Использование групповых политик для настройки ОС Windows

Обновлено: 19.05.2024

Организациям требуются системы виртуализации, которые не только поддерживают различные типы приложений, но и упрощают ИТ-инфраструктуру.

Виртуализация приносит экономию средств и экономит время ИТ-специалистам, которые курируют роботов-роботов. Для эффективной реализации требуется облачная среда.

Администраторы часто сравнивают Xen и KVM как варианты с открытым исходным кодом. Основными факторами, которые следует учитывать при выборе основного гипервизора, являются организационные факторы.

Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.

Amazon ECS и EKS похожи, но их различий достаточно, чтобы выделить их для пользователей AWS. Узнайте, что лучше всего подходит для вашего .

Новые дополнения к системам хранения, такие как гибкие блочные тома и высокая доступность для ZFS, делают облачную платформу Oracle более конкурентоспособной.

Хороший дизайн базы данных необходим для удовлетворения потребностей обработки в системах SQL Server. На вебинаре консультант Коэн Вербек предложил .

Базы данных SQL Server можно переместить в облако Azure несколькими способами. Вот что вы получите от каждого из вариантов .

В отрывке из этой книги вы познакомитесь с методами LEFT OUTER JOIN и RIGHT OUTER JOIN и найдете различные примеры создания SQL.

ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .

Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .

Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.

Перенаправление папок может поддерживать среду виртуального рабочего стола с перемещаемыми профилями, предоставляя пользователям единообразие при .

Люди, использующие виртуальный рабочий стол VMware на смартфонах и планшетах Samsung, могут получить доступ к Windows как на устройстве, так и на .

Организациям с виртуальными рабочими столами следует планировать свою стратегию управления профилями, и одним из ключевых компонентов является профиль .

от Джейсона Коггинса Обновлено — 08.06.2021 Аудит


Во-первых, что такое групповая политика? Групповая политика — это функция Windows, которая упрощает широкий спектр расширенных настроек, которые сетевые администраторы могут использовать для управления рабочей средой пользователей и учетных записей компьютеров в Active Directory. По сути, это централизованное место, где администраторы могут управлять операционными системами, приложениями и пользовательскими настройками и настраивать их.

При правильном использовании групповые политики могут повысить безопасность компьютеров пользователей и помочь защититься как от внутренних угроз, так и от внешних атак.

В этом блоге мы подробно объясним, что такое групповые политики и объекты групповой политики, и как системные администраторы могут использовать их для предотвращения утечки данных.

Что такое объект групповой политики (GPO)?

Объект групповой политики (GPO) — это группа параметров, созданных с помощью редактора групповой политики консоли управления Microsoft (MMC). Объекты групповой политики могут быть связаны с одним или несколькими контейнерами Active Directory, включая сайты, домены или организационные единицы (OU). MMC позволяет пользователям создавать объекты групповой политики, которые определяют политики на основе реестра, параметры безопасности, установку программного обеспечения и многое другое.

Active Directory применяет объекты групповой политики в том же логическом порядке; локальные политики, политики сайта, политики домена и политики OU.

Примечание. Объекты групповой политики, расположенные во вложенных организационных единицах, сначала работают из ближайшей к корневой организационной единице, а оттуда — наружу.

Что такое объект групповой политики

Примеры объектов групповой политики

Объекты групповой политики можно использовать несколькими способами, повышающими безопасность, многие из которых будут упомянуты в этой статье. Ниже приведены еще несколько конкретных примеров:

  • Объект групповой политики можно использовать для определения домашней страницы, которую видит пользователь при запуске интернет-браузера после входа в домен.
  • Администраторы могут использовать объекты групповой политики, чтобы указать, какие сетевые принтеры должны отображаться в списке доступных принтеров после того, как пользователь из определенного подразделения Active Directory войдет в домен.
  • Администраторы также могут использовать объекты групповой политики для настройки ряда протоколов и методов безопасности, таких как ограничение параметров подключения к Интернету, программ и даже времени использования экрана.

