Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Если вы посчитали, что, настроив на своём сервере антивирусы, вы на 100% обезопасили себя и своих клиентов от каких бы то ни было инцидентов, то это ещё не всё. Вам не помешают групповые настройки, исключающие любые ошибки.

  • Введение
  • Конфигурирование политик безопасности
  • Применение политик безопасности для локального компьютера и для объекта групповой политики рабочей станции, подсоединенной к домену
  • Заключение

Время на прочтение

Групповая политика — важный элемент любой среды Microsoft Active Directory (AD). Её основная цель — дать ИТ-администраторам возможность централизованно управлять пользователями и компьютерами в домене. Групповая политика, в свою очередь, состоит из набора политик, называемых объектами групповой политики (GPO). У Microsoft реализованы тысячи разных политик и настроек, в которых можно утонуть и потом не всплыть. Все они подробно описаны в справочной таблице.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Почему встроенные инструменты работы с GPO недостаточно удобны

К сожалению, встроенные инструменты не всегда позволяют в удобном формате поддерживать безопасность и контроль групповой политики. Изменения, внесенные в объекты групповой политики, по умолчанию вступают в силу, как только окно закрывается — отсутствует кнопка «Применить», которая могла бы дать администраторам шанс остановиться, одуматься и выявить ошибки, прежде чем организация подвергнется атаке.

Из-за того, что разрешения безопасности основаны на объектах групповой политики, любой администратор домена может изменять любой параметр безопасности объекта групповой политики. И даже параметры, которые должны препятствовать злонамеренным действиям этого человека. Например, администратор может отключить объект групповой политики, который отвечает за разрешение входа в систему на определенном сервере, на котором размещены конфиденциальные данные. Ну, а дальше скопировать часть или весь ценный контент на свой компьютер

и продать в даркнете

Но самое ужасное во всей этой истории с безопасностью GPO — изменения настроек не отслеживаются в собственных журналах безопасности, нет предупреждений, следовательно, невозможно отслеживать такие нарушения, даже если использовать SIEM-систему.

Введение

В предыдущих моих статьях о групповых политиках было рассказано о принципах работы оснастки «Редактор локальной групповой политики». Рассматривались некоторые узлы текущей оснастки, а также функционал множественной групповой политики. Начиная с этой статьи, вы сможете узнать об управлении параметрами безопасности на локальном компьютере, а также в доменной среде. В наше время обеспечение безопасности является неотъемлемой частью работы как для системных администраторов в крупных и даже мелких предприятиях, так и для домашних пользователей, перед которыми стоит задача настройки компьютера. Неопытные администраторы и домашние пользователи могут посчитать, что после установки антивируса и брандмауэра их операционные системы надежно защищены, но это не совсем так. Конечно, эти компьютеры будут защищены от множества атак, но что же спасет их от человеческого фактора? Сейчас возможности операционных систем по обеспечению безопасности очень велики. Существуют тысячи параметров безопасности, которые обеспечивают работу служб, сетевую безопасность, ограничение доступа к определенным ключам и параметрам системного реестра, управление агентами восстановления данных шифрования дисков BitLocker, управление доступом к приложениям и многое, многое другое.

В связи с большим числом параметров безопасности операционных систем Windows Server 2008 R2 и Windows 7, невозможно настроить все компьютеры, используя один и тот же набор параметров. В статье «Настройки групповых политик контроля учетных записей в Windows 7» были рассмотрены методы тонкой настройки контроля учетных записей операционных систем Windows, и это только малая часть того, что вы можете сделать при помощи политик безопасности. В цикле статей по локальным политикам безопасности я постараюсь рассмотреть как можно больше механизмов обеспечения безопасности с примерами, которые могут вам помочь в дальнейшей работе.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Многие инструкции по настройке и решению проблем с Windows 10, 8.1 или Windows 7 содержат, среди прочих пунктов «Откройте редактор групповой политики», однако не все начинающие пользователи знают, как это сделать. В этой инструкции подробно о том, как открыть редактор локальной групповой политики несколькими способами.

Заранее обращу внимание на то, что эта системная утилита присутствует только в Корпоративной и Профессиональной версиях Windows 10, 8.1 и Windows 7 (для последней — также в редакции «Максимальная». В Домашней вы получите сообщение о том, что запустить инструмент не удается, хотя это можно и обойти, подробно: Не удается найти gpedit.msc в Windows.

Ниже — все основные способы запуска редактора локальной групповой политики. Существуют и другие, но они являются производными от описанных далее.

Диалоговое окно «Выполнить»

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Первый способ, о котором я пишу чаще других, подходящий для всех актуальных версий Windows — нажать клавиши Win+R (Win — клавиша с эмблемой ОС), и в открывшееся окно «Выполнить» ввести gpedit.msc

После этого нажмите Enter или Ok — сразу откроется интерфейс редактора локальной групповой политики, при условии его наличия в вашей редакции системы.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Вы можете запустить редактор локальной групповой политики, а также создать ярлык для него в нужном вам расположении, используя файл для запуска: он находится в папке C:WindowsSystem32 и имеет имя gpedit.msc

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Поиск Windows 10, 8. 1 и Windows 7

Одна из функций ОС Windows, которой пользователи незаслуженно не уделяют внимания — поиск в системе, который в Windows 7 находится в меню «Пуск», в Windows 10 — в панели задач, а в 8.1 — в отдельной панели поиска (можно вызвать клавишами Win+I). Если вы не знаете, как что-либо запустить, используйте поиск: обычно, это самый быстрый способ.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Панель управления

Запуск редактор локальной групповой политики возможен из панели управления, однако тоже с некоторыми странностями: он должен находиться в разделе «Администрирование», однако если его открыть, такого пункта там не будет (во всяком случае в Windows 10).

Если же начать вводить «Групповой политики» в поиске в панели управления (в окно справа вверху), редактор будет найден именно в разделе «Администрирование».

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Все остальные способы — по сути варианты уже описанных: например, gpedit.msc вы можете запустить из командной строки или PowerShell, ярлык к файлу gpedit.msc можно закрепить на панели задач или в меню Пуск. Так или иначе, думаю, что описываемых методов для ваших целей окажется достаточно. Также может быть полезным: Редактор локальной групповой Windows политики для начинающих.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Управлять учетными записями локальных пользователей в Windows можно при помощи оснастки «Локальные пользователи и группы».

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Что бы открыть оснастку «Локальные пользователи и группы» нужно щелкнуть правой кнопкой мыши по значку «Мой компьютер», выбрать «Управление компьютером», а затем «Локальные пользователи и группы».

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Для того, что бы создать новую учетную запись, в правой части окна в контекстном меню пункта «Пользователи» нужно выбрать пункт «Новый пользователь».

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

В окне «Новый пользователь» необходимо ввести имя учетной записи, пароль и подтвердить пароль.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

При установке пароля есть два вариант:

  • Администратор не должен знать пароль пользователя, тогда нужно отметить пункт «Потребовать смену пароля при следующем входе в систему». После первого входа в систему она запросит смену пароля, и пароль будет знать только пользователь.
  • Если администратор должен знать пароль, не выбираем этот пункт.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Если открыть свойства группы «Опытные пользователи» то можно убедиться, что пользователь добавлен в группу.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Для тренировки можно создать новую группу и добавить туда пользователя.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Настройка политик учетных записей

В политиках учетных записей можно настраивать такие параметры как:

  • Пароли.
  • Блокировка пользователей.
  • Права пользователей.
  • Параметры безопасности операционной системы.

Настройка паролей пользователей

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Для примера можно задать следующие параметры:

Настройка параметров блокировки пользователей

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Если пользователь попытается зайти 3 раза под своей учетной записью и неправильно введет пароль, то он получит сообщение о том, что его учетная запись заблокирована.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Настройка прав пользователей

Настройка прав пользователей производится в разделе «Назначение прав пользователей». Правами можно наделять пользователей или группы пользователей.

:/>  Скрыть значки в панели уведомлений

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Для примера присвоим право «Завершение работы системы». Для этого нужно выбрать соответствующий параметр, а затем:

Таким образом, пользователи «Группа самых опытных пользователей» получат право на завершение работы в системе.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

В оснастку «Назначение прав пользователя» входят следующие политики:

Настройка параметров безопасности операционной системы

Раздел «Параметры безопасности» управляет параметрами настройки операционной системы.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Для примера можно изменить следующие настройки:

В общем, такой вопрос как, администрирование учетных записей пользователей в Windows рассмотрен.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Анатолий Бузов / об авторе

Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.

Локальная политика безопасности Windows 10 не включается

Причины, по которым не включается служба, следующие:

Как установить редактор групповой политики в Windows

Службы и процессы групповой безопасности Windows — полезный инструмент, здорово выручающий в работе. Когда он не нужен, его легко выключить.

Блоггер, копирайтер (в т. ч. и рерайтер)

(4 голоса, среднее: 2.5 из 5)

Конфигурирование политик безопасности

  • Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Локальная политика безопасности и откройте приложение в найденных результатах;
  • Воспользуйтесь комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите secpol.msc и нажмите на кнопку «ОК»;
  • Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Редактор локальной групповой политики» и нажмите на кнопку «Добавить». В появившемся диалоге «Выбор объекта групповой политики» нажмите на кнопку «Обзор» для выбора компьютера или нажмите на кнопку «Готово» (по умолчанию установлен объект «Локальный компьютер»). В диалоге «Добавление или удаление оснасток» нажмите на кнопку «ОК». В оснастке «Редактор локальной групповой политики» перейдите в узел «Конфигурация компьютера», а затем откройте узел «Параметры безопасности».

В том случае, если ваш компьютер подсоединен к домену Active Directory, политика безопасности определяется политикой домена или политикой подразделения, членом которого является компьютер.

Остальные политики

Правила журнала регистрации определяют максимальные объемы журналов и способы отслеживания их переполнения. Тут (и далее) нам придется действовать двумя методами, так как оснастка Локальная политика безопасности не позволяет изменять данные параметры. Можно задать эти свойства в оснастке Просмотр событий, а можно воспользоваться оснастками Анализ и настройка безопасности и Шаблоны безопасности (о них мы поговорим чуть позже, а пока загрузите в консоль MMC данные оснастки).

Правила групп с ограниченным членством — мощное средство контроля за членством в группах, которые могут повлиять на работоспособность и безопасность системы. Например, один администратор добавил нового временного администратора, а потом об этом забыл. Данные же правила запретят ему выполнить подобную операцию. Применяются они, в основном, в рамках домена, так как на локальном компьютере администратор чаще всего один, значит, новых пользователей создает только он, следовательно, за все только он и отвечает.

Правилами системных служб устанавливаются тип запуска службы (его и некоторые другие свойства можно также задать в оснастке Службы) и права доступа к ней. Это критичные параметры, изменяйте их с умом.

Правила реестра задают права доступа к ветвям реестра, владельца и ведение аудита. Данные параметры можно менять с помощью редактора реестра (Regedit.exe для XP, Regedt32.exe — для остальных NT). Не рекомендуется изменять значения данных свойств для корневой ветви HKEY_LOCAL_MACHINE во избежание неработоспособности системы.

Правила файловой системы, как и правила реестра, разграничивают доступ к ее объектам, назначают владельца и аудит. Изменение этих параметров доступно из закладки свойств Безопасность. Не следует изменять параметры по умолчанию для папок и файлов, используемых системой, таких, как %SystemRoot%, Documents and Settings etc.

О перечисленных в данном разделе параметрах мы более углубленно поговорим в следующей статье, тем более, что изменение разрешений безопасности для объектов файловой системы — одно из наиболее часто выполняемых действий администратора (и вызывает немало проблем у начинающих).

Как устроены групповые политики

При создании домена AD автоматически создаются два объекта групповой политики:

Политика домена по умолчанию устанавливает базовые параметры для всех пользователей и компьютеров в домене в трех плоскостях: политика паролей, политика блокировки учетных записей и политика Kerberos.

