Локальная политика безопасности: Локальная политика безопасности в Windows 7

Содержание

Локальная политика безопасности в Windows 7

Локальная политика безопасности в Windows 7

Чтобы использовать эту программу, вам нужно узнать, что такое политики. К счастью, к политическому миру политики Windows никакого отношения не имеют.

Политика — набор параметров конфигурации, которые применяются к одному или нескольким объектам одного класса. Скорее всего, прочитав такое определение, вы так и не поняли, что такое политика. Придется объяснять, как говорится, «на пальцах». Предположим, что у нас есть некий объект, пусть это будет рабочий стол Windows. У него есть свойства: фоновый рисунок, экранная заставка и т.д. Вы можете изменить любое свойство этого объекта, например, поменять фоновый рисунок.

Политика — это то же свойство объекта, но обладающее более высоким приоритетом и устанавливаемое администратором системы. Если установлена политика, то вы уже не можете сами изменить свойство объекта — будет использовано значение политики. То есть, если администратор создал политику, задающую фон рабочего стола, и активировал (включил) ее, то вы уже не сможете изменить соответствующее свойство объекта (в нашем случае — фон рабочего стола).

Окно Локальная политика безопасности (команда Пуск => Администрирование => Локальная политика безопасности) позволяет изменить политики, относящиеся к безопасности. Для обычного пользователя политики безопасности не представляют никакого интереса.

Лично мне намного больше нравится редактор локальной групповой политики. Для его вызова щелкните на кнопке Пуск, введите gpedit.msc и нажмите клавишу . В появившемся окне вы можете изменять локальные политики.

Хотите добавить ссылку Поиск в Интернете в меню Пуск? А может, вам нужно очищать журнал недавно открывавшихся документов при выходе из системы? Или же вы хотите скрыть область уведомления? Зайдите в окно Конфигурация пользователя => Административные шаблоны => Меню «Пуск» и панель задач и выберите нужную вам политику. Дважды щелкните на политике. В появившемся окне вы можете подробно ознакомиться с политикой. Если политика вам подходит, выберите команду Включить и щелкните на кнопке Применить.

Для вступления в силу пользовательских политик (Конфигурация пользователя) нужно выйти из системы и снова зайти, а чтобы вступили в силу политики из раздела Конфигурация компьютера, нужно перезагрузить компьютер.

Опубликовано: 18.04.2015

Пошаговое руководство по использованию диспетчера настройки безопасности. Начало.

Введение

Диспетчер настройки безопасности позволяет конфигурировать следующие области безопасности:

Область безопасности

Настраиваемые параметры

Политики учетных записей

Политика паролей, блокировки учетной записи и политика Kerberos.

Локальные политики

Политика аудита, назначения прав пользователя и параметры безопасности. (Параметры безопасности главным образом содержат ключи реестра, связанные с безопасностью)

Журнал событий

Параметры журналов событий приложений, системных событий, событий безопасности и событий службы каталогов.

Группы с ограниченным доступом

Состав групп с особыми требованиями к безопасности.

Системные службы

Параметры запуска и разрешений для системных служб.

Реестр

Разрешения для разделов реестра.

Файловая система

Разрешения для файлов и папок.

Администраторы могут использовать перечисленные ниже компоненты диспетчера настройки безопасности для конфигурирования некоторых или всех областей безопасности.

•    Оснастка Шаблоны безопасности (Security Templates). Изолированная оснастка консоли управления Microsoft (MMC) Шаблоны безопасности позволяет создавать текстовые файлы шаблонов, содержащие настройки для всех областей безопасности.

•    Оснастка Анализ и настройка безопасности (Security Configuration and Analysis). Изолированная оснастка MMC, позволяющая конфигурировать и анализировать безопасность операционной системы Windows® 2000. Она функционирует на основе содержания шаблонов безопасности, созданных при помощи оснастки Шаблоны безопасности.

•    Secedit.exe. Версия оснастки Анализ и настройка безопасности для командной строки. Позволяет выполнять анализ и настройку безопасности без использования графического интерфейса пользователя (GUI).

•    Расширение Параметры безопасности (Security Settings) для групповой политики. Диспетчер настройки безопасности также включает в себя расширяющую редактор групповых политик оснастку, предназначенную для настройки локальных политик безопасности, а также политик безопасности доменов и подразделений. Локальные политики безопасности включают в себя только описанные ниже Политики учетных записей (Account Policy) и Локальные политики безопасности (Local Policy). Политики безопасности, определенные для доменов и подразделений (OU), могут включать в себя все области безопасности.

В данном руководстве описано, как использовать оснастки, утилиту командной строки и расширение Параметры безопасности (Security Settings) для просмотра, настройки и анализа локальной политики безопасности и локальных параметров безопасности.

Предварительные требования и условия

Настоящее руководство предполагает, что Вы выполнили процедуры, описанные в состоящем из двух частей Пошаговом руководстве по развертыванию базовой инфраструктуры Windows 2000 Server Step by Step Guide to A Common Infrastructure for Windows 2000 Server Deployment (EN). Описывающие базовую инфраструктуру документы предъявляют определенные требования к конфигурации аппаратного и программного обеспечения. Если Вы не используете базовую инфраструктуру, необходимо внести соответствующие изменения в этот документ. Текущая информация об аппаратных требованиях и совместимости для серверов, клиентов и периферийных устройств доступна на веб-узле Product Compatibility Web site .

Просмотр и изменение локальной политики безопасности

Локальная политика безопасности применяется с помощью расширения параметры безопасности для групповой политики. Локальная политика безопасности включает в себя только две области: политики учетных записей и локальные политики. Политика учетных записей содержит информацию о политике паролей и политике блокировки учетных записей. Область локальные политики содержит информацию о политике аудита, назначении прав пользователей и параметрах безопасности.

Для просмотра локальной политики безопасности:

1.   Войдите на компьютер под управлением операционной системы Windows 2000 в качестве пользователя с административными привилегиями. В нашем примере, мы вошли как Администратор на сервер HQ-RES-SRV-01.

2.   Чтобы открыть консоль Групповая политика (Group Policy) щелкните Пуск ( Start), выберите команду Выполнить ( Run), введите Gpedit.msc и нажмите кнопку OK.

3.   В дереве консоли раскройте раздел Конфигурация компьютера ( Computer Configuration), затем Конфигурация Windows ( Windows Settings), далее Параметры безопасности ( Security Settings), после чего Локальные политики ( Local Policies).

4.   В ветке Локальные политики ( Local Policies) щелкните папку Параметры безопасности ( Security Options). Окно, которое Вы увидите, должно выглядеть приблизительно так, как показано ниже на Рисунке 1.


Рисунок 1 — Параметры безопасности

Обратите внимание, что для каждой настройки безопасности расширение Параметры безопасности (Security Settings) отображает локальную и результирующую политики. Локальная политика описывает настройки, определенные на локальном компьютере. Эффективная политика показывает результирующую локальную, доменную, и политику подразделения для каждого параметра. Такое разделение вызвано тем, что параметры локальной политики могут быть перезаписаны политиками домена или подразделения. Порядок применения политик в порядке возрастания приоритета:

•   Локальная политика

•   Политика сайта

•   Политика домена

•   Политика подразделения

Локальная политика имеет низший приоритет, наивысший – политика Подразделения, к которому относится данный компьютер. Колонка с результирующей политикой отображает политику безопасности, соответственно данному порядку их применения.

Изменение Локальной политики безопасности

Чтобы изменить параметры Локальной политики безопасности, дважды щелкните интересующий Вас параметр безопасности и просмотрите политику. Так, чтобы изменить минимальный срок действия пароля, определенный локальной политикой, следуйте шагам, описанным ниже:

1.   В дереве консоли щелкните узел Политики учетных записей ( Account Policies) на панели слева (в ветке Параметры безопасности (Security Settings)), чтобы раскрыть его.

2.   Щелкните узел Политика паролей ( Password Policy).

3.   Дважды щелкните Мин. срок действия пароля ( Minimum Password Age) на панели справа.

4.   Установите Мин. срок действия пароля ( Minimum Password Age) равным одному дню и нажмите OK.

После того, как Вы нажмете OK, политика изменится. Это приведет к вычислению результирующей политики (на основе любых, имеющих более высокий приоритет, политиках домена или подразделений) и применению ее к системе. Статус применения данной политики можно просмотреть в журнале событий приложений.

5.   Щелкните правой кнопкой мыши узел Параметры безопасности ( Security Settings) в левой панели, а затем нажмите кнопку Обновить ( Reload).

