Obnovenie lokálnej bezpečnostnej politiky v systéme Windows 7. Resetovanie lokálnych skupinových politík v systéme Windows

Local Group Policy Editor (gpedit.msc) je pohodlný a skutočne výkonný nástroj, pomocou ktorého môžete podrobne nakonfigurovať systém Windows. Bohužiaľ nie je k dispozícii vo verziách „Home Basic“ a „Home Advanced“. Microsoft však tento nástroj neodstránil, iba ho „skryl“ v priečinkoch windows\winsxs a windows\SysWOW64.

S naším riešením sa proces stane oveľa jednoduchším a spoľahlivejším. Spustíte bezplatný inštalačný program a počkáte na jeho dokončenie. Je však potrebné priznať, že naša pohodlná metóda má aj malú nevýhodu: Windows zobrazuje príkazy v ponuke editora v ruštine, ale samotné nastavenia, ako aj ich popisy sú uvedené v angličtine. Ak vám to nerobí problém, nič vám nebráni v tom, aby ste si užili svoj viacúčelový nástroj na ladenie.

Ako to spraviť:

1. Stiahnite si editor

Prejdite na stránku drudger.deviantart.com/art/Add-GPEDIT-msc-215792914. Kliknutím na malé tlačidlo „Stiahnuť“ stiahnete súbor ZIP. Pozor! Veľké tlačidlá sú reklamné odkazy.

2. Rozbaľte a nainštalujte

Otvorte priečinok na sťahovanie a rozbaľte archív ZIP, ktorý ste si stiahli. Teraz dvojitým kliknutím spustite súbor Setup.exe, ktorý sa v ňom nachádza, a počkajte, kým sa práca nedokončí. Potom zatvorte inštalačný program kliknutím na tlačidlo „Dokončiť“.

3. Skopírujte 64-bitové súbory

Ak používate 64-bitovú verziu systému Windows, otvorte priečinok Windows\SysWOW64 v Prieskumníkovi. Skopírujte odtiaľ adresáre GroupPolicy a GroupPolicyUsers, ako aj súbor gpedit.msc do priečinka Windows\System32.

4. Spustite editor

Stlačte kombináciu klávesov „Win+R“ a zadajte „gpedit.msc“. V okne správy Kontrola používateľských kont kliknite na „Áno“. Potom by sa mal otvoriť Editor miestnej politiky skupiny.

5. Úprava dávkového súboru

Ak po spustení editora dostanete správu "Konzola na správu (MMC) nemôže vytvoriť modul snap-in“, opakujte kroky 2, ale tentoraz neklikajte na „Dokončiť“. Namiesto toho otvorte priečinok Windows\Temp\gpedit a kliknite pravým tlačidlom myši na súbor x86.bat (32-bitový systém Windows) alebo x64.bat (64-bitový systém Windows). V kontextovej ponuke vyberte položku "Upraviť".

6. Oprava chyby modulu snap-in

V hornej tretine kódu uvidíte šesť položiek obsahujúcich prvok "%username%:f". Doplňte ho úvodzovkami, ako je tento: „%username%“:f“ a súbor uložte. Teraz kliknite pravým tlačidlom myši na uložený dávkový súbor a vyberte „Spustiť ako správca“. Ak teraz spustíte Editor miestnej politiky skupiny, ako je popísané v kroku 4, chyba modulu snap-in by mala zmiznúť.

7. Práca so skupinovou politikou

Celkovo vám Editor zásad skupiny ponúka asi 3 000 nastavení, ktoré sa dajú naozaj jednoducho aplikovať. Príklad: ak chcete, aby váš antivírus automaticky kontroloval každú prílohu, vyberte „Konfigurácia používateľa | Administratívne šablóny | Komponenty Windows | Správca príloh." V pravej polovici okna uvidíte niekoľko záznamov. Dvakrát kliknite na „Upozorniť antivírusové programy pri otváraní príloh“. V zobrazenom okne vyberte možnosť „Povolené“ a potom kliknite na tlačidlo „OK“.