Политика контроллеров домена по умолчанию устанавливает базовые параметры безопасности и аудита для всех контроллеров домена в рамках домена.

Для вступления настроек в силу, объект групповой политики необходимо применить (связать) с одним или несколькими контейнерами Active Directory: сайт, домен или подразделение (OU). Например, можно использовать групповую политику, чтобы потребовать от всех пользователей в определённом домене использовать более сложные пароли или запретить использование съемных носителей на всех компьютерах только в финансовом подразделении данного домена.

Объект групповой политики не действует, пока не будет связан с контейнером Active Directory, например, сайтом, доменом или подразделением. Любой объект групповой политики может быть связан с несколькими контейнерами, и, наоборот, с конкретным контейнером может быть связано несколько объектов групповой политики. Кроме того, контейнеры наследуют объекты групповой политики, например, объект групповой политики, связанный с подразделением, применяется ко всем пользователям и компьютерам в его дочерних подразделениях. Аналогичным образом, объект групповой политики, применяемый к OU, применяется не только ко всем пользователям и компьютерам в этом OU, но и наследуется всем пользователям и компьютерам в дочерних OU.

Настройки различных объектов групповой политики могут перекрываться или конфликтовать. По умолчанию объекты групповой политики обрабатываются в следующем порядке (причем созданные позднее имеют приоритет над созданными ранее):

  • Локальный (индивидуальный компьютер)
  • Сайт
  • Домен
  • Организационная единица

В эту последовательность можно и нужно вмешиваться, выполнив любое из следующих действий:

Изменение последовательности GPO. Объект групповой политики, созданный позднее, обрабатывается последним и имеет наивысший приоритет, перезаписывая настройки в созданных ранее объектах. Это работает в случае возникновения конфликтов.

Блокирование наследования. По умолчанию дочерние объекты наследуют все объекты групповой политики от родительского, но вы можете заблокировать это наследование.

Принудительное игнорирование связи GPO. По умолчанию параметры родительских политик перезаписываются любыми конфликтующими политиками дочерних объектов. Вы можете переопределить это поведение.

Отключение связей GPO. По умолчанию, обработка включена для всех связей GPO. Вы можете предотвратить применение объекта групповой политики для конкретного контейнера, отключив связь с объектом групповой политики этого контейнера.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Иногда сложно понять, какие политики фактически применяются к конкретному пользователю или компьютеру, определить т.н. результирующий набор политик (Resultant Set of Policy, RSoP). Microsoft предлагает утилиту командной строки GPResult, который умеет генерировать отчет RSoP.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Для управления групповыми политиками Microsoft предоставляет консоль управления групповыми политиками (GPMC). Используя этот бесплатный редактор групповой политики, ИТ-администраторы могут создавать, копировать, импортировать, создавать резервные копии и восстанавливать объекты групповой политики, а также составлять отчеты по ним. Microsoft также предлагает целый набор интерфейсов GPMC, которые можно использовать для программного доступа ко многим операциям, поддерживаемым консолью.

По умолчанию любой член группы администраторов домена может создавать объекты групповой политики и управлять ими. Кроме того, существует глобальная группа под названием «Владельцы-создатели групповых политик»; его члены могут создавать объекты групповой политики, но они могут изменять только созданные ими политики, если им специально не предоставлены разрешения на редактирование других объектов групповой политики.

В этой же консоли можно делегировать вспомогательным ИТ-администраторам разрешения для различных действий: создание, редактирование и создание связей для определенных объектов групповой политики. Делегирование — ценный инструмент; например, можно предоставить группе, ответственной за управление Microsoft Office, возможность редактировать объекты групповой политики, используемые для управления настройками Office на рабочем столе пользователей.

:/>  Управление маршрутизацией

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Локальные политики

Локальные политики определяют правила безопасности локального компьютера. Они делятся на три группы: политики аудита, назначение прав пользователя и параметры безопасности.

