Разное

Windows локальная политика безопасности: Настройка локальной политики безопасности в Windows 7

Содержание

Настройка локальной политики безопасности в Windows 7

Политика безопасности представляет собой набор параметров для регулирования безопасности ПК, путем их применения к конкретному объекту или к группе объектов одного класса. Большинство пользователей редко производят изменения данных настроек, но бывают ситуации, когда это нужно сделать. Давайте разберемся, как выполнить данные действия на компьютерах с Виндовс 7.

Варианты настройки политики безопасности

Прежде всего, нужно отметить, что по умолчанию политика безопасности настроена оптимально для выполнения повседневных задач рядового юзера. Производить манипуляции в ней нужно только в случае возникновения необходимости решить конкретный вопрос, требующий корректировки данных параметров.

Изучаемые нами настройки безопасности регулируются с помощью GPO. В Виндовс 7 сделать это можно, используя инструменты «Локальная политика безопасности» либо «Редактор локальных групповых политик». Обязательным условием является вход в профиль системы с полномочиями администратора. Далее мы рассмотрим оба этих варианта действий.

Способ 1: Применение инструмента «Локальная политика безопасности»

Прежде всего, изучим, как решить поставленную задачу с помощью инструмента «Локальная политика безопасности».

  1. Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления».
  2. Далее откройте раздел «Система и безопасности».
  3. Щелкните «Администрирование».
  4. Из предложенного набора системных инструментов выберите вариант «Локальная политика безопасности».

    Также оснастку можно запустить и через окно «Выполнить». Для этого наберите Win+R и введите следующую команду:

    secpol.msc

    Затем щелкните «OK».

  5. Указанные выше действия приведут к запуску графического интерфейса искомого инструмента. В подавляющем большинстве случаев возникает необходимость откорректировать параметры в папке «Локальные политики». Тогда нужно щелкнуть по элементу с этим наименованием.
  6. В данном каталоге располагается три папки.

    В директории «Назначение прав пользователя» определяются полномочия отдельных пользователей или групп юзеров. Например, можно указать, запрет или разрешение для отдельных лиц или категорий пользователей на выполнение конкретных задач; определить, кому разрешен локальный доступ к ПК, а кому только по сети и т.д.

    В каталоге «Политика аудита» указываются события, предназначенные для записи в журнале безопасности.

    В папке «Параметры безопасности» указываются разнообразные административные настройки, которые определяют поведение ОС при входе в неё как локально, так и через сеть, а также взаимодействие с различными устройствами. Без особой необходимости данные параметры изменять не стоит, так как большинство соответствующих задач можно решить через стандартную настройку учетных записей, родительский контроль и разрешения NTFS.

    Читайте также: Родительский контроль в Windows 7

  7. Для дальнейших действий по решаемой нами задаче щелкните по наименованию одного из указанных выше каталогов.
  8. Откроется перечень политик выбранного каталога. Кликните по той из них, которую желаете изменить.
  9. После этого откроется окошко редактирования политики. Его вид и действия, которые необходимо произвести, существенно отличаются от того, к какой именно категории она принадлежит. Например, для объектов из папки «Назначение прав пользователя» в открывшемся окне необходимо добавить или удалить имя конкретного пользователя либо группы юзеров. Добавление производится путем нажатия кнопки «Добавить пользователя или группу…».

    Если же необходимо произвести удаление элемента из выбранной политики, то выделите его и нажмите «Удалить».

  10. После завершения манипуляций в окне редактирования политики для сохранения внесенных корректировок не забудьте нажать кнопки «Применить» и «OK», а иначе изменения не вступят в силу.

Мы описали изменение настроек безопасности на примере действий в папке «Локальные политики», но по такой же аналогии можно производить действия и в других каталогах оснастки, например в директории «Политики учетных записей».

Способ 2: Использование инструмента «Редактор локальной групповой политики»

Настроить локальную политику можно также при помощи оснастки «Редактор локальной групповой политики». Правда, данный вариант доступен не во всех редакциях Windows 7, а только в Ultimate, Professional и Enterprise.

  1. В отличие от предыдущей оснастки, данный инструмент нельзя запустить через «Панель управления». Его можно активировать только путем введения команды в окно «Выполнить» или в «Командную строку». Наберите Win+R и введите в поле такое выражение:

    gpedit.msc

    Затем щелкните «OK».

    Читайте также: Как исправить ошибку «gpedit.msc не найден» в Windows 7

  2. Откроется интерфейс оснастки. Перейдите в раздел «Конфигурация компьютера».
  3. Далее щелкните по папке «Конфигурация Windows».
  4. Теперь щелкните по элементу «Параметры безопасности».
  5. Откроется директория с уже знакомыми нам по предыдущему методу папками: «Политики учетных записей», «Локальные политики» и т.д. Все дальнейшие действия проводятся по точно такому же алгоритму, который указан при описании Способа 1, начиная с пункта 5. Единственное отличие состоит в том, что манипуляции будут выполняться в оболочке другого инструмента.

    Урок: Групповые политики в Windows 7

Настроить локальную политику в Виндовс 7 можно путем использования одной из двух системных оснасток. Порядок действий в них довольно схожий, отличие заключается в алгоритме доступа к открытию данных инструментов. Но изменять указанные настройки рекомендуем только тогда, когда вы полностью уверены, что это нужно сделать для выполнения определенной задачи. Если же таковой нет, эти параметры лучше не корректировать, так как они отрегулированы на оптимальный вариант повседневного использования.

Мы рады, что смогли помочь Вам в решении проблемы.

Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.

Помогла ли вам эта статья?

ДА НЕТ

Как открыть локальную политику безопасности в Windows 7

Обеспечение безопасности компьютера – очень важная процедура, которой пренебрегают многие пользователи. Конечно, некоторые устанавливают антивирусное программное обеспечение и включают Защитник Windows, однако этого не всегда достаточно. Локальные политики безопасности позволяют создать оптимальную конфигурацию для надежной защиты. Сегодня мы поговорим о том, как попасть в это меню настройки на ПК под управлением операционной системы Виндовс 7.

Читайте также:
Как включить или отключить Защитник Windows 7
Установка бесплатного антивируса на ПК
Выбор антивируса для слабого ноутбука

Запускаем меню Локальной политики безопасности в Windows 7

Microsoft предлагает своим юзерам четыре достаточно простых метода перехода в рассматриваемое меню. Действия в каждом из них немного отличаются, а сами способы будут полезны в определенных ситуациях. Давайте рассмотрим каждый из них, начиная с самого простого.

Способ 1: Меню «Пуск»

Каждый владелец Windows 7 знаком с разделом «Пуск». Через него осуществляется переход в различные директории, запуск стандартных и сторонних программ и открытие других объектов. Внизу находится строка поиска, которая позволяет отыскать утилиту, софт или файл по названию. Введите в поле «Локальная политика безопасности» и дождитесь отображения результатов. Кликните на результат, чтобы запустить окно политик.

Способ 2: Утилита «Выполнить»

Встроенная в операционную систему утилита «Выполнить» предназначена для запуска разных директорий и других системных инструментов посредством ввода соответствующей команды. Каждому объекту присваивается собственный код. Переход к нужному вам окну осуществляется так:

  1. Откройте «Выполнить», зажав комбинацию клавиш Win + R.
  2. Введите в строке secpol.msc, а затем нажмите на «ОК».
  3. Ожидайте появления основного раздела политик безопасности.

Способ 3: «Панель управления»

Основные элементы редактирования параметров ОС Виндовс 7 сгруппированы в «Панель управления». Оттуда вы можете с легкостью попасть и в меню «Локальная политика безопасности»:

  1. Через «Пуск» откройте «Панель управления».
  2. Перейдите в раздел «Администрирование».
  3. В списке категорий отыщите ссылку «Локальная политика безопасности» и кликните на ней дважды левой кнопкой мыши.
  4. Дождитесь, пока откроется главное окно необходимой вам оснастки.

Способ 4: Консоль управления Microsoft

Консоль управления предлагает пользователям расширенные функции управления компьютером и другими учетными записями с помощью встроенных в нее оснасток. Одной из них и является «Локальная политика безопасности», добавление которой в корень консоли производится следующим образом:

  1. В поиске «Пуск» напечатайте mmc и откройте найденную программу.
  2. Разверните всплывающее меню «Файл», где выберите пункт «Добавить или удалить оснастку».
  3. В списке оснасток отыщите «Редактор объектов», кликните на «Добавить» и подтвердите выход из параметров, кликнув на «ОК».
  4. Теперь в корне оснастки появилась политика «Локальный компьютер». В ней разверните раздел «Конфигурация компьютера»«Конфигурация Windows» и выберите «Параметры безопасности». В разделе справа появились все политики, которые касаются обеспечения защиты операционной системы.
  5. Перед выходом из консоли не забудьте сохранить файл, чтобы не потерять созданные оснастки.

Ознакомиться детально с групповыми политиками Windows 7 вы можете в другом нашем материале по ссылке ниже. Там в развернутом виде рассказано о применении некоторых параметров.

Читайте также: Групповые политики в Windows 7

Теперь осталось только выбрать правильную конфигурацию открывшейся оснастки. Каждый раздел редактируется под индивидуальные запросы пользователя. Разобраться с этим вам поможет отдельный наш материал.

Подробнее: Настраиваем локальную политику безопасности в Windows 7

На этом наша статья подошла к концу. Выше вы были ознакомлены с четырьмя вариантами перехода в главное окно оснастки «Локальная политика безопасности». Надеемся, все инструкции были понятны и у вас больше не осталось вопросов по этой теме.

Мы рады, что смогли помочь Вам в решении проблемы.

Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.

Помогла ли вам эта статья?

ДА НЕТ

Настройка параметров политики безопасности (Windows 10) — Windows security



  • Чтение занимает 2 мин

В этой статье

Область примененияApplies to

В этой статье описаны действия, которые необходимо выполнить, чтобы настроить параметр политики безопасности на локальном устройстве, на подключенном к домену устройстве и на контроллере домена.Describes steps to configure a security policy setting on the local device, on a domain-joined device, and on a domain controller.

У вас должны быть права администратора на локальном устройстве либо у вас должны быть соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена для выполнения этих процедур.You must have Administrators rights on the local device, or you must have the appropriate permissions to update a Group Policy Object (GPO) on the domain controller to perform these procedures.

Если локальная настройка недоступна, она указывает на то, что объект GPO, который в данный момент управляет этим параметром.When a local setting is inaccessible, it indicates that a GPO currently controls that setting.

Настройка параметра с помощью консоли локальной политики безопасностиTo configure a setting using the Local Security Policy console

  1. Чтобы открыть локальную политику безопасности, на начальном экране введите secpol. mscи нажмите клавишу ВВОД.To open Local Security Policy, on the Start screen, type secpol.msc, and then press ENTER.

  2. В разделе Параметры безопасности в дереве консоли выполните одно из указанных ниже действий.Under Security Settings of the console tree, do one of the following:

    • Нажмите политики учетных записей , чтобы изменить политику паролей или политику блокировки учетных записей.Click Account Policies to edit the Password Policy or Account Lockout Policy.
    • Щелкните Локальные политики , чтобы изменить политику аудита, Назначение прав пользователяи Параметры безопасности.Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.
  3. Когда вы найдете параметр политики в области сведений, дважды щелкните политику безопасности, которую вы хотите изменить.When you find the policy setting in the details pane, double-click the security policy that you want to modify.

  4. Измените параметр политики безопасности, а затем нажмите кнопку ОК.Modify the security policy setting, and then click OK.

    Примечание

    • В некоторых параметрах политики безопасности требуется, чтобы устройство было переустановлено, прежде чем установка вступит в силу.Some security policy settings require that the device be restarted before the setting takes effect.
    • Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Настройка параметра политики безопасности с помощью консоли редактора локальной групповой политикиTo configure a security policy setting using the Local Group Policy Editor console

Для выполнения этих процедур необходимо иметь соответствующие разрешения на установку и использование консоли управления (MMC), а также для обновления объекта групповой политики (GPO) на контроллере домена.You must have the appropriate permissions to install and use the Microsoft Management Console (MMC), and to update a Group Policy Object (GPO) on the domain controller to perform these procedures.

  1. Откройте редактор локальных групповых политик (gpedit. msc).Open the Local Group Policy Editor (gpedit.msc).

  2. В дереве консоли щелкните Конфигурация компьютера, выберите пункт Параметры Windows, а затем — Параметры безопасности.In the console tree, click Computer Configuration, click Windows Settings, and then click Security Settings.

  3. Выполните одно из следующих действий.Do one of the following:

    • Нажмите политики учетных записей , чтобы изменить политику паролей или политику блокировки учетных записей.Click Account Policies to edit the Password Policy or Account Lockout Policy.
    • Щелкните Локальные политики , чтобы изменить политику аудита, Назначение прав пользователяи Параметры безопасности.Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.
  4. В области сведений дважды щелкните параметр политики безопасности, который вы хотите изменить.In the details pane, double-click the security policy setting that you want to modify.

    Примечание

     Если эта политика безопасности еще не определена, установите флажок определить параметры политики .If this security policy has not yet been defined, select the Define these policy settings check box.

  5. Измените параметр политики безопасности, а затем нажмите кнопку ОК.Modify the security policy setting, and then click OK.

Примечание

Если вы хотите настроить параметры безопасности для многих устройств в сети, вы можете использовать консоль управления групповыми политиками.If you want to configure security settings for many devices on your network, you can use the Group Policy Management Console.

Настройка параметра для контроллера доменаTo configure a setting for a domain controller

Ниже описано, как настроить параметр политики безопасности только для контроллера домена (с контроллера домена).The following procedure describes how to configure a security policy setting for only a domain controller (from the domain controller).

  1. Чтобы открыть политику безопасности контроллера домена, в дереве консоли найдите политику GroupPolicyObject \ [имя_компьютера ] , нажмите кнопку Конфигурация компьютера, выберите пункт Параметры Windows, а затем — Параметры безопасности.To open the domain controller security policy, in the console tree, locate GroupPolicyObject [ComputerName] Policy, click Computer Configuration, click Windows Settings, and then click Security Settings.

  2. Выполните одно из следующих действий.Do one of the following:

    • Дважды щелкните политики учетных записей , чтобы изменить политику паролей, политику блокировки учетных записейили политику Kerberos.Double-click Account Policies to edit the Password Policy, Account Lockout Policy, or Kerberos Policy.
    • Щелкните Локальные политики , чтобы изменить политику аудита, Назначение прав пользователяили Параметры безопасности.Click Local Policies to edit the Audit Policy, a User Rights Assignment, or Security Options.
  3. В области сведений дважды щелкните политику безопасности, которую вы хотите изменить.In the details pane, double-click the security policy that you want to modify.

    Примечание

     Если эта политика безопасности еще не определена, установите флажок определить параметры политики .If this security policy has not yet been defined, select the Define these policy settings check box.

  4. Измените параметр политики безопасности, а затем нажмите кнопку ОК.Modify the security policy setting, and then click OK.

Важно!

  • Всегда проверяйте только что созданную политику в тестовом подразделении, прежде чем применять ее к сети.Always test a newly created policy in a test organizational unit before you apply it to your network.
  • При изменении параметра безопасности с помощью объекта групповой политики и нажатии кнопки ОКэтот параметр вступит в силу при следующем обновлении параметров.When you change a security setting through a GPO and click OK, that setting will take effect the next time you refresh the settings.

Где находится Локальная политика безопасности в Windows 10

Каждый пользователь должен заботиться о безопасности своего компьютера. Многие прибегают к включению брандмауэра Windows, устанавливают антивирус и другие защитные инструменты, но этого не всегда хватает. Встроенное средство операционной системы «Локальная политика безопасности» позволит каждому вручную оптимизировать работу учетных записей, сетей, редактировать открытые ключи и производить другие действия, связанные с наладкой защищенного функционирования ПК.

Читайте также:
Включение / отключение Защитника в Windows 10
Установка бесплатного антивируса на ПК

Открываем «Локальную политику безопасности» в Windows 10

Сегодня мы бы хотели обсудить процедуру запуска упомянутой выше оснастки на примере ОС Windows 10. Существуют разные методы запуска, которые станут наиболее подходящими при возникновении определенных ситуаций, поэтому целесообразным будет детальное рассмотрения каждого из них. Начнем с самого простого.

Способ 1: Меню «Пуск»

Меню «Пуск» активно задействует каждый пользователь на протяжении всего взаимодействия с ПК. Этот инструмент позволяет осуществлять переход в различные директории, находить файлы и программы. Придет на помощь он и при необходимости запуска сегодняшнего инструмента. Вам достаточно просто открыть само меню, ввести в поиске «Локальная политика безопасности» и запустить классическое приложение.

Как видите, отображается сразу несколько кнопок, например «Запуск от имени администратора» или «Перейти к расположению файла». Обратите внимание и на эти функции, ведь они однажды могут пригодиться. Вам также доступно закрепление значка политики на начальном экране или на панели задач, что значительно ускорит процесс ее открытия в дальнейшем.

Способ 2: Утилита «Выполнить»

Стандартная утилита ОС Виндовс под названием «Выполнить» предназначена для быстрого перехода к определенным параметрам, директориям или приложениям путем указания соответствующей ссылки или установленного кода. У каждого объекта имеется уникальная команда, в том числе и у «Локальной политики безопасности». Ее запуск происходит так:

  1. Откройте «Выполнить», зажав комбинацию клавиш Win + R. В поле пропишите secpol.msc, после чего нажмите на клавишу Enter или щелкните на «ОК».
  2. Буквально через секунду откроется окно управления политикой.

Способ 3: «Панель управления»

Хоть разработчики операционной системы Виндовс постепенно и отказываются от «Панели управления», перемещая или добавляя многие функции только в меню «Параметры», это классическое приложение все еще нормально работает. Через него тоже доступен переход к «Локальной политике безопасности», однако для этого понадобится выполнить такие шаги:

  1. Откройте меню «Пуск», найдите через поиск «Панель управления» и запустите ее.
  2. Перейдите к разделу «Администрирование».
  3. В списке отыщите пункт «Локальная политика безопасности» и дважды щелкните по нему ЛКМ.
  4. Дожидайтесь запуска нового окна для начала работы с оснасткой.

Способ 4: Консоль управления Microsoft

В Консоли управления Майкрософт происходит взаимодействие со всеми возможными в системе оснастками. Каждая из них предназначена для максимально детальной настройки компьютера и применения дополнительных параметров, связанных с ограничениями доступа к папкам, добавлением или удалением определенных элементов рабочего стола и многим другим. Среди всех политик присутствует и «Локальная политика безопасности», но ее еще нужно отдельно добавить.

  1. В меню «Пуск» найдите mmc и перейдите к этой программе.
  2. Через всплывающее окно «Файл» приступайте к добавлению новой оснастки, нажав на соответствующую кнопку.
  3. В разделе «Доступные оснастки» отыщите «Редактор объектов», выделите его и щелкните на «Добавить».
  4. Поместите параметр в объект «Локальный компьютер» и щелкните на «Готово».
  5. Осталось только перейти к политике безопасности, чтобы убедиться в ее нормальном функционировании. Для этого откройте корень «Конфигурация компьютера»«Конфигурация Windows» и выделите «Параметры безопасности». Справа отобразятся все присутствующие настройки. Перед закрытием меню не забудьте сохранить изменения, чтобы добавленная конфигурация осталась в корне.

Приведенный выше способ будет максимально полезен тем юзерам, кто активно использует редактор групповых политик, настраивая там необходимые ему параметры. Если вас интересуют другие оснастки и политики, советуем перейти к отдельной нашей статье по этой теме, воспользовавшись указанной ниже ссылкой. Там вы ознакомитесь с основными моментами взаимодействия с упомянутым инструментом.

Читайте также: Групповые политики в Windows

Что же касается настройки «Локальной политики безопасности», производится она каждым пользователем индивидуально — им подбираются оптимальные значения всех параметров, но при этом существуют и главные аспекты конфигурации. Детальнее о выполнении этой процедуры читайте далее.

Подробнее: Настраиваем локальную политику безопасности в Windows

Теперь вы знакомы с четырьмя различными методами открытия рассмотренной оснастки. Вам осталось только подобрать подходящий и воспользоваться им.

Мы рады, что смогли помочь Вам в решении проблемы.

Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.

Помогла ли вам эта статья?

ДА НЕТ

Локальная политика безопасности в Windows 10

В операционных системах семейства Windows присутствует множество оснасток и политик, представляющих собой набор параметров для настройки различных функциональных составляющих ОС. Среди них находится оснастка под названием «Локальная политика безопасности» и отвечает она за редактирование защитных механизмов Виндовс. В рамках сегодняшней статьи мы обсудим компоненты упомянутого инструмента и расскажем о их влиянии на взаимодействие с системой.

Настройка «Локальной политики безопасности» в Windows 10

Как вы уже знаете из предыдущего абзаца, упомянутая политика состоит из нескольких компонентов, каждый из которых собрал в себе параметры по регулированию защищенности самой ОС, пользователей и сетей при обмене данными. Логично будет уделить время каждому разделу, поэтому давайте сразу же начнем детальный разбор.

Запускается «Локальная политика безопасности» одним из четырех способов, каждый будет максимально полезен определенным юзерам. В статье по следующей ссылке вы можете ознакомиться с каждым методом и выбрать подходящий. Однако хотим обратить ваше внимание, что все приведенные сегодня скриншоты сделаны в самом окне инструмента, а не в редакторе локальных групповых политик, из-за чего следует учитывать особенности интерфейсов.

Подробнее: Расположение локальной политики безопасности в Windows 10

Политики учетных записей

Начнем с первой категории под названием «Политики учетных записей». Разверните ее и откройте раздел «Политика паролей». Справа вы видите перечень параметров, каждый из которых отвечает за ограничения или выполнение действий. Например, в пункте «Минимальная длина пароля» вы самостоятельно указываете количество знаков, а в «Минимальный срок действия пароля» — количество дней на блокировку его изменения.

Дважды щелкните на одном из параметров, чтобы открыть отдельное окно с его свойствами. Как правило, здесь присутствует ограниченное количество кнопок и настроек. Например, в «Минимальный срок действия пароля» вы только выставляете количество дней.

Во вкладке «Объяснение» находится детальное описание каждого параметра от разработчиков. Обычно оно расписано достаточно широко, но большая часть информации является бесполезной или же очевидной, поэтому ее можно опустить, выделив только основные моменты лично для себя.

Во второй папке «Политика блокировки учетной записи» присутствует три политики. Здесь доступна установка времени до сброса счетчика блокировки, пороговое значение блокировки (количество ошибок ввода пароля при входе в систему) и продолжительность блокировки профиля пользователя. О том, как устанавливаются каждые параметры, вы уже узнали из информации выше.

Локальные политики

В разделе «Локальные политики» собрано сразу несколько групп параметров, разделенных по директориям. Первая имеет название «Политика аудита». Если говорить просто, аудит — процедура слежения за действиями юзера с дальнейшим занесением их в журнал событий и безопасности. Справа вы видите несколько пунктов. Их названия говорят сами за себя, поэтому отдельно останавливаться на каждом нет никакого смысла.

Если значение установлено «Нет аудита», действия отслеживаться не будут. В свойствах же на выбор предоставляется два варианта — «Отказ» и «Успех». Поставьте галочку на одном из них или сразу на обоих, чтобы сохранять успешные и прерванные действия.

В папке «Назначение прав пользователя» собраны настройки, позволяющие предоставить группам юзеров доступ для выполнения определенных процессов, например, вход в качестве службы, возможность подключения к интернету, установка или удаление драйверов устройств и многое другое. Ознакомьтесь со всеми пунктами и их описанием самостоятельно, в этом нет ничего сложного.

В «Свойства» вы видите перечень групп пользователей, которым разрешено осуществление заданного действия.

В отдельном окне происходит добавление групп юзеров или только некоторых учетных записей из локальных компьютеров. От вас требуется лишь указать тип объекта и его размещение, а после перезагрузки компьютера все изменения вступят в силу.

Раздел «Параметры безопасности» посвящен обеспечению защищенности двух предыдущих политик. То есть здесь вы можете настроить аудит, который будет отключать систему при невозможности добавления соответствующей записи аудита в журнал, либо же установить ограничение на количество попыток ввода пароля. Параметров здесь насчитывается более тридцати. Условно их можно разделить на группы — аудиты, интерактивный вход в систему, контроль учетных записей, сетевой доступ, устройства и сетевая безопасность. В свойствах вам разрешено активировать или отключать каждую из этих настроек.

Монитор брандмауэра Защитника Windows в режиме повышенной безопасности

«Монитор брандмауэра Защитника Windows в режиме повышенной безопасности» — один из самых сложных разделов «Локальной политики безопасности». Разработчики попытались упростить процесс наладки входящих и исходящих подключений с помощью добавления Мастера настройки, однако начинающие пользователи все равно с трудом разберутся со всеми пунктами, но эти параметры и крайне редко нужны такой группе юзеров. Здесь доступно создание правил для программ, портов или предопределенных соединений. Вы блокируете либо разрешаете подключение, выбрав при этом сеть и группу.

В этом же разделе происходит определение типа безопасности подключения — изоляция, сервер-сервер, туннель или освобождение от проверки подлинности. Останавливаться на всех настройках нет смысла, ведь это пригодится только опытным администраторам, а они в состоянии самостоятельно обеспечить надежность входящих и исходящих соединений.

Политики диспетчера списка сетей

Обратите внимание на отдельную директорию «Политики диспетчера списка сетей». Количество отображаемых здесь параметров зависит от активных и доступных интернет-соединений. Например, пункт «Неопознанные сети» или «Идентификация сетей» будет присутствовать всегда, а «Сеть 1», «Сеть 2» и так далее — в зависимости от реализации вашего окружения.

В свойствах вы можете указать имя сети, добавить разрешения для пользователей, установить собственный значок или задать расположение. Все это доступно для каждого параметра и должно применяться отдельно. После выполнения изменений не забывайте их применять и перезагружать компьютер, чтобы они вступали в силу. Иногда может потребоваться и перезагрузка роутера.

Политики открытого ключа

Полезным раздел «Политики открытого ключа» будет только для тех, кто использует компьютеры на предприятии, где для осуществления криптографических операций или других защищенных манипуляций задействованы открытые ключи и центры спецификаций. Все это позволяет гибко производить контроль доверительных отношений между устройствами, обеспечив стабильную и безопасную сеть. Внесения изменений зависят от активного на предприятии центра доверенности.

Политики управления приложениями

В «Политики управления приложениями» находится инструмент «AppLocker». Он включает в себя множество самых разнообразных функций и настроек, позволяющих регулировать работу с программами на ПК. Например, он позволяет создать правило, ограничивающее запуск всех приложений, кроме указанных, либо установить ограничение на изменение файлов программами, задав отдельные аргументы и исключения. Полную информацию по поводу упомянутого инструмента вы можете получить в официальной документации компании Microsoft, там все расписано максимально детально, с объяснением каждого пункта.

AppLocker в операционной системе Windows

Что же касается меню «Свойства», то здесь применение правил настраивается для коллекций, например, исполняемые файлы, установщик Windows, сценарии и упакованные приложения. Каждое значение может применяться принудительно, в обход другим ограничениям «Локальной политики безопасности».

Политики IP-безопасности на «Локальный компьютер»

Настройки в разделе «Политики IP-безопасности на «Локальный компьютер»» имеют некое сходство с теми, что доступны в веб-интерфейсе роутера, например, включение шифрования трафика либо его фильтрация. Пользователь сам создает неограниченное количество правил через встроенный Мастер создания указывает там методы шифрования, ограничения на передачу и прием трафика, а также активирует фильтрацию по IP-адресам (разрешение или запрет на подключение к сети).

На скриншоте ниже вы видите пример одного из таких правил связи с другими компьютерами. Здесь присутствует список IP-фильтров, их действие, методы проверки, конечная точка и тип подключения. Все это задается пользователем вручную, исходя из его потребностей в обеспечении фильтрации передачи и приема трафика с определенных источников.

Конфигурация расширенной политики аудита

В одной из предыдущих частей сегодняшней статьи вы уже были ознакомлены с аудитами и их настройкой, однако существуют еще дополнительные параметры, которые вынесены в отдельный раздел. Здесь уже вы видите более обширное действие аудитов — создание/завершение процессов, изменение файловой системы, реестра, политик, управление группами учетных записей пользователей, приложений и многое другое, с чем можете ознакомиться самостоятельно.

Корректировка правил осуществляется точно так же — нужно лишь отметить галочкой «Успех», «Отказ», чтобы запустить процедуру слежения и записи в журнал безопасности.

На этом ознакомление с «Локальной политикой безопасности» в Windows 10 завершено. Как видите, здесь присутствует множество самых полезных параметров, позволяющих организовать хорошую защиту системы. Мы настоятельно советуем перед внесением определенных изменений внимательно изучить описание самого параметра, чтобы понять его принцип работы. Редактирование некоторых правил иногда приводит к серьезным проблемам работы ОС, поэтому делайте все крайне осторожно.

Мы рады, что смогли помочь Вам в решении проблемы.

Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.

Помогла ли вам эта статья?

ДА НЕТ

что это, где находится и как открыть, почему может отсутствовать или не открываться

Июль 28th, 2017 Георгий Кулешовский

Если вы посчитали, что, настроив на своём сервере антивирусы, вы на 100% обезопасили себя и своих клиентов от каких бы то ни было инцидентов, то это ещё не всё. Вам не помешают групповые настройки, исключающие любые ошибки.

Зачем в Windows нужна локальная политика безопасности

Групповая (локальная) политика безопасности (ГПБ/ЛПБ) — это программные средства, обеспечивающие согласованную и максимально эффективную работу компьютеров компании или учреждения. Иметь высокую производительность труда, экономя время и ресурсы — это о вас, если на ПК и ноутбуках под управлением Windows работают настройки группового соединения: вместе эти компьютеры образуют единое целое, помогающее вашей конторе расти и развиваться дальше. Для этого требуется их подключение к одному домену.

Какая версия Windows 10 подходит для настроек групповой политики

Вам нужна Professional/Enterprise — её используют работники частных фирм и госслужащие. Дело в том, что в версии Home/Starter, предназначенной для обычных пользователей, нет компонента gpedit.exe (англ. Group Politics Editor) — нужна его принудительная установка.

Почему в Windows Home/Starter нет инструмента GPEdit

В Home/Starter ГПБ представлена лишь службой «Клиент групповой политики», которую можно отключить совсем. Да и зачем она, если доступ к расширенным настройкам закрыт? Сделано это для предотвращения изменений, вносимых в настройки ОС вредоносным ПО под именем администратора.

Где находится и как работает локальная политика безопасности

Локальные средства безопасности «десятки» управляются службой «Клиент групповой политики». Если эта служба отключена, средство Group Politics Editor не запустится или будет давать сбои в настройке.

Запуск редактора локальной политики безопасности Windows 10

Дайте команду «Пуск — Выполнить» и введите в открывшейся строке команду gpedit.msc.

Подтвердите ввод, нажав OK

Запустить редактор также можно, введя «gpedit» в поиске главного меню Windows 8/10.

Функционал редактора групповой политики

Настройка сервиса ГПБ включает в себя:

  • конфигурацию программ — управляет сторонними приложениями;
  • конфигурацию «десятки» — управляет настройками безопасности системы;
  • административные шаблоны — фактически это замена утомительного редактирования настроек из реестра.

    Основное окно редактора показывает все настройки групповой политики

Как выключить локальную политику безопасности

Необходимо выключить службу «Клиент групповой политики». Но она «вшита» в Windows 7/8/10 настолько прочно, что остановить и деактивировать её с помощью встроенного мастера настройки служб, вызываемого из диспетчера задач, нельзя.

Самый действенный способ — вмешаться в реестр системы. Сделайте следующее:

  1. Войдите в уже знакомую строку запуска программ «Выполнить» и введите команду «regedit». Откроется редактор реестра.
  2. Перейдите в директорию \HKLM\SYSTEM\CurrentControlSet\Services\gpsvc (процесс gpsvc.exe, видимый в диспетчере задач при работе «Клиента групповой политики», запускается реестром Windows из этого места).
  3. Правый щелчок мышью откроет меню папки «gpsvc» — выберите «Разрешения».

    В редакторе реестра находим папку «gpsvc», нажимаем «Разрешения»

  4. Выберите другого владельца, зайдя в дополнительные параметры безопасности.

    Без изменения имени вы не сможете добраться до полного доступа к процессу gpsvc

  5. Отметьте все разрешения. Желательно удалить лишних пользователей из настройки неограниченного доступа к службе.

    Отметьте все разрешения, удалите лишних пользователей из настройки дополнительного доступа в графе «Группы или пользователи»

  6. Вернитесь к папке gpsvc в данной директории реестра и измените ключ Start, введя значение 4 («Отключено»).

    В папке gpsvc измените ключ Start, введя значение 4, и система отключится

  7. Закройте все окна, нажав OK, перезапустите компьютер.

Это ещё не всё! Вам будет мешать сообщение в трее о неработе службы «Клиент групповой политики».

Оно будет появляться каждый раз, уберите его

Чтобы его убрать, сделайте следующее:

  1. Запустите уже знакомый редактор реестра.
  2. Удалите из него папку HKLM\SYSTEM\CurrentControlSet\Control\Winlogon\Notifications\Components\GPClient.

    Запустите редактор реестра и удалите из него папку GPClient

Предварительно сохраните эту папку в отдельный файл реестра. Это делается на случай, если работу службы нужно быстро восстановить, не переустанавливая Windows. После удаления папки перезапустите компьютер — уведомление больше не появится.

Локальная политика безопасности Windows 10 не включается

Причины, по которым не включается служба, следующие:

  • вы скачали сборку ОС, в которой этот компонент отключён. Вам поможет код реестра (можно сохранить и запустить как отдельный reg-файл): Windows [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] «EnableInstallerDetection»=dword:00000001. Перезапустите компьютер после запуска созданного твика;
  • вы используете Win 10 Home. Поставьте сервис «Локальная политика безопасности самостоятельно, если у вас нет сборки Professional или Enterprise. Воспользуйтесь инструкциями для Windows 7 и выполните похожее для Windows 10;
  • недостаточно прав, нужны «админские» права. Чтобы включить учётную запись администратора, воспользуйтесь командой «net user администратор /active:yes» в командной строке и зайдите в систему под именем администратора. Попытайтесь запустить редактор ГПБ заново известными выше способами. Как только надобность в GPEditor отпадёт и службу вы отключите, выйдите из учётной записи администратора и выключите его командой «net user администратор /active:no».

Видео: как установить редактор групповой политики в Windows

Службы и процессы групповой безопасности Windows — полезный инструмент, здорово выручающий в работе. Когда он не нужен, его легко выключить.

Блоггер, копирайтер (в т. ч. и рерайтер) Оцените статью: Поделитесь с друзьями!

Локальные политики безопасности

Выполняя настройку компьютеров, системные администраторы в первую очередь должны обращать внимание на их безопасность. Что же это такое? Это совокупность функций, регулирующих безопасную работу ПК и управляющихся посредством локального объекта GPO.

Настройка политики безопасности на компьютерах с Windows XP, «Семёрка»

Настройку данных функций осуществляют (в Windows XP, «Семёрка») пользователи вручную через через специальную консоль «Local Group Politics Editor» (редактор локальных политик безопасности) или «Local Security Politics». Окно «Local Group Politics Editor» используют при необходимости внести изменения в политику учётной записи домена, управляемой посредством Active Directory. Через консоль «Local Group Politics Editor» производится настройка параметров учётных записей и регулируется безопасность на локальных хостах. Для открытия окна настроек Local Security Policy (в Windows XP, «Семёрка») нужно сделать следующее.

Нажимаем кнопку «Start» и в поисковом поле открывающемся меню вводим название окна Local Security Policy (см. рисунок ниже).

Нажав комбинацию кнопок +R, открываем пункт «Run», в поле ввода которого вводим sесpol.msc и нажимаем на ОК.

Сначала необходимо проверить, что учётный пользовательский аккаунт находится в администраторской группе (Windows XP, «Семёрка»). Для открытия консольного приложения ММС (в Windows XP, «Семёрка» ) нажимаем кнопку «Start» и в поисковом поле вводим mmс, после чего нажимаем на «Enter». В пустом консольном окне ММС нажимаем на надпись «Console» и выбираем «Add or Remove». В открывшемся окне выбираем консоль «Local Group Politics Editor» и нажимаем на Add. В открывшемся диалоговом окне нужно найти и нажать на «Обзор», указать необходимые компьютеры и нажать на «Ready». В окне «Add or Remove» нажимаем на ОК. Находим открытую консоль «Local Group Politics Editor» и переходим на пункт «Computer Configuration», а после этого открываем «Security Parameters».

При подсоединении вашего рабочего места к сети с доменом (Windows Сервер 2008), безопасность определяется политикой Active Directory или политика того подразделения, к которому относится компьютер.

Как применить Security Policy к компьютерам, являющимися локальными (с системой Windows XP и так далее), или подсоединённому к домену

Сейчас мы подробно рассмотрим последовательность настроек Local Security Policy и увидим различия между особенностями политики безопасности на локальном компе с Windows (XP, «Семёрка» и так далее) и на компе, подсоединённом к доменной сети через Windows Сервер 2008 R2.

Особенности настроек Security Policy на локальном компьютере

Следует напомнить, что все действия, проводимые здесь, выполнялись под учётным аккаунтом, входящим в администраторскую группу (Windows XP, «Семёрка») на локальном компьютере или в группу «Domen Administrators» (Windows Сервер 2008), в подсоединённом к доменной сети узле.

Чтобы выполнить этот пример необходимо сначала присвоить гостевому учётному аккаунту другое имя. Для этого выполняем следующие действия.

  1. Открывается консольное приложение «Local Security Politics» или выполняется переход в узел «Security Parameters» консоли «Local Group Politics Editor»;
  2. Переходим в раздел «Local Politics», а потом — в «Security Parameters»;
  3. Двойным нажатием на кнопку мышки открываем «User’s accounts: Rename guest user account»;
  4. В поле ввода прописываем Гостевая запись и нажимаем ОК.
  5. Компьютер нужно перезагрузить. (В Windows XP для этого нужно нажать на Завершение работы и нажать на Restart).

Заново включив комп, проверяем использование Security Policy к вашей ЭВМ. Для этого открывается Control Panel и в окне «User’s Accounts» переходим по ссылке «Другой учётный аккаунт. Управление». В открытом окне можно будет увидеть список всех учётных записей вашей локальной машины, куда входит и переименованный гостевой пользовательский учётный аккаунт.

Применяем Security Policy для компьютеров, подключенных к доменной сети через Windows Сервер 2008 R2

Этот пример показывает последовательность операций для запрета изменения пользовательского пароля для учётной записи Test_ADUser. Напомним, что изменять параметры Security Policy возможно только будучи в группе «Domen’s administrators». Делаем следующее.

Нажимаем на «Start» и в поисковом поле вводим ММС и нажимаем «Enter». Нажимаем на надпись «Console» и выбираем строку «Add or Remove». На экране сразу появится диалоговое окно. В нём нужно выбрать оснастку «Local Group Politics Editor» и там нажать на «Обзор», чтобы выбрать компьютер.

В появившемся окне выбираем нужные компьютеры и нажимаем Done.

  1. В окне «Add or Remove» нажимаем ОК.
  2. Находим открывшуюся консоль «Local Group Politics Editor» и переходим на узел «Computer Configuration» и там открываем узел «Security Parameters\Local Computer/Security Parameters»
  3. Находим параметр «Доменный контроллер: запретить изменения пароля учётных аккаунтов» и нажимаем на него два раза мышкой.
  4. В появившемся окне выбираем «Включить» и нажимаем ОК.
  5. Перезагружаемся.

После включения компьютеров проверяем изменения в Security Policy, перейдя на консоль ММС. В открывшейся консоли добавляем составляющую «Local users and computers» и пробуем поменять пароль своего учётного аккаунта.

Вывод

Прочитав эту статью, мы разобрались с особенностями методов использования Local Security Policy (на компах с Windows XP, «Семёркой», Windows Сервер 2008). В вышеприведенных примерах показаны иллюстрации c настройками Local Security Policy на компьютерах, которые являются локальными, и компьютерах, которые подключёны к доменной сети.

5 способов открыть локальную политику безопасности в Windows 10

Local Security Policy — это встроенное настольное приложение в Windows 10. Иногда вам нужно использовать его, чтобы настроить некоторые параметры безопасности для учетных записей пользователей на вашем компьютере. Если вы не знаете, как открыть локальную политику безопасности в Windows 10, прочтите этот пост.

5 способов открыть локальную политику безопасности в Windows 10

Примечания: Домашняя версия Windows 10 не имеет локальной политики безопасности.Пять способов, указанных ниже, применимы к Windows 10 Enterprise / Pro / Education. Убедитесь, что вы вошли в Windows 10 с учетной записью администратора или у вас есть права администратора.

Метод 1: через поиск

Начните вводить «локальную политику безопасности» (без кавычек) в поле поиска в левой части панели задач Windows 10. Когда локальная политика безопасности (настольное приложение) отображается в списке результатов поиска, щелкните по ней, чтобы открыть.

Метод 2: из меню «Пуск»

Откройте меню «Пуск» Windows 10 и щелкните Все приложения> Инструменты администрирования Windows> Локальная политика безопасности .

Метод 3: через диалоговое окно «Выполнить»

Откройте диалоговое окно «Выполнить» с помощью ключа Win + R , введите в поле secpol.msc и нажмите OK . Затем откроется локальная политика безопасности.

Метод 4: через локальную групповую политику

Откройте редактор локальной групповой политики и перейдите в раздел Конфигурация компьютера > Параметры Windows> Параметры безопасности .

Метод 5: с помощью командной строки или Windows PowerShell

Шаг 1. Откройте окно командной строки или откройте окно Windows PowerShell.

Шаг 2: Введите secpol (или secpol.msc) и нажмите клавишу Enter . Затем откроется локальная политика безопасности.

.

Настройка параметров политики безопасности (Windows 10) — Windows Security

  • 2 минуты на чтение

В этой статье

Относится к

Описывает шаги по настройке параметра политики безопасности на локальном устройстве, на устройстве, присоединенных к домену, и на контроллере домена.

У вас должны быть права администратора на локальном устройстве или у вас должны быть соответствующие разрешения для обновления объекта групповой политики (GPO) на контроллере домена для выполнения этих процедур.

Когда локальный параметр недоступен, это означает, что в настоящее время этот параметр контролируется объектом групповой политики.

Для настройки параметра с помощью консоли локальной политики безопасности

  1. Чтобы открыть локальную политику безопасности, на экране Start введите secpol.msc , а затем нажмите клавишу ВВОД.

  2. В разделе Параметры безопасности дерева консоли выполните одно из следующих действий:

    • Щелкните Политики учетных записей , чтобы изменить политику паролей или Политика блокировки учетных записей .
    • Щелкните Локальные политики , чтобы изменить политику аудита , назначение прав пользователя или параметры безопасности .
  3. Когда вы найдете параметр политики в области сведений, дважды щелкните политику безопасности, которую вы хотите изменить.

  4. Измените параметр политики безопасности и нажмите ОК .

    Примечание

    • Некоторые параметры политики безопасности требуют перезапуска устройства, прежде чем параметр вступит в силу.
    • Любое изменение в назначении прав пользователя для учетной записи вступает в силу при следующем входе владельца учетной записи.

Для настройки параметра политики безопасности с помощью консоли редактора локальной групповой политики

У вас должны быть соответствующие разрешения для установки и использования консоли управления Microsoft (MMC), а также для обновления объекта групповой политики (GPO) на контроллере домена для выполнения этих процедур.

  1. Откройте редактор локальной групповой политики (gpedit.msc).

  2. В дереве консоли щелкните Конфигурация компьютера , щелкните Параметры Windows , а затем щелкните Параметры безопасности .

  3. Выполните одно из следующих действий:

    • Щелкните Политики учетных записей , чтобы изменить политику паролей или Политика блокировки учетных записей .
    • Щелкните Локальные политики , чтобы изменить политику аудита , назначение прав пользователя или параметры безопасности .
  4. В области сведений дважды щелкните параметр политики безопасности, который нужно изменить.

    Примечание

    Если эта политика безопасности еще не определена, установите флажок Определить эти параметры политики .

  5. Измените параметр политики безопасности и нажмите ОК .

Примечание

Если вы хотите настроить параметры безопасности для многих устройств в сети, вы можете использовать консоль управления групповой политикой.

Чтобы настроить параметр для контроллера домена

Следующая процедура описывает, как настроить параметр политики безопасности только для контроллера домена (с контроллера домена).

  1. Чтобы открыть политику безопасности контроллера домена, в дереве консоли найдите GroupPolicyObject [ComputerName] Политика , щелкните Конфигурация компьютера , щелкните Параметры Windows , а затем щелкните Параметры безопасности .

  2. Выполните одно из следующих действий:

    • Дважды щелкните Политики учетных записей , чтобы изменить политику паролей , Политика блокировки учетных записей или Политика Kerberos .
    • Щелкните Local Policies , чтобы изменить политику аудита , назначение прав пользователя или параметры безопасности .
  3. В области сведений дважды щелкните политику безопасности, которую нужно изменить.

    Примечание

    Если эта политика безопасности еще не определена, установите флажок Определить эти параметры политики .

  4. Измените параметр политики безопасности и нажмите ОК .

Важно

  • Всегда тестируйте вновь созданную политику в тестовом организационном подразделении, прежде чем применять ее к своей сети.
  • Когда вы изменяете параметр безопасности через объект групповой политики и нажимаете OK , этот параметр вступит в силу при следующем обновлении параметров.

.

Как настроить параметры политики безопасности

  • 3 минуты на чтение

В этой статье

Применимо к: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

В этом процедурном разделе для ИТ-специалиста описаны шаги по настройке параметра политики безопасности на локальном компьютере, на компьютере, присоединенном к домену, и на контроллере домена.

Этот раздел относится к версиям Windows, указанным в приведенном выше списке Применимо к . Некоторые элементы пользовательского интерфейса, описанные в этом разделе, могут отличаться от версии к версии.

У вас должны быть права администратора на локальном компьютере или у вас должны быть соответствующие разрешения для обновления объекта групповой политики (GPO) на контроллере домена для выполнения этих процедур.

Когда локальный параметр недоступен, это означает, что в настоящее время этот параметр контролируется объектом групповой политики.

В этой теме

Для настройки параметров на локальном компьютере

  1. Чтобы открыть локальную политику безопасности, на экране Start введите secpol.msc .

  2. Перейдите в дереве консоли к Политике локального компьютера \ Параметры Windows \ Параметры безопасности

  3. В разделе Параметры безопасности дерева консоли выполните одно из следующих действий:

    • Щелкните Политики учетных записей , чтобы изменить политику паролей или Политика блокировки учетных записей .

    • Щелкните Локальные политики , чтобы изменить политику аудита , назначение прав пользователя или параметры безопасности .

  4. Когда вы найдете параметр политики в области сведений, дважды щелкните политику безопасности, которую вы хотите изменить.

  5. Измените параметр политики безопасности и нажмите ОК .

    Примечание

    Для некоторых параметров политики безопасности требуется перезагрузка компьютера, прежде чем параметр вступит в силу.Любые изменения в назначении прав пользователя для учетной записи вступают в силу при следующем входе владельца учетной записи.

Чтобы настроить параметр для компьютера, который присоединен к домену

Следующая процедура описывает, как настроить параметр политики безопасности для объекта групповой политики, когда вы находитесь на рабочей станции или сервере, который присоединен к домену.

У вас должны быть соответствующие разрешения для установки и использования консоли управления Microsoft (MMC), а также для обновления объекта групповой политики (GPO) на контроллере домена для выполнения этих процедур.

  1. Чтобы открыть MMC и добавить редактор объектов групповой политики, на экране Start введите mmc.msc .

  2. В меню Файл MMC щелкните Добавить / удалить оснастку , а затем щелкните Добавить .

  3. В Добавить автономную оснастку дважды щелкните Редактор объектов групповой политики .

  4. В выберите объект групповой политики , нажмите Обзор , перейдите к объекту групповой политики, который вы хотите изменить, а затем нажмите Завершить .

  5. Щелкните Закрыть , а затем щелкните ОК .

    Эта процедура добавляла оснастку в MMC.

  6. В дереве консоли найдите GroupPolicyObject [ComputerName] Policy, щелкните Конфигурация компьютера , щелкните Параметры Windows , а затем щелкните Параметры безопасности .

  7. Выполните одно из следующих действий:

    • Щелкните Политики учетных записей , чтобы изменить политику паролей или Политика блокировки учетных записей .

    • Щелкните Локальные политики , чтобы изменить политику аудита , назначение прав пользователя или параметры безопасности .

    • Щелкните Журнал событий , чтобы изменить настройки журнала событий.

  8. В области сведений дважды щелкните параметр политики безопасности, который нужно изменить.

    Примечание

    Если эта политика безопасности еще не определена, установите флажок Определить эти параметры политики .

  9. Измените параметр политики безопасности и нажмите ОК .

Чтобы настроить параметр для контроллера домена

Следующая процедура описывает, как настроить параметр политики безопасности только для контроллера домена (с контроллера домена).

  1. Чтобы открыть политику безопасности контроллера домена, в дереве консоли найдите GroupPolicyObject [ComputerName] Policy, щелкните Конфигурация компьютера , щелкните Параметры Windows , а затем щелкните Параметры безопасности .

  2. Выполните одно из следующих действий:

    • Дважды щелкните Политики учетных записей , чтобы изменить политику паролей , Политика блокировки учетных записей или Политика Kerberos .

    • Щелкните Локальные политики , чтобы изменить политику аудита , назначение прав пользователя или параметры безопасности .

    • Щелкните Журнал событий , чтобы изменить настройки журнала событий.

  3. В области сведений дважды щелкните политику безопасности, которую нужно изменить.

    Примечание

    Если эта политика безопасности еще не определена, установите флажок Определить эти параметры политики .

  4. Измените параметр политики безопасности и нажмите ОК .

Важно

Всегда тестируйте вновь созданную политику в тестовом организационном подразделении, прежде чем применять ее к своей сети.Если вы измените параметр безопасности через объект групповой политики и нажмете OK , этот параметр вступит в силу при следующем обновлении параметров.

См. Также

Справочник по параметрам политики безопасности

.

Параметры политики безопасности (Windows 10) — Windows Security

  • 22 минуты на чтение

В этой статье

Относится к

В этом справочном разделе описываются общие сценарии, архитектура и процессы для параметров безопасности.

Параметры политики безопасности — это правила, которые администраторы настраивают на компьютере или нескольких устройствах с целью защиты ресурсов на устройстве или в сети.Расширение параметров безопасности оснастки редактора локальной групповой политики позволяет определять конфигурации безопасности как часть объекта групповой политики (GPO). Объекты групповой политики связаны с контейнерами Active Directory, такими как сайты, домены или организационные единицы, и позволяют управлять параметрами безопасности для нескольких устройств с любого устройства, присоединенного к домену. Политики параметров безопасности используются как часть вашей общей реализации безопасности, чтобы помочь защитить контроллеры домена, серверы, клиенты и другие ресурсы в вашей организации.

Настройки безопасности могут контролировать:

  • Аутентификация пользователя в сети или на устройстве.
  • Ресурсы, к которым пользователям разрешен доступ.
  • Следует ли записывать действия пользователя или группы в журнал событий.
  • Членство в группе.

Для управления конфигурациями безопасности для нескольких устройств вы можете использовать одну из следующих опций:

  • Измените определенные параметры безопасности в объекте групповой политики.
  • Используйте оснастку «Шаблоны безопасности» для создания шаблона безопасности, который содержит политики безопасности, которые вы хотите применить, а затем импортируйте шаблон безопасности в объект групповой политики.Шаблон безопасности — это файл, который представляет конфигурацию безопасности, и его можно импортировать в объект групповой политики, применить к локальному устройству или использовать для анализа безопасности.

Дополнительные сведения об управлении конфигурациями безопасности см. В разделе Администрирование параметров политики безопасности.

Расширение параметров безопасности редактора локальной групповой политики включает следующие типы политик безопасности:

  • Политики учетной записи. Эти политики определены на устройствах; они влияют на то, как учетные записи пользователей могут взаимодействовать с компьютером или доменом.Политики учетной записи включают следующие типы политик:

    • Политика паролей. Эти политики определяют параметры паролей, такие как принудительное применение и время жизни. Политики паролей используются для учетных записей домена.
    • Политика блокировки учетной записи. Эти политики определяют условия и время, в течение которого учетная запись будет заблокирована в системе. Политики блокировки учетных записей используются для учетных записей домена или локальных пользователей.
    • Политика Kerberos. Эти политики используются для учетных записей пользователей домена; они определяют параметры, связанные с Kerberos, такие как время жизни билетов и принудительное исполнение.
  • Местная политика. Эти политики применяются к компьютеру и включают следующие типы параметров политики:

    • Аудиторская политика. Укажите параметры безопасности, которые управляют записью событий безопасности в журнал безопасности на компьютере, и укажите, какие типы событий безопасности нужно регистрировать (успех, сбой или оба).

      Примечание

      Для устройств под управлением Windows 7 и более поздних версий мы рекомендуем использовать параметры в разделе «Расширенная конфигурация политики аудита», а не параметры политики аудита в разделе «Локальные политики».

    • Назначение прав пользователя. Укажите пользователей или группы, у которых есть права или привилегии для входа в систему на устройстве

    • Параметры безопасности. Укажите параметры безопасности для компьютера, такие как имена учетных записей администратора и гостя; доступ к флоппи-дисководам и приводам CD-ROM; установка драйверов; подсказки входа в систему; и так далее.

  • Брандмауэр Windows в режиме повышенной безопасности. Задайте настройки для защиты устройства в сети с помощью брандмауэра с отслеживанием состояния, который позволяет определять, какой сетевой трафик разрешен для передачи между устройством и сетью.

  • Политики диспетчера списка сетей. Укажите параметры, которые можно использовать для настройки различных аспектов того, как сети отображаются в списке и отображаются на одном устройстве или на многих устройствах.

  • Политики открытого ключа. Укажите параметры для управления шифрованной файловой системой, защитой данных и шифрованием диска BitLocker в дополнение к определенным путям сертификатов и настройкам служб.

  • Политики ограниченного использования программ. Задайте настройки для идентификации программного обеспечения и управления его способностью запускаться на вашем локальном устройстве, организационном подразделении, домене или сайте.

  • Политики контроля приложений. Укажите настройки для управления тем, какие пользователи или группы могут запускать определенные приложения в вашей организации на основе уникальных идентификаторов файлов.

  • Политики безопасности IP на локальном компьютере. Укажите настройки для обеспечения частной и безопасной связи по IP-сетям с помощью служб криптографической безопасности. IPsec устанавливает доверие и безопасность от исходного IP-адреса к IP-адресу назначения.

  • Конфигурация расширенной политики аудита. Укажите настройки, которые управляют записью событий безопасности в журнал безопасности на устройстве. Параметры в разделе «Расширенная конфигурация политики аудита» обеспечивают более точный контроль над тем, какие действия следует отслеживать, в отличие от параметров политики аудита в разделе «Локальные политики».

Управление параметрами безопасности на основе политик

Расширение «Параметры безопасности» для групповой политики предоставляет интегрированную инфраструктуру управления на основе политик, которая поможет вам управлять политиками безопасности и обеспечивать их соблюдение.

Вы можете определять и применять политики параметров безопасности к пользователям, группам и сетевым серверам и клиентам с помощью групповой политики и доменных служб Active Directory (AD DS). Можно создать группу серверов с одинаковой функциональностью (например, сервер Microsoft Web (IIS)), а затем можно использовать объекты групповой политики для применения общих параметров безопасности к группе.Если позже в эту группу будут добавлены другие серверы, многие общие параметры безопасности будут применены автоматически, что сокращает время развертывания и административные работы.

Распространенные сценарии использования политик параметров безопасности

Политики параметров безопасности используются для управления следующими аспектами безопасности: политика учетных записей, локальная политика, назначение прав пользователей, значения реестра, списки управления доступом к файлам и реестру (ACL), режимы запуска служб и многое другое.

В рамках своей стратегии безопасности вы можете создавать объекты групповой политики с политиками параметров безопасности, настроенными специально для различных ролей в вашей организации, таких как контроллеры домена, файловые серверы, рядовые серверы, клиенты и т. Д.

Вы можете создать структуру организационной единицы (OU), которая группирует устройства в соответствии с их ролями. Использование OU — лучший метод разделения конкретных требований безопасности для разных ролей в вашей сети. Этот подход также позволяет применять настраиваемые шаблоны безопасности к каждому классу серверов или компьютеров. После создания шаблонов безопасности вы создаете новый объект групповой политики для каждого из подразделений, а затем импортируете шаблон безопасности (файл .inf) в новый объект групповой политики.

Импорт шаблона безопасности в объект групповой политики гарантирует, что все учетные записи, к которым применяется этот объект групповой политики, автоматически получат параметры безопасности шаблона при обновлении параметров групповой политики.На рабочей станции или сервере параметры безопасности обновляются через регулярные промежутки времени (со случайным смещением не более 30 минут), а на контроллере домена этот процесс происходит каждые несколько минут, если произошли изменения в любых параметрах GPO, которые применять. Настройки также обновляются каждые 16 часов независимо от того, произошли ли какие-либо изменения.

Примечание

Эти параметры обновления различаются в зависимости от версии операционной системы и могут быть настроены.

Используя конфигурации безопасности на основе групповой политики в сочетании с делегированием полномочий, вы можете гарантировать, что определенные параметры безопасности, права и поведение применяются ко всем серверам и компьютерам в рамках подразделения.Такой подход упрощает обновление ряда серверов любыми дополнительными изменениями, которые потребуются в будущем.

Зависимости от других технологий операционных систем

Для устройств, которые являются членами домена Windows Server 2008 или более поздней версии, политики параметров безопасности зависят от следующих технологий:

  • Доменные службы Active Directory (AD DS)

    Служба каталогов на базе Windows, AD DS, хранит информацию об объектах в сети и делает эту информацию доступной для администраторов и пользователей.Используя AD DS, вы можете просматривать и управлять сетевыми объектами в сети из одного места, а пользователи могут получать доступ к разрешенным сетевым ресурсам с помощью единого входа в систему.

  • Групповая политика

    Инфраструктура в AD DS, которая позволяет управлять конфигурацией пользователей и компьютеров на основе каталогов на устройствах под управлением Windows Server. Используя групповую политику, вы можете определять конфигурации для групп пользователей и компьютеров, включая параметры политики, политики на основе реестра, установку программного обеспечения, сценарии, перенаправление папок, службы удаленной установки, обслуживание Internet Explorer и безопасность.

  • Система доменных имен (DNS)

    Иерархическая система именования, используемая для поиска доменных имен в Интернете и в частных сетях TCP / IP. DNS предоставляет услугу сопоставления доменных имен DNS с IP-адресами и IP-адресов с именами доменов. Это позволяет пользователям, компьютерам и приложениям запрашивать DNS для указания удаленных систем по полностью определенным доменным именам, а не по IP-адресам.

  • Winlogon

    Часть операционной системы Windows, обеспечивающая интерактивный вход в систему.Winlogon разработан на основе модели интерактивного входа в систему, которая состоит из трех компонентов: исполняемого файла Winlogon, поставщика учетных данных и любого количества сетевых поставщиков.

  • Настройка

    Конфигурация безопасности взаимодействует с процессом установки операционной системы во время чистой установки или обновления более ранних версий Windows Server.

  • Менеджер учетных записей безопасности (SAM)

    Служба Windows, используемая во время входа в систему.SAM хранит информацию об учетной записи пользователя, включая группы, к которым принадлежит пользователь.

  • Местная служба безопасности (LSA)

    Защищенная подсистема, которая аутентифицирует и регистрирует пользователей в локальной системе. LSA также хранит информацию обо всех аспектах локальной безопасности в системе, в совокупности называемую локальной политикой безопасности системы.

  • Инструментарий управления Windows (WMI)

    Функция операционной системы Microsoft Windows, WMI — это реализация Microsoft Web-ориентированного управления предприятием (WBEM), которая представляет собой отраслевую инициативу по разработке стандартной технологии для доступа к управляющей информации в корпоративной среде.WMI предоставляет доступ к информации об объектах в управляемой среде. Посредством WMI и интерфейса прикладного программирования (API) WMI приложения могут запрашивать и вносить изменения в статическую информацию в репозитории Common Information Model (CIM) и динамическую информацию, поддерживаемую различными типами поставщиков.

  • Результирующий набор политик (RSoP)

    Усовершенствованная инфраструктура групповой политики, использующая WMI для упрощения планирования и отладки параметров политики.RSoP предоставляет общедоступные методы, которые раскрывают, что расширение групповой политики могло бы сделать в ситуации «что если» и что расширение сделало бы в реальной ситуации. Это позволяет администраторам легко определять комбинацию параметров политики, которые применяются или будут применяться к пользователю или устройству.

  • Менеджер по управлению услугами (SCM)

    Используется для настройки режимов запуска службы и безопасности.

  • Реестр

    Используется для настройки значений реестра и безопасности.

  • Файловая система

    Используется для настройки безопасности.

  • Преобразование файловой системы

    Безопасность устанавливается, когда администратор конвертирует файловую систему из FAT в NTFS.

  • Консоль управления Microsoft (MMC)

    Пользовательский интерфейс инструмента «Параметры безопасности» является расширением оснастки MMC «Редактор локальной групповой политики».

Политики настроек безопасности и групповая политика

Расширение параметров безопасности редактора локальной групповой политики является частью набора инструментов Security Configuration Manager.Следующие компоненты связаны с настройками безопасности: механизм конфигурации; механизм анализа; слой интерфейса шаблона и базы данных; настройка логики интеграции; и средство командной строки secedit.exe. Механизм настройки безопасности отвечает за обработку запросов безопасности, связанных с редактором конфигурации безопасности, для системы, в которой он работает. Механизм анализа анализирует безопасность системы для данной конфигурации и сохраняет результат. Уровень интерфейса шаблона и базы данных обрабатывает запросы на чтение и запись из и в шаблон или базу данных (для внутреннего хранилища).Расширение параметров безопасности редактора локальной групповой политики обрабатывает групповую политику с доменного или локального устройства. Логика конфигурации безопасности интегрируется с установкой и управляет безопасностью системы для чистой установки или обновления до более новой операционной системы Windows. Информация о безопасности хранится в шаблонах (файлы .inf) или в базе данных Secedit.sdb.

На следующей схеме показаны настройки безопасности и связанные с ними функции.

Параметры безопасности, политики и связанные функции

  • Scesrv.dll

    Обеспечивает основные функции подсистемы безопасности.

  • Scecli.dll

    Предоставляет клиентские интерфейсы для механизма настройки безопасности и предоставляет данные для результирующего набора политик (RSoP).

  • Wsecedit.dll

    Расширение параметров безопасности редактора локальной групповой политики. Scecli.dll загружается в wsecedit.dll для поддержки пользовательского интерфейса параметров безопасности.

  • Гпедит.dll

    Оснастка MMC редактора локальной групповой политики.

Архитектура расширения параметров безопасности

Расширение параметров безопасности редактора локальной групповой политики является частью инструментов Security Configuration Manager, как показано на следующей схеме.

Архитектура настроек безопасности

Средства настройки и анализа параметров безопасности включают механизм настройки безопасности, который обеспечивает локальный компьютер (не член домена), а также настройку на основе групповой политики и анализ политик параметров безопасности.Механизм настройки безопасности также поддерживает создание файлов политики безопасности. Основными функциями механизма настройки безопасности являются scecli.dll и scesrv.dll.

В следующем списке описаны эти основные функции механизма конфигурации безопасности и другие функции, связанные с настройками безопасности.

  • scesrv.dll

    Эта DLL размещается в services.exe и работает в контексте локальной системы. scesrv.dll обеспечивает основные функции Security Configuration Manager, такие как импорт, настройка, анализ и распространение политики.

    Scesrv.dll выполняет настройку и анализ различных параметров системы, связанных с безопасностью, путем вызова соответствующих системных API, включая LSA, SAM и реестр.

    Scesrv.dll предоставляет такие API, как импорт, экспорт, настройка и анализ. Он проверяет, что запрос сделан через LRPC (Windows XP), и не принимает вызов, если это не так.

    Обмен данными между частями расширения «Параметры безопасности» осуществляется следующими способами:

    • Модель компонентных объектов (COM) вызывает
    • Локальный удаленный вызов процедур (LRPC)
    • Облегченный протокол доступа к каталогам (LDAP)
    • Интерфейсы служб Active Directory (ADSI)
    • Блок сообщений сервера (SMB)
    • API Win32
    • Инструментарий управления Windows (WMI) вызывает

    На контроллерах домена scesrv.dll получает уведомления об изменениях, внесенных в SAM и LSA, которые необходимо синхронизировать между контроллерами домена. Scesrv.dll включает эти изменения в GPO политики контроллера домена по умолчанию с помощью внутрипроцессных API-интерфейсов модификации шаблона scecli.dll.
    Scesrv.dll также выполняет операции настройки и анализа.

  • Scecli.dll

    Это клиентский интерфейс или оболочка для scesrv.dll. Scecli.dll загружается в Wsecedit.dll для поддержки оснасток MMC.Он используется программой установки для настройки безопасности системы по умолчанию и безопасности файлов, ключей реестра и служб, установленных с помощью файлов .inf Setup API.

    Версия командной строки для пользовательских интерфейсов конфигурации и анализа безопасности, secedit.exe, использует scecli.dll.

    Scecli.dll реализует клиентское расширение для групповой политики.

    Scesrv.dll использует scecli.dll для загрузки соответствующих файлов групповой политики из SYSVOL, чтобы применить параметры безопасности групповой политики к локальному устройству.

    Scecli.dll регистрирует применение политики безопасности в WMI (RSoP).

    Фильтр политики Scesrv.dll использует scecli.dll для обновления GPO политики контроллера домена по умолчанию при внесении изменений в SAM и LSA.

  • Wsecedit.dll

    Расширение параметров безопасности оснастки редактора объектов групповой политики. Этот инструмент используется для настройки параметров безопасности в объекте групповой политики для сайта, домена или подразделения. Вы также можете использовать параметры безопасности для импорта шаблонов безопасности в объект групповой политики.

  • Secedit.sdb

    Это постоянная системная база данных, используемая для распространения политики, включая таблицу постоянных настроек для целей отката.

  • Пользовательские базы данных

    База данных пользователей — это любая база данных, отличная от системной, созданная администраторами с целью настройки или анализа безопасности.

  • .Inf шаблоны

    Это текстовые файлы, содержащие декларативные параметры безопасности.Они загружаются в базу данных перед настройкой или анализом. Политики безопасности групповой политики хранятся в файлах .inf в папке SYSVOL контроллеров домена, откуда они загружаются (с помощью копирования файлов) и объединяются в системную базу данных во время распространения политики.

Параметры безопасности, процессы и взаимодействие политик

Для устройства, присоединенного к домену, для которого администрируется групповая политика, параметры безопасности обрабатываются вместе с групповой политикой.Не все параметры можно изменить.

Обработка групповой политики

Когда компьютер запускается и пользователь входит в систему, политика компьютера и политика пользователя применяются в следующей последовательности:

  1. Сеть запускается. Запускаются системная служба удаленного вызова процедур (RPCSS) и поставщик нескольких универсальных соглашений об именах (MUP).

  2. Для устройства получен упорядоченный список объектов групповой политики. Список может зависеть от следующих факторов:

    • Является ли устройство частью домена и, следовательно, подчиняется групповой политике через Active Directory.
    • Местоположение устройства в Active Directory.
    • Изменен ли список объектов групповой политики. Если список объектов групповой политики не изменился, обработка не производится.
  3. Применена компьютерная политика. Это настройки в разделе «Конфигурация компьютера» из собранного списка. По умолчанию это синхронный процесс, который происходит в следующем порядке: локальный, сайт, домен, организационная единица, дочерняя организационная единица и т. Д.Во время обработки компьютерных политик пользовательский интерфейс не появляется.

  4. Запускаются сценарии запуска. По умолчанию это скрыто и синхронно; каждый сценарий должен завершиться или истечь по времени до начала следующего. Тайм-аут по умолчанию составляет 600 секунд. Вы можете использовать несколько параметров политики, чтобы изменить это поведение.

  5. Пользователь нажимает CTRL + ALT + DEL для входа в систему.

  6. После проверки пользователя загружается профиль пользователя; он регулируется действующими параметрами политики.

  7. Пользователь получает упорядоченный список объектов групповой политики. Список может зависеть от следующих факторов:

    • Является ли пользователь частью домена и, следовательно, подчиняется групповой политике через Active Directory.
    • Включена ли обработка политики замыкания на себя, и если да, то состояние (слияние или замена) параметра политики замыкания на себя.
    • Местоположение пользователя в Active Directory.
    • Изменен ли список объектов групповой политики.Если список объектов групповой политики не изменился, обработка не производится.
  8. Применяется политика пользователя. Это настройки в разделе «Конфигурация пользователя» из собранного списка. По умолчанию это синхронно и в следующем порядке: локальный, сайт, домен, организационная единица, дочерняя организационная единица и т. Д. Во время обработки пользовательских политик пользовательский интерфейс не появляется.

  9. Запускаются сценарии входа в систему. Сценарии входа в систему на основе групповой политики по умолчанию скрыты и асинхронны.Сценарий пользовательского объекта выполняется последним.

  10. Появится пользовательский интерфейс операционной системы, предписанный групповой политикой.

Хранилище объектов групповой политики

Объект групповой политики (GPO) — это виртуальный объект, который определяется глобальным уникальным идентификатором (GUID) и хранится на уровне домена. Информация о параметрах политики объекта групповой политики хранится в следующих двух местах:

  • Контейнеры групповой политики в Active Directory.

    Контейнер групповой политики — это контейнер Active Directory, который содержит свойства объекта групповой политики, такие как информация о версии, состояние объекта групповой политики, а также список других параметров компонента.

  • Шаблоны групповой политики в папке системного тома домена (SYSVOL).

    Шаблон групповой политики — это папка файловой системы, которая включает данные политики, указанные в файлах .admx, параметры безопасности, файлы сценариев и информацию о приложениях, доступных для установки.Шаблон групповой политики находится в папке SYSVOL во вложенной папке <домен> \ Policies.

Структура GROUP_POLICY_OBJECT предоставляет информацию об объекте групповой политики в списке объектов групповой политики, включая номер версии объекта групповой политики, указатель на строку, которая указывает на часть объекта групповой политики Active Directory, и указатель на строку, указывающую путь в часть файловой системы объекта групповой политики.

Порядок обработки групповой политики

Параметры групповой политики обрабатываются в следующем порядке:

  1. Объект локальной групповой политики.

    Каждое устройство под управлением операционной системы Windows, начиная с Windows XP, имеет ровно один объект групповой политики, который хранится локально.

  2. Сайт.

    Затем обрабатываются все объекты групповой политики, которые были связаны с сайтом. Обработка выполняется синхронно и в указанном вами порядке.

  3. Домен.

    Обработка нескольких объектов групповой политики, связанных с доменом, выполняется синхронно и в указанном вами порядке.

  4. Организационные единицы.

    Сначала обрабатываются объекты групповой политики, связанные с подразделением, которое находится на самом высоком уровне в иерархии Active Directory, затем объекты групповой политики, связанные с его дочерним подразделением и т. Д. Наконец, обрабатываются объекты групповой политики, связанные с организационной единицей, содержащей пользователя или устройство.

На уровне каждой организационной единицы в иерархии Active Directory можно связать один, несколько или ни одного объекта групповой политики.Если несколько объектов групповой политики связаны с организационной единицей, их обработка выполняется синхронно и в указанном вами порядке.

Этот порядок означает, что локальный объект групповой политики обрабатывается первым, а объекты групповой политики, связанные с организационной единицей, непосредственным членом которой является компьютер или пользователь, обрабатываются последними, что перезаписывает более ранние объекты групповой политики.

Это порядок обработки по умолчанию, и администраторы могут указать исключения из этого порядка.Объект групповой политики, связанный с сайтом, доменом или организационной единицей (не локальным объектом групповой политики), может быть установлен на принудительно по отношению к этому сайту, домену или организационной единице, так что ни один из его параметров политики можно переопределить. На любом сайте, домене или организационном подразделении вы можете выборочно отметить наследование групповой политики как Блокировать наследование . Однако ссылки на объекты групповой политики, для которых установлено значение Принудительно , применяются всегда, и их нельзя заблокировать.Для получения дополнительной информации см. Основы групповой политики — Часть 2: Понимание, какие объекты групповой политики применять.

Обработка политики настроек безопасности

В контексте обработки групповой политики политика параметров безопасности обрабатывается в следующем порядке.

  1. Во время обработки групповой политики подсистема групповой политики определяет, какие политики параметров безопасности следует применить.

  2. Если в объекте групповой политики существуют политики параметров безопасности, групповая политика вызывает клиентское расширение параметров безопасности.

  3. Расширение «Параметры безопасности» загружает политику из соответствующего расположения, например из определенного контроллера домена.

  4. Расширение параметров безопасности объединяет все политики параметров безопасности в соответствии с правилами приоритета. Обработка выполняется в соответствии с порядком обработки групповой политики для локального, сайта, домена и организационного подразделения (OU), как описано ранее в разделе «Порядок обработки групповой политики». Если для данного устройства действует несколько объектов групповой политики и нет конфликтующих политик, то политики являются кумулятивными и объединяются.

    В этом примере используется структура Active Directory, показанная на следующем рисунке. Данный компьютер является членом OU2, с которым связан объект GPO GroupMembershipPolGPO . Этот компьютер также подчиняется UserRightsPolGPO GPO, который связан с OU1, более высоким в иерархии. В этом случае конфликтующих политик не существует, поэтому устройство получает все политики, содержащиеся в объектах GPO UserRightsPolGPO и GroupMembershipPolGPO .

    Несколько объектов групповой политики и объединение политик безопасности

  5. Результирующие политики безопасности хранятся в secedit.sdb, базе данных параметров безопасности. Подсистема безопасности получает файлы шаблонов безопасности и импортирует их в secedit.sdb.

  6. К устройствам применяются политики настроек безопасности.
    На следующем рисунке показана обработка политики параметров безопасности.

Обработка политики настроек безопасности

Слияние политик безопасности на контроллерах домена

Политики паролей, Kerberos и некоторые параметры безопасности объединяются только из объектов групповой политики, которые связаны на корневом уровне домена.Это сделано для того, чтобы эти параметры синхронизировались на всех контроллерах домена в домене. Объединены следующие параметры безопасности:

  • Сетевая безопасность: принудительный выход из системы по истечении времени входа в систему
  • Учетные записи: Статус учетной записи администратора
  • Аккаунты: Статус гостевого аккаунта
  • Учетные записи

  • : переименовать учетную запись администратора
  • Учетные записи

  • : переименовать гостевую учетную запись

Существует еще один механизм, позволяющий объединять изменения политики безопасности, сделанные администраторами с помощью сетевых учетных записей, в GPO политики домена по умолчанию.Изменения прав пользователей, сделанные с помощью API-интерфейсов Local Security Authority (LSA), фильтруются в GPO политики контроллеров домена по умолчанию.

Особые рекомендации для контроллеров домена

Если приложение установлено на основном контроллере домена (PDC) с ролью хозяина операций (также известной как гибкие одиночные главные операции или FSMO), и приложение вносит изменения в права пользователя или политику паролей, об этих изменениях необходимо сообщить, чтобы обеспечить синхронизацию между контроллерами домена происходит.Scesrv.dll получает уведомление о любых изменениях, внесенных в диспетчер учетных записей безопасности (SAM) и LSA, которые необходимо синхронизировать между контроллерами домена, а затем включает изменения в GPO политики контроллера домена по умолчанию с помощью API-интерфейсов модификации шаблона scecli.dll.

При применении настроек безопасности

После редактирования политик параметров безопасности параметры обновляются на компьютерах в организационном подразделении, связанном с вашим объектом групповой политики, в следующих случаях:

  • При перезапуске устройства.
  • Каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. Этот интервал обновления можно настроить.
  • По умолчанию параметры политики безопасности, предоставляемые групповой политикой, также применяются каждые 16 часов (960 минут), даже если объект групповой политики не изменился.

Сохранение политики параметров безопасности

Параметры безопасности могут сохраняться, даже если параметр больше не определен в политике, в которой он был первоначально применен.

Настройки безопасности могут сохраняться в следующих случаях:

  • Эта настройка ранее не была определена для устройства.
  • Параметр предназначен для объекта безопасности реестра.
  • Параметры предназначены для объекта безопасности файловой системы.

Все параметры, применяемые через локальную политику или через объект групповой политики, хранятся в локальной базе данных на вашем компьютере. Каждый раз, когда параметр безопасности изменяется, компьютер сохраняет значение параметра безопасности в локальной базе данных, в которой хранится история всех параметров, примененных к компьютеру. Если политика сначала определяет параметр безопасности, а затем больше не определяет этот параметр, тогда параметр принимает предыдущее значение в базе данных.Если предыдущее значение не существует в базе данных, тогда настройка ни к чему не возвращается и остается определенной как есть.
Такое поведение иногда называют «татуировкой».

Параметры безопасности реестра и файлов сохранят значения, применяемые с помощью групповой политики, пока для этого параметра не будут установлены другие значения.

Разрешения, необходимые для применения политики

Разрешения «Применить групповую политику» и «Чтение» необходимы для того, чтобы параметры объекта групповой политики применялись к пользователям или группам, а также к компьютерам.

Фильтрация политики безопасности

По умолчанию для всех объектов групповой политики разрешены чтение и применение групповой политики для группы прошедших проверку пользователей. В группу прошедших проверку пользователей входят как пользователи, так и компьютеры. Политики параметров безопасности основаны на компьютере. Чтобы указать, на каких клиентских компьютерах будет или не будет применяться объект групповой политики, вы можете отказать им в разрешении «Применить групповую политику» или «Чтение» для этого объекта групповой политики. Изменение этих разрешений позволяет ограничить область действия объекта групповой политики определенным набором компьютеров в пределах сайта, домена или подразделения.

Примечание

Не используйте фильтрацию политик безопасности на контроллере домена, так как это помешает применению к нему политики безопасности.

Миграция объектов групповой политики, содержащих параметры безопасности

В некоторых ситуациях может потребоваться перенести объекты групповой политики из одной среды домена в другую. Двумя наиболее распространенными сценариями являются миграция из тестовой среды в рабочую и миграция из рабочей среды в рабочую. Процесс копирования GPO влияет на некоторые типы параметров безопасности.

Данные для одного GPO хранятся в нескольких местах и ​​в различных форматах; некоторые данные содержатся в Active Directory, а другие данные хранятся в общей папке SYSVOL на контроллерах домена. Некоторые данные политики могут быть действительными в одном домене, но могут быть недопустимыми в домене, в который копируется объект групповой политики. Например, идентификаторы безопасности (SID), хранящиеся в параметрах политики безопасности, часто зависят от домена. Таким образом, копирование объектов групповой политики не так просто, как взять папку и скопировать ее с одного устройства на другое.

Следующие политики безопасности могут содержать участников безопасности и могут потребовать некоторой дополнительной работы для их успешного перемещения из одного домена в другой.

  • Назначение прав пользователя
  • Группы с ограниченным доступом
  • Услуги
  • Файловая система
  • Реестр
  • GPO DACL, если вы решили сохранить его во время операции копирования

Чтобы обеспечить правильное копирование данных, можно использовать консоль управления групповой политикой (GPMC).При переносе объекта групповой политики из одного домена в другой GPMC обеспечивает правильное копирование всех соответствующих данных. GPMC также предлагает таблицы миграции, которые можно использовать для обновления данных домена до новых значений в рамках процесса миграции. GPMC скрывает большую часть сложности, связанной с операциями миграции GPO, и предоставляет простые и надежные механизмы для выполнения таких операций, как копирование и резервное копирование GPO.

В этом разделе

Тема Описание
Администрирование параметров политики безопасности В этой статье обсуждаются различные методы администрирования параметров политики безопасности на локальном устройстве или в организации малого или среднего размера.
Настройка параметров политики безопасности Описывает шаги по настройке параметра политики безопасности на локальном устройстве, на устройстве, присоединенных к домену, и на контроллере домена.
Справочник по параметрам политики безопасности В этом справочнике по параметрам безопасности содержится информация о том, как реализовать политики безопасности и управлять ими, включая параметры настройки и соображения безопасности.

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *