначение прав пользователя
- Параметры безопасности
Журнал событий: Приложения, системы и параметры журнала событий безопасности
Группы с ограниченным доступом: Членства в группах конфиденциальные
Системные службы: Загрузка и разрешения для системных служб
Реестр: Разрешения для разделов реестра
Файловая система: Разрешения для папок и файлов

Каждый шаблон сохраняются как текстовые INF-файл. Это позволяет копировать, вставлять, импорта и экспорта некоторые или все атрибуты шаблона. За исключением IP-безопасности и политики открытого ключа в шаблоне безопасности могут храниться все атрибуты безопасности.

Расширение Параметры безопасности для групповой политики

Подразделения, доменов и сайтов связаны с объектами групповой политики. Инструмент "Параметры безопасности" позволяет изменить конфигурацию безопасности объект групповой политики, в свою очередь, повлияет на несколько компьютеров. С параметрами безопасности можно изменить параметры безопасности из многих устройств, в зависимости от объекта групповой политики, можно изменить, из только одно устройство, присоединенных к домену.

Параметры безопасности или политики безопасности, правила, которые настроены на устройстве или нескольких устройств для защиты ресурсов на устройстве или в сети. Для управления параметрами безопасности:

Как пользователи проходят проверку подлинности в сети или устройства
Ресурсы, которые пользователи могут использовать.
Членство в группе.

Можно изменить параметры безопасности на нескольких компьютерах двумя способами:

Создание политики безопасности с помощью шаблона безопасности с помощью шаблонов безопасности и затем импортировать шаблон с помощью параметров безопасности для объекта групповой политики.
Измените некоторые параметры с параметрами безопасности.

Локальная политика безопасности

Политика безопасности представляет собой сочетание параметров безопасности, которые влияют на безопасность на устройстве. Локальная политика безопасности можно использовать для изменения политики учетных записей и локальные политики на локальном устройстве

С помощью локальной политики безопасности вы можете контролировать:

Кто имеет доступ к устройства.
Ресурсы, которые пользователи могут использовать на вашем устройстве.
Ли действий пользователя или группы, записываются в журнал событий.

Если локальное устройство присоединяется к домену, вы облагаются получить политику безопасности из политики домена или подразделения, что вы являетесь членом политикой. Если вы получаете политики из нескольких источников, конфликты разрешаются в следующем порядке приоритета.

Политика подразделения
Политика домена
Политики веб-сайтов

Если вы изменили параметры безопасности на локальном устройстве с помощью локальной политики безопасности, затем непосредственно изменении параметров на устройстве. Таким образом параметры вступают в силу немедленно, но это может быть только временные. Параметры фактически будет работать на локальном устройстве до следующего обновления параметров групповой политики безопасности, когда параметры безопасности, которые получены из групповой политики, переопределит локальные параметры везде, где в случае конфликтов.

С помощью диспетчера настройки безопасности

Инструкции о том, как использовать диспетчер конфигураций безопасности, см. в разделе Безопасности Configuration Manager как для . В этом разделе содержатся следующие сведения в этой статье:

Применение параметров безопасности

При изменении параметров безопасности, параметры обновляются на компьютерах в подразделении, связанных для вашего объекта групповой политики:

После перезапуска устройства, параметры на устройстве будут обновляться.
Чтобы заставить устройство для восстановления ее параметры безопасности, а также все параметры групповой политики, используйте gpupdate.exe.

Приоритет политики, когда несколько политик применяется к компьютеру

Параметры безопасности, которые определяются несколько политик соблюдается следующем порядке:

Политика подразделения
Политика домена
Политики веб-сайтов
Политика локального компьютера

Например с рабочей станции, присоединенных к домену будет иметь переопределяется политика домена везде, где возникает конфликт параметры безопасности. Аналогичным образом Если эта же рабочая станция является членом подразделения, параметры политики организационное подразделение переопределит домена и локальные параметры. Если рабочая станция является членом более одного подразделение, подразделение, непосредственно содержащее рабочей станции имеет наивысший порядок применения.

Примечание Используйте gpresult.exe, чтобы узнать, какие политики применяются к устройству, а также в каком порядке. Для учетных записей домена может быть только одна учетная запись политику, которая содержит политики паролей, политики блокировки учетных записей и политики Kerberos.

Сохранение состояния в параметрах безопасности

Параметры безопасности по-прежнему могут сохранять, даже если параметр больше не определены в политике, были применены изначально.

Сохранение в параметрах безопасности происходит при:

Этот параметр не был ранее определен для устройства.
Этот параметр предназначен для объекта реестра.
Этот параметр предназначен для объекта файловой системы.

Все параметры, примененные с помощью локальной политики или объекта групповой политики хранятся в локальной базе данных на устройстве. Всякий раз, когда изменяется параметр безопасности, компьютер сохраняет значение параметра безопасности в локальной базе данных, где хранится история всех параметров, которые были применены к устройству. Если политика сначала определяет параметр безопасности и больше не определяет этого параметра, параметр принимает предыдущее значение в базе данных. Если предыдущее значение не существует в базе данных, этот параметр не вернется к любым и сохраняет текущее значение. Это поведение иногда называется «является».

Параметры реестра и файлов будет поддерживать значения, примененные с помощью политики до этого задать другие значения.

Фильтрация параметров безопасности на основании членства в группе

Можно также определить, какие пользователи и группы будут или не будет иметь объекта групповой политики, примененных к нему независимо от того, какой компьютер, они войти с запрет их разрешения чтения или применить групповую политику для этого объекта групповой политики. Оба эти разрешения необходимы для применения групповой политики.

Импорт и экспорт шаблонов безопасности

Анализ и конфигурацию безопасности предоставляет возможность импорта и экспорта шаблонов безопасности в или из базы данных.

Если в базу данных анализа были внесены изменения, эти параметры можно сохранить путем их экспорта в шаблон. Функция экспорта предоставляет возможность сохранения параметров базы данных анализа как новый файл шаблона. Затем можно использовать этот файл шаблона для анализа или настройки системы или его можно импортировать в объект групповой политики.

Анализ безопасности и просмотр результатов

Анализ и настройка безопасности выполняется путем сравнения текущего состояния системы безопасности базы данных аналитики анализа безопасности. Во время создания базы данных аналитики используется по крайней мере один шаблон безопасности. Если вы хотите импортировать несколько шаблонов безопасности, базы данных будет объединить различные шаблоны и создать один составной шаблон. Он устраняет конфликты в порядке импорта; последний шаблон, который будет импортирован имеет приоритет.

Анализ и настройка безопасности отображает результаты анализа в области безопасности, с помощью visual флаги для указания проблемы. Он отображает текущие параметры системы и base конфигурации для каждого атрибута безопасности в области безопасности. Чтобы изменить параметры базы данных анализа, щелкните правой кнопкой мыши запись и выберите Свойства .

Флаг Visual	Значение
Красный X	Элемент определен в базе данных анализа и в системе, но не совпадают значения параметров безопасности.
Зеленый флажок	Элемент определен в базе данных анализа и в системе и параметр значения совпадают.
Вопросительный знак	Операция не определен в базе данных анализа и, таким образом, не проанализированы. Если элемент не анализируется, возможно, что он не был определен в базе данных анализа или что пользователь, выполняющий анализ не содержать необходимые права для выполнения анализа на определенный объект или область.
Восклицательный знак	Этот элемент определен в базе данных аналитики, но не существует в самой системы. Например может быть группа с ограниченным доступом, определенные в базе данных анализа, но фактически не существует в проанализированных системе.
Выделение отсутствует	Элемент не определен в базе данных анализа или в системе.