Политика аудита предписывает заносить в журнал Безопасность те или иные события (удачные и/или неудачные). После указания событий, требующих регистрации, можно указать конкретные объекты, за которыми будет вестись слежение (например, после разрешения аудита доступа к объектам можно в свойствах папки указать ведение аудита доступа для конкретных пользователей и/или групп).

Права пользователя на выполнение определенных действий устанавливаются по-разному для рабочей станции, рядового сервера и контроллера домена. Правила назначения прав пользователя позволяют настроить привилегии пользователей и/или групп. Например, по умолчанию отлаживать процесс имеет право только администратор, а у вас подрастает сын и уже пытается что-то программировать в Delphi (или еще в чем-нибудь). Естественно, у него ограниченная пользовательская учетная запись в системе, а идея дать ему права администратора выглядит экстремизмом. Вся проблема решается добавлением учетной записи вашего сына в правиле Отладка программ.

Параметры безопасности представляют собой дополнительные правила, усиливающие защиту системы.

Зачем в Windows нужна локальная политика безопасности

Групповая (локальная) политика безопасности (ГПБ/ЛПБ) — это программные средства, обеспечивающие согласованную и максимально эффективную работу компьютеров компании или учреждения. Иметь высокую производительность труда, экономя время и ресурсы — это о вас, если на ПК и ноутбуках под управлением Windows работают настройки группового соединения: вместе эти компьютеры образуют единое целое, помогающее вашей конторе расти и развиваться дальше. Для этого требуется их подключение к одному домену.

Какая версия Windows 10 подходит для настроек групповой политики

Вам нужна Professional/Enterprise — её используют работники частных фирм и госслужащие. Дело в том, что в версии Home/Starter, предназначенной для обычных пользователей, нет компонента gpedit.exe (англ. Group Politics Editor) — нужна его принудительная установка.

В Home/Starter ГПБ представлена лишь службой «Клиент групповой политики», которую можно отключить совсем. Да и зачем она, если доступ к расширенным настройкам закрыт? Сделано это для предотвращения изменений, вносимых в настройки ОС вредоносным ПО под именем администратора.

Политики учетных записей

Данные правила подразделяются на две (три в случае домена — добавляется политика Kerberos) группы: политика паролей и политика блокировки учетной записи.

Правила паролей задают требования, предъявляемые к паролям пользователей системы. Об отдельных правилах говорить не будем, так как я надеюсь, что читатель достаточно любознателен, чтобы исследовать их самостоятельно, к тому же, их названия говорят сами за себя (данное предположение действует и на весь остальной текст).

Так как среди взломщиков («хакеров» согласно терминологии современного мэйнстрима, хотя это исторически неверно) популярностью пользуются атаки, заключающиеся в подборе пароля по заранее составленному файлу с набором типичных паролей («словарная атака») и просто грубому перебору всех возможных комбинаций символов («brut force»), то необходимо принять меры, страхующие систему от подобных методов взлома. Именно этим и занимается политика блокировки учетной записи. Здесь можно установить количество ошибочных попыток набора пароля до блокировки учетной записи, срок этой блокировки и период сброса счетчика неудачных попыток ввода пароля. Это мощное средство, однако им нужно пользоваться с осторожностью, так как возможен обратный эффект от его действия — взломщик может просто заблокировать аккаунт администратора, перешагнув порог блокировки учетной записи своими попытками подобрать пароль. Именно для этого существует правило, задающее срок этой блокировки (он не должен быть слишком большим).

Безопасность операционной системы основана на правилах, регулирующих разные аспекты ее работы. Вместе эти правила составляют единую политику безопасности. В Windows 2000 и более поздних NT-образных ОС политика безопасности представляет собой часть групповой политики (о чем упоминалось в предыдущей моей статье). В свою очередь, она (политика безопасности) состоит из набора правил, объединенных в следующие группы (вся статья основана на примере Windows XP Professional):

  • Политики (правила, эти термины тождественны) учетных записей. Регулируют работу с паролями, условия блокировок и политику Kerberos в доменах.
  • Локальные политики. Включают правила аудита событий, назначения привилегий пользователям и группам и некоторые возможности защиты.
  • Правила журнала регистрации. Регулируют использование журналов регистрации событий: System (Система), Security (Безопасность), Application (Приложение).
  • Правила групп с ограниченным членством. Устанавливают, кто может быть членом таких групп и в какие группы могут входить группы с ограниченным членством.
  • Правила системных служб. Определяют работу служб (сервисов) системы.
  • Правила реестра. Разграничивают доступ к ветвям реестра, определяют параметры аудита и владельца конкретного элемента реестра.
  • Правила файловой системы. Ограничивают доступ к объектам файловой системы, определяют владельца и параметры ведения аудита. Используется только для томов с NTFS.
  • Политики открытого ключа. Позволяют настроить, в частности, правила использования файловой системы с шифрованием (EFS, Encrypted File System). Эти политики и все последующие являются дополнительными, они не используются в шаблонах безопасности и не анализируются и не настраиваются оснасткой Анализ и настройка безопасности. О них мы говорить не будем.
  • Политики ограниченного использования программ. Разрешают/запрещают запуск программ пользователям. Что есть «программа», определяется по указанному расширению.
  • Политики безопасности IP. Определяют настройки фильтров IP, а также использование шифрования пакетов (IPSec).

Так выглядит система безопасности NT-систем в общих чертах. Далее мы рассмотрим ее подробнее. Как и в предыдущей статье, речь будет вестись о локальной системе, не обремененной участием в домене, если не указано обратное. Для лучшего усвоения прочтенного текста желательно открыть оснастку Локальная политика безопасности из меню Администрирование кнопки Пуск. Данная оснастка предоставляет доступ к редактированию правил из части описанных групп правил, так как наш гипотетический компьютер не входит в домен. Параметры из остальных групп модифицируются другими способами, например, для объектов файловой системы используется закладка Безопасность (редактор списка контроля доступа — ACL Editor) свойств объекта (что для локального компьютера вполне логично и приемлемо).

Применение политик безопасности для локального компьютера и для объекта групповой политики рабочей станции, подсоединенной к домену

При помощи следующих примеров вы увидите разницу между применением политики безопасности для локального компьютера и для объекта групповой политики рабочего компьютера, присоединенного к домену Windows Server 2008 R2.

Применение политики безопасности для локального компьютера

Для успешного выполнения текущего примера, учетная запись, под которой выполняются данные действия, должна входить в группу «Администраторы» на локальном компьютере. Если компьютер подключен к домену, то эти действия могут выполнять только пользователи, которые являются членами группы «Администраторы домена» или групп, с разрешенными правами на редактирование политик.

В этом примере мы переименуем гостевую учетную запись. Для этого выполните следующие действия:

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

После перезагрузки компьютера для того чтобы проверить, применилась ли политика безопасности к вашему компьютеру, вам нужно открыть в панели управления компонент «Учетные записи пользователей» и перейти по ссылке «Управление другой учетной записью». В открывшемся окне вы увидите все учетные записи, созданные на вашем локальном компьютере, в том числе переименованную учетную запись гостя:

Применение политики безопасности для объекта групповой политики рабочей компьютера, присоединенного к домену Windows Server 2008 R2

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

После перезагрузки компьютера для того чтобы проверить, применилась ли политика безопасности, перейдите на компьютер, над которым проводились изменения и откройте консоль управления MMC. В ней добавьте оснастку «Локальные пользователи и группы» и попробуйте изменить пароль для своей доменной учетной записи.

Применение политики безопасности для объекта групповой политики с контроллера домена Windows Server 2008 R2

При помощи этого примера, изменим число новых уникальных паролей, которые должны быть назначены учетной записи пользователя до повторного использования старого пароля. Эта политика позволяет вам улучшать безопасность, гарантируя, что старые пароли не будут повторно использоваться в течении нескольких раз. Войдите на контроллер домена или используйте средства администрирования удаленного сервера. Выполните следующие действия:

:/>  Программы для оперативной памяти скачать бесплатно » Страница 3

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Об использовании оснастки «Управление групповой политикой» на контроллерах домена и о команде gpupdate будет подробно рассказываться в последующих статьях.

Анализ и настройка параметров безопасности системы

Вот и настало время воспользоваться открытыми нами оснастками Анализ и настройка безопасности и Шаблоны безопасности. Начнем, пожалуй, со второй оснастки.

Данная оснастка предоставляет нам возможность просматривать и редактировать шаблоны безопасности, содержащие параметры настройки перечисленных в начале групп параметров (кроме дополнительных). Шаблоны представляют собой обыкновенные текстовые INF-файлы следующего формата:

Оснастка Анализ и настройка безопасности предоставляет нам следующие возможности:

  • Анализирование политики безопасности на локальном компьютере.
  • Сравнение установленных значений правил с шаблонными.
  • Использование в качестве шаблонных правил добавляемые шаблоны.
  • Формирование новых правил.
  • Сохранение новых правил в виде шаблона.
  • Применение вновь созданных правил к системе.
  • Если в базе параметр задан и соответствует установленному в системе, то он помечается галочкой.
  • Если параметр в базе задан, но не соответствует установленному в компьютере, то он помечается крестиком.
  • Если параметр не задан в базе, то анализ не выполняется, соответственно и значок не изменяется.

Дополнительно можно просмотреть файл журнала (пункт Показать файл журнала контекстного меню).

В общем, это основное, что я хотел вам поведать. Встретимся на следующем занятии, где продолжим изучение подсистемы безопасности NT, как и было обещано ранее.

Управление групповой политикой и делегирование

Делегирование— та вещь, которая быстро выходит из-под контроля. Права делегируются то так то эдак и, в конце концов, не те люди могут получить не те права.

Ценность групповой политики заключается в ее силе. Одним махом вы можете применить политики в домене или подразделении, которые значительно укрепят безопасность или улучшат производительность бизнеса. Или наоборот.

Но этой властью также можно злоупотребить, намеренно или случайно. Одно неправильное изменение объекта групповой политики может привести к нарушению безопасности. Взломщик или злонамеренный администратор могут легко изменить объекты групповой политики, чтобы, например:

  • Разрешить неограниченное количество попыток угадать пароль учетной записи.
  • Включить возможность подключения съемных носителей для упрощения кражи данных.
  • Развернуть вредоносное ПО на всех машинах в домене.
  • Заменить сайты, сохранённые в закладках браузеров пользователей, вредоносными URL-адресами.
  • Запустить вредоносный сценарий при запуске или завершении работы компьютера.

Интересно, что хакерам даже не нужно много навыков, чтобы взломать объекты групповой политики. Все, что им нужно сделать, это получить данные учетной записи, имеющую необходимые права для нужного объекта групповой политики. Есть инструмент с открытым исходным кодом BloodHound (прямо как известная группа, только без Gang), который предоставит им список этих учетных записей. Несколько целевых фишинговых атак и хакер контролирует объект групповой политики. Политика домена по умолчанию (Default Domain Policy) и политика контроллеров домена по умолчанию (Default Domain Controllers Policy) — наиболее популярные цели, т.к. они создаются автоматически для каждого домена и контролируют важные параметры.

Как выключить локальную политику безопасности

Необходимо выключить службу «Клиент групповой политики». Но она «вшита» в Windows 7/8/10 настолько прочно, что остановить и деактивировать её с помощью встроенного мастера настройки служб, вызываемого из диспетчера задач, нельзя.

Самый действенный способ — вмешаться в реестр системы. Сделайте следующее:

  • Перейдите в директорию HKLMSYSTEMCurrentControlSetServicesgpsvc (процесс gpsvc.exe, видимый в диспетчере задач при работе «Клиента групповой политики», запускается реестром Windows из этого места).
  • Правый щелчок мышью откроет меню папки «gpsvc» — выберите «Разрешения».В редакторе реестра находим папку «gpsvc», нажимаем «Разрешения»
  • Выберите другого владельца, зайдя в дополнительные параметры безопасности.Без изменения имени вы не сможете добраться до полного доступа к процессу gpsvc
  • Отметьте все разрешения. Желательно удалить лишних пользователей из настройки неограниченного доступа к службе.Отметьте все разрешения, удалите лишних пользователей из настройки дополнительного доступа в графе «Группы или пользователи»
  • Вернитесь к папке gpsvc в данной директории реестра и измените ключ Start, введя значение 4 («Отключено»).В папке gpsvc измените ключ Start, введя значение 4, и система отключится
  • Закройте все окна, нажав OK, перезапустите компьютер.

Это ещё не всё! Вам будет мешать сообщение в трее о неработе службы «Клиент групповой политики».

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Оно будет появляться каждый раз, уберите его

Чтобы его убрать, сделайте следующее:

  • Запустите уже знакомый редактор реестра.
  • Удалите из него папку HKLMSYSTEMCurrentControlSetControlWinlogonNotificationsComponentsGPClient.Запустите редактор реестра и удалите из него папку GPClient

Предварительно сохраните эту папку в отдельный файл реестра. Это делается на случай, если работу службы нужно быстро восстановить, не переустанавливая Windows. После удаления папки перезапустите компьютер — уведомление больше не появится.

Где находится и как работает локальная политика безопасности

Локальные средства безопасности «десятки» управляются службой «Клиент групповой политики». Если эта служба отключена, средство Group Politics Editor не запустится или будет давать сбои в настройке.

Запуск редактора локальной политики безопасности Windows 10

Дайте команду «Пуск — Выполнить» и введите в открывшейся строке команду gpedit.msc.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Подтвердите ввод, нажав OK

Функционал редактора групповой политики

Настройка сервиса ГПБ включает в себя:

  • конфигурацию программ — управляет сторонними приложениями;
  • конфигурацию «десятки» — управляет настройками безопасности системы;
  • административные шаблоны — фактически это замена утомительного редактирования настроек из реестра.Основное окно редактора показывает все настройки групповой политики

Как обезопасить GPO (объекты групповой политики)

Лучший способ минимизировать риск неправильной настройки объектов групповой политики — это создать многоуровневую структуру безопасности, которая дополняет собственные инструменты. Для надёжной защиты групповой политики нужны решения, которые позволят:

  • Понять, кто и к каким объектам групповой политики имеет доступ.
  • Внедрить воркфлоу с опцией согласования и разделением обязанностей для управления изменениями в GPO.
  • Отслеживать, выполнять мониторинг и оповещать об изменениях в GPO.
  • Предотвратить изменение наиболее важных настроек GPO.
  • Быстро откатывать нежелательные изменения в GPO.

В интерфейсе можно выбрать избыточные или конфликтующие параметры групповой политики и объединить их в один объект групповой политики или создать новый.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Откат. Можно легко откатиться к предыдущим версиям объектов групповой политики и устранить негативные последствия.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Политики защищенных настроек. Определите список параметров, по которым проверяются разрешенные настройки для политик.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Управление объектами. В интерфейсе легко определить, кто отвечает за управление определенными политиками.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Подтверждение по электронной почте. Утверждать или отклонять запросы на изменение объекта групповой политики можно прямо из письма в почте.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Пользовательские шаблоны писем. Для определенных ролей шаблоны писем можно кастомизировать.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Синхронизация GPO. Доступна возможность синхронизации настроек между несколькими GPO.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

Сравнение GPO. Обеспечьте целостность настроек GPO и снизьте риск нарушения политики.

Как открыть редактор локальной групповой политики Windows 10, 8.1 и Windows 7

А еще у нас есть:

Заключение

Из этой статьи вы узнали о методах применения локальных политик безопасности. В предоставленных примерах проиллюстрирована настройка политик безопасности при помощи оснастки «Локальная политика безопасности» на локальном компьютере, настройка политик на компьютере, подсоединенном к домену, а также управление локальными политиками безопасности с использованием контроллер домена. В следующих статьях из цикла о локальных политиках безопасности вы узнаете об использовании каждого узла оснастки «Локальная политика безопасности» и о примерах их использования в тестовой и рабочей среде.