Локальная политика безопасности windows 7. Сброс локальных групповых политик в Windows

В предыдущих моих статьях о групповых политиках было рассказано о принципах работы оснастки . Рассматривались некоторые узлы текущей оснастки, а также функционал множественной групповой политики. Начиная с этой статьи, вы сможете узнать об управлении параметрами безопасности на локальном компьютере, а также в доменной среде. В наше время обеспечение безопасности является неотъемлемой частью работы как для системных администраторов в крупных и даже мелких предприятиях, так и для домашних пользователей, перед которыми стоит задача настройки компьютера. Неопытные администраторы и домашние пользователи могут посчитать, что после установки антивируса и брандмауэра их операционные системы надежно защищены, но это не совсем так. Конечно, эти компьютеры будут защищены от множества атак, но что же спасет их от человеческого фактора? Сейчас возможности операционных систем по обеспечению безопасности очень велики. Существуют тысячи параметров безопасности, которые обеспечивают работу служб, сетевую безопасность, ограничение доступа к определенным ключам и параметрам системного реестра, управление агентами восстановления данных шифрования дисков BitLocker, управление доступом к приложениям и многое, многое другое.

В связи с большим числом параметров безопасности операционных систем Windows Server 2008 R2 и Windows 7 , невозможно настроить все компьютеры, используя один и тот же набор параметров. В статье "Настройки групповых политик контроля учетных записей в Windows 7" были рассмотрены методы тонкой настройки контроля учетных записей операционных систем Windows, и это только малая часть того, что вы можете сделать при помощи политик безопасности. В цикле статей по локальным политикам безопасности я постараюсь рассмотреть как можно больше механизмов обеспечения безопасности с примерами, которые могут вам помочь в дальнейшей работе.

Конфигурирование политик безопасности

Политика безопасности - это набор параметров, которые регулируют безопасность компьютера и управляются с помощью локального объекта GPO. Настраивать данные политики можно при помощи оснастки "Редактор локальной групповой политики" или оснастки . Оснастка "Локальная политика безопасности" используется для изменения политики учетных записей и локальной политики на локальном компьютере, а политики учетных записей, привязанных к домену Active Directory можно настраивать при помощи оснастки "Редактор управления групповыми политиками" . Перейти к локальным политикам безопасности, вы можете следующими способами.

Политика безопасности представляет собой набор параметров для регулирования безопасности ПК, путем их применения к конкретному объекту или к группе объектов одного класса. Большинство пользователей редко производят изменения данных настроек, но бывают ситуации, когда это нужно сделать. Давайте разберемся, как выполнить данные действия на компьютерах с Виндовс 7.

Прежде всего, нужно отметить, что по умолчанию политика безопасности настроена оптимально для выполнения повседневных задач рядового юзера. Производить манипуляции в ней нужно только в случае возникновения необходимости решить конкретный вопрос, требующий корректировки данных параметров.

Изучаемые нами настройки безопасности регулируются с помощью GPO. В Виндовс 7 сделать это можно, используя инструменты либо «Редактор локальных групповых политик» . Обязательным условием является вход в профиль системы с полномочиями администратора. Далее мы рассмотрим оба этих варианта действий.

Способ 1: Применение инструмента «Локальная политика безопасности»

Прежде всего, изучим, как решить поставленную задачу с помощью инструмента «Локальная политика безопасности» .

1. Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления» .



2. Далее откройте раздел «Система и безопасности» .



3. Щелкните «Администрирование» .



4. Из предложенного набора системных инструментов выберите вариант «Локальная политика безопасности» .

   

   Также оснастку можно запустить и через окно «Выполнить» . Для этого наберите Win+R и введите следующую команду:

   Затем щелкните «OK» .



5. Указанные выше действия приведут к запуску графического интерфейса искомого инструмента. В подавляющем большинстве случаев возникает необходимость откорректировать параметры в папке «Локальные политики» . Тогда нужно щелкнуть по элементу с этим наименованием.



6. В данном каталоге располагается три папки.

   В директории определяются полномочия отдельных пользователей или групп юзеров. Например, можно указать, запрет или разрешение для отдельных лиц или категорий пользователей на выполнение конкретных задач; определить, кому разрешен локальный доступ к ПК, а кому только по сети и т.д.

   В каталоге «Политика аудита» указываются события, предназначенные для записи в журнале безопасности.

   В папке «Параметры безопасности» указываются разнообразные административные настройки, которые определяют поведение ОС при входе в неё как локально, так и через сеть, а также взаимодействие с различными устройствами. Без особой необходимости данные параметры изменять не стоит, так как большинство соответствующих задач можно решить через стандартную настройку учетных записей, родительский контроль и разрешения NTFS.

   

7. Для дальнейших действий по решаемой нами задаче щелкните по наименованию одного из указанных выше каталогов.



8. Откроется перечень политик выбранного каталога. Кликните по той из них, которую желаете изменить.



9. После этого откроется окошко редактирования политики. Его вид и действия, которые необходимо произвести, существенно отличаются от того, к какой именно категории она принадлежит. Например, для объектов из папки «Назначение прав пользователя» в открывшемся окне необходимо добавить или удалить имя конкретного пользователя либо группы юзеров. Добавление производится путем нажатия кнопки «Добавить пользователя или группу…» .

   

   Если же необходимо произвести удаление элемента из выбранной политики, то выделите его и нажмите «Удалить» .



10. После завершения манипуляций в окне редактирования политики для сохранения внесенных корректировок не забудьте нажать кнопки «Применить» и «OK» , а иначе изменения не вступят в силу.

Мы описали изменение настроек безопасности на примере действий в папке «Локальные политики» , но по такой же аналогии можно производить действия и в других каталогах оснастки, например в директории «Политики учетных записей» .

Способ 2: Использование инструмента «Редактор локальной групповой политики»

Настроить локальную политику можно также при помощи оснастки «Редактор локальной групповой политики» . Правда, данный вариант доступен не во всех редакциях Windows 7, а только в Ultimate, Professional и Enterprise.

1. В отличие от предыдущей оснастки, данный инструмент нельзя запустить через «Панель управления» . Его можно активировать только путем введения команды в окно «Выполнить» или в «Командную строку» . Наберите Win+R и введите в поле такое выражение:

   Затем щелкните «OK» .

   

Редактор локальной групповой политики (gpedit.msc) - это удобная и действительно мощная утилита, посредством которой можно детально настроить Windows. В версиях «Домашняя базовая» и «Домашняя расширенная» она, к сожалению, отсутствует. Но Microsoft не удалила этот инструмент, а только «спрятала» его в папках windows\winsxs и windows\SysWOW64.

С помощью нашего решения процесс станет гораздо проще и надежнее. Вы запускаете бесплатную программу для установки и ждете завершения ее работы. Впрочем, необходимо признать, что и у нашего удобного метода есть небольшой недостаток: Windows отображает команды в меню редактора на русском языке, а сами настройки, равно как и их описания, перечислены на английском. Если для вас это не проблема, ничто больше не помешает вам насладиться работой с многоцелевым инструментом для настройки.

Как это сделать:

1. Скачиваем редактор

Откройте страницу drudger.deviantart.com/art/Add-GPEDIT-msc-215792914 . Нажмите на небольшую кнопку «Download», чтобы скачать файл ZIP. Внимание! Большие кнопки - это рекламные ссылки .

2. Распаковываем и устанавливаем

Откройте вашу папку с загрузками и распакуйте скачанный вами архив ZIP. Теперь двойным кликом запустите находящийся в нем файл Setup.exe и подождите, пока работа завершится. Затем закройте программу для установки нажатием кнопки «Finish».

3. Копируем 64-разрядные файлы

Если вы работаете в 64-разрядной версии Windows, то откройте в Проводнике папку Windows\SysWOW64. Скопируйте оттуда каталоги GroupPolicy и GroupPolicyUsers, а также файл gpedit.msc в папку Windows\System32.

4. Запускаем редактор

Нажмите комбинацию клавиш «Win+R» и введите «gpedit.msc». В окне сообщения контроля учетных записей нажмите на пункт «Да». После этого должен открыться редактор локальной групповой политики.

5. Редактируем командный файл

Если после запуска редактора вы получили сообщение «Консоль управления (ММС) не может создать оснастку », повторите действия этапа 2, но в этот раз не нажимайте «Finish». Вместо этого откройте папку Windows\Temp\gpedit и правой кнопкой мыши щелкните по файлу x86.bat (32-битная Windows) либо по x64.bat (64-битная Windows). В контекстном меню выберите пункт «Изменить».

6. Исправляем ошибку оснастки

В верхней трети программного кода вы увидите шесть записей, содержащих элемент «%username%:f». Дополните его кавычками по следующему образцу: ««%username%»:f» и сохраните файл. Теперь правой кнопкой мыши щелкните по сохраненному командному файлу и выберите «Запуск от имени администратора». Если сейчас запустить редактор локальной групповой политики, как описано на этапе 4, ошибка оснастки должна исчезнуть.

7. Работаем с групповой политикой

Всего в редакторе групповой политики вам предлагается около 3000 настроек, которые действительно легко применить. Пример: если вы хотите, чтобы ваш антивирус автоматически проверял каждое вложение, выберите в редакторе «User Configuration | Administrative Templates | Windows Components | Attachment Manager». В правой половине окна вы увидите несколько записей. Дважды щелкните по «Notify antivirus programs when opening attachments». В появившемся окне выберите «Enabled» и затем нажмите на «ОК».

8. Скрываем устаревшие настройки

Если редактор локальной групповой политики кажется вам слишком запутанным, скройте все настройки, которые точно не касаются вашей системы. Для этого пройдите в меню к «Вид | Filtering» и поставьте флажок перед опцией «Filter by Requirements Information». В любом случае снимите флажки перед всеми записями, относящимися к Windows 2000. Настройки для XP работают и в Windows 7, поэтому не трогайте их. После выбора нажмите на «ОК». Вы сразу же увидите только нужные опции.

Фото: компании-производители

Я загорелся такой идеей обеспечения безопасности и решил попробовать сделать у себя так же.

Поскольку у меня стоит Windows 7 Professional, первой идеей оказалось использование AppLocker"a, однако быстро выяснилось, что работать в моей редакции винды он не хочет, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с AppLocker"ом отпал.

Следующей попыткой стала настройка групповых политик ограниченного использования программ. Поскольку AppLocker является «прокачанной» версией данного механизма, логично попробовать именно политики, тем более они бесплатны для пользователей Windows:)

Заходим в настройки:
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ

В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача - не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
Если разрешить запуск файлов по маске *.lnk - мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.

В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.

И тут я нечаянно натолкнулся на настройки списка расширений, являщихся исполняемыми с точки зрения винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры - можно, так что все ок.

В результате мы получили реализацию идеи, описанной в статье «Windows-компьютер без антивирусов» без каких либо неудобств для пользователя.

Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).

Надеюсь описанный метод окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не видел.

Запуск редактора групповой политики

Запустить этого редактора очень просто. Для этого на клавиатуре нужно нажать Win+R , прописать в поле gpedit.msc и нажать «ОК ».

Интерфейс редактора идентичен остальным инструментам администрирования: опираясь на левую древовидную панель можно получать информацию по каждому разделу и производить настройки.

Как видно на скриншоте, в левой части все настройки разделены на две части:

Конфигурация компьютера;
конфигурация пользователя.

Каждая из этих частей имеет три одинаковых раздела:

Конфигурация программ;
конфигурация Windows;
административные шаблоны.

Конфигурация программ отвечает за параметры приложений, установленных на ПК.
Конфигурация Windows отвечает за различные системные параметры: ее настройки, параметры безопасности и др.
Административные шаблоны содержат конфигурацию из и являются более удобным редактором, нежели сам реестр.

Работа с редактором

Настроить ограничения и различные параметры здесь довольно просто. Давайте рассмотрим пример настройки: пройдите по пути Конфигурация пользователя > Административные шаблоны > Система , где последний пункт разворачивать не надо - просто нажмите на слово левой клавишей мыши.

Здесь вы можете увидеть несколько параметров для настройки, среди которых присутствуют такие настройки как:

Запретить использование командной строки;
запретить доступ к средствам редактирования реестра;
не запускать указанные приложения Windows;
выполнять только указанные приложения Windows;
автоматическое обновление Windows.

Чтобы отредактировать эти и другие параметры можно, нажимая по каждому из них левой клавишей мыши дважды. На скриншоте видно, что менять состояние параметра, задавая ему значение «Включено » или «Отключено ».

Как работают групповые политики

Допустим, вы запретили использование командной строки. Теперь, когда пользователь решит ее запустить, он получит следующее сообщение об ошибке:

Подобные сообщения пользователь будет получать всегда, когда попытается совершить запрещенное действие. В случае, если принято решение упросить использование ПК, например, отключить «Контроль учетных записей: поведение запроса на повышение прав для администратора », то окно о запуске программы, которая вносит изменения в системе, отображаться больше не будет.

Все параметры можно настроить по своему усмотрению, в результате чего повысится продуктивность и безопасность при работе за ПК другими пользователями.