Как настроить локальную политику безопасности windows 10 и работать с ней
Содержание:
- Сбросить групповую политику по умолчанию
- Что можно сделать в редакторе локальной групповой политики
- Настройка параметров Chrome через GPO
- Зачем нужно приложение «Локальная политика безопасности»
- Делегирование GPO
- Установка модуля управления обновлениями PSWindowsUpdate
- Как редактировать с помощью редактора локальной групповой политики
Сбросить групповую политику по умолчанию
Параметры групповой политики могут различаться в зависимости от нескольких конфигураций, таких как Персонализация, Параметры брандмауэра, Принтеры, Политики безопасности, и т. Д. Мы рассмотрим несколько методов, с помощью которых можно сбросить соответствующие политики до состояния по умолчанию. ,
1] Сброс настроек GPO с помощью редактора локальной групповой политики
Теперь это очень простой. Выполните следующие шаги для сброса измененных настроек объекта групповой политики.
1. Нажмите Windows Key + R на клавиатуре, чтобы запустить приглашение «Выполнить». Введите gpedit.msc и нажмите Enter, чтобы открыть редактор локальной групповой политики.
2. Перейдите по следующему пути в левой части окна редактора групповой политики:
3. Теперь в правом боковом окне отсортируйте параметры политики по столбцу «Состояние», чтобы все те политики, которые в настоящее время включены/отключены , были доступны сверху.
4. Далее, измените их состояние с Включено/Отключено на Не настроено и примените настройки.
5. Повторите то же самое для приведенного ниже пути.
6. Это восстановит все параметры групповой политики в состояние по умолчанию. Однако, если вы столкнулись с некоторыми серьезными проблемами, такими как потеря прав администратора или отстранение от входа в систему, вы можете попробовать следующий метод.
2] Восстановить локальные политики безопасности по умолчанию
Политики безопасности вашей учетной записи администратора в Windows поддерживаются в другой консоли управления — secpol.msc (локальная политика безопасности) . Эта оснастка параметра безопасности расширяет оснастку «Групповая политика» и помогает определять политики безопасности для компьютеров в вашем домене.
Теперь, при определенных обстоятельствах, вы можете получить некоторые испорченные настройки безопасности, которые вы можете установить правильно, если вы сохранили административные привилегии на вашем компьютере.
Выполните следующие шаги для сброса политик безопасности на вашем компьютере:
1. Нажмите Windows Key + X на клавиатуре, чтобы открыть меню Быстрая ссылка . Выберите Командная строка (Администратор) , чтобы открыть окно командной строки с повышенными правами.
2. Введите указанную ниже команду в окне приглашения и нажмите Enter:
secedit/configure/cfg% windir% \ inf \ defltbase.inf/db defltbase.sdb/verbose
3. После завершения задачи перезагрузите компьютер, чтобы изменения вступили в силу, и снова начните с политик безопасности.
4. Если некоторые компоненты по-прежнему выглядят странно, вы можете перейти к следующему методу для полной перезагрузки объектов групповой политики.
3] Сброс объектов групповой политики с помощью командной строки
Этот конкретный метод включает удаление папки параметров групповой политики с диска, на котором установлена Windows. Выполните следующие шаги, чтобы сделать это, используя окно командной строки с повышенными правами.
1. Откройте окно командной строки с повышенными правами, как описано в способе 2.
2. Введите эти команды в CMD и выполните их одну за другой.
RD/S/Q "% WinDir% \ System32 \ GroupPolicyUsers"
RD/S/Q "% WinDir% \ System32 \ GroupPolicy"
gpupdate/force
3. По завершении перезагрузите компьютер.
Убедитесь, что вы создали точку восстановления системы, прежде чем вносить какие-либо изменения в реестр или параметры политики.
Связанное чтение . Как восстановить поврежденную групповую политику в Windows 10.
Что можно сделать в редакторе локальной групповой политики
Вы можете настроить множество параметров ОС как администратор и другие пользователи не смогут ваши параметры изменить позже. Вот несколько примеров:
- Можете позволить пользователям использовать определенные приложения на вашем компьютере.
- Блокировать доступ к внешним устройствам (например, карты памяти USB), подключенных к компьютеру.
- Блокировать доступ пользователей к панели управления или настройкам приложений.
- Скрыть некоторые элементы панели управления.
- Задает фон, для рабочего стола и блокировать способность пользователей его изменить.
- Блокировать включение или отключение сетевых соединений и доступ к их свойствам.
- Запретить пользователям считывать или записывать данные на CD, DVD, внешних накопителях памяти и т.д.
- Отключить все комбинации клавиш, которые начинаются с кнопки Win. Например, Win+R (открывает «Выполнить»).
Таковы лишь некоторые примеры, а на самом деле есть множество других параметров.
Настройка параметров Chrome через GPO
Обратите внимание, что настройки Google Chrome хранятся в двух разделах групповой политики (как в Computer, так и User Configuration) :
- Google Chrome – пользователи (и даже локальный администратор) не могут изменить настройки Chrome на своем компьютере, заданные в этой секции GPO (хотя можно выкрутится и совсем заблокировать применение групповых политик на компьютере);
- Google Chrome — Настройки по умолчанию (пользователи могут менять) (Default Settings (users can override)) – рекомендуемые настройки браузера, которые пользователи могут изменить.
Рассмотрим базовые настройки Chrome которые часто настраиваются в корпоративной среде централизованно:
- Сделать Chrome браузером по умолчанию – Set Goggle Chrome as Default Browser;
- Set disk cache directory — путь к диковому кэшу Chrome (как правило это “”);
- Set disk cache size – размер кэша Chrome на диске (в байтах);
- Set Google Chrome Frame user data directory – указать путь к каталогу Chrome с настройками пользователя “”;
- Managed Bookmarks – управление закладками браузера;
- Отключение авто обновления Chrome: Allow Installation: Disable и Update Policy Override: Enable, в поле Policy указать Updates Disable;
- Добавить сайты в список доверенных — Policies HTTP Authentication -> Authentication server whitelist;
- Разрешить Kerberos аутентификацию в Chrome для сайтов. Добавьте список адресов серверов, сайтов в настройки политик – Http Authentication -> Kerberos Delegation Server Whitelist и Authentication Server Whitelist;
- Запретить отправку анонимной статистики Chrome в Google: Send anonymous usage statistics and crash information -> False;
- Использовать временный профиль Chrome (данные удаляются после завершения сессии пользователя) Ephemeral profile: Enabled;
- Список запрещенных сайтов: Block access to a list of URLs (можно заблокировать сайты из PowerShell на уровне Windows);
- Изменим местоположение папки для загрузки: Set download directory: c:\temp\downloads.
(Обратите внимание, что каталог соответствует папке в профиле пользователя %, а — ). Полный список политик Chrome с подробными объяснениями: https://cloud.google.com/docs/chrome-enterprise/policies/.
Полный список политик Chrome с подробными объяснениями: https://cloud.google.com/docs/chrome-enterprise/policies/.
Зачем нужно приложение «Локальная политика безопасности»
В этом приложении находятся разнообразные настройки как для всей системы, так и для отдельных ее пользователей. С помощью этой программы можно выставить различные параметры и ограничения для системы, изменить настройки реестра, удалить или настроить приложения, установленные на компьютере.
В левой стороне окна программы вы можете использовать дерево папок, которое разбито на два самых больших раздела: конфигурация компьютера и пользователя. В каком из них работать зависит от того, хотите ли вы внести изменения для всех пользователей вашего компьютера или только для одного. Если вас интересует первый вариант, то могут понадобиться права администратора.
Каждый из основных разделов имеет три подпункта, в которых находятся все настройки и функции для определенного типа файлов:
Делегирование GPO
На вкладке политики Delegation указаны разрешения, настроенные для данной групповой политики. Здесь можно увидеть каким группам даны права на изменения настроек GPO, а также на разрешение или запрет применения политики. Вы можете предоставить права на управление GPO из этой консоли или с помощью мастера делегирования в ADUC. Кроме того, наличие строки доступа для Enterprise Domain Controllers определяет возможность репликации данной политики между контроллерами домена Active Directory (это нужно иметь в виду при наличии проблем с репликацией политики между DC)
Обратите внимание, что права на вкладке Delegation соответствуют NTFS правам, назначенным на каталог политики в папке SYSVOL
Установка модуля управления обновлениями PSWindowsUpdate
Если вы используете Windows 10, вы можете установить модуль PSWindowsUpdate из онлайн репозитория через менеджер пакетов PackageManagement всего одной командой:
В моем случае появилось предупреждение, что версия PSWindowsUpdate 1.5.2.6 уже установлена. Чтобы установить более новую версию, нужно запустить команду:
После окончания установки нужно проверить наличие пакета:
Если у вас установлена более старая версия Windows (Windows 7/8.1/ Windows Server 2008 R2/ 2012 R2) или отсутствует прямой доступ в Интернет, вы можете установить модуль PSWindowsUpdate вручную.
Модуль PSWindowsUpdate можно установить на любые поддерживаемые версии Windows, начиная с Vista / Windows Server 2008 с установленным PowerShell 2.0 (но рекомендуется PowerShell версии 3.0 и выше).
Скачайте последнюю версию модуля PSWindowsUpdate со страницы: https://gallery.technet.microsoft.com/scriptcenter/2d191bcd-3308-4edd-9de2-88dff796b0bc и скачанный файл;Обратите внимание, что в галерее скриптов TechNet доступна только старая версия модуля – v 1.5.6. В то время как менеджер пакетов NuGet устаналивает из PowershellGallery версию PSWindowsUpdate 2.1.1.2
В разных версиях модуля доступные командлеты и параметры могут отличаться.
Распакуйте архив с модулем в один из каталогов или (при постоянном использовании модуля это лучший вариант);
Разрешите выполнение PS1 скриптов:
Теперь вы можете импортировать модуль в свою сессию PowerShell: Примечание. В Windows 7 / Server 2008 R2 при импорте модуля PSWindowsUpdate вы можете столкнутся с ошибкой вида: Имя «Unblock-File» не распознано как имя командлета. Дело в том, что в модуле используются некоторые функции, которые появились только в PowerShell 3.0. Для использования этих функций вам придется обновить PowerShell, либо вручную удалить строку | Unblock-File из файла PSWindowsUpdate.psm1
.
После установки модуля PSWindowsUpdate на своем компьютере вы можете удаленно установить его на другие компьютеры или сервера с помощью командлета . Например, чтобы скопировать PSWindowsUpdate модуль с вашего компьютера на два удаленных сервера, выполните команды (нужен доступ к удаленным серверам по протоколу SMB, порт TCP 445):
Чтобы сохранить модуль в сетевой каталог для дальнейшего импорта модуля на других компьютерах, выполните:
Как редактировать с помощью редактора локальной групповой политики
Для того, чтобы лучше понять процесс использования, возьмем пример. Допустим, вы хотите, установить определенный фон для рабочего стола, который будет использоваться для каждого существующего пользователя.
Чтобы добраться до настроек рабочего стола, вам необходимо перейти в категорию «Конфигурация пользователя» в левой панели. Затем перейдите к параметру «Административные шаблоны», откройте «Рабочий стол» и выберите «Настройки рабочего стола».
В правой панели увидите все параметры, которые можно настроить из выбранного административного шаблона. Для каждого параметра, в его правой части отображаются два столбца:
Колонка «Состояние» говорит, какие параметры не настроены и активны или не активны.
В левой части этой панели показано подробную информацию о том, что делает конкретный параметр и его эффекты. Эта информация отображается в левой панели, всякий раз, когда вы выбираете настройку.
Например, если вы выбираете «фоновый рисунок рабочего стола», на левой стороне вы увидите, что установка может быть применена к версии от Windows 2000 и более новых.
Если вы хотите изменить настройки, фонового рисунка рабочего стола, дважды щелкните по нему правой кнопкой мыши или нажмите ПКМ и выберите «Изменить».
Появится окно с настройками для редактирования. Например, в нашем случае можем указать фон для рабочего стола.
Для этого нужно поставить птичку напротив слова «Включено» и указать путь к изображению.
В конце, необходимо нажать кнопку «Применить» (Apply) или OK, чтобы активировать настройку.
Это лишь самый простой пример. Я не хочу сейчас даже упоминать о прописывании различных сценариев, так как большинство не будет их использовать.
В целом редактор локальной групповой политики представляет собой сложный инструмент, которым, как ни странно, можно легко установить различные правила для ваших компьютеров и их пользователей.
Если у вас есть какие-либо вопросы о редакторе локальной групповой политики, не стесняйтесь сказать об этом в комментарии ниже. Успехов.
Операционная система Windows всегда отличалась широким выбором возможных настроек, количеством выполняемых задач и поддерживаемых приложений. Но управлять таким объемом ресурсов было бы сложно, если бы не специальная программа, позволяющая изменить все необходимые параметры в одном месте. Именно для этих целей практически во всех версиях Windows, в том числе и в Windows 10, существует специальное приложение «Локальная политика безопасности».