Параметры расширенной политики аудита безопасности

Содержание:

Включение и выключение через Командную строку

Если вы хотите открыть общий доступ к своему компьютеру и принтеру, то сделать это можно еще одним способом — через Командную строку. Вызовите ее через меню «Пуск» и запустите от имени администратора.

netsh advfirewall firewall set rule group=»Общий доступ к файлам и принтерам» new enable=Yes

Для того, чтобы прекратить использование файлов другими пользователями:

netsh advfirewall firewall set rule group=»Общий доступ к файлам и принтерам» new enable=No

Обратите внимание, что приведенные команды подойдут только в том случае, если у вас установлена русскоязычная операционная система

Основы работы с редактором локальной групповой политики в ОС Windows 10

Групповые политики — это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.

Изменять групповые политики можно с помощью Редактора локальной групповой политики.

  1. Политики для настройки встроенного брандмауэра Windows;
  2. Политики для управления электропитанием;
  3. Политики для настройки панели управления, панели задач и др.
  4. Политики для настройки антивирусной защиты;
  5. Политики для управления подключаемых устройств;
  6. Политики для настройки штатных средств шифрования
  7. Политики для настройки штатного браузера;
  8. Политики для настройки беспроводных сетей и многое многое другое.

Для настройки параметров в операционной системе MS Windows 10 используется оснастка Редактор локальной групповой политики. Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.

Оснастку Редактор объектов групповой политики можно запустить, например, введя в окне Выполнить, либо в поисковой строке gpedit.msc.

Рис.1 Окно Выполнить

Оснастка Локальная политика безопасности входит в состав оснастки Редактор

Для удобства можно добавить ярлык оснастки на рабочий стол. Для этого необходимо открыть C:WindowsSystem32 , выбрать правой клавишей мыши gpedit и отправить ярлык на рабочий стол.

Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики

Чтобы работать с объектами локальной групповой политики, необходимо войти в систему с учетной записью администратора.

Структура редактора групповой политики

Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.

В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.

Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.

Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.

Рис.3 Редактор локальной групповой политики

Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.

Рис.4 Настройка частоты обновления политик

Рис.5 Настройка частоты обновления политик

Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:

  • осуществить перезагрузку операционной системы
  • использовать утилиту gpupdate.exe для принудительного обновления групповой политики. Для этого необходимо либо в окне Выполнить, либо в командной строке ввести gpupdate /force и нажать ОК.

Рис.6 Обновление политик в командной строке

С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.

Например, для выполнения обновления политик для пользователя, необходимо ввести gpupdate /target:user .

Рис.7 Обновление политик для пользователя в командной строке

Пример последовательности действий при редактировании определенной политики

Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:

Как выключить локальную политику безопасности

Необходимо выключить службу «Клиент групповой политики». Но она «вшита» в Windows 7/8/10 настолько прочно, что остановить и деактивировать её с помощью встроенного мастера настройки служб, вызываемого из диспетчера задач, нельзя.

Самый действенный способ — вмешаться в реестр системы. Сделайте следующее:

  1. Войдите в уже знакомую строку запуска программ «Выполнить» и введите команду «regedit». Откроется редактор реестра.
  2. Перейдите в директорию HKLMSYSTEMCurrentControlSetServicesgpsvc (процесс gpsvc.exe, видимый в диспетчере задач при работе «Клиента групповой политики», запускается реестром Windows из этого места).
  3. Правый щелчок мышью откроет меню папки «gpsvc» — выберите «Разрешения».В редакторе реестра находим папку «gpsvc», нажимаем «Разрешения»
  4. Выберите другого владельца, зайдя в дополнительные параметры безопасности.Без изменения имени вы не сможете добраться до полного доступа к процессу gpsvc
  5. Отметьте все разрешения. Желательно удалить лишних пользователей из настройки неограниченного доступа к службе.Отметьте все разрешения, удалите лишних пользователей из настройки дополнительного доступа в графе «Группы или пользователи»
  6. Вернитесь к папке gpsvc в данной директории реестра и измените ключ Start, введя значение 4 («Отключено»).В папке gpsvc измените ключ Start, введя значение 4, и система отключится
  7. Закройте все окна, нажав OK, перезапустите компьютер.

Это ещё не всё! Вам будет мешать сообщение в трее о неработе службы «Клиент групповой политики».

Оно будет появляться каждый раз, уберите его

Чтобы его убрать, сделайте следующее:

  1. Запустите уже знакомый редактор реестра.
  2. Удалите из него папку HKLMSYSTEMCurrentControlSetControlWinlogonNotificationsComponentsGPClient.Запустите редактор реестра и удалите из него папку GPClient

Предварительно сохраните эту папку в отдельный файл реестра. Это делается на случай, если работу службы нужно быстро восстановить, не переустанавливая Windows. После удаления папки перезапустите компьютер — уведомление больше не появится.

Справочники

Этот параметр политики определяет проверку подлинности сетевых логотипов, которые используют локальные учетные записи. Если настроить этот параметр политики на Classic, сетевые логотипы, которые используют локальные учетные данные учетных записей, с помощью этих учетных данных. Если настроить этот параметр политики только для гостевой, сетевые логотипы, которые используют локальные учетные записи, автоматически соотносят с учетной записью Гостевой. Классическая модель обеспечивает точный контроль над доступом к ресурсам и позволяет предоставлять различные типы доступа для разных пользователей для одного и того же ресурса. И наоборот, только модель Guest обрабатывает всех пользователей одинаково, и все они получают одинаковый уровень доступа к определенному ресурсу, который можно использовать только для чтения или изменения.

Если значение этого параметра политики только гостевое — местные пользователи сдают проверку подлинности в качестве Гостевой, любой пользователь, который может получить доступ к вашему устройству через сеть, делает это с правами пользователя Гостевой. Это означает, что они, вероятно, не смогут писать в общие папки. Несмотря на то, что это повышает безопасность, авторизованные пользователи не могут получить доступ к общим ресурсам в этих системах. Если значение Classic — локальные пользователисами заверяют подлинность, локальные учетные записи должны быть защищены паролем; в противном случае любой пользователь может использовать эти учетные записи для доступа к общим системным ресурсам.

Возможные значения

  • Classic — местные пользователи самостоятельно сдают проверку подлинности
  • Только для гостей — проверка подлинности местных пользователей в качестве гостевой
  • Не определено

Рекомендации

  1. Для сетевых серверов установите эту политику в Classic — местные пользователи сами будут проверки подлинности.
  2. В системах конечных пользователей задайте эту политику только гостю — местные пользователи сдают проверку подлинности в качестве гостевой.

Значения по умолчанию

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики Значение по умолчанию
Default Domain Policy Не определено
Политика контроллера домена по умолчанию Не определено
Параметры по умолчанию для автономного сервера Classic (местные пользователи самостоятельно сдают проверку подлинности)
Dc Effective Default Параметры Classic (местные пользователи самостоятельно сдают проверку подлинности)
Действующие параметры по умолчанию для рядового сервера Classic (местные пользователи самостоятельно сдают проверку подлинности)
Действующие параметры по умолчанию для клиентского компьютера Classic (местные пользователи самостоятельно сдают проверку подлинности)

Отключение слежки Windows 10 после установки

В настройках Windows 10 имеется целый раздел «Конфиденциальность» для настройки соответствующих параметров и отключения некоторых функций, имеющих отношение к «слежке». Нажмите на клавиатуре клавиши Win+I (либо кликните по значку уведомлений, а затем — «Все параметры»), после чего выберите нужный пункт.

В параметрах конфиденциальности есть целый набор пунктов, каждый из которых рассмотрим по порядку.

Общие

На вкладке «Общие» здоровым параноикам рекомендую отключить все опции, кроме 2-й:

  • Позволить приложениям использовать мой идентификатор получателя рекламы — выключить.
  • Включить фильтр SmartScreen — включить (пункт отсутствует в Creators Update).
  • Отправлять в Майкрософт мои сведения о написании — выключить (пункт осутствует в Creators Update).
  • Позволить веб-сайтам предоставлять местную информацию за счет доступа к моему списку языков — выключить.

Расположение

В разделе «Расположение» вы можете отключить определение местоположения для вашего компьютера в целом (отключается и для всех приложений), а также для каждого приложения из тех, что могут использовать такие данные, по-отдельности (ниже в этом же разделе).

Речь, рукописный ввод и ввод текста

В этом разделе вы можете отключить слежение за набираемыми вами символами, речевым и рукописным вводом. Если в разделе «Наше знакомство» вы видите кнопку «Познакомьтесь со мной», это означает, что данные функции уже отключены.

Если же вы видите кнопку «Остановить изучение», то нажмите ее для того, чтобы отключить хранение этой личной информации.

Все эти разделы позволяют переключить в положение «Выключено» использование приложениями соответствующего оборудования и данных вашей системы (самый безопасный вариант). Также в них можно разрешить их использование для отдельных приложений и запретить для других.

Ставим «Никогда» в пункте «Windows должна запрашивать мои отзывы» и «Базовые сведения» («Основной» объем данных в версии Creators Update) в пункте об отправке данных корпорации Майкрософт, если у вас нет желания делиться информацией с нею.

Фоновые приложения

Многие приложения Windows 10 продолжают выполняться даже когда вы ими не пользуетесь и даже если их нет в меню «Пуск». В разделе «Фоновые приложения» вы можете отключить их, что позволит не только предотвратить отправку каких-либо данных, но и сэкономить заряд батареи ноутбука или планшета. Также можете посмотреть статью о том, как удалить встроенные приложения Windows 10.

Дополнительные параметры которые может иметь смысл отключить в параметрах конфиденциальности (для версии Windows 10 Creators Update):

  • Использование приложениями данных вашего аккаунта (в разделе Сведения учетной записи).
  • Разрешение приложениям доступа к контактам.
  • Разрешение приложениям доступа к электронной почте.
  • Разрешение приложениям использовать диагностические данные (в разделе Диагностика приложения).
  • Разрешение приложениям доступа к устройствам.

Дополнительный способ дать Майкрософт меньше информации о себе — использовать локальную учетную запись, а не учетную запись Майкрософт.

Почему это происходит

Если на компьютер Windows 10 была установлена недавно, папка AppData будет занимать всего несколько сотен мегабайт. Со временем, когда пользователь начнёт устанавливать новый софт на своё устройство, она станет увеличиваться в размере и сможет достигнуть десятков и сотен гигабайт.

Размер папки AppData составляет больше 9 ГБ

Если пользователь устанавливает ресурсоёмкие утилиты и папка начинает весить, например, 10 ГБ, то переживать не стоит: в ней находятся файлы, которые необходимы программам для полноценной работы. Нет предельного размера для папки AppData.

Если вы удаляете программы с помощью стандартного средства Windows (окна «Программы и компоненты»), исчезают только файлы, которые хранятся в системном разделе Program Files. При этом данные удаляемых приложений в папке AppData остаются на своём месте. Их называют «остаточными файлами» или «хвостами». Таким образом, постепенно накапливается большое количество совершенно ненужной информации, которую нужно убирать.

Если программы с ПК часто удаляются пользователем, но папка продолжает увеличиваться в размерах даже при использовании нескольких утилит, то нужно подумать о её очистке. Освобождение папки от «мусора» очистит системный диск. В результате компьютер станет работать быстрее.

Настройка параметров политики безопасности (Windows

  • 04/19/2017
  • Время чтения: 2 мин
  • Область применения
  • В этой статье описаны действия, которые необходимо выполнить, чтобы настроить параметр политики безопасности на локальном устройстве, на подключенном к домену устройстве и на контроллере домена.
  • У вас должны быть права администратора на локальном устройстве либо у вас должны быть соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена для выполнения этих процедур.
  • Если локальная настройка недоступна, она указывает на то, что объект GPO, который в данный момент управляет этим параметром.

Настройка параметра с помощью консоли локальной политики безопасности

  1. Чтобы открыть локальную политику безопасности, на начальном экране введите secpol. mscи нажмите клавишу ВВОД.
  2. В разделе Параметры безопасности в дереве консоли выполните одно из указанных ниже действий.

    • Нажмите политики учетных записей , чтобы изменить политику паролей или политику блокировки учетных записей.
    • Щелкните Локальные политики , чтобы изменить политику аудита, Назначение прав пользователяи Параметры безопасности.
  3. Когда вы найдете параметр политики в области сведений, дважды щелкните политику безопасности, которую вы хотите изменить.

  4. Измените параметр политики безопасности, а затем нажмите кнопку ОК.

    Примечание

    • В некоторых параметрах политики безопасности требуется, чтобы устройство было переустановлено, прежде чем установка вступит в силу.
    • Любые изменения, внесенные в назначение прав пользователя для учетной записи, вступают в силу при следующем входе в систему владельца учетной записи.

Для выполнения этих процедур необходимо иметь соответствующие разрешения на установку и использование консоли управления (MMC), а также для обновления объекта групповой политики (GPO) на контроллере домена.

  1. Откройте редактор локальных групповых политик (gpedit. msc).
  2. В дереве консоли щелкните Конфигурация компьютера, выберите пункт Параметры Windows, а затем — Параметры безопасности.
  3. Выполните одно из указанных ниже действий.

    • Нажмите политики учетных записей , чтобы изменить политику паролей или политику блокировки учетных записей.
    • Щелкните Локальные политики , чтобы изменить политику аудита, Назначение прав пользователяи Параметры безопасности.
  4. В области сведений дважды щелкните параметр политики безопасности, который вы хотите изменить.

    Примечание

    Если эта политика безопасности еще не определена, установите флажок определить параметры политики .

  5. Измените параметр политики безопасности, а затем нажмите кнопку ОК.

Примечание

Если вы хотите настроить параметры безопасности для многих устройств в сети, вы можете использовать консоль управления групповыми политиками.

Настройка параметра для контроллера домена

Ниже описано, как настроить параметр политики безопасности только для контроллера домена (с контроллера домена).

  1. Чтобы открыть политику безопасности контроллера домена, в дереве консоли найдите политику граупполициобжект , нажмите кнопку Конфигурация компьютера, выберите пункт Параметры Windows, а затем — Параметры безопасности.
  2. Выполните одно из указанных ниже действий.

    • Дважды щелкните политики учетных записей , чтобы изменить политику паролей, политику блокировки учетных записейили политику Kerberos.
    • Щелкните Локальные политики , чтобы изменить политику аудита, Назначение прав пользователяили Параметры безопасности.
  3. В области сведений дважды щелкните политику безопасности, которую вы хотите изменить.

    Примечание

    Если эта политика безопасности еще не определена, установите флажок определить параметры политики .

  4. Измените параметр политики безопасности, а затем нажмите кнопку ОК.

Важно!

  • Всегда проверяйте только что созданную политику в тестовом подразделении, прежде чем применять ее к сети.
  • При изменении параметра безопасности с помощью объекта групповой политики и нажатии кнопки ОКэтот параметр вступит в силу при следующем обновлении параметров.

Справочник по параметрам политики безопасности

Отправить отзыв о следующем:

Где находится локальная политика безопасности?

В Windows 10 Это считается «классическим приложением. Открыть его можно тремся способами.

  1. Поиск.

Самый простой – найти «приложение» в поиске, который открывается комбинацией клавиш Win+S. Вписываем в поисковую строку ключевое слово – и кликаем на найденные политики. Дополнительно можно выставить фильтр «приложения».

  1. Выполнить.

Нажимаем комбинацию клавиш Win+R и прописываем команду secpol.msc.

Это два самых простых способа, как зайти в редактор. Есть еще один – через консоль управления компьютером, но он долгий и не совсем удобный.

В открытом редакторе можно задавать параметры для разных политик, тонко настраивая безопасность под конкретного пользователя или в локальной доменной группе. О том, как настроить политики безопасности, мы разберемся в следующей статье.

Настройки групповой политики Windows 8

Групповая политика в Windows 8 мало чем отличается от аналогичного инструмента в «десятке». Рассмотрим его на примере Windows 10, подразумевая что в «восьмёрке» он ничем не отличается, за исключением наличия нескольких дополнительных опций.

Что это за инструмент

Групповая политика – это обширный набор плавил, опций и настроек, посредством которых системный администратор может конфигурировать параметры компьютера. Сюда относится возможность изменять различные значения, устанавливать всевозможные ограничения, отключать или активировать функции. В общем, групповая политика предоставляет пользователю возможность редактировать записи системного реестра посредством удобного и понятного инструмента, в котором каждый параметр имеет название с кратким описанием, чего не предоставляет редактор реестра.

Эта оснастка доступна только для пользователей, которые установили на свои компьютеры Windows 10 профессиональную (Pro) или для бизнеса (Enterprise). В ином случае придется обновлять операционную систему или остаться без нижеописанных возможностей.

Запуск редактора

Прежде чем ознакомиться с функционалом редактора, необходимо выяснить, каким образом он запускается, и как быстрее вызвать оснастку.

Выполняем команду «gpedit.msc», скопировав или вбив ее в поисковую строку начального экрана, или «Пуск» в Windows 10, или текстовую форму командного интерпретатора (вызывается на экран посредством Win + R).

Добавление редактора в Виндовс Домашняя

Если появилось сообщение, оповещающее о невозможности запустить редактор, или используете домашнюю версию Windows 10 или «восьмерки», тогда придется выполнить интеграцию инструмента в операционную систему.

Внимание! Редактор групповой политики в домашнюю версию Виндовс не добавляется с XP, и Виндовс 10 не стала исключением. Посмотрите ещё: Как переустановить Windows 8

Посмотрите ещё: Как переустановить Windows 8

  • При использовании операционной системы разрядностью x32 бит закрываем окно, нажав «Finish», в 64-х битной редакции Виндовс 10 и 8 эту кнопку ни в коем случае не трогаем.
  • Заходим в папку «Temp», расположенную в директории «Windows» системного тома.
  • Копируем туда динамические библиотеки (файлы с расширением dll) gpedit, fde,gptext, appmgr, fdeploy с распакованного архива.
  • Копируем файл «gpedit.msc» в директорию «System32», которая находится в той же системной папке «Windows».
  • Создаем копии GroupPolicy, GPBAK файлов GroupPolicyUsers иmsc, расположенных в «SysWOW64», в папке «System32».
  • Если все прошло успешно, жмем «Finish» и перезагружаем Windows 10.

При возникновении ошибки в случае копирования документов придется подождать около минуты и повторить попытку или освободить проблемные файлы от использования их запущенными приложениями при помощи Unlocker.

Бывает, что при точном выполнении всех пунктов инструкции появляется ошибка с текстом о невозможности создания оснастки MMC. Тогда идем в каталог «Temp\gpedit», расположенный в «Windows», и запускаем командный файл x86.bat при использовании 32-х битной Виндовс 10, или x64.bat, если на компьютере используется 64-х разрядная ОС.

Как ни печально, но ни одна новая политика для «восьмерки» и «десятки» не будет доступной, ведь инструмент разрабатывался для «семерки» и был лишь незначительно подкорректирован для поддержания «десяткой».

Работаем в редакторе

Внешний вид окна редактора политики мало чем отличается от классического проводника и редактора реестра концептуально. Здесь присутствует все та же иерархическая структура каталогов с подкаталогами (аналогично разделам реестра и папкам в проводнике) и параметрами (файлы в проводнике и ключи в реестре) с подробной информацией о каждом из них.

Аналогично кустам реестра, список доступных опций в редакторе политики разделен на две части, первая из которых применима для активного пользователя, а вторая – для всех юзеров компьютера. В каждом разделе содержится ещё по три подраздела:

  • «Конфигурация программ» — настройки, касающиеся ограничений на запуск приложений на компьютере;
  • «Конфигурация Windows» — перечень групповых политик, влияющих на безопасность, позволяющих внедрять пользовательские скрипты для их выполнения во время запуска ПК;
  • «Административные шаблоны» — пункт содержит перечень всех настроек, которые доступны для пользователя через «Панель управления».

Посмотрите ещё: Восстановление системы Windows 8

Пользователя, владеющего базовыми знаниями о возможностях, которые предоставляют групповые политики, ждет приятное открытие – доступ к массе спрятанных в дебрях системы и даже недоступных посредством графического интерфейса функциям.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector