Локальные политики безопасности windows 7. Сброс локальных групповых политик в Windows

В предыдущих моих статьях о групповых политиках было рассказано о принципах работы оснастки . Рассматривались некоторые узлы текущей оснастки, а также функционал множественной групповой политики. Начиная с этой статьи, вы сможете узнать об управлении параметрами безопасности на локальном компьютере, а также в доменной среде. В наше время обеспечение безопасности является неотъемлемой частью работы как для системных администраторов в крупных и даже мелких предприятиях, так и для домашних пользователей, перед которыми стоит задача настройки компьютера. Неопытные администраторы и домашние пользователи могут посчитать, что после установки антивируса и брандмауэра их операционные системы надежно защищены, но это не совсем так. Конечно, эти компьютеры будут защищены от множества атак, но что же спасет их от человеческого фактора? Сейчас возможности операционных систем по обеспечению безопасности очень велики. Существуют тысячи параметров безопасности, которые обеспечивают работу служб, сетевую безопасность, ограничение доступа к определенным ключам и параметрам системного реестра, управление агентами восстановления данных шифрования дисков BitLocker, управление доступом к приложениям и многое, многое другое.

В связи с большим числом параметров безопасности операционных систем Windows Server 2008 R2 и Windows 7 , невозможно настроить все компьютеры, используя один и тот же набор параметров. В статье "Настройки групповых политик контроля учетных записей в Windows 7" были рассмотрены методы тонкой настройки контроля учетных записей операционных систем Windows, и это только малая часть того, что вы можете сделать при помощи политик безопасности. В цикле статей по локальным политикам безопасности я постараюсь рассмотреть как можно больше механизмов обеспечения безопасности с примерами, которые могут вам помочь в дальнейшей работе.

Конфигурирование политик безопасности

Политика безопасности - это набор параметров, которые регулируют безопасность компьютера и управляются с помощью локального объекта GPO. Настраивать данные политики можно при помощи оснастки "Редактор локальной групповой политики" или оснастки . Оснастка "Локальная политика безопасности" используется для изменения политики учетных записей и локальной политики на локальном компьютере, а политики учетных записей, привязанных к домену Active Directory можно настраивать при помощи оснастки "Редактор управления групповыми политиками" . Перейти к локальным политикам безопасности, вы можете следующими способами.

Я загорелся такой идеей обеспечения безопасности и решил попробовать сделать у себя так же.

Поскольку у меня стоит Windows 7 Professional, первой идеей оказалось использование AppLocker"a, однако быстро выяснилось, что работать в моей редакции винды он не хочет, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с AppLocker"ом отпал.

Следующей попыткой стала настройка групповых политик ограниченного использования программ. Поскольку AppLocker является «прокачанной» версией данного механизма, логично попробовать именно политики, тем более они бесплатны для пользователей Windows:)

Заходим в настройки:
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ

В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача - не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
Если разрешить запуск файлов по маске *.lnk - мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.

В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.

И тут я нечаянно натолкнулся на настройки списка расширений, являщихся исполняемыми с точки зрения винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры - можно, так что все ок.

В результате мы получили реализацию идеи, описанной в статье «Windows-компьютер без антивирусов» без каких либо неудобств для пользователя.

Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).

Надеюсь описанный метод окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не видел.

Редактор локальной групповой политики (gpedit.msc) - это удобная и действительно мощная утилита, посредством которой можно детально настроить Windows. В версиях «Домашняя базовая» и «Домашняя расширенная» она, к сожалению, отсутствует. Но Microsoft не удалила этот инструмент, а только «спрятала» его в папках windows\winsxs и windows\SysWOW64.

С помощью нашего решения процесс станет гораздо проще и надежнее. Вы запускаете бесплатную программу для установки и ждете завершения ее работы. Впрочем, необходимо признать, что и у нашего удобного метода есть небольшой недостаток: Windows отображает команды в меню редактора на русском языке, а сами настройки, равно как и их описания, перечислены на английском. Если для вас это не проблема, ничто больше не помешает вам насладиться работой с многоцелевым инструментом для настройки.

Как это сделать:

1. Скачиваем редактор

Откройте страницу drudger.deviantart.com/art/Add-GPEDIT-msc-215792914 . Нажмите на небольшую кнопку «Download», чтобы скачать файл ZIP. Внимание! Большие кнопки - это рекламные ссылки .

