Групповая политика Windows Это технология управления конфигурацией, которая является частью Windows Server Active Directory. Их можно использовать для настройки параметров в клиентских и серверных операционных системах Windows, чтобы обеспечить согласованную и безопасную настройку на нескольких устройствах. Существуют сотни параметров, доступных для использования при настройке объектов групповой политики (GPO), но в этой статье я покажу вам некоторые параметры групповой политики, которые необходимо правильно настроить для обеспечения базовой безопасности в вашей среде.
Если вы хотите изменить поведение Windows, взяв на себя больший контроль над безопасностью или отключив некоторые вещи, которые Microsoft предлагает вам, вы можете сделать это, выполнив следующие действия. Изменить параметры групповой политики. Да, вы также можете сделать то же самое из Редактор реестра , но у групповой политики есть несколько других преимуществ, например, конфигурации групповой политики не изменятся после обновления Windows, в отличие от реестра. Что наиболее важно, вы можете либо настроить групповую политику локально в своей системе, либо создать Active Directory для применения настроек к нескольким системам в вашем домене. Это особенно полезно для офисов и школ, работающих на компьютерах с Windows.
Установка и удаление программ групповыми политиками Windows Server 2016
Лучшие настройки групповой политики
Прежде чем мы начнем, позвольте нам указать, что групповая политика — это графический инструмент, который позволяет вам изменять исходные настройки операционной системы, настройки ядра и т. Д. Однако неправильное изменение групповой политики может привести к сбою вашей операционной системы. Итак, если вы собираетесь вносить какие-либо изменения, обязательно Экспорт виртуальных конфигураций прежде чем вносить какие-либо изменения.
Одним из самых серьезных недостатков групповой политики является то, что она доступна только на компьютерах с выпусками Windows Professional, Education или Enterprise. Даже если вы используете Windows Home, вы можете получить доступ к групповой политике, но с некоторыми обходными путями, которые я объясню ниже.
Для доступа к групповой политике есть несколько способов, один из самых простых — открыть Командная строка -> введите «gpedit.msc». И нажмите Enter.
Хотя групповая политика не является частью выпуска Windows Home, все же есть способ получить к ней доступ. Все, что вам нужно сделать, это установить этот сторонний редактор групповой политики, загрузив Пакетный файл Этот. Вы должны открыть его с правами администратора, и установка начнется в командной строке. На установку уйдет около 2-3 минут. После завершения процесса снова откройте командную строку и введите gpedit.msc чтобы достичь этого.
1. Отключите установку приложений.
Не позволяя пользователям устанавливать различные приложения, вы можете сократить объем обслуживания и очистки, необходимых при установке чего-то плохого, поскольку это также является одной из возможных причин появления вредоносных программ. Это более полезно, особенно в школах, где вы хотите, чтобы учащиеся имели доступ только к тому, что требуется для использования.
Если вы хотите запретить пользователям устанавливать или запускать приложения, вы можете установить это, открыв групповую политику и перейдя в Конфигурации компьютера> Административные шаблоны> Компоненты Windows> Установщик Windows И вам нужно дважды щелкнуть параметр Отключить установщик Windows. Измените настройку на Давать возможность Убедитесь, что опция говорит «Только для неуправляемых приложений», Чтобы пользователь мог установить все разрешенные администрацией приложения. Теперь нажмите на تطبيق Перезагрузите компьютер, чтобы внести изменения.
Блокировать запуск определенных приложений
Блокировка установки всех приложений является излишним во многих ситуациях. Если все, что вам нужно, это заблокировать только определенные приложения, вы можете внести эти изменения в групповую политику.
Откройте групповую политику и перейдите в Конфигурация пользователя> Административные шаблоны> Система И дважды щелкните Option Не запускать указанные приложения Windows. Измените настройку на Давать возможность и нажмите кнопку. Показать. Теперь вы можете ввести список приложений, которые вы хотите заблокировать и к которым вы не хотите, чтобы пользователи получали доступ, и вам нужно нажать Ok. Теперь нажмите تطبيق Перезагрузите систему, чтобы внести изменения.
2. Запретить доступ к панели управления.
Важно наложить некоторые ограничения на панель управления, в основном в бизнес-средах, потому что она дает вам контроль над всей системой. Вы можете либо полностью заблокировать доступ, либо ограничить доступ к некоторым страницам.
Чтобы заблокировать доступ, откройте групповую политику и перейдите в Конфигурация пользователя> Административные шаблоны> Панель управления и дважды щелкните Запрещенный доступ к панели управления и настройки ПК и нажмите Давать возможность وتطبيق. Изменения вступят в силу немедленно.
Показывать только определенные страницы из панели управления
Вышеупомянутый процесс предотвращает полный доступ к Панели управления. Но если вы хотите ограничить использование. Вы можете сделать это, открыв групповую политику и перейдя в Конфигурация пользователя> Административные шаблоны> Панель управления и дважды щелкните Показать только указанные элементы панели управления и нажмите Давать возможность. Теперь нажмите на Дисплей Выбирает каждый параметр панели управления для отображения. Если параметр отсутствует в этом меню, он не будет отображаться для пользователя.
Это означает, что вам нужно будет тщательно выбрать и ввести каждый элемент панели управления, который вы хотите включить. Ты можешь найти Названия всех элементов Панели управления на сайте Microsoft.
3. Отключить командную строку
Командная строка, несомненно, очень полезна, и в то же время это кошмар, поскольку она дает пользователям возможность запускать команды и приложения, к которым вы не хотите получать доступ. Это также может быть опасным инструментом в неопытных руках. Есть много причин для отключения командной строки: возможно, у вас есть дети, использующие семейный компьютер, или вы разрешаете гостям использовать ваш компьютер, когда они остаются с вами. Или, может быть, у вас бизнес-компьютер, поэтому вам нужно его отключить.
Чтобы отключить командную строку, откройте групповую политику и перейдите в Конфигурация пользователя> Административные шаблоны> Система и дважды щелкните Запретить использование командной строки. Вы должны изменить политику на Давать возможность И нажав на تطبيق. Теперь вам нужно перезагрузить компьютер, чтобы внести изменения.
4. Отключите редактор реестра Windows.
Как и командная строка, редактор реестра Windows может привести к сбою системы при ее неправильном изменении, а также при обходе некоторых ограничений групповой политики. Таким образом, чтобы защитить конфигурации, вы можете открыть групповую политику, перейти в раздел «Конфигурация пользователя»> «Административные шаблоны»> «Система», дважды щелкнуть «Запретить доступ к инструментам редактирования реестра» и включить политику. Теперь нажмите на تطبيق Перезагрузите компьютер, чтобы внести изменения.
5. Запретить доступ к съемным носителям.
USB-накопители или другие съемные носители могут быть опасны для вашего компьютера. Если кто-то случайно или намеренно подключит запоминающее устройство, зараженное вирусом, это может повлиять на компьютер или даже на весь домен. При работе большого количества компьютеров разрешение доступа к внешним носителям затрудняет управление хранилищем. Доступ к съемным носителям обычно заблокирован во многих школах и колледжах.
Чтобы заблокировать доступ к внешним носителям, откройте групповую политику и перейдите в Конфигурация пользователя> Административные шаблоны> Система> Доступ к съемному хранилищу и дважды щелкните Съемные диски: запретить доступ для чтения. Теперь нажмите на вариант Расширение прав и возможностей и нажмите تطبيق Перезагрузите компьютер, чтобы внести изменения.
блокирование возможности записи
Вышеупомянутая опция заставит ПК не читать файлы на внешнем устройстве. Но вы все равно можете копировать файлы на внешнее устройство. Если вы хотите защитить файлы, вам также необходимо заблокировать опцию записи. Эта конфигурация обычно применяется в бизнес-средах.
Чтобы заблокировать возможность записи, откройте групповую политику и перейдите в Конфигурация пользователя> Административные шаблоны> Система> Доступ к съемному хранилищу и дважды щелкните Съемные диски: запретить запись в доступе. Теперь включите опцию и выберите تطبيق чтобы применить изменения.
В качестве альтернативы вы можете использовать опцию. Все классы съемных носителей: запретить любой доступ Для одновременной блокировки параметров чтения и записи.
6. Скрыть разделы компьютера.
Если в системах есть какая-либо конфиденциальная информация, вы можете скрыть ее от определенных пользователей, чтобы получить к ней доступ. Вы можете сделать это в настройках групповой политики. Но помните, что этот параметр скроет его только из проводника и некоторых других приложений, но люди по-прежнему могут получить к нему доступ из командной строки.
В любом случае, вы можете скрыть разделы на диске, открыв групповую политику и перейдя в Конфигурация пользователя> Административные шаблоны> Компоненты Windows> Проводник Windows и дважды щелкнув по Скрытие указанных дисков на моем компьютере и выберите вариант Расширение прав и возможностей. После включения щелкните раскрывающееся меню на панели параметров и выберите диски, которые хотите скрыть. Диски будут скрыты, когда вы нажмете Ok.
7. Увеличьте минимальную длину пароля.
Длина пароля Windows по умолчанию — 8, и вам нужно использовать как минимум одну прописную и строчную букву и как минимум одну цифру или специальный символ. На самом деле он довольно хорошо защищен. Но вы можете повысить безопасность, увеличив длину пароля. Вы можете установить его длину до 14 с использованием прописных и строчных букв, цифр или специальных символов.
Вы можете изменить это, открыв групповую политику и перейдя в Конфигурация компьютера> Параметры Windows> Параметры безопасности> Политики учетных записей> Политика паролей И дважды щелкните Политика Минимальная длина пароля Установите значение длины и коснитесь تطبيق.
8. Следите за входами в систему.
С помощью групповой политики вы можете заставить Windows отслеживать все успешные и неудачные попытки входа на компьютер. Вы можете установить его на конкретный компьютер или на конкретного пользователя. В любом случае это будет полезно для отслеживания неавторизованных людей, пытающихся войти в систему. Вы можете включить эту конфигурацию, открыв групповую политику и перейдя в Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Политика аудита и дважды щелкните Аудит событий логотипа.
Здесь установите флажок рядом с «Параметры».Успех»И»Ошибка. Когда вы нажимаетеOk’, Windows начнет регистрировать входы в ваш компьютер.
Чтобы просмотреть эти логины, откройте диалоговое окно «Выполнить», нажав Win + R и введите eventvwr , чтобы открыть средство просмотра событий Windows. Теперь разверните реестр Windows, затем выберите Вариант безопасности. На средней панели вы можете просмотреть все попытки входа в систему. Вы можете посмотреть учетную запись, которая пыталась войти в систему, а также дату и время. Но успех и неудача — символы.
9. Отключите OneDrive.
Вы можете захотеть использовать OneDrive или просто ненавидите его. Если вы или ваша организация не используете OneDrive или просто хотите удалить его со своего компьютера, вы можете сделать это с помощью групповой политики. Откройте групповую политику и перейдите в Конфигурация компьютера> Административные шаблоны> Компоненты Windows> OneDrive и дважды щелкните Запретить использование OneDrive для хранения файлов. Теперь включите конфигурацию и нажмите تطبيق. Вам необходимо перезагрузить компьютер, чтобы внести изменения.
10. Держите изменения групповой политики под контролем
В любом случае, эти изменения можно вернуть в нормальное состояние с помощью групповой политики таким же образом, но с помощью сброса, чтобы отключить его. Вы можете нести ответственность за групповую политику, используя Аудит целей групповой политики. Чтобы постоянно отслеживать изменения, внесенные в объекты групповой политики, попробуйте Лепид репортер изменений.
Инкапсуляция
После того, как вы закончили настройку параметров групповой политики, вам необходимо передать параметры группе компьютеров в Active Directory Где вы можете установить каталог для каждого компьютера в домене. Вы также можете установить особые групповые политики Только для индивидуальных пользователей или компьютеров. Теперь все, что вам нужно сделать, это загрузить групповую политику из активного каталога приложения. Любые изменения в Active Directory будут автоматически применяться к отдельным системам.
Источник: www.dz-techs.com
Установка приложений с помощью параметров групповой политики
Речь идёт о самом простом способе установки приложения. Администратор возьмет диск, подойдет к компьютеру, выгонит из-за него пользователя, войдет в систему под учетной записью администратора и проведет установку. И так с каждым компьютером.
Это всё прекрасно работает до тех пор, пока не появляются проблемы. Какие?
Запуск приложения от имени другого пользователя
Типичная проблема, возникающая у приложений Microsoft Office 2003. При входе нового пользователя и запуска приложения из этого пакета происходит настройка приложений для данного пользователя, для чего требуется установочный диск. Неприятная, и, как мне кажется, в данном случае безвыходная ситуация.
Пользователь по ошибке удалил какой-то из файлов приложения
Хотя этот вариант благодаря разрешениям NTFS в системе Windows ХР Professional почти полностью отпадает, он может о себе напомнить. Некоторым приложениям может потребоваться изменение прав доступа пользователя к папке, в которой установлено приложение, для изменения содержимого файлов приложением в процессе работы, и пользователь случайно может удалить важные файлы. После этого остаётся лишь взять компакт-диск, сесть за компьютер и повторить установку.
Пользователь хочет добавить компоненты приложения
Хотя среда установленных приложений однородна, могут появиться пользователи (и даже целые отделы), которые потребуют установки дополнительных возможностей приложения. Следующий шаг — такой же, как при первоначальной установке приложения. Самое существенное — эго то, что к компьютерам должны подходить вы, т.к. требуется опять таки учетная запись администратора.
В компьютере нет привода CD-ROM
Весьма распространённое явление (в сегодняшних сетях). Приложение вы купили, диск у вас есть, вы готовы, но установку не выполнить. В этом случае ничего более не остаётся, как использовать другой метод установки.
Установка по сети
10 способов групповой политики Windows могут сделать ваш компьютер лучше
Хотели бы вы изменить некоторые способы поведения Windows 10? Возможно, вам нужен больший контроль над определенными функциями или вы хотите настроить твики, недоступные на панели «Настройки».
Отличный способ получить больше контроля над вашим компьютером — это использование групповой политики. Существует множество полезных параметров групповой политики, которые домашние пользователи могут использовать для настройки работы Windows 10. Давайте рассмотрим некоторые из лучших параметров групповой политики для улучшения вашей системы.
Что такое групповая политика Windows?
Групповая политика обеспечивает централизованный способ настройки и применения всех видов параметров на компьютерах в сети Active Directory. Эти параметры поддерживаются контроллером домена, и отдельные компьютеры не могут их переопределить.
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
Таким образом, групповая политика наиболее распространена на доменах Windows в бизнес-настройках.
, Однако компьютеры, которые не находятся в сети Active Directory (имеется в виду большинство домашних компьютеров), могут по-прежнему настраивать свои параметры локально с помощью редактора локальной групповой политики.
Думайте об этом как о панели управления, кроме гораздо более мощных. С помощью групповой политики вы можете ограничить доступ к частям системы, назначить определенную домашнюю страницу для всех пользователей и даже запускать определенные сценарии всякий раз, когда компьютер запускается или выключается.
За кулисами большинство параметров в редакторе групповой политики просто вносят изменения в реестр Windows. Редактор групповой политики предоставляет гораздо более дружественный интерфейс для управления этими параметрами без необходимости вручную просматривать реестр.
Единственным недостатком является то, что по умолчанию групповая политика доступна только для компьютеров, работающих под управлением Professional или более поздних версий Windows. Если вы работаете в Windows Home, это упущение может убедить вас перейти на Windows 10 Pro
— хотя есть обходной путь, который мы упомянем ниже.
Доступ к редактору групповой политики
Доступ к редактору групповой политики проще, чем вы думаете, особенно в Windows 10. Как и в большинстве утилит в Windows, есть несколько способов получить к нему доступ.
Вот один надежный метод:
- Откройте меню «Пуск».
- Искать групповая политика,
- Запустите Изменить групповую политику запись, которая подходит.
Для другого способа нажмите Win + R открыть диалоговое окно «Выполнить». Там введите gpedit.msc запустить редактор групповой политики.
Хотя мы упоминали, что групповая политика обычно недоступна в домашних выпусках Windows, есть обходной путь, который вы можете попробовать. Он включает в себя некоторые базовые настройки системы и установку стороннего редактора групповой политики.
Если вы заинтересованы, ознакомьтесь с нашим пошаговым руководством по установке редактора групповой политики в Windows Home.
Применение обновлений групповой политики
Для некоторых параметров групповой политики вам необходимо перезагрузить компьютер, чтобы они вступили в силу. В противном случае, как только вы закончите вносить изменения, запустите командную строку с повышенными правами и выполните следующую команду:
gpupdate /force
Это заставляет любые обновления, внесенные вами в групповую политику, вступать в силу немедленно.
Что делать с групповой политикой
Редактор групповой политики позволяет изменять сотни различных параметров, предпочтений и параметров, поэтому здесь невозможно охватить все.
Вы можете свободно смотреть по сторонам, но если вы не уверены, возможно, стоит избегать экспериментов со случайными политиками. Один плохой твик может вызвать проблемы или нежелательное поведение. Ознакомьтесь с нашим введением в групповую политику
чтобы стать более знакомым в первую очередь.
Теперь рассмотрим некоторые рекомендуемые параметры групповой политики, чтобы вы могли начать работу.
1. Ограничить доступ к панели управления и настройкам
Ограничения панели управления жизненно важны для деловых сетей и школьной среды. Тем не менее, они также могут быть полезны дома для компьютеров, используемых несколькими пользователями. Если вы хотите запретить детям изменять настройки, это хороший шаг.
Чтобы полностью заблокировать панель управления, включите этот объект:
User Configuration > Administrative Templates > Control Panel > Prohibit access to Control Panel and PC Settings
Если вы хотите вместо этого предоставить доступ только к определенным частям панели управления, вы можете настроить это, используя один из двух следующих пунктов:
User Configuration > Administrative Templates > Control Panel > Hide specified Control Panel items
User Configuration > Administrative Templates > Control Panel > Show only specified Control Panel Item
Включите их, и вы сможете указать, какие апплеты панели управления вы хотите показать или скрыть. использование Канонические названия элементов панели управления Microsoft перечислить их.
2. Заблокируйте командную строку
Несмотря на то, насколько полезной может быть командная строка, она может стать неприятностью в чужих руках. Позволять пользователям запускать нежелательные команды и обходить другие ограничения, которые у вас могут быть, не очень хорошая идея. Таким образом, вы можете отключить его.
Чтобы отключить командную строку, перейдите к этому значению:
User Configuration > Administrative Templates > System > Prevent access to the command prompt
Обратите внимание, что включение этого ограничения означает, что cmd.exe не может работать вообще. Таким образом, он также предотвращает выполнение командных файлов в форматах CMD или BAT.
3. Запретить установку программного обеспечения
У вас есть много способов заблокировать пользователям установку нового программного обеспечения. Это может помочь сократить объем технического обслуживания, которое необходимо выполнять, когда люди небрежно устанавливают мусор. Это также снижает вероятность проникновения вредоносных программ в вашу систему.
Чтобы предотвратить установку программного обеспечения с использованием групповой политики, посетите:
Computer Configuration > Administrative Templates > Windows Components > Windows Installer > Turn off Windows Installer
Обратите внимание, что это блокирует только установщик Windows, поэтому пользователи могут устанавливать приложения с помощью Магазина Windows.
4. Отключить принудительный перезапуск
Несмотря на то, что вы можете включить некоторые параметры, чтобы отложить его, Windows 10 в конечном итоге перезагрузит компьютер самостоятельно, если у вас есть ожидающие обновления. Вы можете вернуть контроль, включив элемент групповой политики. После этого Windows будет применять только ожидающие обновления, когда вы перезапустите их самостоятельно.
Вы найдете это здесь:
Computer Configuration > Administrator Templates > Windows Components > Windows Update > No auto-restart with logged on users for scheduled automatic update installations
5. Отключите автоматическое обновление драйверов
Знаете ли вы, что Windows 10 также обновляет драйверы устройств без вашего явного разрешения? Во многих случаях это полезно, поскольку оно направлено на то, чтобы поддерживать вашу систему как можно более актуальной.
Но что, если вы используете собственный драйвер? Или, возможно, последняя версия драйвера для определенного аппаратного компонента содержит ошибку, которая приводит к сбою системы. Это времена, когда автоматические обновления драйверов более вредны, чем полезны.
Включите это, чтобы отключить автоматическое обновление драйверов:
Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions > Prevent installation of devices that match any of these device IDs
После включения вы должны будете предоставить идентификаторы оборудования для устройств, для которых не требуется автоматическое обновление драйверов. Вам нужно будет получить их через диспетчер устройств, который занимает несколько шагов. Следуйте нашему руководству по управлению обновлениями драйверов в Windows 10
для полных инструкций.
6. Отключите съемные носители
Съемные носители, такие как USB-накопители, могут пригодиться. Но неизвестные USB-устройства также могут представлять опасность. Кто-то, имеющий доступ к вашему компьютеру, может загрузить вредоносное ПО на флэш-диск и попытаться его запустить.
Хотя в большинстве случаев это не является необходимым, вы можете запретить Windows полностью читать съемные диски для защиты вашей системы. Это особенно важно в деловых условиях.
Чтобы отключить съемные носители, включите это значение:
User Configuration > Administrative Templates > System > Removable Storage Access > Removable Disks: Deny read access
В этой папке вы также увидите опции для других видов носителей, таких как CD и DVD. Не стесняйтесь отключить все это, но USB-накопители являются главной проблемой.
7. Скрыть уведомления о воздушных шарах и тостах
Уведомления на рабочем столе могут быть полезны, но только когда им есть что сказать. Большинство уведомлений, которые вы видите, не стоит читать, что часто приводит к тому, что они отвлекают вас и нарушают вашу концентрацию.
Включите это значение, чтобы отключить всплывающие уведомления в Windows:
User Configuration > Administrative Templates > Start Menu and Taskbar > Turn off all balloon notifications
Начиная с Windows 8, большинство системных уведомлений переключаются на всплывающие уведомления. Таким образом, вы также должны отключить их:
User Configuration > Administrative Templates > Start Menu and Taskbar > Notifications > Turn off toast notifications
Это простой способ заблокировать множество всплывающих окон.
8. Удалить OneDrive
OneDrive встроен в Windows 10. Несмотря на то, что вы можете удалить его, как и любое другое приложение, его также можно запретить запускать с помощью элемента групповой политики.
Отключите OneDrive, включив это:
Computer Configuration > Administrative Templates > Windows Components > OneDrive > Prevent the usage of OneDrive for file storage
Это исключит возможность доступа к OneDrive из любой точки системы. Он также стирает ярлык OneDrive на боковой панели Проводника.
9. Отключите Защитник Windows
Защитник Windows управляет собой, поэтому он перестанет работать, если вы установите стороннее антивирусное приложение. Если по какой-то причине это не работает должным образом или вы хотите полностью отключить его, вы можете включить этот элемент групповой политики:
Computer Configuration > Administrative Templates > Windows Components > Windows Defender > Turn off Windows Defender
Хотя Защитник Windows легко отключить, он является достаточно хорошим решением безопасности для большинства людей. Обязательно замените его другой доверенной антивирусной программой Windows
если вы удалите его.
10. Запустите сценарии при входе в систему / запуске / завершении работы
Наш последний совет немного более сложный, поэтому он, вероятно, не будет вам полезен, если вы не знакомы с пакетными файлами и / или не пишете сценарии PowerShell. Но если да, то вы можете автоматически запускать указанные сценарии с помощью групповой политики.
Чтобы настроить скрипт запуска / завершения работы, посетите:
Computer Configuration > Windows Settings > Scripts (Startup/Shutdown)
Чтобы настроить сценарий входа или выхода, перейдите по ссылке:
User Configuration > Windows Settings > Scripts (Logon/Logoff)
Это позволяет вам выбирать фактические файлы сценариев и предоставлять параметры для этих сценариев, что делает его довольно гибким. Вы также можете назначить несколько сценариев каждому событию триггера.
Обратите внимание, что это не то же самое, что запуск конкретной программы при запуске. Для этого посмотрите, как использовать папку автозагрузки Windows.
Самые полезные параметры групповой политики для вас
Групповая политика предоставляет вам большой контроль над тем, как работает Windows 10. Мы только рассмотрели несколько примеров здесь; есть намного больше функциональных возможностей, если вы знаете, где искать. Однако, как вы можете видеть, большинство опций вращаются вокруг удаления или блокировки функциональности, а не добавления новых инструментов.
У вас нет доступа к групповой политике или вы хотите настроить Windows? Посмотрите наше введение в реестр Windows
Источник: okdk.ru