Настройка политики безопасности windows 10 презентация

1.

Дипломная работа
Тема: «Анализ и настройка систем
безопасности операционной системы
Windows 10»
Исполнитель: курсант Насылбеков А.Е.
Руководитель: преподаватель кафедры АСУ
подполковник Абдилдаев Г.С.

2.

Цель работы
Провести полный анализ операционной системы
Windows 10;
Обнаружить каналы утечек;
предложить пути настройки для безопасной
работы ОС.
Актуальность темы
Дипломная работа является актуальной, так как,
современном мире безопасность информаций
является одним из ключевых факторов мира.

3.

Операцио́ нная систе́ ма, сокр. ОС (англ. operating system, OS) —
комплекс взаимосвязанных программ, предназначенных для
управления ресурсами компьютера и организации взаимодействия с
пользователем.
В
логической
структуре
типичной
вычислительной
системы
операционная
система
занимает
положение
между устройствами с их микроархитектурой, машинным языком и,
возможно, собственными собственными (драйверами) — с одной
стороны — и прикладными программами с другой.
Windows 10 — операционная система для персональых
компьютеров
и
рабочих
станций,
разработанная
корпорацией Microsoft в рамках семейства Windows NT. После Windows
8.1 система получила номер 10, минуя 9. Серверный аналог Windows
10 — Windows Server 2016.

4.

Операционная система
Разработчик
Рыночная доля
Android
Google
40%
Windows
Microsoft
36%
iOS
Apple
13%
macOS
Apple
5%
Linux
Canonical и др.
1%

5.

Основные:
Windows 10 «Домашняя» — базовая версия для пользователей ПК, ноутбуков и
планшетных компьютеров. Поставляется с ноутбуками и нетбуками.
Windows 10 Pro — версия для ПК, лэптопов и планшетов с функциями для малого
бизнеса типа CYOD (выбери своё устройство).
Windows 10 «Корпоративная» — версия для более крупного бизнеса с расширенными
функциями управления корпоративными ресурсами, безопасности и т. д.
Производные:
Windows 10 China Government Edition — специальная редакция для КНР, содержит
меньшее количество штатных приложений Microsoft (каких именно — не уточняется)
и дополнительные настройки безопасности, наличие которых необходимо для
сертификации ОС для использования в государственных учреждениях.
Windows 10 Team — редакция для стран Евросоюза отсутсвуют ряд программ, но возМожно добавить в ручную.
Windows 10 Enterpise LTSC N. Для Южной Кореи Есть ссылки на
альтернативное ПО):

6.

Использование персональных данных вызвало опасения пользователей и
новостных сайтов. Microsoft собирает множество данных об использовании
компьютера с помощью сервисов телеметрии, которые пользователь не может
отключить. Согласно заявлению о конфиденциальности, Windows 10 собирает
данные, используемые для улучшения продуктов и служб. Примерами таких
данных являются имя, адрес электронной почты, предпочтения и интересы,
журнал браузера, журнал поиска и история файлов, данные телефонных
звонков и SMS, конфигурация устройств и данные с датчиков, а также данные
об использовании приложений. Также могут собираться все данные, вводимые
с клавиатуры, рукописно или через системы распознавания речи. Сбор данных
может происходить при установке программ, использовании голосового
поиска, открытии файлов и вводе текстов. Собранные данные могут
передаваться третьей стороне с согласия пользователя для предоставления
запрошенных услуг, а также предоставляться изготовителям оборудования.
Часть критики также относится к тому, что Windows 10 делится паролями
от Wi-Fi с другими пользователями.

7.

мы стали наблюдать за её сетевым поведением с помощью TCPView. Никаких
других действий при этом не выполнялось. Поначалу всё было тихо — как в
«Семерке». Лишь фирменный магазин приложений показывал готовность
получить данные через сеть доставки контента от Akamai Technologies.

8. наблюдение

внезапно ожил системный процесс WindowsSystem32svchost.exe. Он установил
подключение к удалённому узлу 191.232.139.254 и отправил на него 7,5 КБ.
Можно было узнать принадлежность IP-адреса через сервис WHOIS, но
спрашивать Shodan информативнее.

9. наблюдение

Как стало ясно из описания, это робот поисковой системы Bing. Если бы в
тесте был сделан хоть один поисковый запрос (даже локальный), тогда
соединение не вызывало бы никаких возражений. Однако мы просто сидели
и смотрели в TCPView на то, как компьютер начинает шпионить за нами

10. чем больше активности, тем интенсивней работают спящие шпионские программы.

За полчаса в сеть ушло около восьми тысяч пакетов. Как показало изучение
логов, большинство соединений устанавливалось по адресам в пределах одной
из крупных подсетей. У принадлежащих им айпишников часто менялись два-три
последних октета. Это говорит о том, что Microsoft развернула огромную сеть
для обработки всей стекающейся от пользователей Windows информации.

11.

ОС MS Windows, плюсы.
Поддержка очень большого ассортимента компьютерного
оборудования
Огромное количество прикладных программ, на сегодняшний
день это уже, наверное, более ста тысяч наименований.
Большое количество специалистов, которые более или менее
хорошо знают семейство ОС Windows. То есть, если вам
потребуется помощь, вы ее найдете легко и за умеренную цену.
ОС GNU/Linux, плюсы.
Сравнительно низкая стоимость.
Практическое отсутствие, по крайней мере, на сегодняшний
день, вредоносных программ для этой платформы.
Независимость от разработчика.

12.

ОС MS Windows, минусы.Сравнительно высокая
стоимость.
Очень большое количество вредоносных программ
Жесткая зависимость от разработчика.
ОС GNU/Linux, минусы
Значительно худшая, чем для платформы Windows,
поддержка компьютерного оборудования, в
особенности внешнего, такого как, например
принтеры или USB устройства.
Значительно меньшее, чем для платформы
Windows, количество прикладных программ.
Меньшее, чем для платформы Windows, количество
хороших или приличных специалистов.

13.

14.

15.

16.

17.

18.

19.

20.

21.

22.

23.

24.

25.

26.

27.

28.

29.

30. Антивирусы

1Антивирусы
Для современного пользователя интернета существует довольно много угроз: фишинговые сайты, спамрассылки, вредоносное программное обеспечение, трояны. С большинством из них успешно справляются
антивирусы. Современный антивирус — это целый комплекс защитных средств, состоящий, как правило, из
следующих модулей:
файловый антивирус;
проактивная защита;
защита от сетевых вторжений;
почтовый фильтр;
безопасный веб-сёрфинг;
родительский контроль.
Представленные ниже антивирусы в той или иной степени обладают этой функциональностью и позволяют
обеспечить защиту от большинства современных угроз.
1. Kaspersky Total Security 2017
2. McAfee Total Protection 2017
3. ESET Internet Security 10
4. Norton Security
5. Bitdefender Total Security 2017
6. Avast Internet Security
7. Windows Defender

31. Программы

1


Лекция 3. Групповые политики доменов. Объекты групповых политик (GPO)

2


Окружение пользователя Структура многопользовательских операционных систем предполагает возможность создания для отдельного пользователя индивидуального окружения. В окружение пользователя могут входить: конфигурации рабочего стола и индивидуальные настройки оболочки; доступные пользователю приложения; сценарии, выполняющиеся при входе пользователя в системе или выходе из нее; ассоциированные с пользователем права и разрешения на доступ к локальным и сетевым информационным ресурсам. Для управления конфигурациями окружения и разрешениями пользователей в доменах Windows применяется механизм групповых политик.

3


Понятие групповой политики домена Групповые политики – это механизм, используемый для централизованной защиты, настройки и развертывания обычного набора конфигураций компьютеров и пользователей, настроек безопасности и иногда программного обеспечения на серверах Windows, рабочих станциях Windows и для пользователей в лесе Active Directory. Применение групповых политик – основа централизованного управления конфигурациями пользователей и компьютеров в доменах Windows.

4


Примеры пприменения групповых политик Инфраструктура групповых политик позволяет организациям внедрять конфигурации, упрощать администрирование рабочих столов, защищать доступ к сетевым ресурсам, а в некоторых случаях и соответствовать законодательным требованиям. Пример: политика, которая включает брандмауэр Windows на клиентских рабочих станциях, удаляет у конечных пользователей возможность отключить его и позволяет корпоративной группе поддержки рабочих компьютеров выполнять удаленное администрирование этих рабочих станций, когда они подключены к корпоративной сети или виртуальной частной сети (VPN).

5


Основные категории сетевых объектов домена Групповая политика в доменах Windows применяется к двум основным сетевым объектам – компьютерам и пользователям домена. Пользователи Групповая политика определяет параметры окружения конкретных пользователей независимо от того, на каком компьютере эти пользователи работают Компьютеры Групповая политика определяет параметры системы, влияющие на окружение пользователей, для конкретных компьютеров независимо от того, какие пользователи на них работают

6


применения групповых политик Особенности пприменения групповых политик объекты GPO применяются в отношении контейнеров, а не замыкающих объектов; один контейнер может быть связан с несколькими объектами GPO; объекты GPO, связанные с одним и тем же контейнером, применяются в отношении этого контейнера в том порядке, в котором они были назначены; объект GPO включает в себя две составляющие: параметры, относящиеся к компьютеру, и параметры, относящиеся к пользователю; обработку любой из этих составляющих можно отключить; наследование объектов GPO можно блокировать; наследование объектов GPO можно форсировать; применение объектов GPO можно фильтровать при помощи списков ACL

7


Объекты групповой политики Объекты групповой политики (GPO) – основной элемент групповой политики, выступающий в качестве самостоятельных элементов каталога. Объекты групповой политики входят как объекты службы каталогов Active Directory. С каждым объектом групповой политики связан глобальный уникальный идентификатор – GUID. Для управления ими используются специальные инструменты – редакторы групповых политик, программные интерфейсы.

8


Обработка СРО компьютеров Компьютер обрабатывает политики в предопределенном порядке и при наступлении определенных событий. Групповые политики применяются к объектам компьютеров во время запуска и остановки, а также периодических фоновых обновлений. По умолчанию на рядовых серверах и рабочих станциях интервал обновлений равен 90 минутам со сдвигом от 0 до 30 минут. На контроллерах доменов групповые политики обновляются каждые 5 минут. Сдвиг нужен, чтобы не все компьютеры домена выполняли обновление или обработку групповых политик одновременно. Если при запуске компьютер может успешно обнаружить контроллер домена с возможностью аутентификации и связаться с ним, выполняется обработка GPO. Обработка GPO компьютера определяется связями GPO, фильтрами безопасности и фильтрами инструментальных средств управления Windows (Windows Management Instrumentation WMI).

9


Обработка GPO пользователей Отличие обработки GPO пользователей от обработки GPO компьютеров в том, что обработка выполняется при входе и выходе пользователя, а также периодически. Интервал обновления по умолчанию для обработки GPO пользователей равен 90 минутам плюс сдвиг от 0 до 30 минут. Обработка GPO пользователей определяется связями GPO и фильтрами безопасности.

10


Привязка объектов групповой политики Любой объект групповой политики может быть связан с некоторым объектом контейнерного типа в каталоге, относящемся к одному из трех классов: Узел (сайт); Домен; Организационная единица. На каждом компьютере, под управлением Windows существует специальный объект групповой политики – локальная групповая политика.

11


Размещение объектов групповой политики Система размещает информацию о GPO в двух местах: Значения всех атрибутов объектов размещаются в специальном контейнере групповой политик (Group Policy Container, GPC) Active Directory. Для размещения файлов, связанных с применением групповых политик, система использует специальную структуру – шаблон групповой политики. Данный шаблон представляет собой папку, которая располагается внутри папки SYSVOLsysvol policies. По умолчанию папка располагается внутри системной папки Windows (Папка шаблонов групповой политики). Создание и удаление объектов групповой политики разрешено пользователям, являющимся членами групп безопасности Администраторы домена и Администраторы предприятия.

12


Создание объекта групповой политики Для создания объектов групповой политики используется специальная оснастка консоли управления Windows – Редактор объектов групповой политики.

13


Создание объекта групповой политики В Мастере групповой политики выбрать в качестве объекта с помощью кнопки Обзор – Домен/Подразделение нужный объект. Если есть необходимость создания нового объекта групповой политики, то используется специальная кнопка.

14


Локальные групповые политики К Windows-системам и учетным записям пользователей Windows-систем могут применяться два различных типа политик: локальные групповые политики и групповые политики Active Directory. Локальные групповые политики существуют во всех Windows-системах, а групповые политики Active Directory доступны только в лесе Active Directory.

15


Локальные групповые политики В Windows Vista, Windows Server 2008 и выше администраторы имеют возможность создавать несколько локальных групповых политик. На компьютерах можно создавать отдельные групповые политики пользователей для всех пользователей, для пользователей, которые не являются администраторами, и для пользователей- членов группы локальных администраторов. Эта возможность полезна для повышения безопасности и надежности компьютеров из состава рабочих групп или обособленных компьютеров.

16


Шаблоны безопасности В каждой политике локального компьютера и в узле конфигурации компьютера GPO имеется раздел Security Settings (Параметры безопасности). Раздел содержит параметры для политик аудита компьютера, параметры управления учетными записями и права, присвоенные пользователям. Данный раздел политики можно импортировать и экспортировать отдельно. В различных версиях Windows шаблоны безопасности были сформированы заранее, что давало администраторам возможность быстро загрузить набор рекомендованных параметров конфигурации безопасности. Примеры шаблонов: базовые шаблоны рабочей станции и сервера, а также шаблоны высокой безопасности, совместимой безопасности и безопасности контроллера домена.

17


Элементы групповых политик Group Policy Objects (GPO) — определенный набор доступных значений, которые могут быть применены к объектам компьютеров и/или пользователей Active Directory. Параметры, доступные в каком-либо GPO, создаются с помощью сочетания файлов административных шаблонов, включенных в данный GPO или упомянутых в нем. Если управление компьютером или пользователем нужно изменить, в этот GPO можно импортировать дополнительные административные шаблоны, расширяющие его функциональность.

18


Хранение объектов групповых политик Объекты групповых политик хранятся и в файловой системе, и в базе данных Active Directory. Каждый домен в лесе Active Directory хранит полную копию всех GPO этого домена. Загрузка и обработка GPO, имеющих связи с другими доменами с помощью сайтов или просто междоменных связей GPO может занять большее время. Параметры GPO хранятся в файловой системе всех контроллеров домена, в папке sysvol. Эта папка совместно используется всеми контроллерами домена. У каждого GPO домена имеется соответствующая ему папка, которая находится в подпапке sysvolИмя_доменаPolicies. В качестве имени папки GPO берется глобально уникальный идентификатор (globally unique identifier GUID), присвоенный этому GPO при его создании. Этот GUID выводится при просмотре свойств GPO домена в консоли управления групповыми политиками. В папке GPO находится обычный набор подпапок и файлов: папка User, папка Machine, иногда папка ADM и файл gpt.ini.

19


Структура хранилища Подпапка user Подпапка User (Пользователь) содержит файлы и папки, используемые для хранения параметров, программ, сценариев и других настроек для политик пользователя и объекта пользователя, сконфигурированных в данном GPO. Подпапка Machine Подпапка Machine (Компьютер) содержит файлы и папки, используемые для хранения параметров, программ, сценариев и других настроек для политик компьютера или объекта компьютера, сконфигурированных в данном GPO.

20


Структура хранилища Подпапка adm Подпапка ADM создается для новых GPO, если в них импортируются файлы административных шаблонов старого формата. Все GPO, созданные с помощью клиентских программ, содержат подпапку ADM, где хранятся все файлы административных шаблонов, которые импортированы в этот GPO и на которые есть ссылки в этом GPO. Файлы registry.pol Многие параметры GPO определяют ключи и значения системного реестра. Состояние и значение таких ключей хранятся в файлах registry.pol в одной из папок User или Machine. Для оптимизации работы файл registry.pol содержит только параметры, настроенные в GPO.

21


Структура хранилища Файл gpt.ini В корне папки sysvol GPO имеется файл с именем gpt.ini, который содержит номер ревизии GPO. Этот номер используется при обработке GPO объектом компьютера или пользователя. При первой обработке GPO номер ревизии сохраняется в системе, а при последующих обработках номер из файла gpt.ini сравнивается со значением, хранящимся в кэше локальной системы. Если этот номер не изменился, некоторые части GPO не обрабатываются. При каждом изменении GPO номер ссылки или ревизии увеличивается, и хотя файл gpt.ini содержит одно число, оно на самом деле представляет собой отдельный номер ревизии для раздела компьютера и пользователя данного GPO. Однако имеются и такие части GPO, которые обрабатываются всегда например, сценарии.

22


Параметры политики Параметры политики это параметры, доступные для настройки в конкретном GPO. Данные параметры берутся из базовых административных шаблонов, настроек безопасности, сценариев, QOS на основе политик и, в некоторых случаях, из пакетов развертывания ПО или соответствуют один к одному некоторым ключам и значениям системного реестра. Параметры политик GPO обычно имеют одно из трех значений: не указано, включен или выключен.

23


Конфигурирование объектов групповой политики Папка «Конфигурация пользователя» оснастки Групповая политика используется для задания политик, применяемых к пользователям независимо от того, какой компьютер используется для входа в систему. Узел «Конфигурация пользователя» содержит элементы: «Конфигурация программ», «Конфигурация Windows», «Административные шаблоны»,

24


Конфигурирование объектов групповой политики С помощью узла «Конфигурация компьютера» в оснастке Групповая политика можно устанавливать политики, применяемые к компьютерам, вне зависимости от того, кто работает на них. Узел «Конфигурация компьютера» содержит подузлы: «Конфигурация программ», «Конфигурация Windows», «Административные шаблоны». Редактор объектов групповой политики допускает добавление или удаление расширений.

25


Конфигурирование групповой политики Выделяются следующие уровни конфигурирования групповой политики: Конфигурация программ. Здесь размещены расширения mmc, применяемые для конфигурирования параметров групповых политик: Установка программ.

26


Конфигурирование групповой политики Конфигурация Windows: Содержимое контейнера различается для групповых политик пользователя или компьютера: Сценарии. Определяются сценарии, которые будут выполняться при запуске/выключении компьютера (при входе/выходе пользователя в систему). Параметры безопасности. В данном расширении выполняется управление параметрами групповой политики, связанными с функционированием системы безопасности.

27


Управление групповой политикиой

28


Управление объектами групповой политики

29


Конфигурирование Windows через GPO Службы удаленной установки. Данное расширение используется для определения параметров удаленной установки на клиентском компьютере. Настройка Internet Explorer. Используется для конфигурирования Internet Explorer на компьютерах домена, работающих под управлением Windows. Перенаправление папок. С помощью данного расширения можно осуществлять перенаправление папок из пользовательского профиля в некоторый сетевой ресурс.

30


Сценарии входа, выхода, запуска и завершения работы Редактор объектов групповой политики включает в себя два расширения для развертывания сценариев: Сценарии (запуск/завершение). Это расширение, расположенное в узле дерева консоли редактора объектов групповой политики «Конфигурация компьютераКонфигурация Windows», используется для указания сценариев, выполняемых при запуске и завершении работы компьютера. Эти сценарии выполняются с правами локальной системы. Сценарии (вход/выход из системы). Это расширение, расположенное в узле дерева консоли редактора объектов групповой политики «Конфигурация пользователяКонфигурация Windows», используется для указания сценариев, выполняемых при входе и выходе пользователя из системы. Эти сценарии запускаются с правами пользователя, а не администратора. Операционные системы семейства Windows Server содержат сервер сценариев Windows: Включена поддержка как сценариев Visual Basic Scripting Edition (файлы.vbs), так и сценариев и JScript (файлы.js).

31


Шаблоны групповой политики Административный шаблон. Данный контейнер содержит параметры групповой политики, применяемые для управления содержимым системным реестром.

32


Применение групповой политики Для связывания объекта групповой политики с контейнером каталога используется административная оснастка Управление групповой политикой.

33


Принудительное применение связей групповой политики Microsoft предоставляет администраторам несколько способов управления инфраструктурой, включая принудительное нисходящее распространение конфигураций. «Принудительное применение» (enforcement) связей GPO – это параметр связи GPO, который можно установить, чтобы гарантировать применение данной политики, даже если в другом GPO этот параметр имеет другое значение.

34


Наследование групповых политик Объекты GPO можно привязать к сайту, домену и различным уровням OU. Если, к примеру, инфраструктура Active Directory содержит объекты GPO, привязанные на уровне домена, все контейнеры и OU под этим корневым доменом наследуют все привязанные политики. Например, OU «Domain Controllers» (Контроллеры домена) наследует стандартную политику домена.

35


Блокировка наследования групповых политик Наряду с наследованием GPO в Active Directory имеется возможность блокировки наследования от всех GPO из родительских контейнеров. Эта возможность может пригодиться, если контейнер содержит объекты пользователей и/или компьютеров, которые очень важны для безопасности или производства. Например, может быть создана OU, содержащая системы для работы службы удаленного рабочего стола, которая не будет правильно функционировать, если применить GPO уровня домена. В такой OU можно задать блокировку наследования, чтобы гарантировать, что к ней будут применяться только политики, привязанные к данной OU. Если к такому контейнеру нужно применить какие-то GPO, необходимо создать связи на уровне этого конкретного контейнера либо указать принудительную привязку к GPO из родительского контейнера, что перекроет блокировку наследования.

36


Анализ действия групповой политики Для анализа действия групповой политики используется инструмент – Результирующая политика

37


Группы безопасности и групповая политика Объекты групповой политики рассматриваются в качестве субъекта системы безопасности. Каждый объект имеет собственный дескриптор безопасности, который определяет атрибуты безопасности объекта, в том числе – избирательный список контроля доступа (DACL).

38


Анализ и настройка безопасности Оснастка «Анализ и настройка безопасности» используется для анализа и настройки безопасности локального компьютера. Средство управления настройкой безопасности Описание Шаблоны безопасности Определение политики безопасности в шаблоне. Эти шаблоны могут применяться к групповой политике или к локальному компьютеру. Расширение «Параметры безопасности» для групповой политики Изменение отдельных параметров безопасности домена, узла или подразделения Локальная политика безопасности Изменение отдельных параметров безопасности локального компьютера. Secedit Автоматизация выполнения задач по настройке безопасности с помощью командной строки.

39


Шаблоны безопасности Шаблоны безопасности (Security Templates) – файл, содержащий параметры безопасности. Шаблоны безопасности могут быть применены на локальном компьютере, импортированы в объект групповой политики или использованы для анализа безопасности. Конфигурации безопасности может быть применена к локальному компьютеру или импортирована в объект групповой политики (GPO) Active Directory. При импорте шаблона безопасности в GPO групповая политика обрабатывает шаблон и соответствующим образом изменяет члены GPO, которыми могут являться пользователи или компьютеры.

40


Графический интерфейс работы с шаблонами безопасности

41


Анализ и настройка безопасности Для тестирования шаблонов безопасности в Windows может быть использован графический интерфейс оснасти «Анализ и настройка безопасности». При выполнении прогнозов безопасности данный инструмент анализирует параметры настройки безопасности на локальном компьютере и сравнивает ее с тем шаблоном, что вы собираетесь применить. Данная операция производится путем импорта шаблона (.inf-файла) в файл базы данных(.sdb-файл). Командный интерфейс для выполнения анализа шаблонов задается командой: secedit secedit /analyze secedit /configure secedit /export secedit /import secedit /validate secedit /GenerateRollback

42


Выводы Операционные системы семейства Windows обладают усовершенствованными технологиями управления конфигурацией пользователей и компьютеров, входящих в домен. Использование механизмов групповых политик позволяет администраторам настроить среду работы пользователя, организовать конфигурирование пользовательских приложений, обеспечить выполнение выбранной политики безопасности. Групповые политики могут быть использованы для управления конфигурациями отдельных пользователей, групп пользователей и компьютеров в рамках домена Windows. Допускается механизм наследования выработанных политик в рамках леса.

43


Выводы Параметры политики хранятся в объектах групповой политики. Редактор объектов групповой политики можно рассматривать как приложение, типом документов которого является объект групповой политики, так же как текстовый редактор использует файлы.doc или.txt. Существует два типа объектов групповой политики: локальные и нелокальные. Локальные объекты групповой политики хранятся на локальном компьютере. На компьютере существует только один локальный объект групповой политики, содержащий набор параметров, доступных в нелокальном объекте групповой политики. В случае конфликта параметры локального объекта будут перезаписаны нелокальными параметрами или применены совместно. Нелокальные объекты групповой политики хранятся на контроллере домена и доступны только в среде Active Directory. Они применяются к пользователям или компьютерам в сайте, домене или подразделении, связанном с объектом групповой политики.

44


Выводы В общем случае групповая политика передается от родительских контейнеров к дочерним в домене, который можно просмотреть с помощью оснастки Active Directory пользователи и компьютеры. Групповая политика не наследуется от родительских доменов к дочерним, например от веб-узла wingtiptoys.com к узлу sales.wingtiptoys.com. На каждом компьютере Windows имеется по крайней мере один локальный объект групповой политики. Объекты групповой политики в отличие от локальных объектов этой политики являются виртуальными. Сведения о параметрах политики для GPO фактически хранятся в двух расположениях: в контейнере и в шаблоне групповой политики. Контейнер групповой политики представляет собой объект службы каталогов. Он состоит из субконтейнеров для хранения сведений о групповой политике пользователя и компьютера. Шаблон групповой политики это папка контроллеров домена для хранения домена объекта групповой политики.

В операционных системах семейства Windows присутствует множество оснасток и политик, представляющих собой набор параметров для настройки различных функциональных составляющих ОС. Среди них находится оснастка под названием «Локальная политика безопасности» и отвечает она за редактирование защитных механизмов Виндовс. В рамках сегодняшней статьи мы обсудим компоненты упомянутого инструмента и расскажем о их влиянии на взаимодействие с системой.

Как вы уже знаете из предыдущего абзаца, упомянутая политика состоит из нескольких компонентов, каждый из которых собрал в себе параметры по регулированию защищенности самой ОС, пользователей и сетей при обмене данными. Логично будет уделить время каждому разделу, поэтому давайте сразу же начнем детальный разбор.

Запускается «Локальная политика безопасности» одним из четырех способов, каждый будет максимально полезен определенным юзерам. В статье по следующей ссылке вы можете ознакомиться с каждым методом и выбрать подходящий. Однако хотим обратить ваше внимание, что все приведенные сегодня скриншоты сделаны в самом окне инструмента, а не в редакторе локальных групповых политик, из-за чего следует учитывать особенности интерфейсов.

Подробнее: Расположение локальной политики безопасности в Windows 10

Политики учетных записей

Начнем с первой категории под названием «Политики учетных записей». Разверните ее и откройте раздел «Политика паролей». Справа вы видите перечень параметров, каждый из которых отвечает за ограничения или выполнение действий. Например, в пункте «Минимальная длина пароля» вы самостоятельно указываете количество знаков, а в «Минимальный срок действия пароля» — количество дней на блокировку его изменения.

Дважды щелкните на одном из параметров, чтобы открыть отдельное окно с его свойствами. Как правило, здесь присутствует ограниченное количество кнопок и настроек. Например, в «Минимальный срок действия пароля» вы только выставляете количество дней.

Во вкладке «Объяснение» находится детальное описание каждого параметра от разработчиков. Обычно оно расписано достаточно широко, но большая часть информации является бесполезной или же очевидной, поэтому ее можно опустить, выделив только основные моменты лично для себя.

Во второй папке «Политика блокировки учетной записи» присутствует три политики. Здесь доступна установка времени до сброса счетчика блокировки, пороговое значение блокировки (количество ошибок ввода пароля при входе в систему) и продолжительность блокировки профиля пользователя. О том, как устанавливаются каждые параметры, вы уже узнали из информации выше.

Локальные политики

В разделе «Локальные политики» собрано сразу несколько групп параметров, разделенных по директориям. Первая имеет название «Политика аудита». Если говорить просто, аудит — процедура слежения за действиями юзера с дальнейшим занесением их в журнал событий и безопасности. Справа вы видите несколько пунктов. Их названия говорят сами за себя, поэтому отдельно останавливаться на каждом нет никакого смысла.

Если значение установлено «Нет аудита», действия отслеживаться не будут. В свойствах же на выбор предоставляется два варианта — «Отказ» и «Успех». Поставьте галочку на одном из них или сразу на обоих, чтобы сохранять успешные и прерванные действия.

В папке «Назначение прав пользователя» собраны настройки, позволяющие предоставить группам юзеров доступ для выполнения определенных процессов, например, вход в качестве службы, возможность подключения к интернету, установка или удаление драйверов устройств и многое другое. Ознакомьтесь со всеми пунктами и их описанием самостоятельно, в этом нет ничего сложного.

В «Свойства» вы видите перечень групп пользователей, которым разрешено осуществление заданного действия.

В отдельном окне происходит добавление групп юзеров или только некоторых учетных записей из локальных компьютеров. От вас требуется лишь указать тип объекта и его размещение, а после перезагрузки компьютера все изменения вступят в силу.

Раздел «Параметры безопасности» посвящен обеспечению защищенности двух предыдущих политик. То есть здесь вы можете настроить аудит, который будет отключать систему при невозможности добавления соответствующей записи аудита в журнал, либо же установить ограничение на количество попыток ввода пароля. Параметров здесь насчитывается более тридцати. Условно их можно разделить на группы — аудиты, интерактивный вход в систему, контроль учетных записей, сетевой доступ, устройства и сетевая безопасность. В свойствах вам разрешено активировать или отключать каждую из этих настроек.

Монитор брандмауэра Защитника Windows в режиме повышенной безопасности

«Монитор брандмауэра Защитника Windows в режиме повышенной безопасности» — один из самых сложных разделов «Локальной политики безопасности». Разработчики попытались упростить процесс наладки входящих и исходящих подключений с помощью добавления Мастера настройки, однако начинающие пользователи все равно с трудом разберутся со всеми пунктами, но эти параметры и крайне редко нужны такой группе юзеров. Здесь доступно создание правил для программ, портов или предопределенных соединений. Вы блокируете либо разрешаете подключение, выбрав при этом сеть и группу.

В этом же разделе происходит определение типа безопасности подключения — изоляция, сервер-сервер, туннель или освобождение от проверки подлинности. Останавливаться на всех настройках нет смысла, ведь это пригодится только опытным администраторам, а они в состоянии самостоятельно обеспечить надежность входящих и исходящих соединений.

Политики диспетчера списка сетей

Обратите внимание на отдельную директорию «Политики диспетчера списка сетей». Количество отображаемых здесь параметров зависит от активных и доступных интернет-соединений. Например, пункт «Неопознанные сети» или «Идентификация сетей» будет присутствовать всегда, а «Сеть 1», «Сеть 2» и так далее — в зависимости от реализации вашего окружения.

В свойствах вы можете указать имя сети, добавить разрешения для пользователей, установить собственный значок или задать расположение. Все это доступно для каждого параметра и должно применяться отдельно. После выполнения изменений не забывайте их применять и перезагружать компьютер, чтобы они вступали в силу. Иногда может потребоваться и перезагрузка роутера.

Политики открытого ключа

Полезным раздел «Политики открытого ключа» будет только для тех, кто использует компьютеры на предприятии, где для осуществления криптографических операций или других защищенных манипуляций задействованы открытые ключи и центры спецификаций. Все это позволяет гибко производить контроль доверительных отношений между устройствами, обеспечив стабильную и безопасную сеть. Внесения изменений зависят от активного на предприятии центра доверенности.

Политики управления приложениями

В «Политики управления приложениями» находится инструмент «AppLocker». Он включает в себя множество самых разнообразных функций и настроек, позволяющих регулировать работу с программами на ПК. Например, он позволяет создать правило, ограничивающее запуск всех приложений, кроме указанных, либо установить ограничение на изменение файлов программами, задав отдельные аргументы и исключения. Полную информацию по поводу упомянутого инструмента вы можете получить в официальной документации компании Microsoft, там все расписано максимально детально, с объяснением каждого пункта.

AppLocker в операционной системе Windows

Что же касается меню «Свойства», то здесь применение правил настраивается для коллекций, например, исполняемые файлы, установщик Windows, сценарии и упакованные приложения. Каждое значение может применяться принудительно, в обход другим ограничениям «Локальной политики безопасности».

Политики IP-безопасности на «Локальный компьютер»

Настройки в разделе «Политики IP-безопасности на «Локальный компьютер»» имеют некое сходство с теми, что доступны в веб-интерфейсе роутера, например, включение шифрования трафика либо его фильтрация. Пользователь сам создает неограниченное количество правил через встроенный Мастер создания указывает там методы шифрования, ограничения на передачу и прием трафика, а также активирует фильтрацию по IP-адресам (разрешение или запрет на подключение к сети).

На скриншоте ниже вы видите пример одного из таких правил связи с другими компьютерами. Здесь присутствует список IP-фильтров, их действие, методы проверки, конечная точка и тип подключения. Все это задается пользователем вручную, исходя из его потребностей в обеспечении фильтрации передачи и приема трафика с определенных источников.

Конфигурация расширенной политики аудита

В одной из предыдущих частей сегодняшней статьи вы уже были ознакомлены с аудитами и их настройкой, однако существуют еще дополнительные параметры, которые вынесены в отдельный раздел. Здесь уже вы видите более обширное действие аудитов — создание/завершение процессов, изменение файловой системы, реестра, политик, управление группами учетных записей пользователей, приложений и многое другое, с чем можете ознакомиться самостоятельно.

Корректировка правил осуществляется точно так же — нужно лишь отметить галочкой «Успех», «Отказ», чтобы запустить процедуру слежения и записи в журнал безопасности.

На этом ознакомление с «Локальной политикой безопасности» в Windows 10 завершено. Как видите, здесь присутствует множество самых полезных параметров, позволяющих организовать хорошую защиту системы. Мы настоятельно советуем перед внесением определенных изменений внимательно изучить описание самого параметра, чтобы понять его принцип работы. Редактирование некоторых правил иногда приводит к серьезным проблемам работы ОС, поэтому делайте все крайне осторожно.

Расположение локальной политики безопасности в Windows 10

Каждый пользователь должен заботиться о безопасности своего компьютера. Многие прибегают к включению брандмауэра Windows, устанавливают антивирус и другие защитные инструменты, но этого не всегда хватает. Встроенное средство операционной системы «Локальная политика безопасности» позволит каждому вручную оптимизировать работу учетных записей, сетей, редактировать открытые ключи и производить другие действия, связанные с наладкой защищенного функционирования ПК.

Открываем «Локальную политику безопасности» в Windows 10

Сегодня мы бы хотели обсудить процедуру запуска упомянутой выше оснастки на примере ОС Windows 10. Существуют разные методы запуска, которые станут наиболее подходящими при возникновении определенных ситуаций, поэтому целесообразным будет детальное рассмотрения каждого из них. Начнем с самого простого.

Для запуска этой оснастки версия Windows 10 должна быть Профессиональная (Professional) или Корпоративная (Enterprise)! В версии Домашняя (Home), установленной преимущественно на множестве ноутбуков, ее нет.

Способ 1: Меню «Пуск»

Меню «Пуск» активно задействует каждый пользователь на протяжении всего взаимодействия с ПК. Этот инструмент позволяет осуществлять переход в различные директории, находить файлы и программы. Придет на помощь он и при необходимости запуска сегодняшнего инструмента. Вам достаточно просто открыть само меню, ввести в поиске «Локальная политика безопасности» и запустить классическое приложение.

Как видите, отображается сразу несколько кнопок, например «Запуск от имени администратора» или «Перейти к расположению файла». Обратите внимание и на эти функции, ведь они однажды могут пригодиться. Вам также доступно закрепление значка политики на начальном экране или на панели задач, что значительно ускорит процесс ее открытия в дальнейшем.

Способ 2: Утилита «Выполнить»

Стандартная утилита ОС Виндовс под названием «Выполнить» предназначена для быстрого перехода к определенным параметрам, директориям или приложениям путем указания соответствующей ссылки или установленного кода. У каждого объекта имеется уникальная команда, в том числе и у «Локальной политики безопасности». Ее запуск происходит так:

Способ 3: «Панель управления»

Хоть разработчики операционной системы Виндовс постепенно и отказываются от «Панели управления», перемещая или добавляя многие функции только в меню «Параметры», это классическое приложение все еще нормально работает. Через него тоже доступен переход к «Локальной политике безопасности», однако для этого понадобится выполнить такие шаги:

Способ 4: Консоль управления Microsoft

В Консоли управления Майкрософт происходит взаимодействие со всеми возможными в системе оснастками. Каждая из них предназначена для максимально детальной настройки компьютера и применения дополнительных параметров, связанных с ограничениями доступа к папкам, добавлением или удалением определенных элементов рабочего стола и многим другим. Среди всех политик присутствует и «Локальная политика безопасности», но ее еще нужно отдельно добавить.

Приведенный выше способ будет максимально полезен тем юзерам, кто активно использует редактор групповых политик, настраивая там необходимые ему параметры. Если вас интересуют другие оснастки и политики, советуем перейти к отдельной нашей статье по этой теме, воспользовавшись указанной ниже ссылкой. Там вы ознакомитесь с основными моментами взаимодействия с упомянутым инструментом.

Что же касается настройки «Локальной политики безопасности», производится она каждым пользователем индивидуально — им подбираются оптимальные значения всех параметров, но при этом существуют и главные аспекты конфигурации. Детальнее о выполнении этой процедуры читайте далее.

Теперь вы знакомы с четырьмя различными методами открытия рассмотренной оснастки. Вам осталось только подобрать подходящий и воспользоваться им.

Помимо этой статьи, на сайте еще 12357 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Источник

Настройка параметров политики безопасности

Область применения

Описывает действия по настройке параметра политики безопасности на локальном устройстве, на устройстве, соединяемом с доменом, и на контроллере домена.

Для выполнения этих процедур необходимо иметь права администраторов на локальном устройстве или иметь соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена.

Если локальный параметр недоступен, это указывает на то, что GPO в настоящее время контролирует этот параметр.

Настройка параметра с помощью консоли Local Security Policy

Чтобы открыть локализованную политику безопасности на экране Начните, введите secpol.mscи нажмите кнопку ENTER.

В Параметры панели безопасности консоли сделайте одно из следующих:

При нажатии параметра политики в области сведений дважды щелкните политику безопасности, которую необходимо изменить.

Измените параметр политики безопасности и нажмите кнопку ОК.

Настройка параметра политики безопасности с помощью консоли Редактор локальной групповой политики

Для выполнения этих процедур необходимо иметь соответствующие разрешения на установку и использование консоли управления Microsoft (MMC) и обновление объекта групповой политики (GPO) на контроллере домена.

Откройте редактор локальной групповой политики (gpedit.msc).

В дереве консоли нажмите кнопку Конфигурациякомпьютера, нажмите кнопку Windows Параметрыи нажмите кнопку Безопасность Параметры.

Выполните одно из следующих действий.

В области сведений дважды щелкните параметр политики безопасности, который необходимо изменить.

Если эта политика безопасности еще не определена, выберите поле Определение этих параметров политики.

Измените параметр политики безопасности и нажмите кнопку ОК.

Если вы хотите настроить параметры безопасности для многих устройств в сети, вы можете использовать консоль управления групповой политикой.

Настройка параметра контроллера домена

Следующая процедура описывает настройку параметра политики безопасности только для контроллера домена (от контроллера домена).

Чтобы открыть политику безопасности контроллера домена в дереве консоли, найдите GroupPolicyObject [ComputerName] Политика, щелкните Конфигурация компьютера, нажмите кнопку Windows Параметры, а затем нажмите кнопку Параметры .

Выполните одно из следующих действий.

В области сведений дважды щелкните политику безопасности, которую необходимо изменить.

Если эта политика безопасности еще не определена, выберите поле Определение этих параметров политики.

Измените параметр политики безопасности и нажмите кнопку ОК.

Источник

Основы работы с редактором локальной групповой политики в ОС Windows 10

Групповые политики — это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.

Изменять групповые политики можно с помощью Редактора локальной групповой политики.

В редакциях операционной системы Windows 7 Starter, Home Basic и Home Premium редактор локальной групповой политики недоступен. Также он недоступен в редакциях Home Windows 8 и 10.

Групповые политики в Windows 10 позволяют управлять различными штатными средствами системы:

Для настройки параметров в операционной системе MS Windows 10 используется оснастка Редактор локальной групповой политики. Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.

Оснастку Редактор объектов групповой политики можно запустить, например, введя в окне Выполнить, либо в поисковой строке gpedit.msc.

Рис.1 Окно Выполнить

Оснастка Локальная политика безопасности входит в состав оснастки Редактор

Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики

Чтобы работать с объектами локальной групповой политики, необходимо войти в систему с учетной записью администратора.

Содержание

Структура редактора групповой политики

Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.

В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.

Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.

Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.

Рис.3 Редактор локальной групповой политики

Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.

Рис.4 Настройка частоты обновления политик

Рис.5 Настройка частоты обновления политик

Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:

Рис.6 Обновление политик в командной строке

С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.

Рис.7 Обновление политик для пользователя в командной строке

Пример последовательности действий при редактировании определенной политики

Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:

Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления

Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления

Рис.10 Список разрешенных элементов панели управления

Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики

Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики

Изменения, которые вносятся через редактор локальной групповой политики, будут применены для всех учетных записей, зарегистрированных в системе, включая учетную запись администратора, который инициировал изменения.

Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:

Последовательность действий при добавлении объектов групповой политики через консоль управления (Microsoft Management Console, MMC)

Добавление объекта групповой политики первого уровня

Рис.13 Добавление оснастки через консоль управления

Рис.14 Диалоговое окно Добавление и удаление оснасток

Рис.15 Диалоговое окно выбора объекта групповой политики

Добавление объекта групповой политики второго уровня

Рис.16 Настройка объекта групповой политики второго уровня

Добавление объекта групповой политики третьего уровня

Рис.17 Консоль управления

Теперь, используя данную консоль, можно настраивать политики для определенных пользователей.

Источник

Локальная политика безопасности в Windows 10

В операционных системах семейства Windows присутствует множество оснасток и политик, представляющих собой набор параметров для настройки различных функциональных составляющих ОС. Среди них находится оснастка под названием «Локальная политика безопасности» и отвечает она за редактирование защитных механизмов Виндовс. В рамках сегодняшней статьи мы обсудим компоненты упомянутого инструмента и расскажем о их влиянии на взаимодействие с системой.

Настройка «Локальной политики безопасности» в Windows 10

Как вы уже знаете из предыдущего абзаца, упомянутая политика состоит из нескольких компонентов, каждый из которых собрал в себе параметры по регулированию защищенности самой ОС, пользователей и сетей при обмене данными. Логично будет уделить время каждому разделу, поэтому давайте сразу же начнем детальный разбор.

Запускается «Локальная политика безопасности» одним из четырех способов, каждый будет максимально полезен определенным юзерам. В статье по следующей ссылке вы можете ознакомиться с каждым методом и выбрать подходящий. Однако хотим обратить ваше внимание, что все приведенные сегодня скриншоты сделаны в самом окне инструмента, а не в редакторе локальных групповых политик, из-за чего следует учитывать особенности интерфейсов.

Политики учетных записей

Начнем с первой категории под названием «Политики учетных записей». Разверните ее и откройте раздел «Политика паролей». Справа вы видите перечень параметров, каждый из которых отвечает за ограничения или выполнение действий. Например, в пункте «Минимальная длина пароля» вы самостоятельно указываете количество знаков, а в «Минимальный срок действия пароля» — количество дней на блокировку его изменения.

Дважды щелкните на одном из параметров, чтобы открыть отдельное окно с его свойствами. Как правило, здесь присутствует ограниченное количество кнопок и настроек. Например, в «Минимальный срок действия пароля» вы только выставляете количество дней.

Во вкладке «Объяснение» находится детальное описание каждого параметра от разработчиков. Обычно оно расписано достаточно широко, но большая часть информации является бесполезной или же очевидной, поэтому ее можно опустить, выделив только основные моменты лично для себя.

Во второй папке «Политика блокировки учетной записи» присутствует три политики. Здесь доступна установка времени до сброса счетчика блокировки, пороговое значение блокировки (количество ошибок ввода пароля при входе в систему) и продолжительность блокировки профиля пользователя. О том, как устанавливаются каждые параметры, вы уже узнали из информации выше.

Локальные политики

В разделе «Локальные политики» собрано сразу несколько групп параметров, разделенных по директориям. Первая имеет название «Политика аудита». Если говорить просто, аудит — процедура слежения за действиями юзера с дальнейшим занесением их в журнал событий и безопасности. Справа вы видите несколько пунктов. Их названия говорят сами за себя, поэтому отдельно останавливаться на каждом нет никакого смысла.

Если значение установлено «Нет аудита», действия отслеживаться не будут. В свойствах же на выбор предоставляется два варианта — «Отказ» и «Успех». Поставьте галочку на одном из них или сразу на обоих, чтобы сохранять успешные и прерванные действия.

В папке «Назначение прав пользователя» собраны настройки, позволяющие предоставить группам юзеров доступ для выполнения определенных процессов, например, вход в качестве службы, возможность подключения к интернету, установка или удаление драйверов устройств и многое другое. Ознакомьтесь со всеми пунктами и их описанием самостоятельно, в этом нет ничего сложного.

В «Свойства» вы видите перечень групп пользователей, которым разрешено осуществление заданного действия.

В отдельном окне происходит добавление групп юзеров или только некоторых учетных записей из локальных компьютеров. От вас требуется лишь указать тип объекта и его размещение, а после перезагрузки компьютера все изменения вступят в силу.

Раздел «Параметры безопасности» посвящен обеспечению защищенности двух предыдущих политик. То есть здесь вы можете настроить аудит, который будет отключать систему при невозможности добавления соответствующей записи аудита в журнал, либо же установить ограничение на количество попыток ввода пароля. Параметров здесь насчитывается более тридцати. Условно их можно разделить на группы — аудиты, интерактивный вход в систему, контроль учетных записей, сетевой доступ, устройства и сетевая безопасность. В свойствах вам разрешено активировать или отключать каждую из этих настроек.

Монитор брандмауэра Защитника Windows в режиме повышенной безопасности

«Монитор брандмауэра Защитника Windows в режиме повышенной безопасности» — один из самых сложных разделов «Локальной политики безопасности». Разработчики попытались упростить процесс наладки входящих и исходящих подключений с помощью добавления Мастера настройки, однако начинающие пользователи все равно с трудом разберутся со всеми пунктами, но эти параметры и крайне редко нужны такой группе юзеров. Здесь доступно создание правил для программ, портов или предопределенных соединений. Вы блокируете либо разрешаете подключение, выбрав при этом сеть и группу.

В этом же разделе происходит определение типа безопасности подключения — изоляция, сервер-сервер, туннель или освобождение от проверки подлинности. Останавливаться на всех настройках нет смысла, ведь это пригодится только опытным администраторам, а они в состоянии самостоятельно обеспечить надежность входящих и исходящих соединений.

Политики диспетчера списка сетей

Обратите внимание на отдельную директорию «Политики диспетчера списка сетей». Количество отображаемых здесь параметров зависит от активных и доступных интернет-соединений. Например, пункт «Неопознанные сети» или «Идентификация сетей» будет присутствовать всегда, а «Сеть 1», «Сеть 2» и так далее — в зависимости от реализации вашего окружения.

В свойствах вы можете указать имя сети, добавить разрешения для пользователей, установить собственный значок или задать расположение. Все это доступно для каждого параметра и должно применяться отдельно. После выполнения изменений не забывайте их применять и перезагружать компьютер, чтобы они вступали в силу. Иногда может потребоваться и перезагрузка роутера.

Политики открытого ключа

Полезным раздел «Политики открытого ключа» будет только для тех, кто использует компьютеры на предприятии, где для осуществления криптографических операций или других защищенных манипуляций задействованы открытые ключи и центры спецификаций. Все это позволяет гибко производить контроль доверительных отношений между устройствами, обеспечив стабильную и безопасную сеть. Внесения изменений зависят от активного на предприятии центра доверенности.

Политики управления приложениями

В «Политики управления приложениями» находится инструмент «AppLocker». Он включает в себя множество самых разнообразных функций и настроек, позволяющих регулировать работу с программами на ПК. Например, он позволяет создать правило, ограничивающее запуск всех приложений, кроме указанных, либо установить ограничение на изменение файлов программами, задав отдельные аргументы и исключения. Полную информацию по поводу упомянутого инструмента вы можете получить в официальной документации компании Microsoft, там все расписано максимально детально, с объяснением каждого пункта.

Что же касается меню «Свойства», то здесь применение правил настраивается для коллекций, например, исполняемые файлы, установщик Windows, сценарии и упакованные приложения. Каждое значение может применяться принудительно, в обход другим ограничениям «Локальной политики безопасности».

Политики IP-безопасности на «Локальный компьютер»

Настройки в разделе «Политики IP-безопасности на «Локальный компьютер»» имеют некое сходство с теми, что доступны в веб-интерфейсе роутера, например, включение шифрования трафика либо его фильтрация. Пользователь сам создает неограниченное количество правил через встроенный Мастер создания указывает там методы шифрования, ограничения на передачу и прием трафика, а также активирует фильтрацию по IP-адресам (разрешение или запрет на подключение к сети).

На скриншоте ниже вы видите пример одного из таких правил связи с другими компьютерами. Здесь присутствует список IP-фильтров, их действие, методы проверки, конечная точка и тип подключения. Все это задается пользователем вручную, исходя из его потребностей в обеспечении фильтрации передачи и приема трафика с определенных источников.

Конфигурация расширенной политики аудита

В одной из предыдущих частей сегодняшней статьи вы уже были ознакомлены с аудитами и их настройкой, однако существуют еще дополнительные параметры, которые вынесены в отдельный раздел. Здесь уже вы видите более обширное действие аудитов — создание/завершение процессов, изменение файловой системы, реестра, политик, управление группами учетных записей пользователей, приложений и многое другое, с чем можете ознакомиться самостоятельно.

Корректировка правил осуществляется точно так же — нужно лишь отметить галочкой «Успех», «Отказ», чтобы запустить процедуру слежения и записи в журнал безопасности.

На этом ознакомление с «Локальной политикой безопасности» в Windows 10 завершено. Как видите, здесь присутствует множество самых полезных параметров, позволяющих организовать хорошую защиту системы. Мы настоятельно советуем перед внесением определенных изменений внимательно изучить описание самого параметра, чтобы понять его принцип работы. Редактирование некоторых правил иногда приводит к серьезным проблемам работы ОС, поэтому делайте все крайне осторожно.

Помимо этой статьи, на сайте еще 12357 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Источник