Windows 7 yerli təhlükəsizlik siyasəti Windows-da yerli qrup siyasətlərinin sıfırlanması

Qrup Siyasəti ilə bağlı əvvəlki məqalələrimdə snap-in prinsipləri haqqında danışdım. Biz cari snap-in bəzi qovşaqlarına, eləcə də çoxlu qrup siyasətinin funksionallığına baxdıq. Bu məqalədən başlayaraq siz yerli kompüterdə, eləcə də domen mühitində təhlükəsizlik parametrlərini idarə etməyi öyrənə biləcəksiniz. Hal-hazırda təhlükəsizliyin təmin edilməsi həm böyük, həm də kiçik müəssisələrin sistem administratorları üçün, həm də kompüter qurmaq vəzifəsi ilə üzləşən ev istifadəçiləri üçün işin ayrılmaz hissəsidir. Təcrübəsiz idarəçilər və ev istifadəçiləri antivirus və firewall quraşdırdıqdan sonra onların əməliyyat sistemlərinin etibarlı şəkildə qorunduğunu düşünə bilərlər, lakin bu, tamamilə doğru deyil. Təbii ki, bu kompüterlər bir çox hücumlardan qorunacaq, bəs onları insan faktorundan nə xilas edəcək? İndiki vaxtda əməliyyat sistemlərinin təhlükəsizlik imkanları çox böyükdür. Xidmətləri, şəbəkə təhlükəsizliyini, xüsusi açarlara və reyestr parametrlərinə girişi məhdudlaşdıran, BitLocker Drive Encryption bərpa agentlərini idarə edən, tətbiqə girişə nəzarət edən və daha çox şeyə imkan verən minlərlə təhlükəsizlik parametrləri var.

Windows Server 2008 R2-də çoxlu sayda təhlükəsizlik parametrlərinə görə və Windows 7, eyni parametrlər dəstindən istifadə edərək bütün kompüterləri konfiqurasiya etmək mümkün deyil. "Windows 7-də İstifadəçi Hesabına Nəzarət Qrup Siyasəti Parametrləri" məqaləsində mən Windows əməliyyat sistemlərində UAC-ni necə tənzimləmək barədə danışdım və bu, təhlükəsizlik siyasətləri ilə edə biləcəyiniz işlərin yalnız kiçik bir hissəsidir. Yerli təhlükəsizlik siyasətlərinə dair bu məqalələr silsiləsində mən gələcək işinizdə sizə kömək edə biləcək misallarla mümkün qədər çox təhlükəsizlik mexanizmlərini əhatə etməyə çalışacağam.

Təhlükəsizlik Siyasətlərinin Konfiqurasiyası

Təhlükəsizlik siyasəti kompüterin təhlükəsizliyini tənzimləyən və yerli GPO tərəfindən idarə olunan parametrlər toplusudur. Siz əlavə elementdən istifadə edərək bu siyasətləri konfiqurasiya edə bilərsiniz "Yerli Qrup Siyasəti Redaktoru" və ya çırpın. Arma "Yerli Təhlükəsizlik Siyasəti" yerli kompüterdə hesab siyasətini və yerli siyasəti dəyişmək üçün istifadə olunur və Active Directory domeninə bağlı hesab siyasətləri əlavə elementdən istifadə etməklə konfiqurasiya edilə bilər. "Qrup Siyasətinin İdarə Edilməsi Redaktoru"... Aşağıdakı yollarla yerli təhlükəsizlik siyasətlərinə keçə bilərsiniz.

Təhlükəsizlik siyasəti müəyyən bir obyektə və ya eyni sinif obyektlər qrupuna tətbiq etməklə fərdi kompüterin təhlükəsizliyini tənzimləmək üçün parametrlər toplusudur. Əksər istifadəçilər bu parametrlərə nadir hallarda dəyişiklik edirlər, lakin bunu etmək lazım olan vəziyyətlər var. Gəlin bu addımları Windows 7 ilə kompüterlərdə necə yerinə yetirəcəyimizi görək.

Əvvəla, qeyd etmək lazımdır ki, standart olaraq təhlükəsizlik siyasəti adi istifadəçinin gündəlik tapşırıqları üçün optimal şəkildə konfiqurasiya edilmişdir. Yalnız bu parametrlərin tənzimlənməsini tələb edən müəyyən bir məsələni həll etmək zərurəti yaranarsa, onda manipulyasiyalar etmək lazımdır.

Tədqiq etdiyimiz təhlükəsizlik parametrləri GPO tərəfindən idarə olunur. Windows 7-də bunu alətlərdən istifadə edərək edə bilərsiniz və ya Yerli Qrup Siyasəti Redaktoru... İlkin şərt administrator imtiyazları ilə sistem profilinə daxil olmaqdır. Aşağıda bu variantların hər ikisinə baxacağıq.

Metod 1: Yerli Təhlükəsizlik Siyasəti Alətindən istifadə

İlk növbədə, alətin köməyi ilə problemi necə həll edəcəyimizi öyrənəcəyik "Yerli Təhlükəsizlik Siyasəti".

  1. Müəyyən edilmiş əlavə elementi işə salmaq üçün üzərinə klikləyin "Başlamaq" və gedin "İdarə paneli".

  2. Sonra bölməni açın "Sistem və Təhlükəsizlik".

  3. klikləyin "İdarəetmə".

  4. Təklif olunan sistem alətləri dəstindən seçimi seçin "Yerli Təhlükəsizlik Siyasəti".

    Siz həmçinin əlavə elementi pəncərədən işə sala bilərsiniz "Qaç"... Bunu etmək üçün yazın Win + R və aşağıdakı əmri daxil edin:

    Sonra klikləyin "TAMAM".

  5. Yuxarıdakı addımlar istədiyiniz alətin qrafik interfeysini işə salacaq. Əksər hallarda qovluqdakı parametrləri tənzimləmək lazım gəlir "Yerli Siyasətlər"... Sonra bu adla elementə klik etməlisiniz.

  6. Bu kataloqda üç qovluq var.

    Kataloqda ayrı-ayrı istifadəçilərin və ya istifadəçi qruplarının səlahiyyətləri müəyyən edilir. Məsələn, siz müəyyən şəxslərə və ya kateqoriyalı istifadəçilərə xüsusi tapşırıqların yerinə yetirilməsinə qadağa və ya icazə verilməsini təyin edə bilərsiniz; kimin PC-yə yerli girişinə icazə verildiyini və kimin yalnız şəbəkə üzərindən və s.

    Kataloqda "Audit siyasəti" təhlükəsizlik jurnalında qeyd olunacaq hadisələri müəyyən edir.

    Qovluqda "Təhlükəsizlik Seçimləri" həm yerli, həm də şəbəkə vasitəsilə daxil olduqda ƏS-nin davranışını, həmçinin müxtəlif qurğularla qarşılıqlı əlaqəni müəyyən edən müxtəlif inzibati parametrlər müəyyən edilmişdir. Xüsusi ehtiyac olmadan bu parametrləri dəyişdirməyə dəyməz, çünki müvafiq vəzifələrin əksəriyyəti standart hesab parametrləri, valideyn nəzarəti və NTFS icazələri ilə həll edilə bilər.

  7. Həll etdiyimiz problemlə bağlı əlavə tədbirlər üçün yuxarıdakı kataloqlardan birinin adına klikləyin.

  8. Seçilmiş kataloq üçün siyasətlərin siyahısı açılacaq. Dəyişdirmək istədiyiniz birinə klikləyin.

  9. Bu, siyasətin redaktə pəncərəsini açacaq. Onun növü və yerinə yetirilməli olan hərəkətlər onun hansı xüsusi kateqoriyaya aid olmasından əhəmiyyətli dərəcədə fərqlənir. Məsələn, qovluqdakı obyektlər üçün "İstifadəçi hüquqlarının təyin edilməsi" açılan pəncərədə müəyyən istifadəçi və ya istifadəçi qrupunun adını əlavə edin və ya silin. Əlavə etmək düyməni basmaqla həyata keçirilir "İstifadəçi və ya qrup əlavə et...".

    Əgər seçilmiş siyasətdən elementi silmək lazımdırsa, onu seçin və üzərinə klikləyin "Sil".

  10. Siyasət redaktə pəncərəsində manipulyasiyaları tamamladıqdan sonra edilən düzəlişləri saxlamaq üçün düymələrə basmağı unutmayın. Müraciət edin"TAMAM"əks halda dəyişikliklər qüvvəyə minməyəcək.

Qovluqdakı hərəkətlərin nümunəsindən istifadə edərək təhlükəsizlik parametrlərinin dəyişdirilməsini təsvir etdik "Yerli Siyasətlər", lakin eyni bənzətmə ilə siz əlavə elementin digər qovluqlarında, məsələn, kataloqda hərəkətlər edə bilərsiniz. "Hesab Siyasəti".

Metod 2: Yerli Qrup Siyasəti Redaktoru alətindən istifadə

Siz həmçinin əlavə elementdən istifadə edərək yerli siyasəti konfiqurasiya edə bilərsiniz Yerli Qrup Siyasəti Redaktoru... Doğrudur, bu seçim Windows 7-nin bütün nəşrlərində mövcud deyil, yalnız Ultimate, Professional və Enterprise-da mövcuddur.

  1. Əvvəlki əlavə elementdən fərqli olaraq, bu alət vasitəsilə işə salına bilməz "İdarə paneli"... Onu yalnız pəncərəyə əmr daxil etməklə aktivləşdirmək olar "Qaç" ya da Komanda xətti... yığın Win + R və sahəyə aşağıdakı ifadəni daxil edin:

    Sonra klikləyin "TAMAM".

Yerli Qrup Siyasəti Redaktoru (gpedit.msc) Windows-u ətraflı şəkildə fərdiləşdirə biləcəyiniz rahat və həqiqətən güclü köməkçi proqramdır. Təəssüf ki, bu Home Basic və Home Extended versiyalarında mövcud deyil. Lakin Microsoft bu aləti silmədi, onu yalnız windows \ winsxs və windows \ SysWOW64 qovluqlarında "gizlədi".

Bizim həllimizlə proses daha asan və etibarlı olacaq. Pulsuz quraşdırıcını işə salın və onun tamamlanmasını gözləyin. Bununla belə, etiraf etməliyik ki, bizim rahat metodumuzun kiçik bir çatışmazlığı da var: Windows redaktor menyusunda əmrləri rus dilində göstərir və parametrlərin özləri, eləcə də onların təsvirləri ingilis dilində verilmişdir. Əgər bu sizin üçün problem deyilsə, daha çox yönlü tənzimləmə alətindən zövq almağınıza heç nə mane ola bilməz.

Bunu necə etmək olar:

1. Redaktoru yükləyin

drudger.deviantart.com/art/Add-GPEDIT-msc-215792914 ünvanına keçin. ZIP faylını yükləmək üçün kiçik Yükləmə düyməsini klikləyin. Diqqət! Böyük düymələrdir sponsorlu bağlantılar.

2. Paketdən çıxarın və quraşdırın

Yükləmələr qovluğunu açın və endirdiyiniz ZIP arxivini açın. İndi, orada yerləşən Setup.exe faylını işə salmaq üçün iki dəfə klikləyin və işin tamamlanmasını gözləyin. Sonra Finish düyməsini basaraq quraşdırma proqramını bağlayın.

3. 64-bit faylları kopyalayın

Əgər siz Windows-un 64-bit versiyasını işlədirsinizsə, Explorer-də Windows \ SysWOW64 qovluğunu açın. Oradan GroupPolicy və GroupPolicyUsers qovluqlarını və gpedit.msc faylını Windows \ System32 qovluğuna köçürün.

4. Redaktoru işə salın

"Win + R" düymələr birləşməsini basın və "gpedit.msc" daxil edin. İstifadəçi Hesabına Nəzarət mesaj qutusunda "Bəli" düyməsini basın. Bu, Yerli Qrup Siyasəti Redaktorunu açmalıdır.

5. Toplu iş faylının redaktə edilməsi

Əgər redaktoru işə saldıqdan sonra mesaj alırsınızsa "İdarəetmə Konsolu (MMC) əlavə element yarada bilməz”, 2-ci addımın addımlarını təkrarlayın, lakin bu dəfə“ Bitir ” düyməsini sıxmayın. Bunun əvəzinə Windows \ Temp \ gpedit qovluğunu açın və x86.bat (32-bit Windows) və ya x64.bat (64-bit Windows) üzərinə sağ klikləyin. Kontekst menyusunda "Dəyişdir" maddəsini seçin.

6. Snap-in xətasının düzəldilməsi

Kodun yuxarı üçdə bir hissəsində "% username%: f" elementini ehtiva edən altı giriş görəcəksiniz. Onu aşağıdakı kimi dırnaq işarələri ilə əlavə edin: ""% username% ": f" və faylı yadda saxlayın. İndi saxlanılan toplu faylı sağ vurun və "İdarəçi olaraq işə salın" seçin. İndi 4-cü addımda təsvir olunduğu kimi Yerli Qrup Siyasəti Redaktorunu işə salsanız, əlavə quraşdırma xətası aradan qalxmalıdır.

7. Qrup siyasəti ilə işləmək

Ümumilikdə, Qrup Siyasəti Redaktoru sizə tətbiqi həqiqətən asan olan təxminən 3000 parametr təklif edir. Misal: Antivirusunuzun hər bir qoşmanı avtomatik skan etməsini istəyirsinizsə, “İstifadəçi Konfiqurasiyası | İnzibati Şablonlar | Windows Komponentləri | Qoşma meneceri ". Pəncərənin sağ yarısında bir neçə giriş görəcəksiniz. "Qoşmaları açarkən antivirus proqramlarını xəbərdar et" üzərinə iki dəfə klikləyin. Görünən pəncərədə "Enabled" seçin və sonra "OK" düyməsini basın.

8. Köhnəlmiş parametrləri gizlədin

Yerli Qrup Siyasəti Redaktoru sizə həddən artıq çaşqın görünürsə, sisteminizə tam uyğun gəlməyən parametrləri gizlədin. Bunu etmək üçün menyuya keçin “Görünüş | Filtrləmə "və" Tələblər Məlumatına görə Filtr "seçiminin qarşısındakı qutuyu işarələyin. İstənilən halda, Windows 2000-ə istinad edən hər hansı qeydlərin qarşısındakı qutuları işarədən çıxarın. XP parametrləri Windows 7-də də işləyir, ona görə də onlara toxunmayın. Seçdikdən sonra "OK" düyməsini basın. Dərhal yalnız istədiyiniz variantları görəcəksiniz.

Şəkil: istehsal şirkətləri

Mən bu təhlükəsizlik ideyası ilə hirsləndim və özüm üçün də eyni şeyi etməyə cəhd etmək qərarına gəldim.

Məndə Windows 7 Professional olduğundan, ilk ideya AppLocker "a" istifadə etmək idi, lakin tez aydın oldu ki, o, mənim Windows nəşrimdə işləmək istəmir və Ultimate və ya Enterprise tələb edir. cüzdanımın boşluğu, AppLocker ilə seçim" ohm itdi.

Növbəti cəhd proqram məhdudiyyəti üçün qrup siyasətlərini konfiqurasiya etmək idi. AppLocker bu mexanizmin "təkmilləşdirilmiş" versiyası olduğundan, siyasətləri sınamaq məntiqlidir, xüsusən də Windows istifadəçiləri üçün pulsuzdur :)

Parametrlərə daxil oluruq:
gpedit.msc -> Kompüter Konfiqurasiyası -> Windows Konfiqurasiyası -> Təhlükəsizlik Seçimləri -> Proqram Məhdudiyyətləri Siyasətləri

Qaydalar yoxdursa, sistem proqramların Windows və Proqram Faylları qovluğundan işləməsinə imkan verən avtomatik qaydalar yaratmağı təklif edəcək. Biz həmçinin yol * (hər hansı bir yol) üçün inkar qaydası əlavə edəcəyik. Nəticədə, proqramları yalnız qorunan sistem qovluqlarından işə salmaq istəyirik. Və nə?
Bəli, biz bunu alacağıq, amma burada kiçik bir bədbəxtlik var - qısa yollar və http bağlantıları işləmir. Siz hələ də linklərdə xal toplaya bilərsiniz, lakin etiketsiz yaşamaq yaxşı deyil.
* .lnk maskasından istifadə edərək faylların işə salınmasına icazə versəniz, biz istənilən icra olunan fayl üçün qısayol yarada və sistem qovluğunda olmasa belə, onu qısayoldan istifadə edərək işə sala bilərik. Pis.
Google-a edilən sorğu belə qərarlara gətirib çıxarır: ya istifadəçi qovluğundan qısayolların işə salınmasına icazə verin, ya da qısayolları olan üçüncü tərəf barlarından istifadə edin. Başqa yol yoxdur. Şəxsən mən bu variantı bəyənmirəm.

Nəticədə belə bir vəziyyətlə qarşılaşırıq ki, * .lnk Windows baxımından icra edilə bilən fayla keçid deyil, icra olunan fayldır. Dəli, amma nə edə bilərsən... Mən istərdim ki, Windows qısayolun yerini yox, istinad etdiyi faylın yerini yoxlasın.

Və sonra təsadüfən Windows nöqteyi-nəzərindən icra edilə bilən genişləndirmələr siyahısı üçün parametrlərlə rastlaşdım (gpedit.msc -> Kompüter Konfiqurasiyası -> Windows Konfiqurasiyası -> Təhlükəsizlik Seçimləri -> Təyin edilmiş Fayl Tipləri). LNK-ni oradan çıxarırıq və eyni zamanda HTTP və yenidən daxil oluruq. Biz tam işləyən qısa yollar və icra olunan faylın yerini yoxlamaq alırıq.
Parametrləri qısa yollardan ötürməyin mümkün olub-olmayacağına şübhə var idi - bu mümkündür, buna görə də hər şey qaydasındadır.

Nəticədə, istifadəçi üçün heç bir narahatlıq yaratmadan "Antivirus proqramı olmayan Windows kompüteri" məqaləsində təsvir olunan ideyanın həyata keçirilməsinə nail olduq.

Özünü ayağından vurmağı sevənlər üçün, Proqram Fayllarında bir qovluq yarada və onun üçün qısayol buraxaraq, məsələn, "Sandbox" adlandıra bilərsiniz. Bu, qorunan yaddaşdan (UAC vasitəsilə qorunma) istifadə edərək, siyasətləri söndürmədən oradan proqramları işə salmağa imkan verəcək.

Ümid edirəm ki, təsvir olunan metod kimsə üçün faydalı və yeni olacaq. Ən azından mən bunu heç kimdən eşitməmişəm və heç yerdə görməmişəm.


Qrup Siyasəti Redaktoru Windows 7 Home-da yoxdur, lakin bu ƏS versiyasının digər versiyalarında o, mövcuddur və istifadəyə hazırdır.

Qrup Siyasəti Redaktorunun işə salınması

Bu redaktoru işə salmaq çox asandır. Bunu etmək üçün klaviaturada basın Win + R, sahəyə yazın gpedit.msc və "klikləyin tamam».

Redaktorun interfeysi digər idarəetmə vasitələri ilə eynidir: sol ağaca bənzər panelə əsaslanaraq, siz hər bir bölmə haqqında məlumat əldə edə və parametrlər edə bilərsiniz.

Ekran görüntüsündə gördüyünüz kimi, sol tərəfdə bütün parametrlər iki hissəyə bölünür:

Kompüter konfiqurasiyası;
istifadəçi konfiqurasiyası.

Bu hissələrin hər biri üç eyni bölmədən ibarətdir:

Proqram konfiqurasiyası;
Windows konfiqurasiyası;
inzibati şablonlar.

Proqram konfiqurasiyası PC-də quraşdırılmış proqramların parametrlərinə cavabdehdir.
Windows konfiqurasiyası müxtəlif sistem parametrlərinə cavabdehdir: onun parametrləri, təhlükəsizlik parametrləri və s.
İnzibati Şablonlar konfiqurasiyanı ehtiva edir və reyestrin özündən daha rahat redaktordur.

Redaktorla işləmək

Limitləri və müxtəlif parametrləri konfiqurasiya etmək burada olduqca sadədir. Quraşdırma nümunəsinə nəzər salaq: yolu izləyin İstifadəçi konfiqurasiyası >İnzibati Şablonlar > Sistem, burada sonuncu elementin genişləndirilməsinə ehtiyac yoxdur - yalnız sol siçan düyməsi ilə sözü basın.

Burada fərdiləşdirmə üçün bir neçə parametr görə bilərsiniz, bunlar arasında belə parametrlər var:

Komanda xəttinin istifadəsinə icazə verməyin;
reyestr redaktə vasitələrinə girişi rədd etmək;
göstərilən Windows proqramlarını işə salmayın;
yalnız müəyyən edilmiş Windows proqramlarını işə salın;
avtomatik Windows yeniləməsi.

Bu və digər parametrləri redaktə etmək üçün siçanın sol düyməsi ilə onların hər birinə iki dəfə klikləyə bilərsiniz. Ekran görüntüsü göstərir ki, parametrin dəyərini təyin etməklə onun vəziyyətini dəyişdirmək " Daxildir"və ya" Əlil».

Qrup Siyasəti Necə İşləyir

Deyək ki, komanda xəttini deaktiv etmisiniz. İndi istifadəçi onu işə salmaq qərarına gəldikdə, o, aşağıdakı səhv mesajını alacaq:

İstifadəçi hər dəfə qadağan olunmuş hərəkəti yerinə yetirməyə çalışdıqda belə mesajlar alacaq. PC-nin istifadəsini sadələşdirmək barədə qərar qəbul edildiyi təqdirdə, məsələn, söndürün " İstifadəçi Hesabına Nəzarət: Administrator üçün Yüksəklik Sorğu Davranışı”, Sistemdə dəyişikliklər edən proqramın işə salınması ilə bağlı pəncərə artıq göstərilməyəcək.

Bütün parametrlər sizin zövqünüzə uyğunlaşdırıla bilər, nəticədə digər istifadəçilərlə kompüterdə işləyərkən məhsuldarlıq və təhlükəsizlik artır.

Fitting © 2022 Tech View - Qadcetlər. Android cihazı. Antiviruslar. Təhlükəsizlik. Qrafika. İnternet. Mobil cihazlar