Редактор политики безопасности windows 10

Как создать локальную политику безопасности в Windows 10?

В дереве консоли щелкните Конфигурация компьютера, щелкните Параметры Windows, а затем щелкните Параметры безопасности. Выполните одно из следующих действий: Щелкните «Политики учетных записей», чтобы изменить политику паролей или политику блокировки учетных записей. Щелкните «Локальные политики», чтобы изменить политику аудита, назначение прав пользователя или параметры безопасности.

Есть ли в Windows 10 локальная политика безопасности?

Локальная политика безопасности (secpol. Msc) в Windows 10 содержит информацию о безопасности локального компьютера. Если вы пытаетесь получить доступ к локальной политике безопасности в Windows 10 Home, вы получите сообщение об ошибке, в котором говорится, что Windows 10 не может найти secpol.

Как мне найти локальную политику безопасности?

Доступ к локальной политике безопасности из локальной групповой политики

At Редактор локальной групповой политикив разделе Конфигурация компьютера разверните Параметры Windows. Затем разверните Параметры безопасности. Вы можете настроить локальные политики безопасности в выделенном разделе на изображении ниже.

Что такое политика безопасности Windows Local?

Локальная политика безопасности системы набор информации о безопасности локального компьютера. … Какие учетные записи пользователей могут получить доступ к системе и как. Например, интерактивно, через сеть или как услугу. Права и привилегии, назначенные учетным записям.

Как установить локальную политику безопасности для принудительного применения парольных ограничений?

Чтобы установить политику паролей с помощью редактора локальной политики безопасности, вам необходимо: сначала дважды щелкните Политики учетных записей слева, а затем щелкните Политика паролей.. Затем вы увидите различные варианты настройки политики паролей на вашем компьютере с Windows 10.

Как открыть локальную политику безопасности?

Откройте диалоговое окно «Выполнить» с помощью клавиш Win + R, типа secpol. msc в поле и нажмите ОК. Затем откроется локальная политика безопасности.

Какое имя файла для локальной политики безопасности?

Чтобы открыть редактор локальной групповой политики, выберите Пуск> Выполнить и введите. … Как называется файл консоли локальной политики безопасности? SECPOL.MSC. .

Как мне экспортировать мою локальную политику безопасности?

Импорт и экспорт локальной политики безопасности Windows

1. Щелкните Пуск -> Выполнить, введите «secpol. msc », чтобы открыть инструмент политики безопасности.
2. При необходимости настройте политику паролей.
3. Щелкните правой кнопкой мыши «Настройки безопасности» и нажмите «Экспорт политики…», чтобы экспортировать настройки в файл. inf файл.

Как отключить локальную политику безопасности?

Вариант 1 - отключить обновление групповой политики

1. Удерживая нажатой клавишу Windows, нажмите «R», чтобы открыть командное окно «Выполнить».
2. Введите «gpedit. …
3. В «Политике локального компьютера» перейдите в «Конфигурация компьютера»> «Административные шаблоны»> «Система»> «Групповая политика».
4. Откройте параметр «Отключить фоновое обновление групповой политики».

Как найти локальную политику в Windows 10?

Вариант 1. Откройте редактор локальной групповой политики из командной строки.

Нажмите клавиши Windows + X, чтобы открыть меню быстрого доступа. Щелкните Командная строка (Администратор). Введите gpedit в командной строке. и нажмите Enter. Это откроет редактор локальной групповой политики в Windows 10.

Какие категории параметров локальной политики безопасности?

Расширение параметров безопасности редактора локальной групповой политики включает следующие типы политик безопасности:

• Политики учетной записи. …
• Местная политика. …
• Брандмауэр Windows в режиме повышенной безопасности. …
• Политики диспетчера списков сетей. …
• Политики открытого ключа. …
• Политики ограниченного использования программ. …
• Политики контроля приложений.

Что такое местная политика?

местная политика означает любая внешняя политика, выданная компании в иностранной юрисдикции в целях соблюдения законов такой иностранной юрисдикции.

Как изменить локальную политику безопасности удаленно?

Правильный ответ: вы не можете редактировать ЛОКАЛЬНУЮ ПОЛИТИКУ БЕЗОПАСНОСТИ на удаленном компьютере. Вместо вы можете экспортировать настройки с другого компьютера, а затем импортировать их.

Как мне добавить пользователя в мою локальную политику безопасности?

Перейдите в «Администрирование», нажмите «Локальная политика безопасности». Разверните «Локальная политика», нажмите «Назначение прав пользователя». На правой панели щелкните правой кнопкой мыши «Вход в качестве службы» и выберите «Свойства». Нажмите кнопку Добавить пользователя или группу. чтобы добавить нового пользователя.

Как изменить политику локальной группы?

Windows предлагает консоль управления групповой политикой (GPMC) для управления и настройки параметров групповой политики.

1. Шаг 1. Войдите в контроллер домена как администратор. …
2. Шаг 2 - Запустите инструмент управления групповой политикой. …
3. Шаг 3 - Перейдите к желаемому OU. …
4. Шаг 4 - Отредактируйте групповую политику.

В чем разница между локальной политикой безопасности и групповой политикой?

В то время как групповые политики применяются к вашему компьютеру и пользователям в вашем домене повсеместно и часто устанавливаются администратором домена из центра, локальные политики безопасности, как следует из названия, являются относится только к вашей конкретной локальной машине.

Как открыть редактор локальной групповой политики windows 10, 7, 8, 8.1

Редактор локальной групповой политики, один из инструментов windows 10, windows 7, windows 8, windows 8.1, кроме версий home, который не очень популярный среди обычных пользователей, но пришелся по вкусу сетевым администраторам.

Он позволяет контролировать все параметры ОС из одной точки. Это особенно полезно, если вы администратор сети и нужно установить одинаковые правила для нескольких компьютеров / ноутбуков или пользователей в одной и той же самой области.

Также редактор локальной групповой политики предлагает широкий набор возможностей и настроек, которые не найти в обычных местах и может быть очень полезным для обычных пользователей.

Прочтите это руководство, чтобы узнать, что такое локальная групповая политика, где она находится, как ее открыть и как с нею работать на всех версиях виндовс.

Что такое редактор локальной групповой политики

По определению, групповые политики является функцией, которая дает вам точку доступа для администрирования, настройки операционной системы, программ и пользовательских настроек на компьютерах и ноутбуках.

Разумеется, это очень полезно, если вы являетесь администратором сети и вам необходимо ввести определенные правила или параметры для компьютеров и или пользователей.

Тем не менее, этот сценарий не является целью данного учебника. Локальная политика представляют управление компьютерами, не только тех, кто зарегистрирован в группе.

Проще говоря, вы должны думать о групповой политике как о инструменте, регулирующим функционирование ОС windows 10, windows 7, windows 8, windows 8.1 на вашем компьютере.

Кто может запустить редактор локальной групповой политики

Поскольку редактор локальной групповой политики является инструментом хорошо развитым, вы должны знать, что он не доступен для редакций home. Вы можете запустить его только на:

• Windows 7 Professional, Ultimate и Enterprise
• Windows 8 и1 Professional, Enterprise
• Windows 10 Pro и Enterprise

Что можно сделать в редакторе локальной групповой политики

Вы можете настроить множество параметров ОС как администратор и другие пользователи не смогут ваши параметры изменить позже. Вот несколько примеров:

• Можете позволить пользователям использовать определенные приложения на вашем компьютере.
• Блокировать доступ к внешним устройствам (например, карты памяти USB), подключенных к компьютеру.
• Блокировать доступ пользователей к панели управления или настройкам приложений.
• Скрыть некоторые элементы панели управления.
• Задает фон, для рабочего стола и блокировать способность пользователей его изменить.
• Блокировать включение или отключение сетевых соединений и доступ к их свойствам.
• Запретить пользователям считывать или записывать данные на CD, DVD, внешних накопителях памяти и т.д.
• Отключить все комбинации клавиш, которые начинаются с кнопки Win. Например, Win+R (открывает «Выполнить»).

Таковы лишь некоторые примеры, а на самом деле есть множество других параметров.

Как открыть редактор локальной групповой политики на Windows 7

Чтобы открыть редактор локальной групповой политики на Windows 7 используйте функцию поиска.

Для этого нажмите «меню Пуск», и  в поисковой линейке впишите «gpedit.msc» (без кавычек) и в поле вывода результата нажмите на значок «gpedit.msc» или «Редактировать групповую политику» — смотря какая появится.

В качестве альтернативы можно использовать инструмент «Выполнить». Самый быстрый способ его запустить — одновременно нажмите «Win+R», написать «gpedit.msc» и нажать кнопку «OK».

Как войти в редактор локальной групповой политики на Windows 8.1

Как и в Windows 7 инструмент можно быстро запустить, используя поиск и ведя в него без кавычек — «gpedit.msc».

После этого в результате поиска, нажмите «gpedit». Также можете использовать окно, «Выполнить», как описано в предыдущем разделе.

Как открыть редактор локальной групповой политики в Windows 10

В операционной системе Windows 10, запустить редактор локальной групповой политики также же, как в Windows 8.1 и Windows 7.

Точно также можете в окне поиска прописать — «gpedit.msc» и нажать на соответствующий значок в выдаче результатов.

Кому нравится пользоваться окном «Выполнить» можете открыть его и запустить редактор как описано в разделах выше – на десятке идентично.

Вот какой имеет открытый вид редактора локальной групповой политики в Windows 10.

ПРИМЕЧАНИЕ: редактор локальной групповой политики выглядит почти идентично и предлагает те же опции, настройки и функции что Windows 7, Windows 8 или Windows 10. Поэтому, здесь будут использованы скриншоты, сделанные только в Windows 10.

Как работать с редактором локальной групповой политики

Редактор локальной групповой политики делится на две части: в левой части отображаются в категории, а в правой содержимое активной категории.

Политика групп организована в двух основных разделах:

• Конфигурация компьютера — содержит параметры, которые применены во всех компьютерах, независимо от пользователей.
• Конфигурация пользователя — содержит параметры для пользователей. Они применяются сугубо к пользователям, а не к компьютеру.

Обе категории конфигурации компьютера разделены на три секции:

• Настройки ПО — программное обеспечение, раздел которого по умолчанию должен быть пустым.
• Параметры Windows — содержит параметры безопасности. Это место, где можете найти или добавить скрипты, которые должны выполняться при запуске или завершении работы компьютера.

• Административные шаблоны — содержит большое количество настроек, которые контролируют многие аспекты работы вашего компьютера. Здесь можете просматривать, редактировать и даже накладывать всевозможные настройки и правила. Упомянем лишь несколько примеров. Вы можете управлять параметрами пользователей, Панелью управления, Сетью, меню Пуск и панелью задач.

Как редактировать с помощью редактора локальной групповой политики

Для того, чтобы лучше понять процесс использования, возьмем пример. Допустим, вы хотите, установить определенный фон для рабочего стола, который будет использоваться для каждого существующего пользователя.

Чтобы добраться до настроек рабочего стола, вам необходимо перейти в категорию «Конфигурация пользователя» в левой панели. Затем перейдите к параметру «Административные шаблоны», откройте «Рабочий стол» и выберите «Настройки рабочего стола».

В правой панели увидите все параметры, которые можно настроить из выбранного административного шаблона. Для каждого параметра, в его правой части отображаются два столбца:

• Колонка «Состояние» говорит, какие параметры не настроены и активны или не активны.

В левой части этой панели показано подробную информацию о том, что делает конкретный параметр и его эффекты. Эта информация отображается в левой панели, всякий раз, когда вы выбираете настройку.

Например, если вы выбираете «фоновый рисунок рабочего стола», на левой стороне вы увидите, что установка может быть применена к версии от Windows 2000 и более новых.

Если вы хотите изменить настройки, фонового рисунка рабочего стола, дважды щелкните по нему правой кнопкой мыши или нажмите ПКМ и выберите «Изменить».

Появится окно с настройками для редактирования. Например, в нашем случае можем указать фон для рабочего стола.

Для этого нужно поставить птичку напротив слова «Включено» и указать путь к изображению.

В конце, необходимо нажать кнопку «Применить» (Apply) или OK, чтобы активировать настройку.

Это лишь самый простой пример. Я не хочу сейчас даже упоминать о прописывании различных сценариев, так как большинство не будет их использовать.

В целом редактор локальной групповой политики представляет собой сложный инструмент, которым, как ни странно, можно легко установить различные правила для ваших компьютеров и их пользователей.

Чтобы рассмотреть каждый аспект и все доступные настройки придется книгу написать, но надеюсь, что теперь вы как минимум знаете основные принципы этого инструмента.

Если у вас есть какие-либо вопросы о редакторе локальной групповой политики, не стесняйтесь сказать об этом в комментарии ниже. Успехов.

Инструкция по работе с групповыми политиками Active Directory

В статье описана краткая информация о групповых политиках Active Directory и пример управления групповыми политиками на Windows Server.

Что такое групповые политики и зачем они нужны?

Групповая политика - это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.

Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.

Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу. Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды. С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью администрирования Active Directory можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.

Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.

Компоненты GPO

Существует два компонента групповых политик - серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.

Серверный компонент - оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики. MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее). Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.

Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения - это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.

Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

• Централизованная настройка пакета программ Microsoft Office.
• Централизованная настройка управлением питанием компьютеров.
• Настройка веб-браузеров и принтеров.
• Установка и обновление ПО.
• Применение определенных правил в зависимости от местоположения пользователя.
• Централизованные настройки безопасности.
• Перенаправление каталогов в пределах домена.
• Настройка прав доступа к приложениям и системным программам.

Оснастка Управление групповыми политиками

Для управления групповыми политиками Microsoft предоставляет консоль управления групповыми политиками (GPMC)

После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:

gpmc.msc

Нажмите OK.

Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.

Оснастка выглядит следующим образом:

Создание объектов групповой политики

Для настройка групповых политик на windows перейдите во вкладку Forest -> Domains -> <Ваш домен> -> Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.

В открывшемся окне в поле Name введите удобное для вас имя групповой политики.

После этого вы увидите созданный объект в списке.

Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.

В редакторе групповых политик перейдите по иерархии User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.

В открывшемся окне отметьте Enable для включения правила и при необходимости напишите комментарий. Нажмите OK для сохранения изменений.

На этом создание объекта групповой политики закончено.

Поиск объектов групповой политики

Как правило в корпоративных средах большое количество групповых политик, чтобы было проще найти нужный объект GPO, оснастка обладает встроенным поиском. Для этого выберете ваш лес и в контекстном меню кликните Search.

Открывшееся окно поиска интуитивно понятно для работы. В первую очередь выберете конкретный домен для поиска, также можно производить поиск во всех доменах сразу. Далее выберете нужный пункт поиска, задайте условие и значение. В примере ниже производился поиск объектов групповой политики, в которых встречается слово Default.

Удаление объекта групповой политики

Если экземпляр GPO больше не нужен, его можно удалить. Откройте консоль управления Active Directory и выберете объект для удаления, затем с помощью правой кнопки мыши выберете опцию Delete.

P. S. Другие инструкции:

---

Ознакомиться с другими инструкциями вы можете на нашем сайте. А чтобы попробовать услугу — кликните на кнопку ниже.

Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

Сбросить все параметры и объекты локальной групповой политики по умолчанию в Windows 10 2022

Редактор групповой политики- важный инструмент для ОС Windows, с помощью которого системные администраторы могут настраивать системные настройки. Он имеет несколько параметров инфраструктуры, которые позволяют вам вносить изменения в конкретные параметры производительности и безопасности для пользователей и компьютеров. Иногда вы можете настроить редактор групповой политики немного дальше по строке, где ваш компьютер начинает вести себя нежелательным образом. Это когда вы знаете, что пришло время сбросить все параметры групповой политики по умолчанию и сэкономить боль при повторной установке Windows. В этом руководстве мы покажем вам, как сбросить все параметры групповой политики по умолчанию в Windows 10.

Сбросить групповую политику по умолчанию

Параметры групповой политики могут различаться между несколькими конфигурациями типа Персонализация, межсетевой экран настройки, принтеры, политики безопасности, и т. д. Мы рассмотрим несколько методов, с помощью которых вы можете сбросить соответствующие политики до состояния по умолчанию.

1] Сбросить настройки групповой политики с помощью редактора локальных групповых политик

Теперь это очень простой. Следуйте приведенным ниже инструкциям, чтобы сбросить измененные параметры объекта групповой политики.

1. Нажмите Windows Key + R на клавиатуре, чтобы запустить приглашение на запуск. Введите gpedit.msc и нажмите «Ввод», чтобы открыть редактор локальных групповых политик.

2. Перейдите к следующему пути в левой части окна редактора групповой политики:

Политика локального компьютера> Конфигурация компьютера> Административные шаблоны> Все настройки

3. Теперь в правом окне выполните сортировку параметров политики по столбцу «Состояние», чтобы все те политики, которые имеют Enabled / Disabled , могут быть доступны в верхней части.

4. Затем измените свое состояние с Включено / Отключено на Не настроено и примените настройки.

5. Повторите то же самое для указанного ниже пути.

Политика локального компьютера> Конфигурация пользователя> Административные шаблоны> Все настройки

6. Это приведет к восстановлению всех параметров групповой политики до состояния по умолчанию. Однако, если вы столкнулись с некоторыми серьезными проблемами, такими как потеря прав администратора или отстранение от входа в систему, вы можете попробовать метод ниже.

2] Восстановить локальные политики безопасности по умолчанию

Политики безопасности вашей учетной записи администратора Windows поддерживается в другой консоли управления - secpol.msc (Локальная политика безопасности) . Эта оснастка настроек безопасности расширяет оснастку групповой политики и позволяет определить политики безопасности для компьютеров вашего домена.

Теперь при определенных обстоятельствах вы можете столкнуться с некоторыми перепутанными настройками безопасности, которые вы можете установить правильно, если вы сохранили административные привилегии на своем компьютере.

Следуйте приведенным ниже инструкциям, чтобы сбросить политики безопасности на вашем компьютере:

1. Нажмите Windows Key + X на клавиатуре, чтобы запустить меню Quick Link . Выберите Командная строка (Admin) , чтобы открыть окно командной строки с повышенными привилегиями.

2. Введите следующую команду в окне приглашения и нажмите Enter:

 secedit / configure / cfg% windir% inf defltbase.inf / db defltbase.sdb / verbose 

3. После завершения задачи перезагрузите компьютер, чтобы изменения были эффективными и заново начали с политик безопасности.

4. Если некоторые из компонентов по-прежнему кажутся странными, вы можете перейти к следующему методу для жесткого сброса объектов групповой политики.

3] Сброс объектов групповой политики с помощью командной строки

Этот конкретный метод включает удаление папки настроек групповой политики с диска, на котором установлена ​​Windows. Следуйте приведенным ниже инструкциям, чтобы сделать это, используя окно с расширенными командами.

1. Откройте окно командной строки с повышенными правами так же, как указано в методе 2.

2. Введите эти команды в CMD и выполните их один за другим.

 RD / S / Q "% WinDir% System32 GroupPolicyUsers" 

 RD / S / Q "% WinDir% System32 GroupPolicy" 

 gpupdate / force 

3. После этого перезагрузите компьютер.

Прежде чем вносить изменения в настройки реестра или политики, убедитесь, что вы создали точку восстановления системы.

В этом сообщении будет показано, как сбросить Windows 10, если вы когда-либо почувствуете необходимость .

Редактор групповой политики Windows: как пользоваться?

Редактор локальной групповой политики — это инструмент Windows, используемый ИТ-администраторами. Это не всегда известно случайным пользователям компьютера. Редактор локальной групповой политики позволяет управлять процессами входа в систему и завершения работы, настройками и приложениями, которые пользователи могут изменять или использовать в Windows. Это может быть полезно, если вы хотите управлять правилами для других пользователей вашего компьютера. Читайте дальше, чтобы узнать, что такое локальная групповая политика и как вы можете работать с редактором локальной групповой политики.

Что такое локальная групповая политика?

По определению, групповая политика — это функция Windows, которая предлагает вам централизованный способ управления и настройки операционной системы Windows, программ и пользовательских настроек с компьютеров, подключенных к одному домену. Групповые политики наиболее полезны, если вы являетесь сетевым администратором и вам необходимо применять определенные правила или параметры на компьютерах или пользователях, находящихся в сети, которой вы управляете.

Локальная групповая политика — это вариант групповой политики, который также позволяет управлять отдельными компьютерами, в отличие от всех компьютеров, зарегистрированных в домене. Хорошим примером является ваш домашний компьютер с Windows 10, Windows 8.1 или Windows . Это означает, что этот инструмент может быть полезен как для домашних пользователей, так и для сетевых администраторов. Проще говоря, вы должны думать о локальной групповой политике как о наборе правил, управляющих работой Windows на вашем компьютере или устройстве.

Могу ли я использовать редактор локальной групповой политики?

Поскольку редактор локальной групповой политики является довольно продвинутым инструментом, вы должны знать, что он недоступен в выпусках Windows для дома или для начинающих . Вы можете получить к нему доступ и использовать его только в:

• Windows 10 Pro и Windows 10 Enterprise
• Windows 7 Профессиональная, Windows 7 Максимальная и Windows 7 Корпоративная
• Windows 8.1 Профессиональная и Windows 8.1 Корпоративная

Несколько примеров того, что вы можете сделать с помощью редактора локальной групповой политики

Давайте перечислим несколько примеров того, что вы можете сделать с помощью редактора локальной групповой политики. Вы можете настроить параметры Windows и применить их так, чтобы пользователи на вашем компьютере не могли изменить их впоследствии. Вот несколько примеров:

1. Разрешить пользователям доступ только к некоторым приложениям, найденным на вашем компьютере.
2. Запретить пользователям использование на компьютере съемных устройств (например, USB-накопителей).
3. Заблокируйте доступ пользователей к Панели управления и приложению Настройки.
4. Скрыть определенные элементы из панели управления.
5. Укажите обои, используемые на рабочем столе, и запретите пользователям изменять их.
6. Запретить пользователям включение/отключение подключений к локальной сети или запретить им изменять свойства подключений компьютера (локальной сети).
7. Запретить пользователям читать и/или записывать данные с CD, DVD, съемных дисков и т. д.
8. Отключите все сочетания клавиш, которые начинаются с клавиши Windows. Например, Windows + R (который открывает окна «Выполнить») и Windows + X (который открывает меню опытного пользователя) перестают работать.

Это всего лишь несколько примеров. Редактор локальной групповой политики из Windows позволяет настраивать многие другие параметры.

Как открыть редактор локальной групповой политики в Windows

В Windows простой способ открыть редактор локальной групповой политики — использовать поиск. Введите «gpedit.msc» в качестве текста для поиска, а затем щелкните результат поиска «gpedit».

ПРИМЕЧАНИЕ. Редактор локальной групповой политики выглядит и предлагает одинаковые параметры, настройки и функции независимо от того, используете ли вы Windows 7, Windows 8.1 или Windows 10. Поэтому для простоты отныне мы используем только снимки экрана, сделанные в Windows 10.

Как работать с редактором локальной групповой политики

Редактор локальной групповой политики разделен на две панели: левая панель содержит параметры локальной групповой политики , отображаемые в категориях, а правая панель — содержимое активной категории. Политики локальных групп подразделяются на два больших раздела:

• Конфигурация компьютера — содержит параметры локальной групповой политики , которые управляют политиками, которые применяются ко всему компьютеру, независимо от того, вошли ли пользователи или пользователи.
• Конфигурация пользователя — содержит параметры локальной групповой политики , которые контролируют пользовательские политики. Эти политики применяются к пользователям, а не ко всему компьютеру. Хотя это выходит за рамки данного руководства, вы должны знать, что пользовательские политики применяются для пользователей независимо от того, с какого компьютера из вашей сети они входят в систему.

Категории «Конфигурация компьютера» и «Конфигурация пользователя» разделены на три раздела:

• Настройки программного обеспечения — содержит политики программного обеспечения и, по умолчанию, оно должно быть пустым.
• Настройки Windows — содержит настройки безопасности Windows. Это также место, где вы можете найти или добавить сценарии, которые должны запускаться при запуске или завершении работы Windows.
• Административные шаблоны — имеет множество настроек, которые управляют многими аспектами работы вашего компьютера. Это место, где вы можете видеть, изменять и даже применять всевозможные настройки и правила. Чтобы дать вам несколько примеров, вы можете управлять работой панели управления, сети, меню «Пуск» и панели задач, а также тем, что пользователи могут изменять при их использовании.

Как редактировать политики Windows с помощью редактора локальной групповой политики

Чтобы вы могли легко понять процесс, связанный с редактированием политик, мы будем использовать пример. Допустим, вы хотите установить конкретные обои по умолчанию для вашего рабочего стола, которые будут установлены для всех существующих или новых пользователей на вашем компьютере с Windows.

Чтобы перейти к настройкам рабочего стола, вам нужно будет просмотреть категорию «Конфигурация пользователя» на левой панели. Затем перейдите к административным шаблонам, разверните Рабочий стол и выберите параметры внутреннего рабочего стола. На правой панели вы увидите все параметры, которые вы можете настроить для выбранного в настоящий момент административного шаблона. Обратите внимание, что для каждого доступного параметра у вас есть два столбца с правой стороны:

• В столбце «Состояние» указано, какие параметры не настроены, а какие включены или отключены.
• В столбце «Комментарии» отображаются комментарии, сделанные вами или другим администратором для этого параметра.

В левой части этой панели также отображается подробная информация о том, что делает конкретный параметр и как он влияет на Windows. Эта информация отображается в левой части панели всякий раз, когда вы выбираете определенную настройку. Например, если вы выберете Обои для рабочего стола, слева вы увидите, что их можно применять к версиям Windows, начиная с Windows 2000, и вы можете прочитать их Описание , которое говорит вам, что вы можете указать «фон рабочего стола отображается на всех рабочих столах пользователей» . Если вы хотите отредактировать настройку, в нашем случае обои рабочего стола, дважды щелкните/нажмите на эту настройку или щелкните правой кнопкой мыши/нажмите и удерживайте ее, а затем выберите «Изменить» в контекстном меню.

Откроется новое окно с названием выбранного вами параметра. В этом окне вы можете включить или отключить настройку или оставить «Не настроено». Если вы хотите включить настройку, сначала выберите ее как Включено. Затем прочитайте раздел справки и, если есть раздел «Опции», убедитесь, что вы заполняете запрашиваемую информацию. Обратите внимание, что это окно может включать в себя различные параметры, в зависимости от настройки, которую вы выбираете для редактирования. Например, в нашем примере об указании обоев для рабочего стола мы должны указать путь к файлу изображения, который мы хотим установить в качестве обоев, и мы должны выбрать, как мы хотим, чтобы он располагался. Затем мы можем добавить комментарий (если мы хотим — это совершенно необязательно) и, наконец, мы должны нажать кнопку Применить или кнопку ОК , чтобы активировать нашу настройку.

Отключение параметра или изменение его статуса на «Не настроен» предполагает простой выбор одного из этих параметров. Как мы упоминали ранее, разные настройки имеют разные параметры. Например, сценарии, которые вы можете настроить для запуска Windows при запуске или выключении, могут выглядеть совершенно иначе.

Нажмите или коснитесь «Конфигурация компьютера», затем «Параметры и сценарии Windows» («Запуск / выключение»). Выберите «Запуск» или «Выключение» на правой панели и нажмите на ссылку «Свойства» на правой панели. Или дважды щелкните Запуск или Завершение работы.

Нажмите «Добавить…», чтобы добавить новые сценарии в выбранный процесс.

В этом случае вам не нужно ничего включать или отключать. Вместо этого вы можете добавлять или удалять различные сценарии, запускаемые при запуске или завершении работы Windows.

Когда вы закончите, нажмите или нажмите OK .

Перейдите к редактору локальной групповой политики и проверьте, какие настройки он предлагает, потому что их много. Считайте это своей игровой площадкой на время, так как есть много вещей, которые вы можете проверить.

Статьи по теме:

Где находится Локальная политика безопасности в Windows 10

Каждый пользователь должен заботиться о безопасности своего компьютера. Многие прибегают к включению брандмауэра Windows, устанавливают антивирус и другие защитные инструменты, но этого не всегда хватает. Встроенное средство операционной системы «Локальная политика безопасности» позволит каждому вручную оптимизировать работу учетных записей, сетей, редактировать открытые ключи и производить другие действия, связанные с наладкой защищенного функционирования ПК.

Читайте также:
Включение / отключение Защитника в Windows 10
Установка бесплатного антивируса на ПК

Открываем «Локальную политику безопасности» в Windows 10

Сегодня мы бы хотели обсудить процедуру запуска упомянутой выше оснастки на примере ОС Windows 10. Существуют разные методы запуска, которые станут наиболее подходящими при возникновении определенных ситуаций, поэтому целесообразным будет детальное рассмотрения каждого из них. Начнем с самого простого.

Для запуска этой оснастки версия Windows 10 должна быть Профессиональная (Professional) или Корпоративная (Enterprise)! В версии Домашняя (Home), установленной преимущественно на множестве ноутбуков, ее нет.

Способ 1: Меню «Пуск»

Меню «Пуск» активно задействует каждый пользователь на протяжении всего взаимодействия с ПК. Этот инструмент позволяет осуществлять переход в различные директории, находить файлы и программы. Придет на помощь он и при необходимости запуска сегодняшнего инструмента. Вам достаточно просто открыть само меню, ввести в поиске «Локальная политика безопасности» и запустить классическое приложение.

Как видите, отображается сразу несколько кнопок, например «Запуск от имени администратора» или «Перейти к расположению файла». Обратите внимание и на эти функции, ведь они однажды могут пригодиться. Вам также доступно закрепление значка политики на начальном экране или на панели задач, что значительно ускорит процесс ее открытия в дальнейшем.

Способ 2: Утилита «Выполнить»

Стандартная утилита ОС Виндовс под названием «Выполнить» предназначена для быстрого перехода к определенным параметрам, директориям или приложениям путем указания соответствующей ссылки или установленного кода. У каждого объекта имеется уникальная команда, в том числе и у «Локальной политики безопасности». Ее запуск происходит так:

1. Откройте «Выполнить», зажав комбинацию клавиш Win + R. В поле пропишите secpol.msc, после чего нажмите на клавишу Enter или щелкните на «ОК».
2. Буквально через секунду откроется окно управления политикой.

Способ 3: «Панель управления»

Хоть разработчики операционной системы Виндовс постепенно и отказываются от «Панели управления», перемещая или добавляя многие функции только в меню «Параметры», это классическое приложение все еще нормально работает. Через него тоже доступен переход к «Локальной политике безопасности», однако для этого понадобится выполнить такие шаги:

1. Откройте меню «Пуск», найдите через поиск «Панель управления» и запустите ее.

2. Перейдите к разделу «Администрирование».
3. В списке отыщите пункт «Локальная политика безопасности» и дважды щелкните по нему ЛКМ.
4. Дожидайтесь запуска нового окна для начала работы с оснасткой.

Способ 4: Консоль управления Microsoft

В Консоли управления Майкрософт происходит взаимодействие со всеми возможными в системе оснастками. Каждая из них предназначена для максимально детальной настройки компьютера и применения дополнительных параметров, связанных с ограничениями доступа к папкам, добавлением или удалением определенных элементов рабочего стола и многим другим. Среди всех политик присутствует и «Локальная политика безопасности», но ее еще нужно отдельно добавить.

1. В меню «Пуск» найдите mmc и перейдите к этой программе.
2. Через всплывающее меню «Файл» приступайте к добавлению новой оснастки, нажав на соответствующую кнопку.



3. В разделе «Доступные оснастки» отыщите «Редактор объектов», выделите его и щелкните на «Добавить».
4. Поместите параметр в объект «Локальный компьютер» и щелкните на «Готово».
5. Осталось только перейти к политике безопасности, чтобы убедиться в ее нормальном функционировании. Для этого откройте корень «Конфигурация компьютера» — «Конфигурация Windows» и выделите «Параметры безопасности». Справа отобразятся все присутствующие настройки. Перед закрытием меню не забудьте сохранить изменения, чтобы добавленная конфигурация осталась в корне.

Приведенный выше способ будет максимально полезен тем юзерам, кто активно использует редактор групповых политик, настраивая там необходимые ему параметры. Если вас интересуют другие оснастки и политики, советуем перейти к отдельной нашей статье по этой теме, воспользовавшись указанной ниже ссылкой. Там вы ознакомитесь с основными моментами взаимодействия с упомянутым инструментом.

Читайте также: Групповые политики в Windows

Что же касается настройки «Локальной политики безопасности», производится она каждым пользователем индивидуально — им подбираются оптимальные значения всех параметров, но при этом существуют и главные аспекты конфигурации. Детальнее о выполнении этой процедуры читайте далее.

Подробнее: Настраиваем локальную политику безопасности в Windows

Теперь вы знакомы с четырьмя различными методами открытия рассмотренной оснастки. Вам осталось только подобрать подходящий и воспользоваться им.

Мы рады, что смогли помочь Вам в решении проблемы.
Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

Помогла ли вам эта статья?

ДА НЕТ

Политики безопасности windows 7 открыть. Локальные групповые политики в Windows

Я загорелся такой идеей обеспечения безопасности и решил попробовать сделать у себя так же.

Поскольку у меня стоит Windows 7 Professional, первой идеей оказалось использование AppLocker"a, однако быстро выяснилось, что работать в моей редакции винды он не хочет, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с AppLocker"ом отпал.

Следующей попыткой стала настройка групповых политик ограниченного использования программ. Поскольку AppLocker является «прокачанной» версией данного механизма, логично попробовать именно политики, тем более они бесплатны для пользователей Windows:)

Заходим в настройки:
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ

В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача - не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
Если разрешить запуск файлов по маске *.lnk - мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.

В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.

И тут я нечаянно натолкнулся на настройки списка расширений, являщихся исполняемыми с точки зрения винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры - можно, так что все ок.

В результате мы получили реализацию идеи, описанной в статье «Windows-компьютер без антивирусов» без каких либо неудобств для пользователя.

Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).

Надеюсь описанный метод окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не видел.

Одним из основных инструментов тонкой настройки параметров пользователя и системы Windows являются групповые политики — GPO (Group Policy Object) . На сам компьютер и его пользователей могут действовать доменные групповые политики (если компьютер состоит в домене Active Directory) и локальные (эти политики настраиваются локально и применяются только на данном компьютере). Групповые политики являются отличным средством настройки системы, способным повысить ее функционал, защищенность и безопасность. Однако у начинающих системных администраторов, решивших поэкспериментировать с безопасностью своего компьютера, некорректная настройка некоторых параметров локальной (или доменной) групповой политики может привести к различным проблемам: от мелких проблем, заключающихся, например, в невозможности подключить принтер или USB флешку, до полного запрета на установку или запуск любых приложений (через политики SPR или AppLocker),или даже запрета на локальный или удаленный вход в систему.

В таких случаях, когда администратор не может локально войти в систему, или не знает точно какая из примененных им настроек политик вызывает проблему, приходится прибегать к аварийному сценарию сброса настроек групповых политик на стандартные настройки (по-умолчанию). В «чистом» состоянии компьютера ни один из параметров групповых политик не задан.

В этой статье мы покажем несколько методов сброса настроек параметров локальных и доменных групповых политик к значениям по умолчанию. Эта инструкция является универсальной и может быть использована для сброса настроек GPO на всех поддерживаемых версиях Windows: начиная с Windows 7 и заканчивая Windows 10, а также для всех версий Windows Server 2008/R2, 2012/R2 и 2016.

Сброс локальных политик с помощью консоли gpedit.msc

Этот способ предполагает использование графической консоли редактора локальной групповой политики gpedit .msc для отключения всех настроенных политик. Графический редактор локальной GPO доступен только в Pro, Enterprise и Education редакциях.

Совет . В домашних (Home) редакциях Windows консоль Local Group Policy Editor отсутствует, однако запустить ее все-таки можно. По ссылкам ниже вы сможете скачать и установить консоль gpedit.msc для Windows 7 и Windows 10:

Запустите оснастку gpedit.msc и перейдите в раздел All Settings локальных политик компьютера (Local Computer Policy -> Computer Configuration - > Administrative templates / Политика «Локальный компьютер» -> Конфигурация компьютера -> Административные шаблоны ). Данные раздел содержит список всех политик, доступных к настройке в административных шаблонах. Отсортируйте политики по столбцу State (Состояние) и найдите все активные политики (находятся в состоянии Disabled / Отключено или Enabled / Включено ). Отключите действие всех или только определенных политик, переведя их в состояние Not configured (Не задана).

Такие же действия нужно провести и в разделе пользовательских политик (User Configuration / Конфигурация пользователя ). Таким образом можно отключить действие всех настроек административных шаблонов GPO.

Совет . Список всех примененных настроек локальных и доменных политик в удобном html отчете можно получить с помощью встроенной утилиты командой:
gpresult /h c:\distr\gpreport2.html

Указанный выше способ сброса групповых политик в Windows подойдет для самых «простых» случаев. Некорректные настройки групповых политик могут привести к более серьезным проблемам, например: невозможности запуска оснастки gpedit.msc или вообще всех программ, потери пользователем прав администратора системы, или запрета на локальный вход в систему. Рассмотрим эти случаи подробнее.

Принудительный сброс настроек локальных GPO из командной строки

В этом разделе описан способ принудительного сброса всех текущих настроек групповых политик в Windows. Однако сначала опишем некоторые принципы работы административных шаблонов групповых политик в Windows.

Архитектура работы групповых политик основана на специальных файлах Registry .pol . Данные файлы хранят параметры реестра, которые соответствуют тем или иным параметрам настроенных групповых политик. Пользовательские и компьютерные политики хранятся в разных файлах Registry .pol .

• Настройки конфигурации компьютера (раздел Computer Configuration ) хранятся в %SystemRoot%\System32\ GroupPolicy\Machine\registry.pol
• Пользовательские политики (раздел User Configuration ) — %SystemRoot%\System32\ GroupPolicy\User\registry.pol

При загрузке компьютера система импортирует содержимое файла \Machine\Registry.pol в ветку системного реестра HKEY_LOCAL_MACHINE (HKLM). Содержимое файла \User\Registry.pol импортируется в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в систему.

Консоль редактора локальных групповых политик при открытии загружает содержимое данных файлов и предоставляет их в удобном пользователю графическом виде. При закрытии редактора GPO внесенные изменения записываются в файлы Registry.pol. После обновления групповых политик (командой gpupdate /force или по-расписанию), новые настройки попадают в реестр.

Совет . Для внесения изменения в файлы стоит использовать только редактор групповых политик GPO. Не рекомендуется редактировать файлы Registry.pol вручную или с помощью старых версий редактора групповой политики!

Чтобы удалить все текущие настройки локальных групповых политик, нужно удалить файлы Registry.pol в каталоге GroupPolicy. Сделать это можно следующими командами, запущенными в командной строке с правами администратора:

RD /S /Q "%WinDir%\System32\GroupPolicyUsers" RD /S /Q "%WinDir%\System32\GroupPolicy"

После этого нужно обновить настройки политик в реестре:

Gpupdate /force

Данные команды сбросят все настройки локальных групповых политик в секциях Computer Configuration и User Configuration.

Откройте консоль редактора gpedit.msc и убедитесь, что все политики перешли в состояние Не задано / Not configured. После запуска консоли gpedit.msc удаленные папки будут созданы автоматически с настройками по-умолчанию.

Сброс локальных политик безопасности Windows

Локальные политик безопасности (local security policies) настраиваются с помощью отдельной консоли управления secpol.msc . Если проблемы с компьютером вызваны «закручиванием гаек» в локальных политиках безопасности, и, если у пользователя остался доступ к системе и административные права, сначала стоит попробовать сбросить настройки локальных политик безопасности Windows к значениям по-умолчанию. Для этого в командной строке с правами администратора выполните:

• Для Windows 10, Windows 8.1/8 и Windows 7: secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
• Для Windows XP: secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

После чего компьютер нужно перезагрузить.

В том случае, если проблемы с политиками безопасности сохраняются, попробуйте вручную переименовать файл контрольной точки базы локальных политик безопасности %windir%\security\database\edb.chk

ren %windir%\security\database\edb.chk edb_old.chk

Выполните команду:
gpupdate /force
Перезагрузите Windows с помощью :
Shutdown –f –r –t 0

Сброс локальных политик при невозможности входа в Windows

В том случае, если локальный вход в систему невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью ). Удалить файлы Registry.pol можно, загрузившись с установочного диска Windows или любого LiveCD.

Сброс примененных настроек доменных GPO

Несколько слов о доменных групповых политиках. В том случае, если компьютер включен в домен Active Directory, некоторыми его настройками может управлять администратор домена через доменные GPO.

Файлы registry.pol всех применённых доменных групповых политик хранятся в каталоге %windir%\System32\GroupPolicy\DataStore\0\SysVol\ contoso.com\Policies . Каждая политика хранится в отдельном каталоге с GUID доменной политики.

Этим файлам registry.pol соответствуют следующие ветки реестра:

• HKLM\Software\Policies\Microsoft
• HKCU\Software\Policies\Microsoft
• HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects
• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

История примененных версий доменных политик, которые сохранились на клиенте, находится в ветках:

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\
• HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\History\

При исключении компьютера из домена файлы registry.pol доменных политик на компьютере удаляются и соответственно, не загружаются в реестр.

Если нужно принудительно удалить настройки доменных GPO, нужно очистить каталог %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies и удалить указанные ветки реестра (настоятельно рекомендуется создать резервную копию удаляемых файлов и веток реестра!!!). Затем выполните команду:

gpupdate /force /boot

Совет . Указанная методика позволяет сбросить все настройки локальных групповых политик во всех версиях Windows. Сбрасываются все настройки, внесенные с помощью редактора групповой политики, однако не сбрасываются все изменения, внесенные в реестре напрямую через редактор реестра, REG- файлы или любым другим способом.

Редактор групповых политик (Gpedit.msc ) – это специальная mmc консоль, которая позволяет управлять различными параметрами системы путем редактирования предопределенных настроек – политик (на сайте существует целый раздел посвященный ). Если копнуть глубже, то по сути редактор gpedit.msc это просто интерфейс для управления параметрами реестра Windows, т.е. любое изменение политики ведет к изменению того или иного ключа в реестре Windows 7. Существует даже специальные таблицы соответствия между параметрами групповых политик и настройками в реестре. Называются они “Group Policy Settings Reference for Windows and Windows Server “ (http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=25250). Т.е. все те настройки, которые задаются с помощью графической консоли gpedit можно задать вручную, найдя в данной таблице нужный ключ реестра.

Однако консоль управления групповыми политиками доступна только в «старших» версиях ОС – редакции Windows 7 Ultimate, Professional и Enterprise. Если же набрать команду gpedit.msc в Windows 7 Home Premium, Home Basic или Starter, то появится ошибка о том, что команда не найдена. Т.е. редактора групповых политик в этих версиях нет.

Так можно ли установить редактор групповых политик gpedit в Windows 7 Home ? К счастью да (хотя и не тривиально)!

Чтобы установить gpedit.msc в Windows 7 Home нам понадобиться специальный патчик (неофициальный). Скачать его можно .

Распакуйте и запустите установочный файл с правами администратора. Установка осуществляется в режиме мастера и крайне проста.

Если вы используете 64 битную версию Windows Home или Starter, после установки патча необходимо дополнительно скопировать следующие объекты из каталога C:\windows\SysWOW64 в каталог C:\Windows\System32:

• папку GroupPolicy
• папку GroupPolicyUsers
• файл gpedit.msc

После установки обновления необходимо будет перезагрузить компьютер и попробовать выполнить команду gpedit.msc. Если все пройдет успешно, должна открыться искомая консоль редактора групповых политик.

Редактор групповых политик отсутствует в Windows 7 Домашняя, а вот в остальных версиях этой версии ОС он присутствует и готов для использования.

Запуск редактора групповой политики

Запустить этого редактора очень просто. Для этого на клавиатуре нужно нажать Win+R , прописать в поле gpedit.msc и нажать «ОК ».

Интерфейс редактора идентичен остальным инструментам администрирования: опираясь на левую древовидную панель можно получать информацию по каждому разделу и производить настройки.

Как видно на скриншоте, в левой части все настройки разделены на две части:

Конфигурация компьютера;
конфигурация пользователя.

Каждая из этих частей имеет три одинаковых раздела:

Конфигурация программ;
конфигурация Windows;
административные шаблоны.

Конфигурация программ отвечает за параметры приложений, установленных на ПК.
Конфигурация Windows отвечает за различные системные параметры: ее настройки, параметры безопасности и др.
Административные шаблоны содержат конфигурацию из и являются более удобным редактором, нежели сам реестр.

Работа с редактором

Настроить ограничения и различные параметры здесь довольно просто. Давайте рассмотрим пример настройки: пройдите по пути Конфигурация пользователя > Административные шаблоны > Система , где последний пункт разворачивать не надо - просто нажмите на слово левой клавишей мыши.

Здесь вы можете увидеть несколько параметров для настройки, среди которых присутствуют такие настройки как:

Запретить использование командной строки;
запретить доступ к средствам редактирования реестра;
не запускать указанные приложения Windows;
выполнять только указанные приложения Windows;
автоматическое обновление Windows.

Чтобы отредактировать эти и другие параметры можно, нажимая по каждому из них левой клавишей мыши дважды. На скриншоте видно, что менять состояние параметра, задавая ему значение «Включено » или «Отключено ».

Как работают групповые политики

Допустим, вы запретили использование командной строки. Теперь, когда пользователь решит ее запустить, он получит следующее сообщение об ошибке:

Подобные сообщения пользователь будет получать всегда, когда попытается совершить запрещенное действие. В случае, если принято решение упросить использование ПК, например, отключить «Контроль учетных записей: поведение запроса на повышение прав для администратора », то окно о запуске программы, которая вносит изменения в системе, отображаться больше не будет.

Все параметры можно настроить по своему усмотрению, в результате чего повысится продуктивность и безопасность при работе за ПК другими пользователями.

Желание Microsoft похоронить его в глубине системы совершенно не удивительно - в руках неопытного пользователя Редактор локальной групповой политики может нарушить нормальное функционирование ОС. Это своего рода электронный ящик Пандоры, способный ввергнуть мир Windows в череду несчастий и бед, попади он не в те руки.

Разумеется, эти мрачные пророчества не имеют к вам, дорогие читатели, никакого отношения. Ведь вы - осторожные и внимательные пользователи системных инструментов, и конечно же, не забудете создать точку восстановления системы, прежде чем браться за редактирование локальных групповых политик. Я не сомневаюсь, что на вас можно положиться.

Если коротко, групповые политики - это параметры, управляющие функционированием системы. Их можно использовать для настройки интерфейса Windows 7, ограничения доступа к определенным зонам, определения параметров безопасности и так далее. Изменять групповые политики можно с помощью Редактора локальной групповой политики - оснастки . В версиях Windows 7 Home и Редактор недоступен, поэтому по каждому пункту я буду также давать рекомендации о том, как добиться желаемого результата с помощью Редактора реестра (Regedit). Чтобы запустить Редактор локальной групповой политики:

1. Нажмите кнопку «Пуск» (Start).
2. Введите «gpedit.msc» в строке поиска.
3. Нажмите .

На рис. A показано окно Редактора локальной групповой политики. Слово «локальной» указывает на то, что редактируются групповые политики на локальном компьютере, а не на удаленном.

Рисунок A. Использование Редактора локальной групповой политики для изменения групповой политики на локальном компьютере.

При удалении файлов или папок в Windows 7 всегда появляется диалоговое окно с предложением подтвердить удаление. Если это вас напрягает, подтверждения можно отключить, нажав правой кнопкой мыши на значке Корзины (Recycle Bin) и сняв флажок «Запрашивать подтверждение на удаление» (Display Delete Confirmation Dialog) в диалоговом окне «Свойства» (Properties).

С другой стороны, система по умолчанию запрашивает подтверждение на удаление не просто так, а для того, чтобы пользователь случайно не удалил нужные файлы. Мы с вами - люди опытные и хорошо понимаем, что можно удалять, а что нет. Но ведь не все такие. Если компьютером пользуются маленькие дети или пожилые родители, плохо знакомые с системой, запрос подтверждения на удаление - прекрасная защита от случайных ошибок неопытных пользователей.

В этом случае имеет смысл сделать так, чтобы рядовые пользователи не имели возможности самостоятельно отключать запросы на подтверждение удаления. Это возможно двумя способами:

Либо путем блокирования флажка «Запрашивать подтверждение на удаление» в диалоговом окне свойств Корзины;
. либо путем блокирования самого диалогового окна «Свойства», чтобы пользователь не имел к нему доступа.

Чтобы воспользоваться одним из этих способов:

1. В окне Редактора локальной групповой политики разверните узел «Конфигурация пользователя» (User Configuration).
2. Разверните элемент «Административные шаблоны» (Administrative Templates).
3. Вызовите окно свойств интересующей вас политики.

Если хотите заблокировать флажок «Запрашивать подтверждение на удаление» в окне свойств, разверните элемент «Компоненты Windows» (Windows Components) и выберите пункт «Проводник Windows» (Windows Explorer). Дважды щелкните на политике «Запрашивать подтверждение при удалении файлов» (Display Confirmation Dialog When Deleting Files).

Если у вас нет доступа к , откройте Редактор реестра и создайте параметр DWORD с именем «ConfirmFileDelete» (без кавычек) и значением «1» (без кавычек) в разделе «HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer».

Чтобы сделать недоступной команду «Свойства» в контекстном меню Корзины, выберите пункт «Рабочий стол» (Desktop) и дважды щелкните на политике «Убрать пункт "Свойства" из контекстного меню Корзины» (Remove Properties From The Recycle Bin Context Menu).
Если у вас нет доступа к Редактору локальной групповой политики, откройте Редактор реестра и создайте параметр DWORD с именем «NoPropertiesRecycleBin» (без кавычек) и значением «1» (без кавычек) в разделе «HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer».

4. Выберите значение «Включен» (Enabled).
5. Нажмите «OK», чтобы применить изменения.

2. Отключение области уведомлений

Если вы не пользуетесь областью уведомлений, ее можно полностью отключить. Для этого:

1. В окне Редактора локальной групповой политики разверните узел «Конфигурация пользователя».
2. Разверните элемент «Административные шаблоны».
3. Разверните элемент «Меню "Пуск" и панель задач» (Start Menu And Taskbar).
4. Дважды щелкните на политике «Скрывать область уведомлений» (Hide The Notification Area), выберите значение «Включено» и нажмите «OK».
5. Дважды щелкните на политике «Убрать часы из области уведомлений» (Remove Clock From The System Notification Area), выберите значение «Включено» и нажмите «OK».
6. Выйдите из системы и снова войдите, чтобы изменения вступили в силу.

Чтобы реализовать эту политику через реестр, нажмите кнопку «Пуск», введите в строке поиска «regedit», нажмите и подтвердите продолжение операции в окне . Откроется Редактор реестра. Найдите в нем раздел «HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer». Если раздел «Explorer» отсутствует, выделите раздел «Policies», выберите пункт меню «Правка | Создать | Раздел» (Edit | New | Key), введите «Explorer» (без кавычек) и нажмите .

Теперь выполните следующие действия:
1. Выберите пункт меню «Правка | Создать | Параметр DWORD (32 бита)» (Edit | New | DWORD (32-bit) Value).
2. Введите «NoTrayItemsDisplay» (без кавычек) и нажмите .
3. Нажмите , чтобы вызвать окно свойств «NoTrayItemsDisplay», введите «1» (без кавычек) и нажмите «OK».
4. Выберите пункт меню «Правка | Создать | Параметр DWORD (32 бита)».
5. Введите «HideClock» (без кавычек) и нажмите .
6. Нажмите , чтобы вызвать окно свойств «HideClock», введите «1» (без кавычек) и нажмите «OK».
7. Выйдите из системы и снова войдите, чтобы изменения вступили в силу.

Facebook

Twitter

Вконтакте

Одноклассники

Google+

Развертывание Windows 10/11 с использованием Microsoft Intune для защиты управляемой переносной версии Windows

• Статья
• 26.03.2022
• Время считывания: 43 мин
• Соавторы: 2

Была ли эта страница полезной?

Да Нет

Хотите что-нибудь добавить к этому мнению?

Отзыв будет отправлен в Microsoft: когда вы нажмете «Отправить», отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Примечание

Intune может поддерживать больше параметров, чем указано в этой статье. Не все настройки задокументированы и не будут задокументированы. Чтобы просмотреть настраиваемые параметры, создайте профиль конфигурации устройства, затем выберите Параметры сети .Дополнительные сведения см. в разделе Настройки каталога.

Microsoft Intune включает множество параметров для защиты ваших устройств. В этой статье описаны некоторые параметры, которые можно включить и настроить на устройствах с Windows 10 и Windows 11. Эти параметры создаются в профиле конфигурации защиты конечных точек Intune для управления безопасностью, такой как BitLocker и Microsoft Defender.

Чтобы настроить антивирусную программу Microsoft Defender, см. устройства Windows или используйте антивирусные политики Endpoint Security.

Прежде чем начать

Создайте профиль конфигурации устройства Endpoint Protection.

Дополнительные сведения о поставщиках услуг настройки см. в разделе Информация о поставщике услуг настройки.

Application Guard в Microsoft Defender

При использовании Microsoft Edge Application Guard в Microsoft Defender защищает среду от сайтов, которым ваша организация не доверяет. Когда пользователи посещают сайты, не перечисленные на границе изолированной сети, сайты открываются в сеансе виртуального просмотра Hyper-V.Надежные сайты определяются границей сети, настроенной в конфигурации устройства. Дополнительные сведения см. в разделе Создание границы сети на устройствах Windows.

Application Guard доступен только для 64-разрядных устройств Windows. Использование этого профиля позволяет установить Win32 для активации Application Guard.

• Application Guard
  По умолчанию : Не настроено
  Application Guard CSP: Настройки / AllowWindowsDefenderApplicationGuard

  • Включено для Edge — включает функцию, открывающую ненадежные сайты в контейнере виртуального просмотра Hyper-V.
  • Не настроено - Любой сайт (доверенный и недоверенный) может быть открыт на устройстве.

• Поведение буфера обмена
  По умолчанию : Не настроено
  Application Guard CSP: Настройки / Настройки буфера обмена

  Выберите разрешенные действия копирования и вставки между локальным компьютером и виртуальным браузером Application Guard.

  • Не настроено
  • Разрешить только копирование и вставку с компьютера в браузер
  • Разрешить копирование и вставку только из браузера на компьютер
  • Разрешить копирование и вставку между компьютером и браузером
  • Блокировка копирования и вставки между компьютером и браузером

• Содержимое буфера обмена
  Этот параметр доступен только , если поведение буфера обмена настроено на один из параметров включения .
  По умолчанию : Не настроено
  Приложение CSP Guard: Настройки / ClipboardFileType

  Выберите разрешенное содержимое буфера обмена.

  • Не настроено
  • Текст
  • Изображения
  • Текст и изображения

• Внешний контент на корпоративных сайтах
  По умолчанию : Не настроено
  Application Guard CSP: Настройки / BlockNonEnterpriseContent

  • Блокировка - Блокировка загрузки контента с непечатаемых веб-сайтов.
  • Не настроено — На устройстве можно открывать сайты за пределами предприятия.

• Печать из виртуального браузера
  По умолчанию : Не настроено
  Application Guard CSP: Настройки / Настройки печати

  • Разрешить — позволяет печатать выбранный контент из виртуального средства просмотра.
  • Не настроено Отключить все функции печати.

  После установки параметра Разрешить печать можно настроить следующий параметр:

  • Типы печати Выберите один или несколько из следующих параметров:
    • ПДФ
    • ЭПС
    • Локальные принтеры
    • Сетевые принтеры

• Сбор журналов
  По умолчанию : Не настроено
  Application Guard CSP: Audit / AuditApplicationGuard

  • Разрешить — собирать журналы для событий, происходящих в сеансе просмотра Application Guard.
  • Не настроено — Не собирать журналы во время сеансов просмотра.

• Сохранение данных браузера, созданных пользователем
  По умолчанию : Не настроено
  Application Guard CSP: Настройки / AllowPersistence

  • Разрешить Сохранение пользовательских данных (таких как пароли, избранное и файлы cookie), созданных во время сеанса виртуального просмотра Application Guard.
  • Не настроено Удалять загруженные файлы и данные после перезагрузки устройства или после того, как пользователь набрал номер.

• Ускорение графики
  По умолчанию : Не настроено
  Application Guard CSP: Настройки / AllowVirtualGPU

  • Включить — более быстрая загрузка веб-сайтов и видеоклипов с интенсивным использованием графики за счет доступа к обработке виртуальной графики.
  • Не настроено Использовать процессор графического устройства. Не используйте виртуальную обработку графики.

• Загрузка файлов на хост файловой системы
  По умолчанию : Не настроено
  Application Guard CSP: Настройки / SaveFilesToHost

  • Включить — пользователи могут загружать файлы из виртуализированного браузера в операционную систему хоста.
  • Не настроено — файлы являются локальными для устройства и не загружают файлы в файловую систему хоста.

Брандмауэр Microsoft Defender

Глобальные настройки

Эти настройки применяются ко всем типам сетей.

• Протокол передачи файлов
  По умолчанию : Не настроено
  CSP брандмауэра: MdmStore / Global / DisableStatefulFtp

  • Блокировка - Отключить состояние протокола FTP.
  • Не настроено — Брандмауэр поддерживает фильтрацию состояния FTP для разрешения дополнительных подключений.

• Время простоя SAI перед удалением
  По умолчанию : Не настроено
  CSP брандмауэра: MdmStore / Global / SaIdleTime

  Укажите время простоя (в секундах), по истечении которого SA будут удалены.

• Кодировка предварительного общего ключа
  По умолчанию : Не настроено
  CSP брандмауэра: MdmStore / Global / PresharedKeyEncoding

  • Включить — кодировать тестовые ключи с помощью кодировки UTF-8.
  • Не настроено — закодируйте предварительно настроенные ключи со значениями локального хранилища.

• Исключения IPsec
  По умолчанию : выбрано 0
  Программа CSP брандмауэра: MdmStore / Global / IPsecExempt

  Выберите один или несколько следующих типов трафика для исключения из IPsec:

  • Соседние обнаруживают коды типов IPv6 ICMP
  • ICMP
  • Коды ICMP IPv6, обнаруженные маршрутизатором
  • Трафик IPv4 и IPv6.

• Проверка списка отозванных сертификатов
  По умолчанию : Не настроено
  CSP брандмауэра: MdmStore / Global / CRLcheck

  Выберите, как устройство будет проверять список отозванных сертификатов. Опции:

  • Отключение проверки CRL
  • Проверка CRL не удалась только для отозванных сертификатов
  • Список отзыва сертификатов не может быть проверен при обнаружении ошибок .

• Аутентификация, совместимая с аутентификацией, для каждого модуля ключа
  По умолчанию : Не настроено
  CSP брандмауэра: MdmStore / Global / OpportunisticallyMatchAuthSetPerKM

  • Включить Ключевые модули должны игнорировать только пакеты проверки подлинности, которые они не поддерживают.
  • Ненастроенные ключевые модули должны игнорировать весь набор аутентификации, если они не поддерживают все пакеты аутентификации, указанные в наборе.

• Очередь пакетов
  По умолчанию : Не настроено
  CSP брандмауэра: MdmStore / Global / EnablePacketQueue

  Укажите, как масштабирование программного обеспечения на стороне приема включено для зашифрованного приема и очистки текста в сценарии шлюза шлюза шифрования IPsec. Этот параметр подтверждает, что порядок пакетов сохранен. Опции:

  • Не настроено
  • Отключить все очереди пакетов
  • Только в очереди зашифрованных входящих пакетов
  • Расшифрованные пакеты очереди выполняются только для пересылки
  • Настройка входящих и исходящих пакетов

Сетевые настройки

Следующие параметры перечислены в этой статье только один раз, но все они относятся к трем конкретным типам сетей:

• Доменная сеть (рабочие места)
• Частная сеть (доступная для обнаружения)
• Общедоступная сеть (недоступная для обнаружения)

Общие настройки

• Брандмауэр Microsoft Defender
  По умолчанию : Не настроено
  CSP брандмауэра: EnableFirewall

  • Включить — включить брандмауэр и расширенную безопасность.
  • Не настроено Разрешает весь сетевой трафик независимо от любых других параметров политики.

• Скрытый режим
  По умолчанию : Не настроено
  CSP брандмауэра: DisableStealthMode

  • Не настроено
  • Блокировка — Брандмауэр заблокирован в скрытом режиме. Блокировка скрытого режима также позволяет заблокировать выпуск пакетов , защищенных защитой IPsec .
  • Разрешить — брандмауэр находится в скрытом режиме, который помогает предотвратить ответы на попытки запросов.

• Освобождение от защищенного пакета IPsec в скрытом режиме
  По умолчанию : Не настроено
  CSP брандмауэра: DisableStealthModeIpsecSecuredPacketExemption

  Этот параметр игнорируется, если режим невидимости установлен на Блокировка .

  • Не настроено
  • Блокировка — Защищенные пакеты IPSec не получают исключений.
  • Разрешить — включить исключения. Скрытый режим брандмауэра НЕ МОЖЕТ запретить хост-компьютеру реагировать на нежелательный сетевой трафик, защищенный с помощью IPsec.

• Shield
  По умолчанию : Не настроено
  Программа CSP брандмауэра: Shield

  • Не настроено
  • Блокировка — если брандмауэр Microsoft Defender установлен на и , для этого параметра установлено значение Блокировать, весь входящий трафик блокируется независимо от других параметров политики.
  • Разрешить — если установлено значение Разрешить , этот параметр отключен, а входящий трафик разрешен на основе других параметров политики.

• Многоадресные одноадресные ответы
  По умолчанию : Не настроено
  CSP брандмауэра: DisableUnicastResponsesToMulticastBroadcast

  Обычно вы не хотите получать одноадресные ответы на многоадресные или широковещательные сообщения.Эти ответы могут указывать на атаку типа «отказ в обслуживании» (DOS) или на попытку злоумышленника сохранить известный компьютер в рабочем состоянии.

  • Не настроено
  • Блокировка - Отключить одноадресные ответы на многомерные выбросы.
  • Разрешить — Разрешить одноадресные ответы на многоадресные рассылки.

• Входящие уведомления
  По умолчанию : Не настроено
  CSP брандмауэра: DisableInboundNotifications

  • Не настроено
  • Блокировка — Скрыть уведомления, используемые, когда приложение заблокировано от прослушивания портов.
  • Разрешить — включает этот параметр и может уведомлять пользователей, когда приложение заблокировано от прослушивания порта.

• Действие по умолчанию для исходящих подключений
  По умолчанию : Не настроено
  CSP брандмауэра: DefaultOutboundAction

  Настройте брандмауэр по умолчанию для исходящих подключений. Этот параметр будет применяться к Windows версии 1809 и выше.

  • Не настроено
  • Блокировка — Действие брандмауэра по умолчанию не выполняется для исходящего трафика, если явно не указано, что он не блокируется.
  • Разрешить — действия брандмауэра по умолчанию выполняются для исходящих подключений.

• Действие по умолчанию для входящих подключений
  По умолчанию : Не настроено
  CSP брандмауэра: DefaultInboundAction

  • Не настроено
  • Блокировка — Действие брандмауэра по умолчанию не выполняется для входящих подключений.
  • Разрешить — действия брандмауэра по умолчанию выполняются для входящих подключений.

Объединение правил

• Авторизованные правила брандмауэра Microsoft Defender из локального хранилища
  По умолчанию : Не настроено
  CSP брандмауэра: AuthAppsAllowUserPrefMerge

  • Не настроено
  • Блокировка — Авторизованные правила брандмауэра приложений в локальном хранилище игнорируются и не применяются.
  • Разрешить - Выберите Включить Соответствует правилам брандмауэра локального хранилища, чтобы они распознавались и применялись.

• Глобальный порт брандмауэра Microsoft Defender из локального хранилища
  По умолчанию : Не настроено
  CSP брандмауэра: GlobalPortsAllowUserPrefMerge

  • Не настроено
  • Блокировка — Глобальные правила брандмауэра портов в локальном хранилище игнорируются и не применяются.
  • Разрешить — применить глобальные правила брандмауэра портов к локальному хранилищу для распознавания и применения.

• Правила брандмауэра Microsoft Defender из локального хранилища
  По умолчанию : Не настроено
  CSP брандмауэра: AllowLocalPolicyMerge

  • Не настроено
  • Блокировка — Правила брандмауэра Local Store игнорируются и не применяются.
  • Разрешить — для распознавания и применения правил брандмауэра в локальном хранилище.

• Правила IPsec из локального хранилища
  По умолчанию : Не настроено
  CSP брандмауэра: AllowLocalIpsecPolicyMerge

  • Не настроено
  • Блокировка — правила безопасности подключения из локального хранилища игнорируются и не применяются, независимо от версии схемы и версии правила безопасности подключения.
  • Разрешить — применять правила безопасности подключения из локального хранилища независимо от версии схемы или правила безопасности подключения.

Правила брандмауэра

Вы можете добавить как минимум одно пользовательское правило брандмауэра. Дополнительные сведения см. в разделе Добавление пользовательских правил брандмауэра для устройств Windows.

Пользовательские правила брандмауэра поддерживают следующие параметры:

Общие настройки:

• Имя
  По умолчанию : Без имени

  Укажите понятное имя для правила.Это имя будет отображаться в списке правил, что упрощает его идентификацию.

• Описание
  По умолчанию : Без описания

  Введите описание правила.

• Направление
  По умолчанию : Не настроено
  CSP брандмауэра: FirewallRules / FirewallRuleName / Направление

  Укажите, предназначено ли это правило для входящих или исходящих .Если установлено значение Не настроено, правило автоматически применяется к исходящему трафику.

• Действие
  По умолчанию : Не настроено
  CSP брандмауэра: FirewallRules / FirewallRuleName / Действие i FirewallRules / FirewallRuleName / Действие / Тип

  Выберите Разрешить или Блокировать . Если установлено значение Not Configured, разрешает трафик по умолчанию.

• Тип сети
  По умолчанию : выбрано 0

  Выберите до трех типов сетей для этого правила. Возможные варианты: Домен , Частный и Общедоступный . Если тип сети не выбран, правило применяется ко всем трем типам сетей.

Настройки приложения

• Приложения
  По умолчанию : Все

  Управление подключением приложения или программы.Выберите один из следующих вариантов, а затем выполните дополнительную настройку:

  • Имя семейства пакетов — укажите имя семейства пакетов. Чтобы найти имя семейства пакетов, используйте команду PowerShell Get-AppxPackage . Брандмауэры CSP
    : FirewallRules / FirewallRuleName / App / PackageFamilyName

  • Путь к файлу — укажите путь к файлу приложения на клиентском устройстве, который может быть абсолютным или относительным путем.Например: C:\Windows\System\Notepad.exe или %WINDIR%\Notepad.exe.
    CSP брандмауэра: FirewallRules/ FirewallRuleName /App/FilePath

  • Windows - Укажите короткую службу Windows, если это служба, а не приложение, которое отправляет или получает трафик. Чтобы найти короткое имя службы, используйте команду Get-Service PowerShell.
    CSP брандмауэра: FirewallRules/ FirewallRuleName /App/ServiceName

  • Все - дополнительные конфигурации отсутствуют.

Настройки для IP-адреса

Укажите локальный и удаленный адреса, для которых применяется это правило.

• Локальные адреса
  По умолчанию : любой адрес
  CSP межсетевого экрана: FirewallRules / FirewallRuleName / LocalPortRanges

  Выберите Любой адрес или Указанный адрес .

  Когда использует указанный адрес , вы можете добавить один или несколько адресов в виде разделенного запятыми списка локальных адресов, на которые распространяется правило.Действительные токены содержат:

  • Используйте звездочку "*" для любого локального адреса . Звездочка должна быть единственным токеном, который следует использовать.
  • Чтобы указать подсети, используйте маску подсети или префикс сети. Если не указаны ни маска подсети, ни префикс сети, маска подсети по умолчанию равна 255.255.255.255.
  • Действительный адрес IPv6.
  • Диапазон адресов IPv4 в формате "начальный адрес - конечный адрес" без пробелов.
  • Диапазон адресов IPv6 в формате "начальный адрес - конечный адрес" без пробелов.

• Удаленные адреса
  По умолчанию : Любой адрес
  CSP брандмауэра: FirewallRules / FirewallRuleName / RemoteAddressRanges

  Выберите Любой адрес или Указанный адрес .

  Когда использует указанный адрес , вы добавляете один или несколько адресов в виде разделенного запятыми списка удаленных адресов, на которые распространяется правило.Токены не чувствительны к регистру. Действительные токены содержат:

  • Используйте звездочку "*" для любого удаленного адреса . Звездочка должна быть единственным токеном, который следует использовать.
  • "Шлюз по умолчанию"
  • "ТАКЖЕ"
  • "ДНС"
  • "ПОБЕДА"
  • Интранет (поддерживается в Windows 1809 и более поздних версиях)
  • «RmtIntranet» (поддерживается в Windows версии 1809 и более поздних)
  • «Интернет» (поддерживается в Windows 1809 и более поздних версиях)
  • «Ply2Renders» (поддерживается для версий Windows 1809 и выше)
  • «LocalSubnet» указывает на любой локальный адрес в локальной подсети.
  • Чтобы указать подсети, используйте маску подсети или префикс сети. Если не указаны ни маска подсети, ни префикс сети, маска подсети по умолчанию равна 255.255.255.255.
  • Действительный адрес IPv6.
  • Диапазон адресов IPv4 в формате "начальный адрес - конечный адрес" без пробелов.
  • Диапазон адресов IPv6 в формате "начальный адрес - конечный адрес" без пробелов.

Настройки порта и протокола

Укажите локальные и удаленные порты, для которых применяется это правило.

• Протокол
  По умолчанию : Любой
  CSP брандмауэра: FirewallRules / FirewallRuleName / Протокол
  Выберите один из следующих параметров и выполните необходимые настройки:
  • Все — Дополнительные конфигурации недоступны.
  • TCP - Настройка локальных и удаленных портов. Оба варианта поддерживают все порты или определенные порты. Введите указанные порты, используя список, разделенный запятыми.
  • UDP — Настройка локальных и удаленных портов. Оба варианта поддерживают все порты или определенные порты. Введите указанные порты, используя список, разделенный запятыми.
  • Пользовательский — указывает номер пользовательского протокола от 0 до 255,
  .

Расширенная конфигурация

• Типы интерфейсов
  По умолчанию : 0 выбрано
  CSP межсетевого экрана: FirewallRules / FirewallRuleName / InterfaceTypes

  Выберите один из следующих вариантов:

  • Удаленный доступ
  • Беспроводная связь
  • Локальная сеть

• Разрешить подключения только от этих пользователей
  По умолчанию : Все пользователи (Все используют значение по умолчанию, если список не указан)

  Укажите список авторизованных локальных пользователей для этого правила.Если это правило применяется к сетевой службе Windows, список авторизованных пользователей определить невозможно.

SmartScreen защитника Майкрософт для сети SmartScreen защитника Майкрософт

Microsoft Edge должен быть установлен на устройстве.

• Фильтр SmartScreen для приложений и файлов
  По умолчанию : Не настроено
  SmartScreen CSP: SmartScreen / Включить SmartScreenInShell

  • Не настроено — отключает использование фильтра SmartScreen.
  • Включить — включить Windows SmartScreen для запуска файлов и приложений. SmartScreen — это облачный компонент защиты от фишинга и вредоносных программ.

• Выполнение непроверенных файлов
  По умолчанию : Не настроено
  SmartScreen CSP: SmartScreen / PreventOverrideForFilesInShell

  • Не настроено — отключает эту функцию и позволяет конечным пользователям запускать непроверенные файлы.
  • Блокировка — не позволяет конечным пользователям запускать файлы, которые не были проверены фильтром Windows SmartScreen.

Шифрование данных Windows

Параметры Windows

• Шифрование устройства
  По умолчанию : Не настроено
  CSP BitLocker: RequireDeviceEncryption

  • Требовать — предлагать пользователям включить шифрование устройства.В зависимости от версии Windows и конфигурации системы пользователям может быть предложено:
    • Для подтверждения того, что шифрование от другого провайдера не включено.
    • Требуется для отключения шифрования диска BitLocker, а затем повторного включения BitLocker.
  • Не настроено

  Если Windows включена, когда активен другой метод шифрования, устройство может работать нестабильно.

Основные параметры BitLocker

Основные параметры — это универсальные параметры BitLocker для всех типов дисков с данными.Эти параметры управляют задачами шифрования диска и параметрами конфигурации, которые конечный пользователь может изменять на всех типах дисков данных.

• Предупреждение о другом шифровании диска

  • Блокировка — Отключить предупреждение, если на устройстве есть другая служба шифрования диска.
  • Не настроено — Разрешает показывать предупреждение о другом шифровании диска.

  Совет

  Чтобы автоматически и без вывода сообщений установить BitLocker на устройстве Azure AD, присоединенном к Azure AD и работающем под управлением Windows 1809 или более поздней версии, для этого параметра должно быть задано значение Блокировка . Дополнительные сведения см. в разделе Автоматическое включение BitLocker на устройствах.

  После настройки блокировки вы можете настроить следующую настройку:

  • Разрешить обычным пользователям включать шифрование при присоединении к Azure AD
    Этот параметр применяется только к присоединению к Azure Active Directory (Azure ADJ) и зависит от предыдущего параметра. Предупреждение о другом шифровании диска
    По умолчанию : Не настроено
    CSP BitLocker: AllowStandardUserEncryption

    • Разрешить — обычные пользователи (не администраторы) могут включить шифрование BitLocker после входа в систему.
    • Не настроено Только администраторы могут включать шифрование BitLocker на устройстве.

  Совет

  Чтобы автоматически и без вывода сообщений установить BitLocker на устройстве, к которому будет присоединен Azure AD под управлением Windows 1809 или более поздней версии, для этого параметра необходимо установить значение Разрешить .Дополнительные сведения см. в разделе Автоматическое включение BitLocker на устройствах.

• Настройка методов шифрования
  По умолчанию : Не настроено
  BitLocker CSP: EncryptionMethodByDriveType

  • Включить — настроить алгоритмы шифрования для операционной системы, данных и съемных дисков.
  • Не настроено — метод шифрования по умолчанию — xts-AES 128 бит или метод шифрования, указанный в любом сценарии установки.

  После настройки параметра Включить можно настроить следующие параметры:

  • Шифрование дисков ОС
    По умолчанию : XTS-AES 128-бит

    Выберите метод шифрования для дисков операционной системы. Мы рекомендуем использовать алгоритм XTS-AES.

    • AES-CBC (128 бит)
    • AES-CBC (256 бит)
    • XTS-AES, 128 бит
    • XTS-AES 256 бит

  • Шифрование фиксированных дисков данных
    По умолчанию : AES-CBC 128-бит

    Выберите метод шифрования для фиксированных (встроенных) дисков данных.Мы рекомендуем использовать алгоритм XTS-AES.

    • AES-CBC (128 бит)
    • AES-CBC (256 бит)
    • XTS-AES, 128 бит
    • XTS-AES 256 бит

  • Шифрование съемных дисков с данными
    По умолчанию : AES-CBC 128-бит

    Выберите метод шифрования для съемных дисков с данными. Если съемный диск используется с устройствами, не работающими под управлением Windows 10/11, мы рекомендуем использовать алгоритм AES-CBC.

    • AES-CBC (128 бит)
    • AES-CBC (256 бит)
    • XTS-AES, 128 бит
    • XTS-AES 256 бит

Параметры диска BitLocker в операционных системах

Эти параметры применяются только к дискам с данными операционной системы.

• Дополнительная проверка подлинности при запуске
  По умолчанию : Не настроено
  BitLocker CSP: SystemDrivesRequireStartupAuthentication

  • Требовать — Настройте требования проверки подлинности при запуске компьютера, включая использование доверенного платформенного модуля (TPM).
  • Не настроено — Настройте только основные параметры на устройствах TPM.

  После настройки параметра для параметра Требовать можно настроить следующие параметры:

  • BitLocker с несовместимым набором микросхем TPM
    По умолчанию : не настроено

    • Блокировка — отключите BitLocker, если на устройстве нет совместимого чипа TPM.
    • Не настроено — пользователи могут использовать BitLocker без совместимого чипа TPM.BitLocker может потребовать пароль или ключ запуска.

  • Совместимость с загрузкой TPM
    По умолчанию : Разрешить TPM

    Укажите, разрешен ли, обязателен или запрещен tpm.

    • Разрешить TPM
    • Запретить службу TPM
    • Требуется доверенный платформенный модуль

  • Совместимый PIN-код запуска TPM
    По умолчанию : разрешить PIN-код запуска TPM

    Выберите, хотите ли вы разрешить, запретить или потребовать использования PIN-кода запуска с микросхемой TPM.Включение ПИН-кода при запуске требует взаимодействия со стороны конечного пользователя.

    • Разрешить запуск ПИН-кода из TPM
    • Запретить запуск ПИН-кода из TPM
    • Требовать загрузки PIN-кода от TPM

    Совет

    Чтобы автоматически и без вывода сообщений установить BitLocker на устройстве, присоединенном к Azure AD и работающем под управлением Windows 1809 или более поздней версии, для этого параметра нельзя задать значение Требовать ПИН-код запуска с доверенным платформенным модулем .Дополнительные сведения см. в разделе Автоматическое включение BitLocker на устройствах.

  • Совместимый ключ запуска TPM
    Значение по умолчанию : Разрешить ключ запуска с использованием TPM

    Выберите, чтобы разрешить, запретить или потребовать использования ключа загрузки с микросхемой TPM. Включение ключа запуска требует взаимодействия со стороны конечного пользователя.

    • Разрешить ключ запуска с TPM
    • Не разрешать ключ загрузки из TPM
    • Требовать ключ запуска от TPM

    Совет

    Чтобы автоматически и без вывода сообщений установить BitLocker на устройство, присоединенное к Azure AD и работающее под управлением Windows 1809 или более поздней версии, для этого параметра нельзя задать значение Требовать ключ запуска с TPM TPM .Дополнительные сведения см. в разделе Автоматическое включение BitLocker на устройствах.

  • Совместимый ключ запуска и ПИН-код TPM
    По умолчанию : Разрешить ключ запуска и ПИН-код от TPM

    Выберите, хотите ли вы разрешить, запретить или потребовать использования ключа запуска и PIN-кода с микросхемой TPM. Включение ключа запуска и PIN-кода требует взаимодействия со стороны конечного пользователя.

    • Разрешить ключ загрузки и PIN-код с помощью TPM
    • Не разрешать ключ запуска и PIN-код от TPM
    • Требовать ключ запуска и ПИН-код для TPM

    Совет

    Чтобы автоматически и без вывода сообщений установить BitLocker на устройство, присоединенное к Azure AD и работающее под управлением Windows 1809 или более поздней версии, для этого параметра нельзя задать значение Требовать ключ запуска и ПИН-код с доверенным платформенным модулем .Дополнительные сведения см. в разделе Автоматическое включение BitLocker на устройствах.

• Минимальная длина PIN-кода
  По умолчанию : Не настроено
  BitLocker CSP: SystemDrivesMinimumPINLength

  • Включить Настройте минимальную длину PIN-кода запуска TPM.
  • Не настроено — Пользователи могут настроить PIN-код запуска любой длины от 6 до 20 цифр.

  После параметра Включить можно настроить следующий параметр:

  • Минимум символов
    По умолчанию : Служба BitLocker CSP не настроена : SystemDrivesMinimumPINLength

    Введите необходимое количество символов для PIN-кода запуска из 420 -.

• Восстановление диска ОС
  По умолчанию : Не настроено
  BitLocker CSP: SystemDrivesRecoveryOptions

  • Включить — управлять восстановлением дисков операционной системы, защищенных BitLocker, когда необходимая информация о запуске недоступна.
  • Не настроено — для восстановления BitLocker поддерживаются параметры восстановления по умолчанию. По умолчанию разрешена оперативная память, параметры восстановления выбираются пользователем, включая пароль и ключ восстановления, а информация для восстановления не защищена AD DS.

  После настройки параметра Включить можно настроить следующие параметры:

  • Агент восстановления данных на основе сертификата
    По умолчанию : Не настроено

    • Блокировка — запретить использование агента восстановления данных с дисками операционной системы, защищенными BitLocker.
    • Не настроено — разрешить использование агентов восстановления данных с дисками операционной системы, защищенными BitLocker.

  • Создать пароль восстановления пользователем
    По умолчанию : Разрешить 48-значный пароль восстановления

    Укажите, разрешено ли пользователям, необходимо ли им генерировать 48-значный пароль восстановления или нет.

    • Разрешить 48-значный пароль восстановления
    • Не разрешать 48-значный пароль восстановления
    • Требовать 48-значный пароль восстановления

  • Пользователь создает ключ восстановления
    По умолчанию : Разрешить 256-битный ключ восстановления

    Укажите, могут ли пользователи создавать 256-битный ключ восстановления, требуется или нет.

    • Разрешить 256-битный ключ восстановления
    • Не разрешать 256-битный ключ восстановления
    • Требуется 256-битный ключ восстановления

  • Параметры восстановления в мастере настройки BitLocker
    По умолчанию : Не настроено

    • Блокировка — Пользователи не могут просматривать и изменять параметры восстановления. При установке на
    • Не настроено — пользователи могут просматривать и изменять параметры восстановления, когда BitLocker включен.

  • Запись сведений о восстановлении BitLocker в Azure Active Directory
    По умолчанию : Не настроено

    • Включить — хранить информацию о восстановлении BitLocker в Azure Active Directory (Azure AD).
    • Не настроено — информация о восстановлении BitLocker не хранится в Azure AD.

  • Информация для восстановления BitLocker, хранящаяся в Azure Active Directory
    По умолчанию : резервное копирование паролей и пакетов ключей для восстановления

    Настройте, какие фрагменты данных восстановления BitLocker хранятся в Azure AD.Выберите один из вариантов:

    • Пароли и пакеты ключей восстановления резервной копии
    • Только резервные копии паролей восстановления

  • Смена пароля при восстановлении на стороне клиента
    По умолчанию : смена ключей включена для устройств, подключенных к Azure AD
    BitLocker CSP: ConfigureRecoveryPasswordRotation

    Этот параметр инициирует смену пароля восстановления по инициативе клиента после восстановления диска операционной системы (с помощью bootmgr или WinRE).

    • Не настроено
    • Ключевое вращение отключено
    • Ключевая ротация включена для степени присоединения Azure AD
    Смена ключа
    • включена для устройств Azure AD и гибридного присоединения
    .

  • Сохранение информации для восстановления в Azure Active Directory до включения BitLocker
    По умолчанию : Не настроено

    Запретить пользователям включать BitLocker, если только компьютер не создал резервную копию информации для восстановления BitLocker в Azure Active Directory.

    • Требовать — запретить пользователям включать BitLocker, если информация о восстановлении BitLocker не будет успешно записана в Azure AD.
    • Не настроено — пользователи могут включить BitLocker, даже если информация для восстановления не была успешно сохранена в Azure AD.

• Сообщение о восстановлении перед загрузкой и URL-адрес
  По умолчанию : Не настроено
  BitLocker CSP: SystemDrivesRecoveryMessage

  • Включить — настроить сообщение и URL-адрес, отображаемые на экране восстановления перед загрузкой.
  • Не настроено — отключить эту функцию.

  После параметра Включить можно настроить следующий параметр:

  • Сообщение восстановления перед загрузкой
    По умолчанию : Используйте сообщение восстановления по умолчанию и URL-адрес

    Настройте способ представления пользователям сообщения о восстановлении перед запуском компьютера. Выберите один из вариантов:

    • Использовать сообщение восстановления по умолчанию и URL-адрес
    • Использовать пустое сообщение восстановления с URL-адресом
    • Использовать пользовательское сообщение восстановления
    • Использовать пользовательский URL-адрес восстановления

Исправлены параметры диска данных BitLocker

Эти параметры применяются только к фиксированным дискам данных.

• Доступ для записи к фиксированному диску данных, не защищенному BitLocker
  По умолчанию : Не настроено
  BitLocker CSP: FixedDrivesRequireEncryption

  • Блокировка — предоставление доступа только для чтения к дискам с данными, которые не защищены BitLocker.
  • Не настроено — По умолчанию доступ для чтения и записи к незашифрованным дискам данных.

• Исправлено восстановление диска
  По умолчанию : Не настроено
  BitLocker CSP: FixedDrivesRecoveryOptions

  • Включить — управлять восстановлением несъемных дисков, защищенных BitLocker, когда необходимая информация о запуске недоступна.
  • Не настроено — отключить эту функцию.

  После настройки параметра Включить можно настроить следующие параметры:

  • Агент восстановления данных
    По умолчанию : Не настроено

    • Блокировка — запретить использование агента восстановления данных с редактором политик для фиксированных дисков, защищенных BitLocker.
    • Не настроено — позволяет использовать агенты восстановления данных с фиксированными дисками, защищенными BitLocker.

  • Создать пароль восстановления пользователем
    По умолчанию : Разрешить 48-значный пароль восстановления

    Укажите, разрешено ли пользователям, необходимо ли им генерировать 48-значный пароль восстановления или нет.

    • Разрешить 48-значный пароль восстановления
    • Не разрешать 48-значный пароль восстановления
    • Требовать 48-значный пароль восстановления

  • Пользователь создает ключ восстановления
    По умолчанию : Разрешить 256-битный ключ восстановления

    Укажите, могут ли пользователи создавать 256-битный ключ восстановления, требуется или нет.

    • Разрешить 256-битный ключ восстановления
    • Не разрешать 256-битный ключ восстановления
    • Требуется 256-битный ключ восстановления

  • Параметры восстановления в мастере настройки BitLocker
    По умолчанию : Не настроено

    • Блокировка — Пользователи не могут просматривать и изменять параметры восстановления. При установке на
    • Не настроено — пользователи могут просматривать и изменять параметры восстановления, когда BitLocker включен.

  • Запись сведений о восстановлении BitLocker в Azure Active Directory
    По умолчанию : Не настроено

    • Включить — хранить информацию о восстановлении BitLocker в Azure Active Directory (Azure AD).
    • Не настроено — информация о восстановлении BitLocker не хранится в Azure AD.

  • Информация для восстановления BitLocker, хранящаяся в Azure Active Directory
    По умолчанию : резервное копирование паролей и пакетов ключей для восстановления

    Настройте, какие фрагменты данных восстановления BitLocker хранятся в Azure AD.Выберите один из вариантов:

    • Пароли и пакеты ключей восстановления резервной копии
    • Только резервные копии паролей восстановления

  • Сохранение информации для восстановления в Azure Active Directory до включения BitLocker
    По умолчанию : Не настроено

    Запретить пользователям включать BitLocker, если только компьютер не создал резервную копию информации для восстановления BitLocker в Azure Active Directory.

    • Требовать — запретить пользователям включать BitLocker, если информация о восстановлении BitLocker не будет успешно записана в Azure AD.
    • Не настроено — пользователи могут включить BitLocker, даже если информация для восстановления не была успешно сохранена в Azure AD.

Параметры съемных дисков данных BitLocker

Эти параметры применяются только к съемным дискам данных.

• Доступ для записи на съемные диски с данными, не защищенные BitLocker
  По умолчанию : Не настроено
  BitLocker CSP: Съемные дискиRequireEncryption

  • Блокировка — предоставление доступа только для чтения к дискам с данными, которые не защищены BitLocker.
  • Не настроено — По умолчанию доступ для чтения и записи к незашифрованным дискам данных.

  После параметра Включить можно настроить следующий параметр:

Защита от эксплойтов Microsoft Defender

Используйте защиту от эксплойтов, чтобы управлять и уменьшать поверхность атаки приложений, используемых вашими сотрудниками.

Уменьшение поверхности атаки

Правила уменьшения направлений атаки помогают предотвратить поведение, которое вредоносное ПО часто использует для заражения компьютеров вредоносным кодом.

Правила сокращения поверхности для атак

Дополнительные сведения см. в разделе Правила сокращения направлений атаки в документации Microsoft Defender для конечной точки.

Поведение слияния для правил уменьшения поверхности атаки Intune :

Правила защиты от атак обрабатывают объединение параметров из разных политик и создают переполнение политик для каждого устройства. Объединяются только неконфликтующие настройки, а конфликтующие настройки не добавляются в набор правил.Раньше, если две политики конфликтовали с одним параметром, обе политики помечались как конфликтующие, и ни один из профилей не реализовывал никаких параметров.

Поведение слияния политики сокращения направлений атаки выглядит следующим образом:

• Правила уменьшения уязвимой зоны для следующих профилей вычисляются для каждого устройства, к которому применяются эти правила:
  • Устройства> Политика конфигурации> Профиль Endpoint Protection> Microsoft Defender Exploit Guard> Уменьшение поверхности
  атаки
  • Правила уменьшения поверхности атаки> конечная точка> Уменьшение поверхности атаки
  • Endpoint Security> Basic> Microsoft Defender for Endpoint Baseline> Политика регулирования для атак .
• Параметры, не имеющие конфликтов, добавляются в поставку политики для устройства.
• Если две или более политик имеют конфликтующие параметры, конфликтующие параметры не добавляются в связанную политику, а неконфликтующие параметры добавляются в политику расширенного набора устройств.
• Заполнены только конфликтующие конфигурации настроек.

Настройки в этом профиле :

• Похитить учетные данные флага в подсистеме Windows локального органа безопасности
  По умолчанию : Не настроено
  Правило: Блокировать кражу учетных данных из подсистемы органа безопасности Windows (lsass.exe)

  Помогите предотвратить действия и приложения, которые обычно используются вредоносными программами, ищущими эксплойты, для заражения компьютеров.

  • Не настроено
  • Включить — украсть учетные данные флага в подсистеме локальной безопасности Windows (lsass.exe).
  • Только осмотр

• Создание процесса в Adobe Reader (бета)
  По умолчанию : Не настроено
  Правило: Блокировать создание дочерних процессов Adobe Reader

  • Не настроено
  • Включить — блокировать дочерние процессы, созданные в Adobe Reader.
  • Только осмотр

Правила предотвращения макроугроз Office

Запретите приложению Office выполнение следующих действий:

Политика предотвращения компрометации сценариев

Заблокируйте следующие элементы, чтобы предотвратить доступ к скриптовым угрозам:

Правила предотвращения угроз в сообщениях электронной почты

Заблокируйте следующие элементы для защиты от угроз электронной почты:

• Выполнение исполняемого файла содержимого (exe, dll, ps, js, vbs и т. д.) удалено из электронной почты (электронная почта / почтовый клиент) (без исключений)
  По умолчанию : Не настроено
  Правило: блокировать содержимое, выполняемое из электронной почты и почтового клиента Интернета

  • Не настроено
  • Блокировка - блокировка выполнения исполняемого контента (exe, dll, ps, js, vbs и т.д.), удаленного из электронной почты (веб-почта/почтовый клиент).
  • Только осмотр

Правила защиты от программ-вымогателей

Исключения сокращения поверхности для атак

Действительный

Чтобы обеспечить правильную установку и выполнение LOB-приложения win32, параметры защиты от вредоносных программ не должны сканироваться в следующих каталогах:
На клиентских компьютерах X64 :
C:\Program Files (x86)\Microsoft Intune Management Extension\ Содержимое
C:\windows\IMECache

На клиентах X86 :
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Дополнительные сведения см. в разделе Рекомендации по сканированию на вирусы для корпоративных компьютеров с поддерживаемыми в настоящее время версиями Windows.

Контролируемый доступ к папке

Помогите защитить ваши ценные данные от вредоносных приложений и угроз, таких как программы-вымогатели.

• Защита папки
  По умолчанию : Не настроено
  Защитник CSP: EnableControlledFolderAccess

  Защита файлов и папок от несанкционированных изменений с помощью удобных приложений.

  • Не настроено
  • Включить
  • Только осмотр
  • Модификация блочного диска
  • Осмотр модификации диска

  При выборе конфигурации, отличной от Не настроено , вы можете настроить:

  • Список приложений, имеющих доступ к защищенным папкам
    Защитник CSP: ControlledFolderAccessAllowedApplications

    • Импорт.csv со списком приложений.
    • Добавить приложения в этот список вручную.

  • Список дополнительных папок, которые необходимо защитить
    CSP Защитника: ControlledFolderAccessProtectedFolders

    • Импорт файла .csv, содержащего список папок.
    • Добавить папки в этот список вручную.

Сетевая фильтрация

Блокировка исходящих подключений любого приложения к IP-адресам или доменам с низкой репутацией.Веб-фильтрация поддерживается как в режиме аудита, так и в режиме блокировки.

• Защита сети
  По умолчанию : Не настроено
  Defender CSP: EnableNetworkProtection

  Целью этого параметра является защита конечных пользователей от приложений посредством фишинга, использования веб-сайтов и вредоносного содержимого в Интернете. Это также предотвращает подключение сторонних браузеров к небезопасным веб-сайтам.

  • Не настроено — отключить эту функцию. Пользователям и приложениям не блокируется подключение к опасным доменам. Администраторы не могут видеть это действие в Центре безопасности Microsoft Defender.
  • Включить — включить защиту сети и запретить пользователям и приложениям подключаться к опасным доменам. Администраторы могут видеть это действие в Центре безопасности Microsoft Defender.
  • Только аудит : - Пользователям и приложениям не блокируется подключение к опасным доменам.Администраторы могут видеть это действие в Центре безопасности Microsoft Defender.

Защита от эксплойтов

• Загрузка XML
  По умолчанию : Не настроено

  Чтобы использовать защиту от эксплойтов для защиты устройств от уязвимостей, создайте XML-файл, содержащий соответствующие параметры снижения воздействия на систему и приложения. Есть два способа создать файл XML:

  • PowerShell — используйте один или несколько командлетов PowerShell Get-ProcessMitigation , Set-ProcessMitigation и ConvertTo-ProcessMitigationPolicy .Командлеты настраивают параметры контрмер и экспортируют их XML-представление.

  • Центр безопасности Microsoft Defender пользовательского интерфейса . В Центре безопасности Microsoft Defender приложения щелкните элемент управления «Приложение и браузер», затем прокрутите экран вниз, чтобы найти эксплойт защиты. Сначала настройте параметры ограничения с помощью вкладок «Параметры системы» и «Параметры программы». Затем найдите ссылку «Экспорт настроек» в нижней части экрана, чтобы экспортировать их XML-представление.

• Редактирование пользовательского интерфейса защиты от уязвимостей
  По умолчанию : Не настроено
  ExploitGuard CSP: ExploitProtectionSettings

  • Блок — загрузите XML-файл, позволяющий настроить ограничения памяти, управления потоком и политик. Параметры в XML-файле можно использовать для блокировки использования уязвимостей приложением.
  • Не настроено — Пользовательская конфигурация не используется.

Управление приложениями Microsoft Defender

Выберите дополнительные приложения, которые должны быть проверены компанией или которым можно доверять для запуска в Microsoft Defender Application Control. Компоненты Windows и все приложения из Магазина Windows автоматически становятся доверенными для выполнения.

Защита учетных данных защитника Майкрософт

Credential Guard в Microsoft Defender защищает от атак с целью кражи учетных данных. Он изолирует секреты, чтобы только программное обеспечение с системными привилегиями могло получить к ним доступ.

• Credential Guard
  По умолчанию : Отключить
  DeviceGuard CSP

  • Отключить — Удаленное отключение Credential Guard, если оно ранее было включено с помощью параметра Включено без блокировки UEFI .

  • Включить с блокировкой UEFI — Credential Guard нельзя отключить удаленно с помощью раздела реестра или групповой политики.

    Примечание

    Если вы позже захотите отключить Credential Guard после использования этого параметра, вы должны установить групповую политику для этой функции на Disabled .Кроме того, физически удалите информацию о конфигурации UEFI с каждого компьютера. Пока сохраняется конфигурация UEFI, Credential Guard включен.

  • Включить без блокировки UEFI — позволяет удаленно отключить Credential Guard с помощью групповой политики. Устройства с этим параметром должны работать под управлением Windows 10 версии 1511 или более поздней или Windows 11.

  При включении функции Credential Guard также включаются следующие необходимые функции:

  • Безопасность на основе виртуализации (VBS)
    Включается при следующей перезагрузке.Безопасность на основе виртуализации поддерживает гипервизор Windows.
  • Безопасная загрузка с доступом к каталогу
    Включает защиту VBS с безопасной загрузкой и прямым доступом к памяти (DMA). Защита DMA требует аппаратной поддержки и включается только на правильно настроенных устройствах.

Центр безопасности Microsoft Defender

Центр безопасности Microsoft Defender работает как отдельное приложение или процесс с отдельными функциями.Уведомления отображаются через Центр уведомлений. Он действует как единое место, где вы можете проверить состояние и начать настройку отдельных функций. Узнайте больше о документах Microsoft Defender.

Центр безопасности Microsoft Defender для приложений и уведомлений

Блокировка доступа конечных пользователей к различным областям Центра безопасности Microsoft Defender приложения. Скрытие раздела также блокирует связанные уведомления.

• Защита от вирусов и угроз
  По умолчанию : Не настроено
  CSP WindowsDefenderSecurityCenter: DisableVirusUI

  Настройте, могут ли конечные пользователи просматривать Область защиты от вирусов и угроз в Центре безопасности Microsoft Defender. Скрытие этого раздела также приведет к блокировке всех уведомлений о защите от вирусов и угроз.

• Защита от программ-вымогателей
  По умолчанию : Не настроено
  CSP WindowsDefenderSecurityCenter: HideRansomwareDataRecovery

  Настройте, могут ли конечные пользователи просматривать область защиты программы-вымогателя в Центре безопасности Microsoft Defender.Скрытие этого раздела также приведет к блокировке всех уведомлений о защите от программ-вымогателей.

• Защита учетной записи
  По умолчанию : Не настроено
  CSP WindowsDefenderSecurityCenter: DisableAccountProtectionUI

  Настройте, могут ли конечные пользователи просматривать область защиты учетной записи в Центре безопасности Microsoft Defender. Скрытие этого раздела также приведет к блокировке всех уведомлений о защите учетной записи.

• Брандмауэр и защита сети
  По умолчанию : Не настроено
  CSP WindowsDefenderSecurityCenter: DisableNetworkUI

  Настройте, могут ли конечные пользователи просматривать область брандмауэра и сетевой защиты при выходе из Центра безопасности Microsoft Defender. Скрытие этого раздела также приведет к блокировке всех уведомлений брандмауэра и сетевой защиты.

• Управление приложением и браузером
  По умолчанию : Не настроено
  WindowsDefenderSecurityCenter CSP: DisableAppBrowserUI

  Настройте, могут ли конечные пользователи отображать область управления приложением и браузером в дескрипторе Центра безопасности Microsoft Defender.Скрытие этого раздела также приведет к блокировке всех уведомлений, связанных с управлением приложением и браузером.

• Аппаратная защита
  По умолчанию : Не настроено
  CSP WindowsDefenderSecurityCenter: DisableDeviceSecurityUI

  Настройте, могут ли конечные пользователи просматривать область защиты оборудования в Центре безопасности Microsoft Defender. Скрытие этого раздела также приведет к блокировке всех уведомлений о защите оборудования.

• Производительность и работоспособность устройства
  По умолчанию : Не настроено
  CSP WindowsDefenderSecurityCenter: DisableHealthUI

  Настройте, могут ли конечные пользователи просматривать производительность и работоспособность устройства при выходе из Центра безопасности Microsoft Defender. Скрытие этого раздела также приведет к блокировке всех уведомлений о производительности и работоспособности устройства.

• Семейные параметры
  По умолчанию : Не настроено
  CSP WindowsDefenderSecurityCenter: DisableFamilyUI

  Настройте, могут ли конечные пользователи просматривать область «Семейные параметры» в Центре безопасности Microsoft Defender.Скрытие этого раздела также приведет к блокировке всех уведомлений о семейных параметрах.

• Уведомления из отображаемых областей приложений
  По умолчанию : Не настроено
  CSP WindowsDefenderSecurityCenter: DisableNotifications

  Выберите уведомления, которые будут отображаться для конечных пользователей. Некритические уведомления включают сводки антивирусной программы Microsoft Defender, в том числе уведомления о завершении сканирования.Все остальные уведомления считаются критическими.

  • Не настроено
  • Блокировка некритических уведомлений
  • Блокировка всех уведомлений

• Безопасность Windows сосредоточена на панели задач
  По умолчанию : Не настроено

  Настроить отображение элемента управления областью уведомлений на экране. Пользователь должен выйти из системы и снова войти в систему или перезагрузить компьютер, чтобы этот параметр вступил в силу.

• Кнопка очистки TPM
  По умолчанию : Не настроено

  Настройте отображение кнопки «Очистить TPM».

  • Не настроено
  • Выкл.

• Предупреждение об обновлении микропрограммы TPM
  По умолчанию : Не настроено

  Настройте отображение обновлений прошивки TPM при обнаружении уязвимой прошивки.

• Защита от несанкционированного доступа
  По умолчанию : Не настроено

  Включить или отключить защиту от несанкционированного доступа для устройств. Чтобы использовать защиту от несанкционированного доступа, необходимо интегрировать Microsoft Defender для конечной точки с Intune и иметь Enterprise Mobility + Security E5.

  • Не настроено - Параметры устройства не изменены.
  • Включено — Защита от несанкционированного доступа включена, и на устройствах применяются ограничения.
  • Отключено — Защита от несанкционированного доступа отключена, ограничения не применяются.

Контактная информация отдела ИТ

Укажите контактную информацию ИТ-отдела, чтобы отображались Центр безопасности приложений Microsoft Defender и уведомления приложений.

Вы можете выбрать Показать в приложении и в уведомлениях , Показать только в приложении , Показать только в уведомлениях или Не показывать .Введите название ИТ-организации и хотя бы один из следующих вариантов связи:

• Контактная информация ИТ-отдела
  По умолчанию : Не отображается
  CSP WindowsDefenderSecurityCenter: EnableCustomizedToasts

  Настройте место для отображения контактной информации ИТ для конечных пользователей.

  • Отображение в приложении и в уведомлениях
  • Отображается только в приложении
  • Отображается только в уведомлениях
  • Не отображать

  После настройки дисплея вы можете настроить следующие параметры:

  • Название ИТ-организации
    По умолчанию : Не настроено
    CSP WindowsDefenderSecurityCenter: CompanyName

  • Номер телефона или Skype it ID
    По умолчанию : Не настроено
    CSP WindowsDefenderSecurityCenter: Телефон

  • Эл.

  • URL-адрес веб-сайта ИТ-поддержки
    По умолчанию : Не настроено
    WindowsDefenderSecurityCenter CSP: URL-адрес

Параметры безопасности локального устройства

Используйте эти параметры для настройки локальных параметров безопасности в Windows 10/11.

Счета

• Добавление новых учетных записей Microsoft
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: Accounts_BlockMicrosoftAccounts

  • Блокировка Запретить пользователям добавлять новые учетные записи Microsoft на устройство.
  • Не настроено — Пользователи могут использовать учетные записи Microsoft на устройстве.

• Удаленный выход без пароля
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

  • Блокировка — разрешить вход в локальные учетные записи только с пустыми паролями с помощью клавиатуры устройства.
  • Не настроено — Разрешить локальным учетным записям с пустыми паролями входить из мест, отличных от физического устройства.

Администратор

• Учетная запись локального администратора
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

  • Блокировка Запрет использования учетной записи локального администратора.
  • Не настроено

• Переименование учетной записи администратора
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: Accounts_RenameAdministratorAccount

  Определите другое имя учетной записи, которое будет связано с идентификатором безопасности (SID) для учетной записи «Администратор».

Гость

• Учетная запись гостя
  По умолчанию : Не настроено
  LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions

  • Блокировка - Предотвращает использование гостевой учетной записи.
  • Не настроено

• Переименование гостевой учетной записи
  По умолчанию : Не настроено
  LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

  Определите другое имя учетной записи, которое будет связано с идентификатором безопасности (SID) для учетной записи «Гость».

Устройства

• Отключить устройство без входа в систему
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: Devices_AllowUndockWithoutHavingToLogon

  • Блокировка — пользователь должен авторизоваться на устройстве и иметь права на отстыковку устройства.
  • Не настроено — пользователи могут нажать кнопку физической привязки мобильного устройства, чтобы безопасно отстыковать устройство.

• Установка драйверов принтеров для общих принтеров
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

  • Включено — Любой пользователь может установить драйвер принтера как часть подключения к общему принтеру.
  • Не настроено — Только администраторы могут устанавливать драйвер принтера как часть подключения к общему принтеру.

• Ограничение доступа к CD-ROM только для активного локального пользователя
  По умолчанию : Не настроено
  CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

  • Включено - Только пользователь, вошедший в систему в интерактивном режиме, может использовать мультимедийный компакт-диск.Если эти правила включены и никто не входит в систему в интерактивном режиме, компакт-диск доступен по сети.
  • Не настроено — Доступ к компакт-диску есть у всех.

• Форматирование и размещение съемных носителей
  По умолчанию : Администраторы
  CSP: Devices_AllowedToFormatAndEjectRemovableMedia

  Укажите, кто может форматировать и удалять съемные файловые носители NTFS:

  • Не настроено
  • Администраторы
  • Администраторы и опытные пользователи
  • Администраторы и интерактивные пользователи

Интерактивный вход

• Блокировка экрана в минутах бездействия до активации хранителя экрана
  По умолчанию : Не настроено

  Введите максимальное количество минут бездействия, пока экран не станет активным.( 0 - 99999 )

• Требуется вход с помощью клавиш CTRL + ALT + DEL
  По умолчанию : Не настроено
  Программа CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotRequireCTRLALTDEL

  • Включить — Требовать от пользователей нажатия CTRL + ALT + DEL перед входом в Windows.
  • Не настроено - Логин пользователя не требуется для нажатия CTRL+ALT+DEL.

• Поведение при удалении смарт-карты
  По умолчанию : Блокировка рабочей станции
  CSP LocalPoliciesSecurityOptions: InteractiveLogon_SmartCardRemovalBehavior

  Указывает, что происходит, когда смарт-карта вошедшего в систему пользователя удаляется из устройства чтения смарт-карт. Опции:

  • Блокировка рабочей станции — Рабочая станция блокируется после извлечения смарт-карты.Эта опция позволяет пользователям покинуть эту область, использовать смарт-карту и сохранить защищенный сеанс.
  • Нет действий
  • Принудительный вход — пользователь автоматически выйдет из системы после извлечения смарт-карты.
  • Отключение сеанса удаленного рабочего стола — удаление смарт-карты приведет к отключению сеанса без выхода пользователя из системы. Этот параметр позволяет пользователю вставить смарт-карту и возобновить сеанс позже или на другом компьютере с устройством чтения смарт-карт без необходимости повторного входа в систему.Если сеанс является локальным, эта политика будет идентична настройке блокировки рабочей станции.

Дисплей

• Информация о пользователе экрана блокировки
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

  Настройте информацию о пользователе, отображаемую при блокировке сеанса. Если не настроено, отображаются отображаемое имя, домен и имя пользователя.

  • Не настроено
  • Отображаемое имя, домен и имя пользователя для пользователя
  • Только отображаемое имя пользователя
  • Не отображать информацию о пользователе

• Скрыть последнего пользователя, вошедшего в систему
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayLastSignedIn

  • Включить - скрыть имя пользователя.
  • Не настроено - показать последнее имя пользователя.

• Скрыть имя пользователя при входе в систему По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayUsernameAtSignIn

  • Включить - скрыть имя пользователя.
  • Не настроено - показать последнее имя пользователя.

• Заголовок сообщения входа
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

  Установите заголовок сообщения для пользователей, входящих в систему.

• Текст сообщения при входе
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

  Установить текст сообщения для входа пользователей.

Доступ к сети и безопасность

• Анонимный доступ к именованным каналам и общим ресурсам
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

  • Не настроено — Ограничение анонимного доступа к общему доступу и настройкам именованного канала.Применяется к настройкам, доступ к которым возможен анонимно.
  • Блокировать — Отключите эту политику, чтобы сделать доступным анонимный доступ.

• Перечисление анонимных учетных записей SAM
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

  • Не настроено — Анонимные пользователи могут перечислять учетные записи SAM.
  • Блокировка - Предотвращение анонимного перечисления учетных записей SAM.

• Анонимное перечисление учетных записей и общих ресурсов SAM
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

  • Не настроено — Анонимные пользователи могут перечислять имена учетных записей домена и общие сетевые ресурсы.
  • Блокировка - Предотвращение анонимного перечисления учетных записей и общих ресурсов SAM.

• Хэш-значение LAN Manager, сохраняемое при смене пароля
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

  Укажите, будет ли сохраняться хэш-значение пароля при следующем изменении пароля.

  • Не настроено - хеш-значение не сохранено
  • Блокировка — Диспетчер локальной сети (LM) сохраняет хэш-значение нового пароля.

• Запросы аутентификации PKU2U
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: NetworkSecurity_AllowPKU2UAuthenticationRequests

  • Не настроено — Разрешить запросы pu2U.
  • Блокировка — блокировка запросов аутентификации PKU2U на устройстве.

• Ограничение удаленных подключений RPC в одиночку
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

  • Не настроено — Используйте дескриптор безопасности по умолчанию, который позволяет пользователям и группам удаленно подключаться к серверу SAM по протоколу RPC.

  • Разрешить — запретить удаленным пользователям и группам RPC доступ к диспетчеру учетных записей безопасности, где хранятся учетные записи пользователей и пароли. Разрешить также позволяет изменить строку языка определения дескрипторов безопасности (SDDL) по умолчанию, чтобы явно разрешить пользователям и группам создавать эти удаленные подключения.

    • Дескриптор безопасности
      По умолчанию : Не настроено

• Минимальная безопасность сеанса для клиентов на основе NTLM SSP
  По умолчанию : Нет
  CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

  Этот параметр безопасности позволяет серверу требовать согласования 128-битного шифрования и/или безопасности сеанса NTLMv2.

  • Нет
  • Требование безопасности сеанса NTLMv2
  • Требуется 128-битное шифрование
  • NTLMv2 и 128-битное шифрование

• Минимальная безопасность сеанса NTLM SSP
  По умолчанию : Нет
  CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

  Этот параметр безопасности указывает протокол проверки подлинности запрос/ответ, используемый для входа в сеть.

  • Нет
  • Требование безопасности сеанса NTLMv2
  • Требуется 128-битное шифрование
  • NTLMv2 и 128-битное шифрование

• Уровень аутентификации LAN Manager
  По умолчанию : LM и NTLM
  CSP LocalPoliciesSecurityOptions: NetworkSecurity_LANManagerAuthenticationLevel

  • LM и NTLM
  • LM, NTLM и NTLMv2
  • НТЛМ
  • NTLMv2
  • NTLMv2, а не LM
  • NTLMv2, а не LM или NTLM

• Небезопасный гостевой вход в систему
  По умолчанию : Не настроено
  LanmanWorkstation CSP: LanmanWorkstation

  Включение этого параметра приведет к тому, что клиент SMB будет отклонять незащищенные гостевые входы в систему.

  • Не настроено
  • Блокировка — клиент SMB отклоняет незащищенные гостевые входы в систему.

Консоль восстановления и

Завершение работы

• Очистить файл страниц виртуальной памяти при закрытии
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: Shutdown_ClearVirtualMemoryPageFile

  • Включить — очистить файл страниц виртуальной памяти, если устройство поддерживается.
  • Не настроено — Не очищает виртуальную память.

• Завершение работы без входа в систему
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

  • Блокировка - скрыть параметр выключения для входа в Windows. Пользователи должны войти на устройство, а затем выключить устройство.
  • Не настроено — разрешить пользователям выключать устройство с экрана входа в систему Windows.

Контроль учетных записей пользователей

• Целостность пользовательского интерфейса без безопасного расположения
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

  • Блокировка — Приложения, которые находятся в безопасном месте в файловой системе, будут работать только с целостностью пользовательского интерфейса.
  • Не настроено — позволяет запускать приложения с целостностью доступа к пользовательскому интерфейсу, даже если приложения не находятся в безопасном месте в файловой системе.

• Виртуализация ошибок записи файлов и реестра в расположениях на пользователя
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

  • Включено — Приложения, записывающие данные в защищенные места, не будут работать.
  • Не настроено — Ошибки записи приложения перенаправляются при запуске в определенные пользователем места в файловой системе и реестре.

• Использовать только подписанные и проверенные исполняемые файлы.

  • Включено — Принудительная проверка пути сертификации PKI для исполняемого файла перед его запуском.
  • Не настроено — Не выполнять принудительную проверку пути сертификации PKI перед запуском исполняемого файла.

Поведение запроса на повышение прав пользовательского интерфейса

• Запрос на повышение прав для администраторов
  По умолчанию : Запрашивать согласие на данные, отличные от двоичных файлов Windows
  Программа CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

  Определите поведение запроса на продвижение для администраторов в режиме одобрения администратором.

  • Не настроено
  • Пошлина без напоминания
  • Запрашивать учетные данные на защищенном рабочем столе
  • Запрос учетных данных
  • Запрос на утверждение
  • Запрос на утверждение для двоичных файлов Windows

• Запрос повышения для обычных пользователей
  По умолчанию : Запрос учетных данных
  CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

  Определите поведение запроса повышения для обычных пользователей.

  • Не настроено
  • Автоматически отклонять запросы на увеличение
  • Запрашивать учетные данные на защищенном рабочем столе
  • Запрос учетных данных

• Предлагает перейти к интерактивному рабочему столу пользователя
  По умолчанию : Не настроено
  LocalPoliciesSecurityOptions CSP: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

  • Включено — Все запросы на продвижение направляются на интерактивный рабочий стол пользователя, а не на безопасный рабочий стол.Используются любые параметры политики поведения подсказок для администраторов и обычных пользователей.
  • Не настроено — принудительно переводить все запросы на продвижение на безопасный рабочий стол независимо от параметров политики поведения запросов для администраторов и обычных пользователей.

• Запрос на установку приложения с повышенными привилегиями
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

  • Включено — Пакеты установки приложений не обнаруживаются и не запрашиваются для продвижения.
  • Не настроено — Если для пакета установки приложения требуются повышенные привилегии, вам будет предложено ввести имя пользователя и пароль администратора.

• Запрашивать повышение прав пользовательского интерфейса без безопасного рабочего стола
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

• Включить — разрешить приложениям пользовательского интерфейса запрашивать повышение прав без использования безопасного рабочего стола.

• Не настроено — Запросы на повышение прав используют безопасный рабочий стол.

Режим утверждения администратором

• Режим утверждения администратором для встроенного администратора
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: UserAccountControl_UseAdminApprovalMode

  • Включено — Разрешить встроенной учетной записи администратора использовать режим одобрения администратором.Каждая операция, требующая повышения привилегий, предлагает пользователю утвердить операцию.
  • Не настроено - Все приложения запускаются с полными правами администратора.

• Запуск всех администраторов в режиме утверждения администратором
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

  • Включено — Включить режим одобрения администратором.
  • Не настроено — отключить режим одобрения администратором и все связанные параметры политики контроля учетных записей.

Сетевой клиент Microsoft

• Цифровая подпись сообщений (если сервер согласен)
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

  Указывает, согласовал ли клиент SMB согласование подписания пакетов SMB.

  • Блокировка — Клиент SMB никогда не согласовывал подписи пакетов SMB.
  • Не настроено — сетевой клиент Microsoft запрашивает у сервера запуск подписи пакетов SMB во время настройки сеанса. Если на сервере включено подписывание пакетов, подписи пакетов согласовываются.

• Отправка незашифрованного пароля на сторонние SMB-серверы
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

  • Блокировка — перенаправитель Server Message Blocking (SMB) может отправлять пароли в виде обычного текста на SMB-серверы сторонних производителей, которые не поддерживают шифрование паролей во время проверки подлинности.
  • Не настроено - Блокировка отправки паролей открытым текстом. Пароли зашифрованы.

• Цифровая подпись сообщений (всегда)
  По умолчанию : Не настроено
  CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

  • Включить — веб-клиент Microsoft не взаимодействует с веб-сервером Microsoft, если этот сервер не соглашается подписывать пакеты SMB.
  • Не настроено — подписание пакетов SMB согласовывается между клиентом и сервером.

Сетевой сервер Microsoft

• Цифровая подпись (с согласия клиента)
  По умолчанию : Не настроено
  CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

  • Включить — сетевой сервер Microsoft согласовал подпись пакета SMB в соответствии с запросом клиента.Это означает, что если подписание пакетов включено на клиенте, это время согласования подписания пакетов.
  • Не настроено — Клиент SMB никогда не согласовывал согласование подписания пакетов SMB.

• Цифровая подпись сообщений (всегда)
  По умолчанию : Не настроено
  CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

  • Включить — веб-сервер Microsoft не взаимодействует с веб-клиентом Microsoft, если клиент не соглашается подписывать пакеты SMB.
  • Не настроено — подписание пакетов SMB согласовывается между клиентом и сервером.

Службы Xbox

Следующие шаги

Профиль будет создан, но пока ничего делать не нужно. Затем назначьте профиль и следите за его статусом.

Настройте параметры защиты конечной точки на устройствах macOS.

.

Как получить доступ к политике в Windows 10?

Как получить доступ к политикам в Windows 10?

Чтобы открыть локальную политику безопасности, на экране запуска введите secpol. msc , а затем нажмите клавишу ВВОД. В области «Параметры безопасности» дерева консоли выполните одно из следующих действий: Нажмите «Политики учетных записей», чтобы изменить политику паролей или политику блокировки учетных записей.

Как открыть политику Windows?

Откройте редактор групповой политики из окна «Выполнить»

Вы также можете быстро запустить редактор групповой политики с помощью команды «Выполнить».Нажмите Windows + R на клавиатуре, чтобы открыть окно «Выполнить», введите gpedit. msc , затем нажмите Enter или нажмите «ОК».

Как открыть редактор групповой политики в Windows 10?

Существует несколько способов доступа к редактору групповой политики.

1. Откройте меню «Пуск» и найдите gpedit. Магистр
2. Нажмите клавишу Windows + R. Введите gpedit. msc в окне «Выполнить» и выберите «ОК».
3. Создайте ярлык для gpedit.msc и поместите его на рабочий стол. В проводнике перейдите в папку C:WindowsSystem32gpedit. Магистр

Как включить правила?

Краткое руководство: поиск Start или Run для GPEdit . msc, чтобы открыть редактор групповой политики, затем перейдите к нужному параметру, дважды щелкните его и выберите «Включить» или «Отключить» и «Применить/ОК».

Есть ли в Windows 10 групповая политика?

Что такое групповая политика в Windows 10, 8, 8.1? Групповая политика — это удобная функция, которая позволяет вам управлять учетными записями Windows и настраивать дополнительные параметры, к которым нельзя получить доступ через приложение «Настройки». Работать с групповой политикой можно через удобный интерфейс под названием Редактор локальной групповой политики .

Как найти политику локального компьютера?

Откройте редактор локальной групповой политики из окна «Выполнить» (все версии Windows). Нажмите Win + R на клавиатуре, чтобы открыть окно «Выполнить».В открытом поле введите «gpedit. msc » и нажмите Enter на клавиатуре или нажмите OK.

Что такое команда групповой политики?

GPResult — это утилита командной строки, которая отображает информацию результирующего набора политик (RsoP) для пользователя и компьютера. Другими словами, он создает отчет, который показывает, какие объекты групповой политики применяются к пользователю и компьютеру.

Как изменить локальную групповую политику?

Windows предоставляет консоль управления групповыми политиками (GPMC) для управления и настройки параметров групповой политики.

1. Шаг 1. Войдите на контроллер домена как администратор. …
2. Шаг 2. Запустите средство управления групповыми политиками. …
3. Шаг 3 - Перейти в нужную OU. …
4. Шаг 4 - Отредактируйте групповую политику.

Что такое локальная групповая политика в Windows?

Редактор локальной групповой политики — это оснастка консоли управления (MMC), которая используется для настройки и изменения параметров групповой политики в объектах групповой политики (GPO).Администраторы должны иметь возможность быстро изменять параметры групповой политики для нескольких пользователей и компьютеров в сетевой среде.

Как установить Gpedit MSC в Windows 10?

Загрузить Добавить редактор групповой политики в Windows 10 Home с помощью PowerShell. Щелкните правой кнопкой мыши gpedit-enabler. bat и нажмите «Запуск от имени администратора». Когда это будет сделано, вы увидите прокрутку текста и закрытие Windows.

В чем разница между локальной политикой безопасности и групповой политикой?

В то время как групповая политика обычно применяется к компьютеру и пользователям в домене и часто устанавливается администратором домена из центрального расположения, локальная политика безопасности, как следует из названия, применяется только к вашему конкретному локальному компьютеру .

Какова местная политика?

местная политика означает любую внешнюю политику, изданную Компании в иностранной юрисдикции для соблюдения правил; такой иностранной юрисдикции.

Не удается открыть Gpedit win 10?

Не удалось открыть редактор локальной групповой политики Windows 10

• Чтобы просмотреть выпуск системы, щелкните правой кнопкой мыши значок «Меню» и выберите «Настройки».…
• Шаг 1: Нажмите клавишу Windows + R, чтобы открыть диалоговое окно «Выполнить», затем введите «mmc» без кавычек, чтобы открыть консоль управления Microsoft.
• Шаг 2: Нажмите «Файл», затем выберите «Добавить/удалить оснастку…» в раскрывающемся меню.

.

Как создать локальную политику безопасности в Windows 10?

В дереве консоли щелкните Конфигурация компьютера, щелкните Параметры Windows, а затем щелкните Параметры безопасности. Выполните одно из следующих действий: Нажмите «Политики учетных записей», чтобы изменить политику паролей или политику блокировки учетных записей. Нажмите «Локальные политики», чтобы изменить политику аудита, назначение прав пользователя или параметры безопасности.

Есть ли в Windows 10 локальная политика безопасности?

Локальная политика безопасности (secpol.msc) в Windows 10 содержит информацию о безопасности для локального компьютера . Если вы пытаетесь получить доступ к локальной политике безопасности в Windows 10 Home, вы получите сообщение об ошибке, в котором говорится, что Windows 10 не может найти secpol.

Как найти мою локальную политику безопасности?

Доступ к локальным политикам безопасности из локальной групповой политики

В Редактор локальной групповой политики в разделе «Конфигурация компьютера» разверните «Параметры Windows».Затем разверните Настройки безопасности. Вы можете настроить локальную политику безопасности из выделенного раздела изображения ниже.

Что такое локальная политика безопасности Windows?

Политика безопасности локальной системы: информация о безопасности, установленная для локального компьютера . … Какие учетные записи пользователей могут получить доступ к системе и как. Например, интерактивно, по сети или как услуга. Права и привилегии, закрепленные за учетными записями.

Как настроить локальную политику безопасности для принудительного применения ограничений пароля?

Чтобы установить политику паролей с помощью редактора локальной политики безопасности, вам необходимо: сначала дважды щелкнуть «Политику учетных записей» слева, а затем нажать «Политика паролей» . Это вызовет различные варианты настройки политики паролей на компьютере под управлением Windows 10.

Как открыть локальную политику безопасности?

Откройте диалоговое окно «Выполнить» с помощью Win + R, введите secpol. Мастер в поле и нажмите ОК. После этого откроется локальная политика безопасности.

Как называется файл локальной политики безопасности?

Чтобы открыть редактор локальной групповой политики, выберите «Пуск» > «Выполнить» и введите. … Какое имя файла консоли локальной политики безопасности? СЕКПОЛ.MSC . .

Как экспортировать локальную политику безопасности?

Импорт и экспорт локальной политики безопасности Windows

1. Нажмите «Пуск» -> «Выполнить», введите «secpol.msc», чтобы открыть инструмент «Политика безопасности».
2. При необходимости настройте политику паролей.
3. Щелкните правой кнопкой мыши «Параметры безопасности» и выберите «Экспорт политики...», чтобы экспортировать параметры в. инф файл

Как отключить локальную политику безопасности?

Вариант 1 — отключить обновление групповой политики

1. Удерживая нажатой клавишу Windows, нажмите «R», чтобы вызвать окно «Выполнить».
2. Введите «gpedit. ...
3. В "Политике локального компьютера" Перейдите в "Конфигурация компьютера" > "Административные шаблоны" > "Система" > "Групповая политика".
4. Откройте параметр «Отключить фоновое обновление групповой политики».

Как найти локальную политику в Windows 10?

Вариант 1. Откройте редактор локальной групповой политики из командной строки

Нажмите клавишу Windows + X, чтобы открыть меню быстрого доступа. Щелкните Командная строка (администратор). Введите gpedit в командной строке и нажмите Enter. Это откроет редактор локальной групповой политики в Windows 10.

Каковы категории параметров локальной политики безопасности?

Расширение «Параметры безопасности» редактора локальной групповой политики включает следующие типы политик безопасности:

• Политики учетных записей. …
• Локальные политики. …
• Брандмауэр Windows в режиме повышенной безопасности. …
• Политика Net List Manager.…
• Политика открытого ключа. …
• Правила ограниченного использования программ. …
• Политика управления приложениями.

Что такое местная политика?

местная политика означает любую внешнюю политику, изданную Компании в иностранной юрисдикции для соблюдения законов такой иностранной юрисдикции .

Как удаленно изменить локальную политику безопасности?

Правильный ответ: вы не можете редактировать ЛОКАЛЬНУЮ ПОЛИТИКУ БЕЗОПАСНОСТИ на удаленном компьютере.Вместо можно экспортировать настройки с другого компьютера и затем импортировать их на .

Как добавить пользователя в локальную политику безопасности?

Перейдите в раздел «Администрирование», щелкните «Локальная политика безопасности». Разверните Локальные политики, щелкните Назначение прав пользователя. На правой панели щелкните правой кнопкой мыши Войти как служба и выберите Свойства. Щелкните Добавить пользователя или группу , чтобы добавить нового пользователя.

Как изменить локальную групповую политику?

Windows предоставляет консоль управления групповыми политиками (GPMC) для управления и настройки параметров групповой политики.

1. Шаг 1. Войдите на контроллер домена как администратор. …
2. Шаг 2. Запустите средство управления групповыми политиками. …
3. Шаг 3 - Перейти в нужную OU. …
4. Шаг 4 - Отредактируйте групповую политику.

В чем разница между локальной политикой безопасности и групповой политикой?

В то время как групповая политика обычно применяется к компьютеру и пользователям в домене и часто устанавливается администратором домена из центрального расположения, локальная политика безопасности, как следует из названия, применяется только к вашему конкретному локальному компьютеру .

.

Как включить или отключить контрольные вопросы в Windows 10

Начиная с Windows 10 v1803 Build 17063, Microsoft сделала обязательной установку контрольных вопросов для локальных учетных записей пользователей. Преимущество установки контрольных вопросов заключается в том, что вы можете легко сбросить пароль учетной записи локального пользователя. Просто ответьте на несколько вопросов. Если вам не нравятся эти контрольные вопросы, начиная со сборки 18237, вы можете отключить контрольные вопросы для локальных учетных записей в Windows 10.После отключения Windows 10 больше не будет предлагать вам задать контрольные вопросы при создании новых учетных записей локальных пользователей.

Позвольте мне показать вам, как включить или отключить контрольные вопросы для локальных учетных записей пользователей в Windows 10.

В Windows 10 нет никаких параметров в приложении «Параметры», позволяющих отключить контрольные вопросы для локальных учетных записей. Однако их по-прежнему можно включать и выключать в редакторе групповой политики и/или редакторе реестра.Я покажу вам, как.

Включение или отключение контрольных вопросов в Windows 10:

1. Из редактора групповой политики (простой способ)
2. Из редактора реестра

Для включения или отключения контрольных вопросов для локальных учетных записей необходимо использовать Windows10 версии 1903 или более поздней. Если ваша версия Windows 10 ниже указанной, вы не найдете искомую группу полиции.

Включение или отключение контрольных вопросов в редакторе групповой политики

Если вы используете Windows 10 pro, вы можете отключить контрольные вопросы для локальных учетных записей пользователей с помощью редактора групповой политики.Все, что вам нужно сделать, это включить одну политику, и все готово. Для изменения статуса контрольных вопросов в Windows 10 у вас должны быть права администратора. В окне редактора политик перейдите к « Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Пользовательский интерфейс учетных данных "

3. Здесь вы увидите правила для учетных данных. На правой панели найдите и дважды щелкните политику « Запретить использование секретных вопросов для локальных учетных записей ». Это политика, которая управляет настройками контрольных вопросов.

4. Настройте параметры следующим образом.

• Отключить контрольные вопросы , выберите « Включено » и нажмите « Хорошо » сохраните изменения.

Политика будет автоматически применена при следующем перезапуске. При желании вы можете принудительно обновить групповую политику, выполнив команду force gpupdate в окне командной строки от имени администратора.

Включение или отключение контрольных вопросов в редакторе реестра

Если вы являетесь пользователем Windows 10 Home, у вас не будет доступа к редактору групповой политики. Однако их по-прежнему можно включать и выключать в редакторе реестра. Вам просто нужно создать значение реестра.Чтобы быть в безопасности, сделайте резервную копию реестра, прежде чем вносить какие-либо изменения. Вы также можете создать точку восстановления системы.

Для простоты использования я предоставил reg загрузки. Загрузите приведенный ниже reg-файл по мере необходимости и дважды щелкните его, чтобы добавить необходимые ключи и значения.

Быстрый совет: вы можете открыть файлы .reg в Блокноте, чтобы увидеть, какие ключи и значения вы создаете или добавляете, выполняя указанный файл.

С другой стороны, если вы хотите применить практический подход, вы можете использовать ручной метод, показанный ниже.

Отключение контрольных вопросов с помощью reg-файла

Чтобы отключить контрольные вопросы, загрузите этот reg-файл и дважды щелкните его. При появлении запроса нажмите « да ».

Включить контрольные вопросы с помощью reg-файла

Чтобы включить контрольные вопросы, загрузите этот reg-файл и дважды щелкните его.При появлении запроса нажмите « да ».

Ручной метод

1. Найдите « regedit » в меню «Пуск», щелкните правой кнопкой мыши и выберите « Запуск от имени администратора ».

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSystem

3. На правой панели щелкните правой кнопкой мыши и выберите « New -> DWORD (32-bit) value ».Назовите новое значение « NoLocalPasswordResetQuestions » и нажмите Enter. ", чтобы включить контрольные вопросы

Примечание: Чтобы включить контрольные вопросы, вы также можете удалить вновь созданное значение

По завершении нажмите "ОК", чтобы сохранить изменения и закрыть редактор реестра.Перезагрузите систему, чтобы изменения вступили в силу.

Вот и все. Включить или отключить контрольные вопросы в Windows 10 очень просто.

.

Как редактировать групповую политику в Windows 10 8.1

Групповая политика — это функция Windows 10, 8.1, которая в основном помогает пользователям лучше администрировать операционную систему. Обычно он контролирует, что человек / пользователь может делать на компьютере с Windows, и, таким образом, предотвращает несанкционированное использование или, например, ограничивает доступ к локальному компьютеру. Вы должны войти в систему как администратор на этом компьютере, чтобы изменить параметры групповой политики. Итак, если вы хотите отредактировать групповую политику в Windows 10, 8.1 и вы точно не знаете, как это сделать, посмотрите наш учебник.

Если вы хотите изменить параметр групповой политики в Windows 10, 8.1, он немного отличается от предыдущих операционных систем. Тем не менее, я рад сказать, что это так же просто, как и старые версии, если не проще.

Кроме того, в Windows 10, 8.1 Microsoft представила некоторые новые ключевые функции в параметрах групповой политики, которых нет в более старых операционных системах: «Настройка кэширования групповой политики» и «Настройка задержки сценария входа».Вы узнаете больше о том, что они делают, после того, как мы покажем вам, как редактировать функцию групповой политики. За несколько коротких шагов я объясню, как именно вы можете редактировать эту функцию в Windows 10, 8.1.

Изменить групповую политику в Windows 10, 8.1

Обычно доступ к групповой политике можно получить с помощью параметра Gpedit, но в Windows 10, 8.1 Enterprise и Windows 10, 8.1 Pro у нас есть что-то похожее на этот параметр, который называется Secpol. Этот инструмент проверяет безопасность локальной групповой политики.

1. Используйте secpol.msc

1. Нам нужно щелкнуть левой кнопкой мыши по диалоговому окну поиска, вы можете найти его в панели приложений или в боковой панели «Везде».
2. Введите в поле поиска secpol.msc (обязательно введите команду точно так, как показано)
3. Теперь щелкните левой кнопкой мыши значок secpol перед собой.
4. В папке «Параметры безопасности», где находятся «Локальные политики», дважды щелкните (щелкните левой кнопкой мыши) «Локальные политики».

5. Выберите одну из категорий, которую вы хотите отредактировать, дважды щелкнув по ней (двойной щелчок левой кнопкой). Пример «Параметры безопасности»
5. С правой стороны есть вкладка «Политика» и вкладка «Параметры безопасности»
6. Чтобы отключить или включить групповую политику, просто дважды щелкните (щелкните левой кнопкой мыши) в поле рядом с политикой на вкладке «Настройки безопасности» » и выберите оттуда нужный вариант. Например, «Отключить» или «Включить»

Обратите внимание, что эта функция secpol.msc работает только в Windows 10, 8.1 Enterprise и Windows 10, 8.1 Pro. В базовой версии Windows такой возможности нет.

• 2. Используйте Gpedit.msc

  В базовой версии вы сможете редактировать групповую политику через Gpedit.msc , выполнив описанные выше шаги и заменив secpol.msc на Gpedit.msc. Как видно на скриншоте ниже, есть две основные ветки: конфигурация компьютера и конфигурация пользователя .

  Например, если вы хотите ограничить доступ других пользователей к определенным компонентам Windows, перейдите в «Административные шаблоны», выберите функцию, которую хотите изменить, и включите или отключите доступ к соответствующей функции.

  Вот несколько коротких шагов по редактированию групповой политики в Windows 10, 8.1. Если у вас есть, что добавить к этой статье, или если вы считаете ее полезной, сообщите нам об этом ниже.

  Утвердить

.

Управление безопасностью с помощью групповой политики и шаблонов безопасности

Стандартная установка Windows XP, настроенная по умолчанию для удовлетворения потребностей максимально широкой аудитории. пользователи. Хотя такая конфигурация относительно безопасна, иногда стоит улучшить качество защиты системы, путем изменения настроек нескольких опций. В этом поможет групповая политика . Это набор опций, с помощью которых мы можем определить определенные правила и поведение системы.Хотя чаще они используется администраторами, которые упрощают управление несколькими хостами, мы можем использовать групповую политику для повышение уровня безопасности отдельного компьютера. Когда их использование имеет смысл? Прежде всего, когда более одного человека используют используемый компьютер, или существует вероятность такого доступа постороннего лица. Нетрудно представить ситуацию, когда мы выходим из офиса на кофе, не выходя из системы.Использование , групповой политики также поможет нам защитить систему. перед нашим отвлечением. Однако помните об умеренности и здравом смысле, так как некоторые варианты могут даже снизить уровень безопасности или эффективно препятствовать использованию компьютера.

Групповая политика

Большинство групповой политики можно найти в локальных параметрах безопасности. Мы можем получить к ним доступ, открыв Панель управления , выбрав Производительность и обслуживание , затем Администрирование , где находится Локальная политика безопасности .Однако вы можете настроить те же параметры с помощью родительского инструменты - консоль Групповая политика . Чтобы его узнать, запустим из командной строки: gpedit.msc . Параметры безопасности можно найти в разделе Параметры Windows Конфигурация компьютера . Нетрудно увидеть, сколько различных вариантов у нас есть. Самые интересные можно найти в Политика учетной записи и Локальная политика , но вы также должны прочитать настройки в другие ветки дерева Local Computer Policy (т.е. наша консоль gpedit ).Для большинства вариантов консоль предоставляет сокращенное описание их работы. Его стоит прочитать перед настройкой, потому что имена политик иногда может сбить с толку.
Попробуем найти варианты, которые нас интересуют больше всего. Безусловно, к ним относятся Password Policy , которые являются подмножеством политик учетной записи . Конфигурация этих элементов по умолчанию довольно слабая, и ее стоит изменить. немного более строго. В первую очередь следует увеличить минимальную длину пароля.В рамках, конечно здравый смысл. Значение между 8-12 символами кажется подходящим.

Также включим опцию: Пароль должен совпадать требование сложности . Мы также можем установить требование менять пароль каждый указанный период времени. Несмотря на то что его часто рекомендуют, но на практике он сам является источником проблем. Фактически пользователи путают и забывают пароли то, что они записывают их на бумажках, приклеенных к монитору, или выбирают легкую и очевидную фразу, которая настораживает доступ к компьютеру.

По этой причине оставим эти опции отключенными. Тем не менее, стоит взглянуть на следующую коллекцию Политика учетной записи или Политика блокировки учетной записи . В этом разделе вы можете определить процедуры, которые должны выполняться, когда вход пользователя не удастся. Порог блокировки учетной записи должен быть установлен равным трем неудачным попыткам. Это усложнит угадывая наш пароль, и это не отрежет нам доступ к компьютеру, когда мы в спешке ошибемся при авторизации. Продолжительность блокировки учетной записи должна быть установлена ​​такой длины, чтобы препятствовать любым попыткам получения несанкционированный доступ к компьютеру. Так что это должно быть не мгновение, а 15-25 минут. За это время мы должны вернемся с кофе-брейка и заметим возможную блокировку аккаунта, что должно вызвать у нас беспокойство и соответствующие действия. Если мы установим время слишком долго, однажды оно может отомстить нам. Когда мы сами блокируем нашу учетную запись, мы не попадем на него, даже если помним правильный пароль.

Нетрудно заметить, что значение Lock Duration учетная запись зависит от . Счетчик блокировки учетной записи обнуляется. Разница в том, что когда мы совершаем один ошибка при входе, то после Сбросить счетчик блокировки аккаунта наша ошибка забудется. Блокада Учетные записи, с другой стороны, активируются после превышения ранее установленного порога ошибок. При снятии блокировки сбрасывается на ноль одновременно счетчик.
Теперь давайте взглянем на Local Policies.Здесь мы можем найти множество ценных опций для защиты системы. Этот сборник разделен на две части: Назначение прав пользователя и Параметры безопасности . Во-первых мы можем определить, какие пользователи будут иметь какие разрешения. Однако в параметрах безопасности мы установили определенные правила, которым следует система. Есть несколько интересных вариантов, которые могут нас заинтересовать. Мы можем, например решили, что никто, кроме нас, не должен иметь возможности выключить компьютер.Чтобы обеспечить это, давайте изменим опция Shutdown System , которая находится в разделе Assign User Rights , оставляем там соответствующие группы пользователей. Имейте в виду, что это не позволит неавторизованным пользователям отключать компьютер из вашей учетной записи. Однако вы по-прежнему сможете завершить работу системы без входа в систему. Чтобы запретить и это, нам нужно найти в Security Options правило: Shutdown: разрешить выключение без необходимости войдите и отключите его.
Третья группа параметров конфигурации — это Административные шаблоны . В них можно найти более подробные настройки, которые регулируют рабочую среду пользователей. Вы можете использовать опции там, среди прочего выключи доступ к панели управления , блокировать ли возможность изменения параметров сетевого подключения. Мы будем использовать другой очень ценная опция - Запрашивать пароль при выходе из режима гибернации/ожидания . Это очень полезная функция, которая будет запрашивать авторизацию при длительном отходе от компьютера не выходя из системы.Этот параметр находится в административных шаблонах , расположенных в конфигурации . пользователь дерева консоли, которое обрабатывается при входе в систему. Из папки System выбираем Управление энергопотреблением . В правом окне консоли у нас есть одна — интересная опция.
Как видите, есть много настроек, к которым мы можем получить доступ с помощью групповой политики , поэтому также есть много возможностей настройки. системы для удовлетворения индивидуальных потребностей огромны.

Шаблоны безопасности

Мы уже рассмотрели групповую политику . Однако как эффективно их использовать и управлять ими? Вы можете использовать Шаблоны безопасности . Это еще одно дополнение к консоли MMC . С его помощью мы можем воспользоваться наборы правил, которые были подготовлены для определенной цели (например, шаблон Rootsec предоставляет разрешения на корневую папку системного диска). Мы также можем создать собственный шаблон, который изменит конфигурацию в соответствии с нашими потребностями. удовлетворительно после восстановления исходных настроек с помощью шаблона Setup Security .
Чтобы использовать шаблоны безопасности , запустите консоль, вызвав mmc из командной строки. Из меню Файл , выберите Добавить/Удалить Оснастку. Затем на вкладке Автономный нажмите кнопку Добавить .

В появившемся окне выбираем Templates security и принимаем наше решение кнопкой Добавить . Закрываем окно добавления автономного адаптера кнопкой Закрыть .Затем, чтобы закончить этот нажмите на этапе OK . Теперь мы можем просмотреть наши шаблоны безопасности . Как скоро мы заметим, помимо Настройка безопасности , другие шаблоны почти пусты. Это потому, что их приложение только изменяет строго определенный диапазон настроек. С помощью добавленной оснастки мы можем просматривать и изменять данные шаблона.

> Не забудьте сохранить каждое изменение, используя опцию Сохранить из меню Действие или Сохранить как , если мы хотим сохранить изменения как шаблон с другим именем, оставив оригинал без изменений.Для принудительного применения задан шаблон, нам понадобится еще одна оснастка. Так же, как и раньше, мы добавляем его, выбрав в оснастке Add Standalone Snap-in оснастке Security Configuration and Analysis . Давайте нажмем теперь щелкните правой кнопкой мыши узел добавленной оснастки и выберите Открыть базу данных . Если у нас нет созданной ранее, введите имя новой базы данных. Щелкните правой кнопкой мыши узел конфигурации еще раз. и анализ безопасности и выберите опцию Импорт шаблона .Теперь мы можем выбрать интересующий нас шаблон безопасность. Чтобы применить измененные настройки, щелкните правой кнопкой мыши узел Configuration and Analysis. безопасность и выберите опцию Настроить компьютер сейчас . Нас попросят подать заявку пути к log, что подтверждаем нажатием OK . Изменения будут внесены, и их действие можно будет проверить, просмотрев события с опцией Просмотр файла журнала .

Анализ безопасности системы

Консольная оснастка Security Configuration and Analysis также может использоваться для просмотра параметров защиты система.Он заключается в сравнении текущей конфигурации компьютера и содержимого базы данных. Таким образом мы узнаем был ли правильно применен используемый шаблон безопасности. Чтобы выполнить эту процедуру, просто щелкните правой кнопкой мыши ключ на узле Конфигурация и анализ безопасности и выберите опцию Анализировать компьютер сейчас . Теперь для с помощью этой оснастки мы можем просматривать настройки в том же макете, что и в шаблона безопасность .

В правом окне отображается результат сравнения данных политики. Чтобы изменить их настройки в базе данных данных, дважды щелкните интересующий вас элемент и измените его, выбрав параметр Определить в базе данных. следующие правила .

Как нетрудно заметить, консоль MMC — инструмент с большими возможностями. Добавляя различные стартеры, мы можем построить удобный механизм, полезный при настройке и управлении системой.

Перенос настроек в другую систему

Мы уже настроили групповую политику для используемого нами компьютера. Однако это не единственный способ управления безопасность компьютера или всей их сети. Групповая политика может быть установлена ​​сверху вниз с сервисом Active Directory , настроенный на сервере, управляющем доменом. Мы также можем спасти нас Шаблоны безопасности , скопируйте на другие компьютеры и примените на этих компьютерах без необходимости утомительного изменение каждого параметра отдельно для каждого хоста в сети.Они сохраняются в каталоге %SystemRoot%\Security\Templates\ как файлы *.inf. Консоль тоже может быть полезна ММС . У нее это есть возможность закладки Group Policy не только для локального компьютера, но и для удаленных хостов. Конечно, вам нужно иметь соответствующие разрешения на компьютере, к которому вы хотите получить доступ. К управлять групповой политикой удаленного хоста, в окне консоли выбрать в меню File опцию Add/Remove приложение .

Затем по уже известной нам процедуре добавляем Group Policy , с той разницей, что вместо Локальный компьютер , выберите опцию Browse и введите имя машины из сети в поле Другой компьютер .

Мы познакомились с инструментами, помогающими в настройке политики безопасности компьютера. С их помощью, возможно, немного трудоемкая работа, мы можем внести ценные изменения в систему.

.

Введение в политики Windows 7 — политика безопасности локальных пользователей — образ жизни

Введение в политики Windows 7 — политика безопасности локальных пользователей — образ жизни

Содержимое:

Использование таких инструментов, как gpedit.msc и secpol.msc в Windows 7, позволяет установить почти все локальные параметры конфигурации и безопасности, включая локальную политику паролей, на параметры заставки и времени ожидания.

Инструменты политики очень мощные и опасные поэтому сегодня мы рассмотрим простой пошаговый пример настройки политики паролей для учетных записей созданных на компьютере под управлением Windows 7.

Шаг 1. Управляйте параметром пароля локальной учетной записи.

Хотя вы можете установить политику паролей для учетных записей, знаете ли вы, что вы также можете управлять паролями для других локальных учетных записей с помощью инструмента администрирования «Локальные пользователи и группы»? Давайте зайдем и быстро посмотрим на настройки.

Во-первых, давайте откроем Local Users and Group Admin Tool - откройте Меню запуска и введите lusrmgr.msc и нажмите Введите .

Шаг 2. Выберите пользователя, которому необходимо сменить пароль при следующем входе в систему

Выберите папку Users , чтобы получить список всех локальных учетных записей на ПК с Windows 7. Нажмите Пользовательская учетная запись и щелкните правой кнопкой мыши мышь на нем, чтобы отобразить контекстное меню. Выберите Свойства .

Появится новое окно с доступными для пользователя настройками. Сначала Отменить выбор Срок действия пароля не ограничен , а затем Проверить Пользователь должен изменить пароль при следующем входе в систему . Другой, Нажмите вправо .

Настройки там относительно очевидны. Теперь, когда срок действия пароля истекает, и пользователю необходимо изменить свой пароль при следующем входе в систему, нам нужно настроить некоторые детали пароля, такие как длина пароля.Для этого нам нужно открыть редактор политик безопасности для Windows 7.

Шаг 3. Откройте Диспетчер политик безопасности

Нажмите кнопку Start Menu еще раз и Введите в secpol.msc и нажмите Введите .

Шаг 4. Управление политиками безопасности. Минимальная длина пароля

Установите политику безопасности таким образом, чтобы минимальная длина пароля составляла десять символов.Для этого в левой панели Расширить Политики учетных записей и нажать Политика паролей . Теперь Выберите политику, которую вы хотите отредактировать Щелкните правой кнопкой мыши на ней и Выберите Свойства. В моем примере я установлю длину пароля 10 символов. Вы также можете настроить другие вещи, такие как максимальный возраст пароля , но собирались оставить его по умолчанию 42 дня.

Шаг 5. Применение политики

Введенная политика паролей применяется только к паролям пользователей, срок действия которых истекает.Если вы хотите проверить, у каких пользователей пароли не истекают, вернитесь к lusrmgr.msc (S шаг 1 выше ) и посмотрите на разные учетные записи.

Давайте взглянем на взаимодействие с пользователем, которому требуется сменить пароль при следующем входе в систему.

Шаг 6. Пользователю необходимо изменить пароль при входе в систему.

Как видите, когда пользователь пытается войти в систему, ему предлагается изменить пароль ( был настроен на шаге 2 выше.)

Теперь введем короткий пароль для демонстрации эффекта .

Теперь мы введем пароль в соответствии с политикой длины и попробуем его изменить:

изменение прошло успешно.После нажатия OK пользователь войдет в систему, и ему не нужно будет снова менять пароль в течение 42 дней (, если вы не установите что-то другое на шаге 4. )

Application

В этой статье всего лишь царапин поверхностей о том, чем можно управлять на компьютере с Windows с помощью локальных и групповых политик и политик безопасности. Не стесняйтесь ковыряться и играть с некоторыми другими настройками.

Единственное предупреждение: БУДЬТЕ ОСТОРОЖНЫ.Пожалуйста, внимательно прочитайте перед изменением любого из правил, так как некоторые правила могут привести к неожиданным результатам. Я лично внес изменение до того, как оно помешало мне получить доступ к собственному компьютеру!

.

---

Смотрите также

• 
  Выскакивает реклама в браузере при запуске компьютера
• 
  Личные сообщения в твиттере
• 
  Excel показывает формулы вместо результата
• 
  Что такое program files x86
• 
  Секретное меню андроид
• 
  Как определить конфигурацию компьютера
• 
  Как выставить межстрочный интервал в ворде
• 
  Rufus схема разделов что выбрать
• 
  Ram cache 3 asus что это
• 
  Как скопировать свою ссылку в телеграмме
• 
  Ноутбук или нетбук отличие