Как обрабатываются объекты групповой политики?

Порядок, в котором обрабатываются объекты групповой политики, влияет на то, какие параметры применяются к компьютеру и пользователю. Порядок обработки объектов групповой политики известен как LSDOU, что означает локальный, сайт, домен, организационная единица.Политика локального компьютера обрабатывается в первую очередь, за ней следуют политики AD на уровне сайта и домена, а затем в подразделениях организации. Если в LSDOU есть конфликтующие политики, последняя примененная политика имеет преимущество.

Следует ли вам использовать групповую политику?

Короткий ответ — да. Если вы хотите, чтобы ваши данные и ваша основная ИТ-инфраструктура были настроены безопасным образом, вам, вероятно, необходимо понять, как правильно использовать групповую политику.

Вы можете удивиться, узнав, что стандартная версия Windows не совсем безопасна. В безопасности существует множество пробелов, большинство из которых можно устранить с помощью объектов групповой политики. Не закрывая эти бреши, вы подвергаете себя множеству угроз безопасности.

Например, объекты групповой политики могут помочь вам внедрить политику наименьших привилегий, при которой ваши пользователи имеют только те разрешения, которые им необходимы для выполнения своей работы. Они могут сделать это, отключив права локального администратора глобально в вашей сети и предоставив права администратора отдельным лицам или группам в зависимости от их ролей.

Групповые политики можно использовать различными способами для повышения безопасности, включая отключение устаревших протоколов, запрет пользователям вносить определенные изменения и многое другое. Давайте рассмотрим некоторые преимущества групповой политики.

Преимущества групповой политики для безопасности данных

Преимущества групповой политики не ограничиваются только безопасностью, есть ряд других преимуществ, о которых стоит упомянуть.

  • Политика в отношении паролей. Во многих организациях применяется смягченная политика в отношении паролей, и у многих пользователей часто устанавливается бессрочный пароль. Пароли, которые не меняются регулярно, слишком просты или используют общие парольные фразы, могут быть взломаны методом грубой силы. Объекты групповой политики можно использовать для определения длины пароля, сложности и других требований.
  • Управление системами. Объекты групповой политики можно использовать для упрощения задач, которые в лучшем случае являются рутинными, а в худшем — отнимают много времени. Вы можете сэкономить часы и часы времени, настраивая среду для новых пользователей и компьютеров, присоединяющихся к вашему домену, используя объекты групповой политики для применения стандартизированной универсальной среды.
  • Проверка работоспособности. Объекты групповой политики можно использовать для развертывания обновлений программного обеспечения и системных исправлений, чтобы убедиться, что ваша среда работоспособна и защищена от последних угроз безопасности.

Если вам это нравится, вам понравится это:

Ограничения групповой политики

Я бы солгал, если бы сказал вам, что объекты групповой политики — это волшебное средство для обеспечения безопасности ваших данных. Существует ряд ограничений, о которых необходимо знать, прежде чем приступить к их реализации.

Во-первых, редактор GPO — не самая удобная консоль, с которой вы, скорее всего, столкнетесь. Глубокое понимание PowerShell поможет упростить выполнение всех обновлений GPO.

Что касается обновлений GPO, то они выполняются случайным образом каждые 90–120 минут всякий раз, когда компьютер перезагружается. Вы можете указать частоту обновления от 0 минут до 45 дней. Однако если вы укажете 0 минут, то по умолчанию объекты групповой политики будут пытаться обновляться каждые 7 секунд, что, скорее всего, перегрузит вашу сеть трафиком.

Объекты групповой политики также не защищены от кибератак. Если злоумышленник захочет изменить локальные объекты групповой политики на компьютере, чтобы перемещаться в горизонтальном направлении по сети, будет очень сложно обнаружить это без решения для аудита и мониторинга групповой политики.

Как помогает Лепид

Решение Lepide для аудита групповой политики (часть Lepide Data Security Platform) поможет вам получить больше информации об изменениях, вносимых в ваши объекты групповой политики. Каждый раз, когда вносится критическое изменение, Lepide отправляет администратору оповещение в режиме реального времени и предоставляет возможность откатить нежелательные изменения до их предыдущего состояния; позволяя администраторам поддерживать политику наименьших привилегий и обеспечивать неизменность политик безопасности организации.

Lepide GPO Auditor

Хотите узнать, как Lepide может помочь вам отслеживать изменения, вносимые в объекты групповой политики, и автоматически отключать украденную учетную запись, чтобы остановить атаку? Закажите демонстрацию с одним из инженеров или загрузите 15-дневную бесплатную пробную версию, чтобы увидеть принцип в действии.

Управление групповыми политиками

Групповая политика (GP) – это функция управления Windows, позволяющая контролировать конфигурации нескольких пользователей и компьютеров в среде Active Directory.

С помощью GP все организационные подразделения, сайты или домены можно настроить из единого центрального места.

Эта функция помогает сетевым администраторам в больших средах Windows экономить время, поскольку им не нужно проверять каждый компьютер для установки новой конфигурации.


Несмотря на то, что существуют другие способы управления активами Windows, такие как Desired State Configuration (DSC), System Center Configuration Manager (SCCM) и Mobile Device Management (MDM), ни один из них не позволяет осуществлять точечный контроль, который предоставляет GP.

Что такое консоль управления групповыми политиками?

Набор параметров групповой политики (GP), называемый объектом групповой политики (GPO), определяет, как должна вести себя группа пользователей или компьютеров.

Объекты групповой политики связаны с контейнерами AD, включая локальный компьютер, сайт, домен и организационную единицу (OU).

Групповыми политиками в пределах всего леса AD можно управлять с помощью консоли управления групповыми политиками (GPMC) — встроенного в Windows Server 2008 (и более поздних версий) инструмента администрирования.

GPMC работает через оснастку консоли управления Microsoft (MMC).

Он объединяет функциональные возможности многих инструментов (встраиваемых модулей) в один, включая пользователей и компьютеры AD, результирующий набор политик, редактор ACL и мастер делегирования GMPC.

В целом, GPMC предоставляет интерфейс для централизованного просмотра, управления и устранения неполадок с GP.

Но вы также можете точно контролировать создание объектов групповой политики, которые определяют политики, параметры безопасности, обновления программного обеспечения, установки, параметры обслуживания, сценарии, перенаправления папок и многое другое.

Кроме того, вы также можете создавать резервные копии, восстанавливать и импортировать объекты групповой политики.

< бр />

Чтобы открыть GPMC, перейдите в Диспетчер серверов Windows > Откройте «Меню инструментов» > «Управление групповыми политиками»

Как установить консоль управления групповыми политиками?

Как упоминалось ранее, GMPC встроен в Windows Server (начиная с 2008 года), поэтому его установка – очень простой процесс.

В этом руководстве мы установим консоль управления групповыми политиками на Windows Server 2012 R2.

  1. Откройте диспетчер серверов. По умолчанию приложение диспетчера серверов закреплено на панели задач. Но если вы не можете найти его там, вы можете зажать комбинацию клавиш Win + R, чтобы открыть окно «Выполнить». Затем введите «Диспетчер серверов» и нажмите «ОК».
  2. На панели управления диспетчера серверов нажмите "Добавить роли и функции".
  3. Откроется мастер добавления компонентов и ролей.
    Оставьте для параметра «Тип установки» значения по умолчанию: «Установка на основе ролей или компонентов».
  4. Выберите сервер из пула серверов.
    Найдите сервер под управлением Windows, на котором вы хотите установить консоль управления групповыми политиками. Нажмите кнопку "Далее."
  5. Пропустить роли сервера и перейти к разделу «Функции». В разделе «Возможности» вы должны найти инструмент «Управление групповыми политиками». Поставьте галочку, нажмите "Далее" и нажмите "Установить".
  6. Процесс установки займет несколько минут.

    7. Как использовать консоль управления групповыми политиками?

    < бр />

    Чтобы открыть GPMC, снова перейдите в Инструменты администратора (Win + R и введите "Инструменты администратора"), найдите и дважды щелкните Консоль управления групповыми политиками.

    Как упоминалось ранее, консоль управления групповыми политиками позволяет управлять всем лесом AD, включая его сайты, домены и организационные подразделения.

    < бр />

    • Чтобы просмотреть список всех объектов групповой политики, настроенных в домене, перейдите на левую панель консоли управления групповыми политиками.
    • В разделе "Лес": выберите "Домен" > и перейдите к "Объекты групповой политики".
    • Здесь вы увидите два типа объектов групповой политики по умолчанию: политика домена по умолчанию и политика контроллеров домена по умолчанию. Один связан с доменом, а другой с контроллером домена.

    В этой структуре, включая контроллеры домена и политики доменов, вы можете увидеть статус их объектов групповой политики, связанных объектов групповой политики, наследования групповых политик и их делегирования.

    Как создать новый объект групповой политики (GPO)?

    Рекомендуется избегать изменения политики домена по умолчанию и политики контроллеров домена по умолчанию, так как вы всегда можете вернуть GPO к исходной конфигурации.

    Есть несколько вещей, которые необходимо учитывать при создании нового объекта групповой политики.

    1. Дайте вашему новому объекту групповой политики имя (вы можете использовать имя другого объекта групповой политики в качестве источника).
    2. Определите, куда связать новый объект групповой политики, будь то подразделение, домен или сайт.

    Чтобы создать новый объект групповой политики:

    < бр />

    • Щелкните правой кнопкой мыши подразделение и выберите параметр «Создать объект групповой политики в этом домене и связать его здесь…»
    • Укажите имя нового объекта групповой политики и нажмите «ОК».
    • Когда вы сохраните его, ваш новый объект групповой политики будет немедленно включен и связан с указанным подразделением.

    Второй способ создать новый объект групповой политики — щелкнуть правой кнопкой мыши контейнер объекта групповой политики и выбрать «Создать». Ваш новый объект групповой политики создан, но не связан!

    < бр />

    При использовании второго метода вам придется вручную связать новый объект групповой политики с доменом, сайтом или подразделением. Щелкните правой кнопкой мыши место, которое вы хотите связать, и выберите «Связать существующий объект групповой политики».

    После того как вы создадите новый объект групповой политики, он будет немедленно связан, включен и сохранен в реестре объектов групповой политики.

    Как изменить объект групповой политики?

    После создания нового объекта групповой политики для любого домена, сайта или организационной единицы он будет автоматически создан со значениями конфигурации по умолчанию. Эти значения не имеют никакой конфигурации, поэтому вам нужно будет открыть объект групповой политики и отредактировать его конфигурацию «по умолчанию».

    < бр />

    Чтобы изменить объект групповой политики, перейдите в список объектов групповой политики и найдите объект групповой политики, который вы хотите изменить, щелкните его правой кнопкой мыши и выберите «Изменить».

    Управление групповыми политиками автоматически откроется в редакторе в новом окне.

    Редактор управления групповыми политиками также является важным инструментом администрирования Windows, который позволяет пользователям изменять политики конфигурации на компьютерах и пользователях.

    Структура редактора разделена на два типа конфигурации GPO: «Пользователь» и «Компьютер».

    < бр />

    Конфигурация пользователя задается при входе пользователя в систему, тогда как конфигурация компьютера применяется к ОС Windows при ее запуске.

    Конфигурация GPO: политики и настройки

    Структура редактора GPM далее делится на политики и настройки, независимо от того, находитесь ли вы в конфигурации пользователя или компьютера.

    В чем их отличия?

    • Политики:
      Начато с Windows Server 2000. Политики были первоначальным методом глобальной настройки параметров. Когда политика применяется к компьютеру или пользователю, конфигурации могут быть изменены или удалены, но они вернутся к своим значениям, определенным в групповой политике. Эти параметры имеют более высокий приоритет, чем параметры конфигурации приложения, и иногда они даже «неактивны». В политиках вы найдете параметры программного обеспечения (применение конфигурации программного обеспечения к компьютерам/пользователям), параметры Windows (для параметров безопасности или учета Windows) и административные шаблоны (управление ОС и пользователем).

    Политики проверяются и применяются каждые 90 минут с помощью процесса, который называется "Фоновое обновление"

    • Настройки:
      Этот параметр был включен в Windows 2008 с целью замены пользовательских сценариев входа, которые использовались для добавления функциональности. Эти параметры можно применять только при желании, и они не «регулируются» фоновым обновлением (как это делают политики). Предпочтения устанавливаются только при запуске компьютера или при первом входе пользователя в систему, но предоставляют пользователю больше возможностей для их изменения и удаления.

    В настройках вы можете настроить параметры Windows и параметры панели управления. Предпочтения можно настраивать только в объектах групповой политики домена, тогда как политики можно устанавливать как для доменных, так и для локальных объектов групповой политики.

    Приоритет и наследование объектов групповой политики

    Как упоминалось ранее, когда вы создаете новый объект групповой политики, вам также необходимо связать его где-то, например с доменом, сайтом или подразделением.

    Но вы также можете иметь несколько объектов групповой политики, связанных с разными доменами, сайтами или подразделениями. Но для этого вам необходимо установить приоритеты.

    Приоритет GPO позволяет настраивать объекты GPO с разными уровнями приоритета.

    По умолчанию GPO с наибольшим приоритетом связаны с OU. Меньший приоритет отдается тем, которые связаны с доменом, а затем с сайтом.

    Наименьший приоритет отдается локальным групповым политикам. Это означает, что объекты групповой политики, связанные с OU на самом высоком уровне AD, будут обрабатываться в первую очередь.

    Если имеется один связанный объект групповой политики, вы должны увидеть его на этой вкладке. Если их больше, вы увидите все объекты групповой политики с соответствующим номером заказа ссылки.

    Самый высокий номер ссылки, который имеет объект групповой политики, имеет наименьший приоритет.

    Например, объект групповой политики с порядком связывания № 1 всегда будет иметь приоритет над объектом групповой политики с порядком связывания № 2.

    Чтобы настроить приоритет объекта групповой политики, вы можете изменить номер порядка ссылок, переместив объект групповой политики вверх или вниз.

    По умолчанию все параметры групповой политики, связанные с родительским объектом (т. е. сайтом, доменом или подразделением), наследуются дочерними объектами (доменами, подразделениями или дочерними подразделениями) в иерархии AD.

    Все унаследованные объекты групповой политики можно просмотреть на вкладке "Наследование групповой политики".

    Заключительные слова

    При настройке групповых политик обязательна консоль управления групповыми политиками Microsoft (GPMC)!

    Хотя другие сторонние инструменты управления групповыми политиками также могут помочь вам контролировать групповые политики, обладая исключительными возможностями, ничто не сравнится с GPMC.

    Консоль управления групповыми политиками — это готовый инструмент Windows Server.

    Его легко установить и использовать. GPMC предназначен не только для создания и редактирования объектов групповой политики; вы можете иметь исключительный точный контроль и даже автоматизировать вещи.

    Например, если вам нужна автоматизация, оставаясь в среде Windows, GPMC также включает модуль PowerShell.

    Этот модуль поможет вам автоматизировать задачи управления групповыми политиками.

    от Дэнни Мерфи Обновлено — 10 июля 2021 г. Безопасность данных

    Важные параметры групповой политики


    Есть несколько простых параметров групповой политики, которые при правильной настройке могут помочь предотвратить утечку данных. Вы можете сделать сеть своей организации более безопасной, настроив безопасность и рабочее поведение компьютеров с помощью групповой политики (группы параметров в реестре компьютеров). С помощью групповой политики вы можете запретить пользователям доступ к определенным ресурсам, запуск сценариев и выполнение простых задач, таких как принудительное открытие определенной домашней страницы для каждого пользователя в сети.

    Важные настройки групповой политики для предотвращения нарушений

    Вот список 10 основных параметров групповой политики:

    1. Модерация доступа к панели управления
    2. Запретить Windows сохранять хэш LAN Manager
    3. Управление доступом к командной строке
    4. Отключить принудительную перезагрузку системы
    5. Запретить съемные носители, DVD-диски, компакт-диски и дисководы гибких дисков
    6. Ограничение установки программного обеспечения
    7. Отключить гостевой аккаунт
    8. Установите для минимальной длины пароля более высокие пределы
    9. Установите нижний предел максимального срока действия пароля
    10. Отключить анонимное перечисление SID

    В этой статье вы узнаете, почему эти параметры групповой политики просто нельзя игнорировать.

    1. Модерация доступа к панели управления

    Установка ограничений на панели управления компьютеров создает более безопасную бизнес-среду. Через панель управления вы можете контролировать все аспекты вашего компьютера. Таким образом, модерируя, кто имеет доступ к компьютеру, вы можете сохранить данные и другие ресурсы в безопасности. Выполните следующие шаги:

    1. В редакторе управления групповыми политиками (открывается для созданного пользователем объекта групповой политики) перейдите к разделу «Конфигурация пользователя», «Административные шаблоны», «Панель управления».
    2. На правой панели дважды щелкните политику «Запретить доступ к панели управления и параметрам ПК», чтобы открыть ее свойства.
    3. Выберите «Включено» из трех вариантов.
    4. Нажмите «Применить» и «ОК».


    Рисунок 1. Настройка параметров панели управления с помощью GPO

    2. Запретить Windows сохранять хэш LAN Manager

    Windows создает и хранит пароли учетных записей пользователей в виде «хэшей». Windows генерирует как хэш LAN Manager (LM-хэш), так и хэш Windows NT (NT-хэш) паролей. Он сохраняет их в локальной базе данных Security Accounts Manager (SAM) или в Active Directory.

    Хэш LM слаб и подвержен взлому. Поэтому вам следует запретить Windows сохранять LM-хэши ваших паролей. Для этого выполните следующие действия:

    1. В окне редактора управления групповыми политиками (открытом для пользовательского объекта групповой политики) перейдите в раздел «Конфигурация компьютера», «Параметры Windows», «Параметры безопасности», «Локальные политики», «Параметры безопасности».
    2. На правой панели дважды щелкните политику "Сетевая безопасность: не сохранять хэш-значение LAN Manager при следующей смене пароля".
    3. Установите флажок "Определить этот параметр политики" и нажмите "Включено".
    4. Нажмите «Применить» и «ОК».


    Рисунок 2. Настройка политики, чтобы не сохранять политику хэш-значений LAN Manager

    3. Управление доступом к командной строке

    Командные строки можно использовать для запуска команд, которые предоставляют пользователям доступ высокого уровня и обходят другие ограничения в системе. Поэтому для обеспечения безопасности системных ресурсов разумно отключить командную строку.

    После того как вы отключили командную строку и кто-то попытается открыть командное окно, система отобразит сообщение о том, что некоторые настройки препятствуют этому действию. Выполните следующие шаги:

    1. В окне редактора управления групповыми политиками (открытом для пользовательского объекта групповой политики) перейдите в раздел «Конфигурация пользователя», «Параметры Windows», «Политики», «Административные шаблоны», «Система».
    2. На правой панели дважды щелкните политику "Запретить доступ к командной строке".
    3. Нажмите «Включено», чтобы применить политику.
    4. Нажмите «Применить» и «ОК».


    Рисунок 3. Запрет доступа к окну командной строки

    4. Отключить принудительную перезагрузку системы

    Принудительный перезапуск системы является обычным явлением. Например, вы можете столкнуться с ситуацией, когда вы работали на своем компьютере, а Windows отображает сообщение о том, что ваша система нуждается в перезагрузке из-за обновления безопасности.

    Во многих случаях, если вы не заметите сообщение или не отреагируете на него, компьютер автоматически перезагрузится, и вы потеряете важные несохраненные данные. Чтобы отключить принудительный перезапуск через GPO, выполните следующие действия:

    1. В окне «Редактор управления групповыми политиками» (открытом для пользовательского объекта групповой политики) перейдите в раздел «Конфигурация компьютера», «Административные шаблоны», «Компонент Windows», «Центр обновления Windows».
    2. На правой панели дважды щелкните политику "Отсутствие автоматического перезапуска с вошедшими в систему пользователями для запланированной автоматической установки обновлений".
    3. Нажмите «Включено», чтобы включить политику.
    4. Нажмите «Применить» и «ОК».


    Рисунок 4. Нет автоматического перезапуска системы для зарегистрированных пользователей

    5. Запретить съемные носители, DVD, компакт-диски и дисководы гибких дисков

    Съемные носители очень подвержены заражению, а также могут содержать вирус или вредоносное ПО. Если пользователь подключает зараженный диск к сетевому компьютеру, это может повлиять на всю сеть. Точно так же DVD, компакт-диски и дисководы гибких дисков подвержены заражению.

    Поэтому лучше полностью отключить все эти диски. Для этого выполните следующие действия:

    1. В окне редактора управления групповыми политиками (открытом для пользовательского объекта групповой политики) перейдите в раздел «Конфигурация пользователя», «Политики», «Административные шаблоны», «Система», «Доступ к съемным носителям».
    2. На правой панели дважды щелкните политику "Все классы съемных носителей: запретить любой доступ".
    3. Нажмите «Включено», чтобы включить политику.
    4. Нажмите «Применить» и «ОК».


    Рисунок 5. Запрет доступа ко всем классам съемных носителей

    6. Ограничить установку программного обеспечения

    Когда вы предоставляете пользователям свободу установки программного обеспечения, они могут устанавливать нежелательные приложения, которые ставят под угрозу вашу систему. Системным администраторам обычно приходится регулярно проводить обслуживание и очистку таких систем. На всякий случай рекомендуется запретить установку программного обеспечения с помощью групповой политики:

    1. В редакторе управления групповыми политиками (открытом для пользовательского объекта групповой политики) перейдите в раздел «Конфигурация компьютера», «Административные шаблоны», «Компонент Windows», «Установщик Windows».
    2. На правой панели дважды щелкните политику «Запретить установку пользователям».
    3. Нажмите «Включено», чтобы включить политику.
    4. Нажмите «Применить» и «ОК».


    Рисунок 6. Ограничение установки программного обеспечения

    7. Отключить гостевой аккаунт

    Через гостевую учетную запись пользователи могут получить доступ к конфиденциальным данным. Такие учетные записи предоставляют доступ к компьютеру Windows и не требуют пароля. Включение этой учетной записи означает, что любой может злоупотреблять доступом к вашим системам.

    К счастью, эти аккаунты отключены по умолчанию. Лучше всего убедиться, что это так в вашей ИТ-среде, поскольку, если эта учетная запись включена в вашем домене, ее отключение предотвратит злоупотребление доступом:

    1. В редакторе управления групповыми политиками (открывается для пользовательского объекта групповой политики) перейдите в раздел «Конфигурация компьютера», «Параметры Windows», «Параметры безопасности», «Локальные политики», «Параметры безопасности».
    2. На правой панели дважды щелкните политику «Учетные записи: статус гостевой учетной записи».
    3. Установите флажок "Определить этот параметр политики" и нажмите "Отключено".
    4. Нажмите «Применить» и «ОК».


    Рисунок 7. Отключение гостевой учетной записи

    8. Установите более высокие пределы минимальной длины пароля

    Установите для минимальной длины пароля более высокие пределы. Например, для учетных записей с повышенными правами пароль должен быть не менее 15 символов, а для обычных учетных записей — не менее 12 символов.Установка меньшего значения минимальной длины пароля создает ненужный риск. По умолчанию установлено «ноль» символов, поэтому вам нужно будет указать число:

    1. В окне редактора управления групповыми политиками (открытом для пользовательского объекта групповой политики) перейдите в раздел «Конфигурация компьютера», «Параметры Windows», «Параметры безопасности», «Политики учетных записей», «Политика паролей».
    2. На правой панели дважды щелкните политику "Минимальная длина пароля" и установите флажок "Определить этот параметр политики".
    3. Укажите значение длины пароля.
    4. Нажмите «Применить» и «ОК».

    9. Установите нижний предел максимального срока действия пароля

    Если вы установите срок действия пароля на длительный период времени, пользователям не придется менять его очень часто, а это означает, что вероятность того, что пароль будет украден, выше. Всегда предпочтительны более короткие сроки действия пароля.

    Максимальный срок действия пароля по умолчанию в Windows составляет 42 дня. На следующем снимке экрана показан параметр политики, используемый для настройки «Максимальный срок действия пароля». Выполните следующие шаги:

    1. В окне редактора управления групповыми политиками (открытом для пользовательского объекта групповой политики) перейдите в раздел «Конфигурация компьютера», «Параметры Windows», «Параметры безопасности», «Политики учетных записей», «Политика паролей».
    2. На правой панели дважды щелкните политику "Максимальный срок действия пароля".
    3. Установите флажок "Определить этот параметр политики" и укажите значение.
    4. Нажмите «Применить» и «ОК».


    Рисунок 9. Настройка параметра политики максимального срока действия пароля

    10. Отключить анонимное перечисление SID

    Active Directory присваивает уникальный номер всем объектам безопасности в Active Directory; включая пользователей, группы и другие, называемые номерами идентификаторов безопасности (SID). В старых версиях Windows пользователи могли запрашивать идентификаторы SID, чтобы идентифицировать важных пользователей и группы. Это положение может быть использовано хакерами для получения несанкционированного доступа к данным. По умолчанию этот параметр отключен, убедитесь, что он остается таким. Выполните следующие шаги:

    1. В окне редактора управления групповыми политиками выберите «Конфигурация компьютера», «Политики», «Параметры Windows», «Параметры безопасности», «Локальные политики», «Параметры безопасности».
    2. На правой панели дважды щелкните параметр политики "Доступ к сети: запретить анонимное перечисление учетных записей и общих ресурсов SAM".
    3. Выберите «Включено», а затем нажмите «Применить» и «ОК», чтобы сохранить настройки.

    Если вы правильно настроите эти параметры групповой политики, безопасность вашей организации автоматически повысится. Обязательно примените измененный объект групповой политики ко всем и обновите групповые политики, чтобы отразить их на всех контроллерах домена в вашей среде.

    Как контролировать изменения групповой политики

    Если вы хотите сохранить полный контроль над своей ИТ-инфраструктурой, убедитесь, что в эти и другие групповые политики не внесены нежелательные изменения. Это можно сделать, выполняя непрерывный аудит объектов групповой политики.

    Однако использование собственного аудита может быть затруднено из-за большого количества создаваемого шума и отсутствия готовых отчетов. Чтобы постоянно отслеживать изменения, внесенные в объекты групповой политики, попробуйте Lepide Group Policy Auditor. Наше решение позволяет отслеживать каждое изменение, внесенное в групповые политики, в режиме реального времени. Начните 15-дневную бесплатную пробную версию сегодня.

    Читайте также: