В предыдущих моих статьях о групповых политиках было рассказано о принципах работы оснастки . Рассматривались некоторые узлы текущей оснастки, а также функционал множественной групповой политики. Начиная с этой статьи, вы сможете узнать об управлении параметрами безопасности на локальном компьютере, а также в доменной среде. В наше время обеспечение безопасности является неотъемлемой частью работы как для системных администраторов в крупных и даже мелких предприятиях, так и для домашних пользователей, перед которыми стоит задача настройки компьютера. Неопытные администраторы и домашние пользователи могут посчитать, что после установки антивируса и брандмауэра их операционные системы надежно защищены, но это не совсем так. Конечно, эти компьютеры будут защищены от множества атак, но что же спасет их от человеческого фактора? Сейчас возможности операционных систем по обеспечению безопасности очень велики. Существуют тысячи параметров безопасности, которые обеспечивают работу служб, сетевую безопасность, ограничение доступа к определенным ключам и параметрам системного реестра, управление агентами восстановления данных шифрования дисков BitLocker, управление доступом к приложениям и многое, многое другое.

В связи с большим числом параметров безопасности операционных систем Windows Server 2008 R2 и Windows 7 , невозможно настроить все компьютеры, используя один и тот же набор параметров. В статье "Настройки групповых политик контроля учетных записей в Windows 7" были рассмотрены методы тонкой настройки контроля учетных записей операционных систем Windows, и это только малая часть того, что вы можете сделать при помощи политик безопасности. В цикле статей по локальным политикам безопасности я постараюсь рассмотреть как можно больше механизмов обеспечения безопасности с примерами, которые могут вам помочь в дальнейшей работе.

Конфигурирование политик безопасности

Политика безопасности - это набор параметров, которые регулируют безопасность компьютера и управляются с помощью локального объекта GPO. Настраивать данные политики можно при помощи оснастки "Редактор локальной групповой политики" или оснастки . Оснастка "Локальная политика безопасности" используется для изменения политики учетных записей и локальной политики на локальном компьютере, а политики учетных записей, привязанных к домену Active Directory можно настраивать при помощи оснастки "Редактор управления групповыми политиками" . Перейти к локальным политикам безопасности, вы можете следующими способами.

Достаточно часто многие пользователи, работающие на компьютерных терминалах без администраторских прав, сталкиваются с проблемой, что какое-то действие отключено администратором или просто запрещено. Для таких запретов и используется редактор групповой политики. Что это такое и как с ним работать, мы сейчас и посмотрим.

групповой политики?

Сам по себе редактор представляет достаточно сложное и мощное средство, позволяющее производить тонкую настройку системы, включать или отключать ее отдельные компоненты, устанавливать разрешения и запреты для пользователей на использование отдельных компонентов Windows, устанавливать или запускать приложения и т. д.

Тут следует учитывать и то, что существует два типа такого инструмента: редактор локальной групповой политики (для данного терминала) и инструментарий для групповых политик службы каталогов (Active Directory используется сайтами, доменами, сетевыми терминалами и т. д.).

Кроме того, обязательно нужно знать, что такие функции предусмотрены в тех же системах Windows 7 или 8 исключительно версий Ultimate, Professional и Enterprise. В домашних версиях типа Home или Starter этот элемент не установлен изначально, так что искать его даже нечего пытаться. Чуть позже мы рассмотрим, как включить редактор групповой политики в домашних сборках Windows. А пока посмотрим на основные функции этого инструмента.

Запуск редактора

Для начала рассмотрим вопрос, как зайти в редактор локальной групповой политики. Самым простым способом считается использование командной строки или меню «Выполнить» (Win + R). Редактор 8 или 7) вызывается командой gpedit.msc.

Теперь посмотрим на основные настройки и разберемся, для чего они предназначены.

Основные параметры и настройки

В левом окне редактора сразу можно увидеть два основных раздела. Первый касается компьютерной системы в целом. Здесь можно редактировать все параметры, которые применяются к системе, независимо от того, какой именно пользователь работает на терминале в данный момент. Во втором разделе находятся настройки, так сказать, привязанные к каждому конкретному юзеру.

В данном случае (естественно, если зайти как администратор) можно устанавливать запреты и разрешения другим пользователям на выполнение тех или иных действий.

Так, например, необходимо отключить, допустим, редактирование реестра, чтобы неопытный юзер не дай бог не полез туда и не удалил важный ключ или запись, которая может повлиять на работоспособность всей «операционки». Для этого используется раздел административных шаблонов пользовательской конфигурации, где и выбирается соответствующий пункт запрета доступа к средствам редактирования реестра. При входе в меню подраздела просто ставится галочка напротив параметра «Включено».

Теперь юзер при вводе команды regedit получит сообщение о том, что редактирование реестра запрещено администратором. Впрочем, это касается любых действий пользователей и действующих ограничений или разрешений.

Интересными выглядят и настройки компьютерной конфигурации. Так, например, совершенно запросто можно изменить, опустим, действие, выполняемое при нажатии сочетания клавиш Ctrl + Alt + Del, или что-то еще. Иными словами, применяя параметры редактора, можно настроить систему, что называется, под себя. Для этого тут имеется достаточно много мощнейших средств.

Установка и включение редактора групповой политики в версиях Windows Home (7, 8)

Теперь несколько слов о том, как можно использовать редактор групповой политики в версиях Windows Home и Starter. Для этого нужно всего лишь скачать из Интернета установочный дистрибутив и инсталлировать данный компонент. Установка проблем не вызывает, поскольку является стандартным процессом. По его завершении потребуется перезагрузка компьютерной системы. Но это еще не все.

Где находится редактор локальной групповой политики

Тут мы подходим к вопросу о местонахождении файла, отвечающего за запуск редактора. В стандартном варианте для систем с архитектурой 32 бита файл запуска располагается в системной папке System32 в корневой директории Windows.

В 64-битных версиях той же «семерки» или «восьмерки» после установки файла при помощи вышеуказанной утилиты его расположение будет изменено на папку SysWOW64 (именно там распложены все файлы команд, вызываемых через меню «Выполнить»).

Так что, если сразу после установки и перезагрузки системы ввести команду вызова редактора, может ничего и не получиться. Система просто выдаст сообщение, что файл gpedit.msc не найден. Ничего страшного. Выход из такой ситуации достаточно прост. Нужно просто искомый файл копировать в папку System32, только и всего.

Заключение

В заключение остается добавить, что редактор групповой политики - инструмент достаточно мощный и серьезный. Поэтому хотя бы без каких-либо начальных знаний изменять параметры, находящиеся там, не рекомендуется, а то еще, чего доброго, вся система «вылетит». Ну а опытный пользователь, используя совестно системный реестр и настройки групповой политики, может доиться очень многого, тем более что сам редактор и реестр взаимосвязаны между собой вплоть до полного дублирования некоторых настроек и параметров.

Групповые политики нужны для управления операционной системы Windows. Они применяются во время персонализации интерфейса, ограничения доступа к определенным ресурсам системы и многого другого. Используют данные функции преимущественно системные администраторы. Они создают однотипную рабочую среду на нескольких компьютерах, ограничивают доступ пользователям. В этой статье мы подробно разберем групповые политики в Windows 7, расскажем про редактор, его настройку и приведем некоторые примеры групповых политик.

В Windows 7 Домашняя Базовая/Расширенная и Начальная редактор групповых политик просто отсутствует. Разработчики позволяют использовать его только в профессиональных версиях Виндовс, например, в Windows 7 Максимальная. Если вы не обладаете этой версией, то те же действия вам придется выполнять через изменения параметров реестра. Давайте подробнее рассмотрим редактор.

Запуск редактора групповой политики

Переход к среде работы с параметрами и настройками осуществляется за несколько простых действий. Вам только необходимо:

Теперь можно приступать к работе в редакторе.

Работа в редакторе

Разделяется главное окно управления на две части. Слева располагается структурированные категории политик. Они в свою очередь делятся еще на две различные группы – настройка компьютера и настройка пользователя.

В правой части отображается информация о выбранной политике из меню слева.

Из этого можно сделать вывод, что работа в редакторе осуществляется путем перемещения по категориям для поиска необходимой настройки. Выберите, например, «Административные шаблоны» в «Конфигурации пользователя» и перейдите в папку «Меню «Пуск» и диспетчер задач» . Теперь справа отобразятся параметры и их состояния. Нажмите на любую строку, чтобы открыть ее описание.

Настройки политики

Каждая политика доступна для настройки. Открывается окно редактирования параметров по двойному щелчку на определенную строку. Вид окон может отличаться, все зависит от выбранной политики.

Стандартное простое окно имеет три различных состояния, которые настраиваются пользователем. Если точка стоит напротив «Не задано» , то политика не действует. «Включить» – она будет работать и активируются настройки. «Отключить» – находится в рабочем состоянии, однако параметры не применяются.

Фильтры политик

Минусом редактора является отсутствие функции поиска. Существует множество различных настроек и параметров, их больше трех тысяч, все они разбросаны по отдельным папкам, а поиск приходится осуществлять вручную. Однако данный процесс упрощается благодаря структурированной группе из двух ветвей, в которых расположились тематические папки.

Например, в разделе «Административные шаблоны» , в любой конфигурации, находятся политики, которые никак не связаны с безопасностью. В этой папке находится еще несколько папок с определенными настройками, однако можно включить полное отображение всех параметров, для этого нужно нажать на ветвь и выбрать пункт в правой части редактора «Все параметры» , что приведет к открытию всех политик данной ветви.

Экспорт списка политик

Если все-таки появляется необходимость найти определенный параметр, то сделать это можно только путем экспорта списка в текстовый формат, а потом уже через, например , осуществлять поиск. В главном окне редактора есть специальная функция «Экспорт списка» , он переносит все политики в формат TXT и сохраняет в выбранном месте на компьютере.

Применение фильтрации

Благодаря появлению ветви «Все параметры» и улучшению функции фильтрации поиск практически не нужен, ведь лишнее откидывается путем применения фильтров, а отображаться будут только необходимые политики. Давайте подробнее рассмотрим процесс применения фильтрации:

В том же всплывающем меню «Действие» ставится или убирается галочка напротив строки «Фильтр» , если нужно применить или отменить заранее заданные настройки подбора соответствий.

Принцип работы с групповыми политиками

Рассматриваемый в этой статье инструмент позволяет применять множество самых разнообразных параметров. К сожалению, большинство из них понятно только профессионалам, использующим групповые политики в рабочих целях. Однако и обычному пользователю есть что настроить, используя некоторые параметры. Разберем несколько простых примеров.

Изменение окна безопасности Windows

Если в Виндовс 7 зажать сочетание клавиш Ctrl + Alt + Delete , то будет запущено окно безопасности, где осуществляется переход к диспетчеру задач, блокировка ПК, завершение сеанса системы, смена профиля пользователя и пароля.

Каждая команда за исключением «Сменить пользователя» доступна для редактирования путем изменения нескольких параметров. Выполняется это в среде с параметрами или путем изменения реестра. Рассмотрим оба варианта.

Пользователям, у которых нет редактора политик, все действия нужно будет выполнять через реестр. Давайте рассмотрим все действия пошагово:

После сохранения изменений деактивированные параметры больше не будут отображаться в окне безопасности Windows 7.

Изменения панели мест

Многие используют диалоговые окна «Сохранить как» или «Открыть как» . Слева отображается навигационная панель, включая раздел «Избранное» . Данный раздел настраивается стандартными средствами Windows, однако это долго и неудобно. Поэтому лучше воспользоваться групповыми политиками для редактирования отображения значков в данном меню. Редактирование происходит следующим образом.

В предыдущих моих статьях о групповых политиках было рассказано о принципах работы оснастки . Рассматривались некоторые узлы текущей оснастки, а также функционал множественной групповой политики. Начиная с этой статьи, вы сможете узнать об управлении параметрами безопасности на локальном компьютере, а также в доменной среде. В наше время обеспечение безопасности является неотъемлемой частью работы как для системных администраторов в крупных и даже мелких предприятиях, так и для домашних пользователей, перед которыми стоит задача настройки компьютера. Неопытные администраторы и домашние пользователи могут посчитать, что после установки антивируса и брандмауэра их операционные системы надежно защищены, но это не совсем так. Конечно, эти компьютеры будут защищены от множества атак, но что же спасет их от человеческого фактора? Сейчас возможности операционных систем по обеспечению безопасности очень велики. Существуют тысячи параметров безопасности, которые обеспечивают работу служб, сетевую безопасность, ограничение доступа к определенным ключам и параметрам системного реестра, управление агентами восстановления данных шифрования дисков BitLocker, управление доступом к приложениям и многое, многое другое.

В связи с большим числом параметров безопасности операционных систем Windows Server 2008 R2 и Windows 7, невозможно настроить все компьютеры, используя один и тот же набор параметров. В статье были рассмотрены методы тонкой настройки контроля учетных записей операционных систем Windows, и это только малая часть того, что вы можете сделать при помощи политик безопасности. В цикле статей по локальным политикам безопасности я постараюсь рассмотреть как можно больше механизмов обеспечения безопасности с примерами, которые могут вам помочь в дальнейшей работе.

Конфигурирование политик безопасности

Политика безопасности - это набор параметров, которые регулируют безопасность компьютера и управляются с помощью локального объекта GPO. Настраивать данные политики можно при помощи оснастки «Редактор локальной групповой политики» или оснастки . Оснастка «Локальная политика безопасности» используется для изменения политики учетных записей и локальной политики на локальном компьютере, а политики учетных записей, привязанных к домену Active Directory можно настраивать при помощи оснастки «Редактор управления групповыми политиками» . Перейти к локальным политикам безопасности, вы можете следующими способами:

В том случае, если ваш компьютер подсоединен к домену Active Directory, политика безопасности определяется политикой домена или политикой подразделения, членом которого является компьютер.

Применение политик безопасности для локального компьютера и для объекта групповой политики рабочей станции, подсоединенной к домену

При помощи следующих примеров вы увидите разницу между применением политики безопасности для локального компьютера и для объекта групповой политики рабочего компьютера, присоединенного к домену Windows Server 2008 R2.

Применение политики безопасности для локального компьютера

Для успешного выполнения текущего примера, учетная запись, под которой выполняются данные действия, должна входить в группу «Администраторы» на локальном компьютере. Если компьютер подключен к домену, то эти действия могут выполнять только пользователи, которые являются членами группы «Администраторы домена» или групп, с разрешенными правами на редактирование политик.

В этом примере мы переименуем гостевую учетную запись. Для этого выполните следующие действия:

После перезагрузки компьютера для того чтобы проверить, применилась ли политика безопасности к вашему компьютеру, вам нужно открыть в панели управления компонент «Учетные записи пользователей» и перейти по ссылке «Управление другой учетной записью» . В открывшемся окне вы увидите все учетные записи, созданные на вашем локальном компьютере, в том числе переименованную учетную запись гостя:

Применение политики безопасности для объекта групповой политики рабочей компьютера, присоединенного к домену Windows Server 2008 R2

В этом примере мы запретим пользователю Test_ADUser изменять пароль для учетной записи на своем компьютере. Напомню, что для выполнения следующих действий вы должны входить в группу «Администраторы домена» . Выполните следующие действия:

После перезагрузки компьютера для того чтобы проверить, применилась ли политика безопасности, перейдите на компьютер, над которым проводились изменения и откройте консоль управления MMC. В ней добавьте оснастку «Локальные пользователи и группы» и попробуйте изменить пароль для своей доменной учетной записи.

Применение политики безопасности для объекта групповой политики с контроллера домена Windows Server 2008 R2

При помощи этого примера, изменим число новых уникальных паролей, которые должны быть назначены учетной записи пользователя до повторного использования старого пароля. Эта политика позволяет вам улучшать безопасность, гарантируя, что старые пароли не будут повторно использоваться в течении нескольких раз. Войдите на контроллер домена или используйте средства администрирования удаленного сервера. Выполните следующие действия:

Об использовании оснастки «Управление групповой политикой» на контроллерах домена и о команде gpupdate будет подробно рассказываться в последующих статьях.

Заключение

Из этой статьи вы узнали о методах применения локальных политик безопасности. В предоставленных примерах проиллюстрирована настройка политик безопасности при помощи оснастки «Локальная политика безопасности» на локальном компьютере, настройка политик на компьютере, подсоединенном к домену, а также управление локальными политиками безопасности с использованием контроллер домена. В следующих статьях из цикла о локальных политиках безопасности вы узнаете об использовании каждого узла оснастки «Локальная политика безопасности» и о примерах их использования в тестовой и рабочей среде.