Данное действие обновит результирующую политику в пользовательском интерфейсе. Политика, применяемая к Вашему компьютеру, может измениться или остаться прежней в зависимости от действующих политик пароля домена или подразделения.

6.   Закройте консоль групповой политики.

Использование шаблонов безопасности

Оснастка Шаблоны безопасности (Security Templates) позволяет Вам создавать текстовые файлы шаблонов, содержащие настройки для всех областей безопасности, поддерживаемых диспетчером настройки безопасности. В дальнейшем Вы можете использовать эти шаблоны для анализа и конфигурирования безопасности систем при помощи других инструментов.

•   Вы можете импортировать файл шаблона в расширение Настройка безопасности (Security Settings), чтобы сконфигурировать политики безопасности локального компьютера, домена или подразделения.

•   Вы можете использовать оснастку Анализ и настройка безопасности (Security Configuration and Analysis) для конфигурации или анализа безопасности системы, основанной на текстовом шаблоне безопасности.

•   Используйте утилиту командной строки Secedit.exe отдельно или в связке с другими системами управления, такими, как Microsoft Systems Management Server или Планировщик заданий (Task Scheduler), для выполнения развертывания шаблона безопасности или инициирования выполнения анализа безопасности.

Чтобы загрузить оснастку Шаблоны безопасности:

1.   Щелкните Пуск ( Start), выберите Выполнить ( Run) и затем в текстовой строке введите MMC /s. Нажмите OK. ( Примечание. Между символами C и /s присутствует пробел).

2.   Щелкните Консоль ( Console) (под заголовком Консоль1 в левой верхней части окна), выберите Добавить или Удалить оснастку ( Add\Remove Snap-in), и нажмите кнопку Добавить ( Add).

3.   Из списка доступных изолированных оснасток выберите Шаблоны безопасности ( Security Templates), как показано ниже на Рисунке 2.


Рисунок 2 — Добавление оснастки Шаблоны безопасности

4.   Нажмите кнопку Добавить ( Add), после чего нажмите Закрыть ( Close).

5.   Нажмите OK.

6.   На панели слева щелкните + рядом с разделом Шаблоны безопасности ( Security Templates), чтобы раскрыть его.

7.   Щелкните + рядом с разделом C:\WINNT\security\templates чтобы раскрыть его. (Примечание: если Windows 2000 установлена на другой диск или каталог, отображаемый путь будет отличаться от C:\WINNT).

Windows 2000 поставляется с некоторыми готовыми шаблонами безопасности. Для получения дополнительной информации обратитесь к разделу «Готовые Шаблоны безопасности» далее в этой статье.

Изменение шаблона безопасности

Вы можете создать Ваш собственный шаблон безопасности. Для этого правой кнопкой мыши щелкните папку с предустановленными шаблонами (C:\WINNT\security\templates) в ветке Шаблоны безопасности и выберете пункт Новый шаблон ( New Template). (Примечание: Если Windows 2000 установлена на другой диск или в другой каталог, отображаемый путь будет отличаться от C:\WINNT). Тем не менее, в этом руководстве будет показано, как изменить включенный в поставку Windows 2000 шаблон безопасной рабочей станции или сервера (Securews.inf).

Чтобы отобразить параметры, определенные в шаблоне Securews.inf:

1.   Воспользуйтесь полосой прокрутки в левой панели, а затем щелкните + рядом с пунктом Securews чтобы раскрыть его. Обратите внимание, что ниже на Рисунке 3 (в отличие от локальной политики безопасности, рассмотренной в предыдущих двух параграфах) все области безопасности становятся настраиваемыми после того, как Вы определите шаблон безопасности.


 

Рисунок 3 — Просмотр настроек, определенных в шаблоне Securews.inf

2.   Просмотрите Политики учетных записей ( Account Policies) и Локальные политики ( Local Policies), определенные в шаблоне Securews, раскрывая эти папки, выбирая различные области, и просматривая параметры Сохраненного шаблона ( Stored Template) в панели справа.

Сообщение для пользователей при входе в систему

Вы можете изменить Securews, чтобы отобразить определенное сообщение для всех пользователей, осуществляющих вход в систему.

1.   Щелкните элемент Параметры безопасности ( Security Options) под пунктом Локальные политики ( Local Policies).

2.   Прокрутите вниз панель справа и дважды щелкните Заголовок сообщения для пользователей при входе в систему ( Message Text for Users Attempting to log on).

3.   Введите сообщение, которое будет отображаться для всех пользователей осуществляющих вход в систему, и нажмите OK.

Создание ограниченной групповой политики

Ограниченная групповая политика (Restricted Group Policy) позволяет Вам определить, кто будет принадлежать к определенной группе безопасности. Когда шаблон (или политика), определяющая ограниченные группы применена к системе, Диспетчер настройки безопасности добавит членов в группу и удалит членов из нее, что гарантирует актуальное членство в группах согласно параметрам, определенным в шаблоне безопасности или политике. В этом упражнении Вы определите ограниченную групповую политику для локальной группы Администраторы в дополнение к ограниченной Групповой политике, которая уже определена для локальной группы Опытные пользователи ( Power Users) в Securews.inf.

Для создания ограниченной Групповой политики

1.   На панели слева щелкните правой кнопкой мыши элемент Группы с ограниченным доступом ( Restricted Groups) и выберите Добавить группу ( Add Group).

2.   В качестве имени группы введите NewAdmins и нажмите OK. Теперь локальная группа Администраторы (Administrators) добавлена в ограниченную группу в правой панели оснастки Шаблоны безопасности.

3.   Дважды щелкните NewAdmins на панели справа.

Теперь вы можете определить, кто будет членом локальной группы Администраторы, а также определить другие группы, членом которых может быть группа Администраторы.

4.   Щелкните Добавить ( Add), а затем щелкните Обзор ( Browse). Появится диалоговое окно Выбор: Пользователи или Группы ( Select Users or Groups), показанное ниже на Рисунке 4.

5.   Выберите пользователя Администратор ( Administrator) в диалоговом окне Выбор: Пользователи или Группы ( Select Users or Groups). Щелкните кнопку Добавить ( Add) .


Рисунок 4 — Выбор Администратора

6.   Щелкните OK и затем еще дважды щелкните OK.

Когда шаблон безопасности Securews будет использован для настройки системы Windows 2000, ограниченная групповая политика установит, что только локальный пользователь Администратор может принадлежать к локальной группе Администраторы. В процессе конфигурирования диспетчер настройки безопасности удалит всех прочих пользователей, принадлежащих к группе Администраторы на момент конфигурирования. Подобным образом, если на момент настройки пользователь Администратор не является участником группы Администраторы, Диспетчер настройки безопасности добавит пользователя Администратор в группу Администраторы.

•    Список » Члены этой группы» пуст ( If the Members list is empty) – Если в качестве членов определенной ограниченной группы никакие пользователи не определены (верхнее окно пустое), то когда шаблон будет использован для настройки систем, Диспетчер настройки безопасности удалит всех текущих членов этой группы.

•    Список » Эта группа является членом в» пуст ( If the Member of list is empty) – если в качестве члена ограниченной группы никакая группа не определена (нижнее окно пустое), действия для регулирования членства в других группах выполняться не будут.

Настройка разрешений для файловой системы

Securews также можно использовать для настройки разрешений доступа к каталогам файловой системы.

1.   Щелкните правой кнопкой мыши элемент Файловая система ( File System) в панели слева и нажмите Добавить файл ( Add File).

2.   Выберите каталог %systemroot%\repair, как показано ниже на Рисунке 5. Нажмите OK.


Рисунок 5 — Настройка разрешений файловой системы (Выбор каталога repair)

Появится редактор Списка контроля доступа (Access Control List, ACL), показанный ниже на Рисунке 6. Это позволит Вам в шаблоне Securews.inf задать разрешения для каталога %systemroot%\repair.


Рисунок 6 — Использование Редактора ACL для определения разрешений

3.   Выберите группу Все ( Everyone) в верхней панели и нажмите клавишу Удалить ( Remove).

4.   Щелкните клавишу Добавить ( Add) и выберите группу Администраторы ( Administrators). Щелкните Добавить ( Add), затем OK.

5.   Установите флажок Полный доступ ( Full Control) в нижней панели, чтобы дать группе Администраторы разрешения полного доступа.

6.   Снимите флажок Переносить наследуемые от родительского объекта разрешения на этот объект ( Allow inheritable permissions from parent to propagate to this object).

7.   Щелкните OK, чтобы разрешить доступ к каталогу только членам группы Администраторы.


Рисунок 7 — Параметр шаблона политики безопасности

8.   Выберите Заменять существующие разрешения для всех подпапок и файлов на наследуемые разрешения ( Replace existing permission on all subfolders and file with inheritable permissions) и щелкните OK.

Наследование, замещение и отклонение изменений политики

После того, как Вы определили права доступа к объектам файловой системы или реестра, Диспетчер настройки безопасности спросит Вас, каким образом должны быть сконфигурированы дочерние объекты.

Если Вы выберите Распространить наследуемые разрешения на все подпапки и файлы ( Propagate inheritable permissions to all subfolders and files), стандартный список ACL в Windows 2000 наследует действующие разрешения. То есть, любые наследуемые разрешения для дочерних объектов будут приведены в соответствие с новыми разрешениями, определенными для родительского объекта. Любые явно заданные элементы списка контроля доступа (ACE), определенные для дочерних объектов, останутся неизменными.

Если Вы выберите Заменять существующие разрешения для всех подпапок и файлов на наследуемые разрешения ( Replace existing permission on all subfolders and files with inheritable permissions), все явно заданные в ACE разрешения для всех дочерних объектов (кроме перечисленных в шаблоне) будут удалены, и к ним будут применены процедуры наследования разрешений, определенных для родительского объекта.

Чтобы предотвратить перезапись разрешений дочернего объекта родительским, дочерний объект должен быть добавлен в шаблон и проигнорирован. В этом случае явно заданные в записях ACE разрешения дочернего объекта останутся неизменными. Выбор в шаблоне опции Запретить замену разрешений для этого файла или папки ( Do not allow permissions on this file or folder to be replaced) для определенного объекта имеет смысл лишь в том случае, если разрешения родительского объекта настроены на перезапись разрешений для всех дочерних объектов. Если в шаблоне родительский объект отсутствует, игнорирование объекта в этом случае влияния не окажет. Если родительский объект существует, но не настроен на наследование разрешений для дочерних объектов, игнорирование дочернего объекта влияния не окажет.

В этом примере в шаблоне Securews.inf настройки ACL для каталога %systemroot%\repair определены, как описано ниже:

•   Администраторам предоставлен полный контроль над каталогом %systemroot%\repair. По умолчанию эти разрешения применены к данному каталогу, всем его подкаталогам и файлам. Вы определили это, задав разрешения администратора в редакторе ACL. (Степень, с которой ACE наследует разрешения, определена на вкладке Дополнительно ( Advanced) редактора ACL в столбце Применять ( Apply to). В настоящем руководстве при определении разрешений для Администратора вкладку Дополнительно ( Advanced) мы не рассматривали.

•   Каталог %systemroot%\repair не наследует никакие разрешения от родительского объекта. Вы определили это, сняв флажок Переносить наследуемые от родительского объекта разрешения на этот объект ( Allow inheritable permissions from parent to propagate to this object) в редакторе ACL.

•   Для подкаталогов и файлов каталога repair, все списки ACL Администраторов настроены на наследование разрешений полного контроля от своего родительского объекта. При этом текущие настройки значения не имеют. Вы определили это, когда выбрали режим Заменять существующие разрешения для всех подпапок и файлов на наследуемые разрешения ( Replace existing permission on all subfolders and files with inheritable permissions).

Чтобы сохранить Ваш измененный файл Securews.inf:

1.   Щелкните правой кнопкой мыши по шаблону Securews.inf, выберите Сохранить как ( Save As) и введите Mysecurews. Нажмите Сохранить ( Save).

2.   Нажмите кнопку Закрыть ( Close) в правом верхнем углу окна, чтобы выйти из оснастки Шаблоны безопасности.

3.   Нажмите Да ( Yes), чтобы сохранить параметры консоли.

4.   Чтобы при следующем запуске оснастки не добавлять шаблоны, сохраните ее под названием Шаблоны безопасности ( Security Templates).


Продолжение ->

Автор: Станислав Павелко aka Yampo
Иcточник: (переведено с англ.) Microsoft Technet
Взято с: oszone.ru

Внимание!
Читайте другие интересные статьи на эту тему в разделе ‘Статьи и Книги’.
Так же в разделе ‘Полезное’ много интересной информации



Оцените статью: Голосов 5

Что представляет собой локальная политика безопасности?

Поговорим о том, что такое локальная политика безопасности. К политической деятельности это никакого отношения не имеет. Политика – эта набор конфигурационных параметров, которые используются для одного или нескольких объектов определенного класса. Если вы до сих пор не понимаете, о чем идет речь, сейчас я расскажу об этом поподробнее.

Итак, представьте себе, что у нас с вами имеется какой-либо объект. Для примера возьмем рабочий стол операционной системы Виндовс. Он имеет определенные свойства. К ним относится и фоновый рисунок, и заставка для экрана, и тому подобное. У вас есть возможность изменения любого из всех этих перечисленных свойств. Вы ведь периодически меняете фон для своего рабочего стола или заставку? Именно об этом и речь.

Теперь вернемся к теме статьи. Политика – это точно такие же свойства какого-нибудь объекта. Только приоритет гораздо выше, оно задается администратором конкретной системы. Если она будет определена, то у вас уже не будет возможности самостоятельно изменить свойства этого объекта, поскольку в этом случае будет постоянно использоваться значение политики. Чтоб вы до конца это поняли, приведу пример на том же рабочем столе. Если администратором была создана политика, которая задает определенный фон для вашего рабочего стола, и она будет активна, то у вас уже не будет возможности поменять данные свойства. Другими словами, вы уже не сможете сменить этот фон.

Локальная политика безопасности Windows 7 позволяет менять политики, которые относятся к безопасности. Запуск данной функции производится через стартовое меню. Зайдя в него, вам будет необходимо перейти в администрирование, где и будет находиться локальная политика безопасности. Windows XP позволяет точно так же изменять свойства, относящиеся к безопасности. Стоит отметить, что обычным пользователям совсем неинтересны такие настройки.

Также можно вызвать (через стартовое меню и функцию «Выполнить») определенный редактор. Для этого необходимо ввести команду gpedit.msc и нажать клавишу ввода. Локальная политика безопасности может быть отредактирована данным интерфейсом. Появившееся окно даст вам такую возможность.

Возникало ли у вас когда-нибудь желание добавить ссылку поиска в интернете в стартовое меню? Или у вас есть необходимость периодически очищать свой журнал документов, которые вы недавно открывали? А может, вам хочется спрятать область уведомлений? Все это можно сделать. За данный вопрос и отвечает локальная политика безопасности. Для этого заходите в окно конфигурации пользователя, оттуда перейдите к административным шаблонам и выберите настройку стартового меню с панелью задач, а также определите для себя необходимую политику.

Теперь делаем двойной щелчок на политике и в появившемся окне имеем возможность детально ознакомиться с установками. Если они нас устраивают, эта локальная политика безопасности включается, после чего нажимается кнопка «Применить». Для того чтобы это все вступило в силу, вы должны выйти из системы, после чего снова в нее зайти. Для некоторых случаев требуется перезагрузка компьютера.

Software Policy — Локальная политика безопасности

Программа для настройки локальной политики безопасности программного обеспечения, которая является мощным дополнением к защите от вредоносных программ на Microsoft Windows. В частности, она более эффективна против вымогателей, чем традиционные подходы к безопасности.

Режим работы Software Policy (Simple Software Restriction Policy) заключается в том, что разрешение на выполнение предоставляется папкам и подпапкам, а не отдельным файлам, но цель остановить запуск нежелательного или неизвестного программного обеспечения.

Можно указать, что некоторые исполняемые файлы (обычно браузеры и почтовые клиенты) запускаются с ограниченными правами. Эта мера ограничит ущерб от уязвимостей плагина браузера и т.д.

Защита может быть отключена без перезагрузки для установки доверенного программного обеспечения и автоматически активируется через определенное время.

Характеристики:

  • блокировка непреднамеренной загрузки от запуска;
  • предотвращение автоматической установки с оптических приводов;
  • запрет запуска программ с USB-носителя
  • определение какое программное обеспечение может быть запущено, а какое нет;
  • запуск указанных процессов с ограниченными привилегиями.

 

Простая локальная политика ограниченного использования программ

 

Ransomware — одна из самых серьезных проблем безопасности, когда-либо поражавших IT-индустрию. Основная причина серьезности заключается в том, что полезная нагрузка в значительной степени не подвержена традиционным мерам безопасности, такими как работа пользователя с ограниченными правами или антивирусное сканирование на основе сигнатур.

Чтобы противостоять вымогателям, нужно взглянуть на совершенно разные стратегии безопасности. Важным компонентом такой стратегии может быть реализация локальной политики ограниченного использования программ.

По сути, политика безопасности в отношении программного обеспечения устанавливает правила о том, откуда на диске можно запускать программы. Таким образом, программы в «Program files» получат ОК, а программы в «Загрузках» — нет. Поскольку этот защитный механизм не основывается на определении конкретной программы как вредоносной, он эффективен против всех видов вредоносного ПО.

Политика ограниченного использования программ на самом деле являются частью групповой политики и существует с момента появления Windows XP. Таким образом, она не являются чем-то новым.

Одной из причин низкого уровня внедрения локальной политики безопасности, несомненно, является то, что элементы управления редактора групповой политики для политик программного обеспечения не очень удобны и не очень просты в использовании.

Утилита Simple Software Restriction Policy упрощает работу с политикой. Как следует из названия, она превращает сложную часть редактирования групповой политики в простой вопрос установки утилиты и выбора нескольких параметров. Более того, если нужно приостановить политику, это всего лишь несколько щелчков мышью, и изменения вступают в силу немедленно, перезагрузка не требуется.

У SSRP есть и другие преимущества, помимо защиты компьютера от вредоносных программ. Например, она позволяет управлять запуском программ с USB-диска или DVD, другими путями, по которым нежелательное программное обеспечение может попасть на компьютер.

Единственный раз, когда нужно взаимодействовать с программой, это при установке или удалении программного обеспечения. В этом случае можно позволить себе 30 минут разблокировать компьютер, после чего его опять заблокировать и политика восстановится.

 

Руководство пользователя локальной политики безопасности

 

Простая политика ограниченного использования программ — это надстройка безопасности для Microsoft Windows, опубликованная IWR Consultancy.

Его цель — значительно усложнить запуск нежелательного или потенциально опасного программного обеспечения на компьютере. Это достигается не с помощью сигнатур файлов, используемых антивирусными программами, а путем определения мест на локальных дисках, в которых обычно находится легитимное программное обеспечение, например «Program files», в отличие от мест, где исполняемые файлы не имеют права быть, например, папки «Документы».

Это не антивирусный пакет или «пакет интернет-безопасности», и в большинстве случаев его можно запускать вместе с таким программным обеспечением без конфликтов.

Одной из приятных особенностей является его плохая видимость при обычном использовании компьютера. Можно провести целый день, создавая документы, воспроизводя мультимедиа или настраивая параметры, не видя ни единого сообщения из апплета управления локальной политикой безопасности. Если нужно выполнить действия, которые политика будет блокировать, такие как установка программного обеспечения, то одна команда разблокировки даст 30 минут для выполнения задачи без каких-либо дополнительных затруднений. Нужно больше времени? Просто разблокируйте снова, пока не истекло время.

Следует знать, что это утилита системного уровня, и неправильная конфигурация или неправильное использование может вызвать проблемы с компьютером. Тем не менее, по заявлению разработчика при таком многотысячном количестве загрузок имеется очень мало сообщений о проблемах.

 

Управление политикой безопасности

 

Иконка в трее предоставляет доступ к основным элементам управления приложением. Получить доступ можно через значок в системном трее (область уведомлений) в правом нижнем углу экрана, рядом с часами. Если навести указатель мыши на иконку приложения, отображается состояние политики, а при одинарном щелчке отображается меню параметров.

Наиболее важные пункты меню: Блокировка, Разблокировка и Настройка. Блокировка (Lock) и разблокировка (Unlock) активируют и деактивируют ограничения политики с немедленным вступлением в силу. Когда разблокировано, иконка в трее меняется на красный восклицательный знак и мигает. При наведении курсора мыши будет отображаться время, оставшееся до автоматического повторного включения политики (блокировки).

Configure открывает файл конфигурации, softwarepolicy.ini, в стандартном текстовом редакторе, обычно в блокноте.

В Windows 7 возникла проблема, заключающаяся в том, что значки в трее не всегда видны, и хотя это легко обойти, это привело к появлению большого количества сообщений от начинающих пользователей о том, что они не смогли найти значок. Таким образом, разработчики добавили значок на рабочем столе, который отображает обычный оконный диалог с меню и кнопками.

Интерфейс Metro в Windows 8 порождает проблему, когда обычный рабочий стол иногда недоступен. Поскольку Metro явно непопулярен, разработчики решили исправить это при добавлении интерфейса Metro.

Большинство параметров политики находятся в файле softwarepolicy.ini. Это файл Windows с заголовками разделов, обозначенными квадратными скобками. Элементы перечислены как имя = значение. Строки начинающиеся с «;» являются комментариями и игнорируются системой.

Язык: Английский
Лицензия:
GNU GPL v3

Протестировано на ОС: Windows 7 x64, Windows 10 x64

Заявлена совместимость с ОС: Windows XP, 7, 8, 10 (Home или Pro)

Официальный сайт: sourceforge.net/projects/softwarepolicy

Перейти в каталог загрузки на sourceforge

Внимание, резервная копия обновляется очень редко, так как нужна на случай удаления дистрибутива с официального сайта.

Резервная копия на Яндекс Диске, версия 2.2.0

Как настроить локальную политику безопасности

Инструкция

Если на вашем компьютере установлена Windows XP, из меню «Пуск» откройте «Программы», затем «Администрирование». Выбирайте оснастку «Локальная политика безопасности». Вам нужно будет настроить политику учетных записей и локальные политики, чтобы предотвратить несанкционированный доступ к компьютеру.

Раскройте значок «Политика паролей». В правой части экрана в разделе «Политика» отобразится список параметров, которые вы можете изменить. Чтобы усложнить злоумышленникам задачу подбора пароля на вход в систему, включите параметр «Пароль должен отвечать требованиям сложности».

Щелкните правой клавишей мыши по пункту и выбирайте команду «Свойства». Во вкладке «Параметр локальной безопасности» переведите переключатель в положение «Включен». Чтобы узнать, какие требования будут предъявляться к паролю, перейдите во вкладку «Объяснение параметра».

В принципе, методом перебора можно раскрыть любой код – вопрос в том, сколько времени это займет. Если пароль на вход будет время от времени меняться, шансы хакеров взломать систему существенно снизятся. Используйте параметр «Максимальный срок действия пароля». Если установить этот параметр на 0, код будет действовать неограниченное время. Срок действия можно установить от 1 дня до 999. Разумно менять пароль раз в месяц.

Чтобы предотвратить постоянное использование одного и того же кода, применяйте параметр «Требовать неповторимости паролей». Значение его может быть от 1 до 24. Он определяет количество паролей, привязанных к определенной учетной записи.

Однако, если пользователям не хочется все время запоминать новые пароли, они могут возвращать старый код. Чтобы этому помешать, используйте параметр «Минимальный срок действия пароля». Установите срок, в течение которого будет действовать установленный пароль. Если значение параметра равно 0, изменить код можно будет сразу же.

Раскройте пункт «Политика блокировки учетных записей». В параметре «Пороговое значение блокировки» вы можете задать количество попыток ввести пароль на вход. Используя значения «Блокировка учетной записи…» и «Сброс счетчика блокировки…», определите, через какое время пользователь сможет повторить попытку войти в систему.

Если информация критически важна, можно установить снятие блокировки вручную администратором сети. Для этого установите для параметра «Блокировка учетной записи…» значение 0.

В группе «Локальные политики» используйте пункт «Назначение прав пользователя», чтобы определить возможность группам участников самостоятельно совершать действия, которые могут повлиять на безопасность компьютера.

Активируйте пункт «Параметры безопасности». Здесь вы можете разрешить или запретить использование съемных носителей и дисководов разным группам пользователей, доступ к информации учетной записи «Гость», установку драйверов и ПО, и т.д.

Чтобы запустить политики безопасности в Windows 7, клавишами Win+R вызывайте диалог «Выполнить». В строку открыть введите команду secpol.msc. Можно поступить по-другому. Из меню «Пуск» вызывайте строку поиска и введите «Локальная политика безопасности».

Локальная политика безопасности Windows 10 где находится

Опубликовано

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Theme: Overlay by Kaira Extra Text
Cape Town, South Africa