8. Skryť zastarané nastavenia

Ak sa vám zdá editor lokálnych zásad skupiny príliš mätúci, skryte všetky nastavenia, o ktorých neviete, že sú relevantné pre váš systém. Ak to chcete urobiť, prejdite do ponuky na „Zobraziť | Filtrovanie“ a začiarknite políčko vedľa možnosti „Filtrovať podľa informácií o požiadavkách“. V každom prípade zrušte začiarknutie všetkých položiek týkajúcich sa Windows 2000. Nastavenia pre XP fungujú aj vo Windows 7, takže ich nechajte tak. Po vykonaní výberu kliknite na „OK“. Okamžite uvidíte len možnosti, ktoré potrebujete.

foto: výrobné spoločnosti

Vo svojich predchádzajúcich článkoch o skupinových politikách som hovoril o princípoch fungovania modulu snap-in. Zohľadnili sa niektoré uzly súčasného vybavenia, ako aj funkčnosť viacnásobnej skupinovej politiky. Počnúc týmto článkom sa môžete dozvedieť o správe nastavení zabezpečenia na lokálnom počítači, ako aj v prostredí domény. Bezpečnosť je dnes neoddeliteľnou súčasťou práce systémových administrátorov vo veľkých a dokonca malých podnikoch, ako aj domácich používateľov, ktorí stoja pred úlohou nastaviť počítač. Neskúsení správcovia a domáci používatelia si môžu myslieť, že po nainštalovaní antivírusu a firewallu sú ich operačné systémy spoľahlivo chránené, no nie je to celkom pravda. Samozrejme, tieto počítače budú chránené pred mnohými útokmi, ale čo ich zachráni pred ľudským faktorom? V dnešnej dobe sú bezpečnostné možnosti operačných systémov veľmi veľké. Existujú tisíce nastavení zabezpečenia, ktoré riadia služby, bezpečnosť siete, obmedzujú prístup k určitým kľúčom a nastaveniam databázy Registry, spravujú agentov na obnovu dát šifrovania jednotiek BitLocker, riadia prístup k aplikáciám a oveľa viac.

Kvôli veľkému počtu nastavení zabezpečenia v systéme Windows Server 2008 R2 a Windows 7, nie je možné konfigurovať všetky počítače pomocou rovnakej sady nastavení. Článok „Nastavenie skupinových zásad kontroly používateľských kont v systéme Windows 7“ pojednával o metódach doladenia kontroly používateľských kont v operačných systémoch Windows a toto je len malá časť toho, čo môžete urobiť pomocou zásad zabezpečenia. V sérii článkov o miestnych bezpečnostných politikách sa pokúsim zvážiť čo najviac bezpečnostných mechanizmov s príkladmi, ktoré vám môžu pomôcť pri vašej budúcej práci.

Konfigurácia bezpečnostných politík

Bezpečnostná politika je súbor nastavení, ktoré riadia bezpečnosť počítača a sú spravované pomocou lokálneho GPO. Tieto politiky môžete nakonfigurovať pomocou modulu snap-in "Editor lokálnej skupinovej politiky" alebo snap. Vybavenie "Miestna bezpečnostná politika" sa používa na zmenu politiky účtov a miestnej politiky na lokálnom počítači a politiky účtov viazaných na doménu Active Directory je možné nakonfigurovať pomocou modulu snap-in "Editor správy zásad skupiny". K miestnym bezpečnostným zásadám môžete pristupovať nasledujúcimi spôsobmi.

Spustenie Editora zásad skupiny

Spustenie tohto editora je veľmi jednoduché. Ak to chcete urobiť, stlačte na klávesnici Win+R, zadajte do poľa gpedit.msc a stlačte " OK».

Rozhranie editora je identické s ostatnými nástrojmi na správu: na ľavom paneli stromu môžete získať informácie o každej sekcii a vykonať nastavenia.

Ako môžete vidieť na snímke obrazovky, na ľavej strane sú všetky nastavenia rozdelené do dvoch častí:

Konfigurácia počítača;
užívateľská konfigurácia.

Každá z týchto častí má tri rovnaké časti:

Konfigurácia programu;
konfigurácia systému Windows;
administratívne šablóny.

Konfigurácia programu zodpovedá za nastavenia aplikácií nainštalovaných v PC.
Konfigurácia systému Windows je zodpovedný za rôzne parametre systému: jeho nastavenia, bezpečnostné nastavenia atď.
Administratívne šablóny obsahujú konfiguráciu z a sú pohodlnejším editorom ako samotný register.

Práca s editorom

Konfigurácia obmedzení a rôznych parametrov je tu celkom jednoduchá. Pozrime sa na príklad nastavenia: postupujte podľa cesty Používateľská konfigurácia >Administratívne šablóny > systém, kde nie je potrebné rozbaliť poslednú položku – stačí kliknúť na slovo ľavým tlačidlom myši.

Tu môžete vidieť niekoľko parametrov na nastavenie, medzi ktorými sú nastavenia ako:

Zakázať používanie príkazového riadku;
zakázať prístup k nástrojom na úpravu registra;
nespúšťajte určené aplikácie systému Windows;
spúšťať iba špecifikované aplikácie Windows;
automatická aktualizácia systému Windows.

Ak chcete upraviť tieto a ďalšie parametre, môžete na každý z nich dvakrát kliknúť ľavým tlačidlom myši. Snímka obrazovky ukazuje, že stav parametra môžete zmeniť jeho nastavením na hodnotu " Zahrnuté" alebo " Zakázané».

Ako fungujú skupinové politiky

Povedzme, že ste zakázali používanie príkazového riadku. Teraz, keď sa používateľ rozhodne spustiť, dostane nasledujúce chybové hlásenie:

Používateľ dostane takéto správy vždy, keď sa pokúsi vykonať zakázanú akciu. Ak sa rozhodnete zjednodušiť používanie počítača, napríklad zakážte " Kontrola používateľských kont: Správanie sa pri výzve na zvýšenie úrovne správcu“, potom sa už nebude zobrazovať okno o spustení programu, ktorý vykoná zmeny v systéme.

Všetky nastavenia je možné prispôsobiť podľa vašich predstáv, výsledkom čoho je zvýšená produktivita a bezpečnosť, keď počítač používajú iní používatelia.

Bol som nadšený z tejto myšlienky zabezpečenia bezpečnosti a rozhodol som sa, že sa pokúsim urobiť to isté pre seba.

Keďže mám Windows 7 Professional, prvou myšlienkou bolo použiť AppLocker, ale rýchlo sa ukázalo, že nechce fungovať v mojej edícii Windows a vyžaduje Ultimate alebo Enterprise kvôli licencovaniu môjho Windows a prázdnote moja peňaženka, možnosť s AppLocker“ om zmizla.

Ďalším pokusom bola konfigurácia skupinových zásad pre obmedzenie softvéru. Keďže AppLocker je „napumpovaná“ verzia tohto mechanizmu, je logické vyskúšať pravidlá, najmä preto, že sú pre používateľov systému Windows bezplatné :)

Choď do nastavení:
gpedit.msc -> Konfigurácia počítača -> Konfigurácia systému Windows -> Nastavenia zabezpečenia -> Zásady obmedzenia softvéru

Ak neexistujú žiadne pravidlá, systém ponúkne vygenerovanie automatických pravidiel, ktoré umožňujú spúšťanie programov z priečinka Windows a Program Files. Pridáme aj pravidlo odmietnutia pre cestu * (akákoľvek cesta). V dôsledku toho chceme mať možnosť spúšťať programy iba z chránených systémových priečinkov. A čo?
Áno, to je to, čo dostaneme, ale je tu len malý problém - skratky a odkazy http nefungujú. Stále môžete zabudnúť na odkazy, ale život bez skratiek je dosť zlý.
Ak povolíme spúšťanie súborov pomocou masky *.lnk, budeme môcť vytvoriť skratku pre akýkoľvek spustiteľný súbor a spustiť ho pomocou skratky, aj keď sa nenachádza v systémovom priečinku. Mizerný.
Dopyt Google vedie k nasledujúcim rozhodnutiam: buď povoliť spustenie skratiek z priečinka používateľa, alebo použiť lišty tretích strán so skratkami. Žiadna iná cesta. Mne osobne sa táto možnosť nepáči.

V dôsledku toho sa stretávame so situáciou, že *.lnk z pohľadu Windowsu nie je odkaz na spustiteľný súbor, ale spustiteľný súbor. Je to šialené, ale čo sa dá robiť... Chcel by som, aby Windows skontroloval nie umiestnenie skratky, ale umiestnenie súboru, na ktorý odkazuje.

A potom som náhodou natrafil na nastavenia zoznamu rozšírení, ktoré sú spustiteľné z pohľadu Windowsu (gpedit.msc -> Konfigurácia počítača -> Konfigurácia Windows -> Nastavenia zabezpečenia -> Priradené typy súborov). Odtiaľ odstránime LNK a zároveň HTTP a prihlásime sa. Získame plne funkčné skratky a kontrolu umiestnenia spustiteľného súboru.
Bola pochybnosť, či by bolo možné preniesť parametre cez skratky - je to možné, takže je všetko ok.

V dôsledku toho sme dostali implementáciu myšlienky opísanej v článku „Počítač so systémom Windows bez antivírusu“ bez akýchkoľvek nepríjemností pre používateľa.

Pre tých, ktorí si radi strieľajú do nohy, si tiež môžete vytvoriť priečinok v Program Files a hodiť jeho skratku na plochu, napríklad „Sandbox“. To vám umožní spúšťať programy odtiaľ bez zakázania politík pomocou chráneného úložiska (ochrana cez UAC).

Dúfam, že opísaná metóda bude pre niekoho užitočná a nová. Aspoň som o tom od nikoho nepočul a nikde som to nevidel.

Túžba Microsoftu pochovať ho v hlbinách systému nie je vôbec prekvapujúca – v rukách neskúseného používateľa môže Local Group Policy Editor narušiť normálne fungovanie OS. Toto je druh elektronickej Pandorinej skrinky, ktorá môže uvrhnúť svet Windows do série nešťastí a problémov, ak sa dostane do nesprávnych rúk.

Samozrejme, tieto pochmúrne proroctvá nemajú nič spoločné s vami, milí čitatelia. Ste predsa opatrní a pozorní používatelia systémových nástrojov a samozrejme si nezabudnite vytvoriť bod obnovenia systému skôr, ako začnete upravovať lokálne skupinové politiky. Nepochybujem, že sa na vás dá spoľahnúť.

Stručne povedané, skupinové politiky sú nastavenia, ktoré riadia fungovanie systému. Môžu byť použité na prispôsobenie rozhrania Windows 7, obmedzenie prístupu do určitých oblastí, definovanie nastavení zabezpečenia atď. Skupinové politiky môžete zmeniť pomocou modulu Local Group Policy Editor - snap-in. Vo verziách systému Windows 7 Home a Editor nie je k dispozícii, takže pre každý bod uvediem aj odporúčania, ako dosiahnuť požadovaný výsledok pomocou Editora databázy Registry (Regedit). Ak chcete spustiť Editor miestnych zásad skupiny:

1. Kliknite na tlačidlo Štart.
2. Do vyhľadávacieho panela zadajte „gpedit.msc“.
3. Kliknite na .

Na obr. A zobrazuje okno Editor miestnej politiky skupiny. Slovo „lokálne“ znamená, že skupinové politiky sa upravujú na lokálnom počítači a nie na vzdialenom počítači.

Obrázok A. Použitie Editora lokálnej skupinovej politiky na zmenu skupinovej politiky na lokálnom počítači.

Pri odstraňovaní súborov alebo priečinkov v systéme Windows 7 sa vždy zobrazí dialógové okno so žiadosťou o potvrdenie odstránenia. Ak vám to prekáža, potvrdenia je možné vypnúť kliknutím pravým tlačidlom myši na ikonu Kôš a zrušením začiarknutia možnosti Zobraziť dialógové okno s potvrdením odstránenia v dialógovom okne Vlastnosti.

Na druhej strane systém štandardne požaduje potvrdenie na vymazanie z nejakého dôvodu, ale aby používateľ omylom nevymazal potrebné súbory. Vy aj ja sme skúsení ľudia a dobre rozumieme, čo sa dá vymazať a čo nie. Ale nie každý je taký. Ak počítač používajú malé deti alebo starší rodičia, ktorí sú v systéme noví, žiadosť o potvrdenie vymazania je výbornou ochranou pred náhodnými chybami neskúsených používateľov.

V tomto prípade má zmysel zabezpečiť, aby bežní používatelia nemali možnosť nezávisle zakázať žiadosti o potvrdenie vymazania. Je to možné dvoma spôsobmi:

Buď deaktivovaním začiarkavacieho políčka „Požiadať o potvrdenie vymazania“ v dialógovom okne Vlastnosti koša;
. alebo uzamknutím samotného dialógového okna Vlastnosti, aby k nemu používateľ nemal prístup.

Ak chcete použiť jednu z týchto metód:

1. V okne Editor miestnej politiky skupiny rozbaľte uzol Konfigurácia používateľa.
2. Rozbaľte Šablóny pre správu.
3. Otvorte okno vlastností politiky, ktorá vás zaujíma.

Ak chcete vypnúť začiarkavacie políčko Požiadať o potvrdenie odstránenia v okne Vlastnosti, rozbaľte Súčasti systému Windows a vyberte Prieskumník systému Windows. Dvakrát kliknite na zásadu Zobraziť dialógové okno s potvrdením pri odstraňovaní súborov.

Ak nemáte prístup k , otvorte Editor databázy Registry a vytvorte hodnotu DWORD s názvom "ConfirmFileDelete" (bez úvodzoviek) a hodnotu "1" (bez úvodzoviek) v časti "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" .

Ak chcete vypnúť príkaz Vlastnosti v kontextovej ponuke Kôš, vyberte Pracovná plocha a dvakrát kliknite na zásadu Odstrániť vlastnosti z kontextovej ponuky Kôš.
Ak nemáte prístup k Editoru lokálnych zásad skupiny, otvorte Editor databázy Registry a vytvorte hodnotu DWORD s názvom "NoPropertiesRecycleBin" (bez úvodzoviek) a hodnotu "1" (bez úvodzoviek) v časti "HKCU\Software\Microsoft\Windows\CurrentVersion". \Zásady" \Prieskumník".

4. Vyberte možnosť Povolené.
5. Kliknutím na tlačidlo OK použijete zmeny.

2. Vypnite oblasť oznámení

Ak oblasť oznámení nepoužívate, môžete ju úplne vypnúť. Pre to:

1. V okne Editor miestnej politiky skupiny rozbaľte uzol Konfigurácia používateľa.
2. Rozbaľte Šablóny pre správu.
3. Rozbaľte položku Ponuka Štart a panel úloh.
4. Dvakrát kliknite na politiku Hide The Notification Area, vyberte Enabled a kliknite na OK.
5. Dvakrát kliknite na zásadu Remove Clock From The System Notification Area, vyberte Enabled a kliknite na OK.
6. Odhláste sa a znova prihláste, aby sa zmeny prejavili.

Ak chcete implementovať túto politiku prostredníctvom registra, kliknite na tlačidlo "Štart", do vyhľadávacieho panela zadajte "regedit", kliknutím a potvrdením operácie pokračujte v okne. Otvorí sa Editor databázy Registry. Nájdite v nej sekciu „HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer“. Ak chýba sekcia „Prieskumník“, zvýraznite sekciu „Zásady“, vyberte položku „Upraviť | Vytvoriť | Sekcia" (Edit | New | Key), zadajte "Explorer" (bez úvodzoviek) a stlačte .

Teraz urobte nasledovné:
1. Zvoľte položku menu „Upraviť | Vytvoriť | Hodnota DWORD (32-bitová)“ (Upraviť | Nová | Hodnota DWORD (32-bitová)).
2. Napíšte „NoTrayItemsDisplay“ (bez úvodzoviek) a stlačte .
3. Kliknutím vyvolajte okno vlastností „NoTrayItemsDisplay“, zadajte „1“ (bez úvodzoviek) a kliknite na „OK“.
4. Zvoľte položku menu „Upraviť | Vytvoriť | Hodnota DWORD (32 bitov).
5. Napíšte „HideClock“ (bez úvodzoviek) a stlačte .
6. Kliknutím vyvolajte okno vlastností „HideClock“, zadajte „1“ (bez úvodzoviek) a kliknite na „OK“.
7. Odhláste sa a znova prihláste, aby sa zmeny prejavili.