Если вы решите принять текущие параметры, соответствующее значение в базовой конфигурации изменяется в соответствии с их. При изменении параметров в соответствии с базовой конфигурации системы, изменения будут отражены при настройке системы с помощью анализа и настройки безопасности.

Чтобы предотвратить дальнейшее выделение параметров, которые обнаружения и определяется быть целесообразным, необходимо внести изменения базовой конфигурации. Изменения внесенные в копию шаблона.

Устранение несоответствий системы безопасности

Вы можете устранить несоответствия между анализа базы данных и системных параметров:

Принятие или изменение некоторых или всех значений, отмеченных или не включенных в конфигурацию, если вы знаете, что уровни безопасности локальной системы являются допустимыми из-за контекст (или роли) этого компьютера. Эти значения атрибутов являются обновляются в базе данных и применяются к системе при нажатии кнопки настройки компьютера .
Настройка системы для значений базы данных анализа, если вы знаете, система не соответствует допустимым уровням безопасности.
При импорте шаблона более подходящим для роли этого компьютера в базу данных как новой основной конфигурации и применение его к системе. Изменения в базе данных анализа проводятся шаблон, хранящийся в базе данных, а не в файл шаблона безопасности. Файл шаблона безопасности будет изменен только в том случае, если вам вернуться к шаблонов безопасности и изменить этот шаблон или экспорте сохраненной конфигурации в тот же файл шаблона. Настройка компьютера использовать только для изменения областей безопасности, не являющихся параметрами групповой политики, такие как безопасность локальных файлов и папок, разделов реестра и системных служб. В противном случае когда применяются параметры групповой политики, они имеют приоритет над параметрами локального, такие как политики учетных записей. Как правило не используйте Теперь настройки компьютера при анализе безопасности для клиентов на основе домена, так как у вас будет для настройки каждого клиента по отдельности. В этом случае следует вернуться к шаблонов безопасности, изменить шаблон и повторно применить его к соответствующему объекту групповой политики.

Автоматизация задач настройки безопасности

Вызов secedit.exe средство командной строки из пакетного файла или автоматического планировщика, можно использовать его для автоматического создания и применения шаблонов и анализ системы безопасности. Вы также можете запустить динамически из командной строки. Secedit.exe полезно, когда у вас есть несколько устройств, на которых безопасности необходимо проанализировать или настроить, и вам необходимо выполнить эти задачи нерабочее.

Работа со средствами групповой политики

Групповая политика - инфраструктуру, которая позволяет указывать управляемые конфигурации для пользователей и компьютеры с помощью параметров групповой политики и настроек групповой политики. Для параметров групповой политики, влияющие на локальном устройстве или пользователя можно использовать редактор локальных групповых политик. Предпочтения групповой политики и параметры групповой политики можно управлять в среде доменных служб Active Directory (AD DS) через консоль управления групповыми политиками (GPMC). Средства управления групповой политикой также включены в пакет средств удаленного администрирования сервера для предоставления способ для администрирования параметров групповой политики с рабочего стола.

Обратная связь

Мы бы хотели узнать ваше мнение. Укажите, о чем вы хотите рассказать нам.

Наша система обратной связи основана на принципах работы с вопросами на GitHub. Дополнительные сведения см. в .

Р едактор локальной групповой политики - мощный инструмент, позволяющий тонко настраивать параметры Windows. Применяется он в основном системными администраторами, а при понимании дела с таким же успехом его могут использовать и рядовые юзеры. Впрочем, от ошибок не застрахованы ни первые, ни вторые. Иногда случается, что вследствие неудачной настройки параметров через редактор локальных групповых политик система начинает работать некорректно.

Самое лучшее, что можно предпринять в такой ситуации, это вернуть изменённые настройки в исходное состояние. Если же изменённых настроек много, и вы при этом не помните, что именно меняли, можно прибегнуть к полному сбросу всех настроек редактора групповых политик к значениям по умолчанию. Вот как это можно сделать на примере с Windows 10.

Сбросить конфигурацию редактора политик можно через сам редактор политик. Откройте его командой gpedit.msc и перейдите по пути -> Административные шаблоны -> Все Параметры . Нажатием импровизированной стрелки в столбце «Состояние» отсортируйте политики таким образом, чтобы имеющие статус «Включено» и «Отключено» оказались вверху списка, так вам будет удобнее с ними работать.

Затем дважды кликните по каждой из этих политик мышкой и в окне настроек установите радиокнопку в положение .

Те же самые действия повторите для политики в разделе .

Сброс параметров редактора групповых политик также можно выполнить с помощью командной строки. Откройте консоль от имени администратора и последовательно выполните эти три команды, а затем перезагрузите компьютер :

RD /S /Q "%WinDir%\System32\GroupPolicy"
RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
gpuрdаte /force

И, наконец, последний шаг - сброс к значениям по умолчанию локальных политик безопасности. Эта оснастка является своего рода расширением компонента локальных групповых политик. Открывается она командой secpol.msc . Для её сброса также можно использовать командную строку, запущенную с правами администратора. Сама команда сброса выглядит следующим образом:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Как и в случае с оснасткой gpedit.msc , для восстановления исходных настроек потребуется .

Теги: ,

В Windows 10 имеется два основных типа шрифтов, поставляемых по умолчанию - TrueType и OpenType. Как и положено, оба они поддерживают масштабирование, но OpenType является более современным, шрифты этого формата имеют ме...

Чтобы включить клиент групповой политики, используйте комбинацию Win+R и на возникшей форме введите название оснастки, — gpedit.msc . После этого редактор откроется. Альтернативный вариант – воспользоваться встроенным в систему поиском, нажав пиктограммку в форме лупы в левом нижнем углу панели задач.

Каждая из представленных категорий вмещает в себя параметры трех типов:

административные шаблоны (настройки для кастомизации ключей из реестра Windows. По существу, те же самые операции можно выполнить и напрямую из реестра, но сделать это при использовании редактора локальной групповой политики гораздо удобнее);
конфигурация Виндовс (параметры безопасности и системы, прочие настройки среды);
конфигурация приложений (настройки, имеющие отношение к программам, установленным на ПК).

Рассмотрим несколько простых возможностей, доступных в редакторе. Откроем папку «Конфигурация пользователя», и в ней Административные шаблоны -> Система . Как видим, тут доступны такие занимательные опции, как «Запрет доступа к средствам правки реестра», «Запрет применения режима командной строки», «Запрет запуска заданных приложений Windows» и «Разрешение запуска лишь заданных приложений Windows».

Чтобы отключить групповую политику, выберите вариант «Не задано».

Рассмотрим еще одну функциональную возможность, а именно изменим уровень контроля UAC в качестве примера.

Откроем категорию «Конфигурация компьютера», и в ней папки Конфигурация Windows –> Параметры безопасности -> Локальные политики -> Параметры безопасности . В ней найдем пункт «Контроль над учетными записями: действие запроса, соответствующего повышению привилегий администратора» и выполним двойной щелчок на нем.

Следующая опция – «Запрос учетных данных на безопасном рабочем столе» . Если используется это значение, при каждой попытке запустить на исполнение (или инсталлировать) программу, вносящую изменения в настройки среды, у пользователя будут спрашивать логин и пароль текущей учетной записи. Один из наиболее безопасных режимов, если вы хотите обеспечить максимум контроля над ОС, если за вашим компьютером работает кто-то еще.

Еще один вариант – «Запрос согласия на безопасном рабочем столе» . Значение, схожее с предыдущим, с той лишь разницей, что вместо данных для аутентификации перед пользователем будут возникать запросы на подтверждение операции с файлом.

Напоследок я расскажу, как с помощью групповых политик включить защитника Windows 10.

Перейдем в раздел «Конфигурация компьютера», и в нем откроем каталог «Административные шаблоны» -> «Компоненты Windows» -> «Endpoint Protection» .