2. Распаковываем и устанавливаем

Откройте вашу папку с загрузками и распакуйте скачанный вами архив ZIP. Теперь двойным кликом запустите находящийся в нем файл Setup.exe и подождите, пока работа завершится. Затем закройте программу для установки нажатием кнопки «Finish».

3. Копируем 64-разрядные файлы

Если вы работаете в 64-разрядной версии Windows, то откройте в Проводнике папку Windows\SysWOW64. Скопируйте оттуда каталоги GroupPolicy и GroupPolicyUsers, а также файл gpedit.msc в папку Windows\System32.

4. Запускаем редактор

Нажмите комбинацию клавиш «Win+R» и введите «gpedit.msc». В окне сообщения контроля учетных записей нажмите на пункт «Да». После этого должен открыться редактор локальной групповой политики.

5. Редактируем командный файл

Если после запуска редактора вы получили сообщение «Консоль управления (ММС) не может создать оснастку », повторите действия этапа 2, но в этот раз не нажимайте «Finish». Вместо этого откройте папку Windows\Temp\gpedit и правой кнопкой мыши щелкните по файлу x86.bat (32-битная Windows) либо по x64.bat (64-битная Windows). В контекстном меню выберите пункт «Изменить».

6. Исправляем ошибку оснастки

В верхней трети программного кода вы увидите шесть записей, содержащих элемент «%username%:f». Дополните его кавычками по следующему образцу: ««%username%»:f» и сохраните файл. Теперь правой кнопкой мыши щелкните по сохраненному командному файлу и выберите «Запуск от имени администратора». Если сейчас запустить редактор локальной групповой политики, как описано на этапе 4, ошибка оснастки должна исчезнуть.

7. Работаем с групповой политикой

Всего в редакторе групповой политики вам предлагается около 3000 настроек, которые действительно легко применить. Пример: если вы хотите, чтобы ваш антивирус автоматически проверял каждое вложение, выберите в редакторе «User Configuration | Administrative Templates | Windows Components | Attachment Manager». В правой половине окна вы увидите несколько записей. Дважды щелкните по «Notify antivirus programs when opening attachments». В появившемся окне выберите «Enabled» и затем нажмите на «ОК».

8. Скрываем устаревшие настройки

Если редактор локальной групповой политики кажется вам слишком запутанным, скройте все настройки, которые точно не касаются вашей системы. Для этого пройдите в меню к «Вид | Filtering» и поставьте флажок перед опцией «Filter by Requirements Information». В любом случае снимите флажки перед всеми записями, относящимися к Windows 2000. Настройки для XP работают и в Windows 7, поэтому не трогайте их. После выбора нажмите на «ОК». Вы сразу же увидите только нужные опции.

Фото: компании-производители

Редактор групповых политик - это майкрософтовская панель управления различными параметрами системы путем редактирования групповых политик - ранее заданных настроек. Как известно, различные настройки системы хранятся в . Можно сказать, что редактор групповых политик (исполняемый файл gpedit.msc) - это утилита для редактирования определенных значений реестра.

Однако, Microsoft обделила начальные версии своей ОС Windows 7 Home Premium, Home Basic, Starter редактором политик, поэтому при необходимости его установки на данные версии "семерки" придется использовать патч. Скачайте (зеркало на Я.Диск), и установщик.

При установке все стандартно: сначала нажимаем Next, затем Install, и напоследок Finish.

Если у вас установлена 32-разрядная система Windows 7, на этом установка патча, вероятно, будет закончена. Открываем горячими клавишами Win + R утилиту Выполнить , вводим gpedit.msc и если все хорошо, откроется редактор.

При использовании 64-разрядной операционной системы все не так гладко, как хотелось бы. На просторах интернета гуляют различные советы по настройке установленного редактора, однако и они не всегда могут помочь запустить gpedit.msc. Самая частая проблема при запуске это ошибка "Консоль управления MMC не может создать оснастку".

Microsoft на своем сайте поддержки пользователей предлагает сделать следующее:
Для решения этой проблемы необходимо добавить папку %SystemRoot%\System32\WBEM в переменную среды PATH . Чтобы сделать это, выполните следующие действия.

1. Щелкните правой кнопкой мыши по значку Мой компьютер и выберите команду Свойства .
2. На вкладке Дополнительно нажмите кнопку Переменные среды .
3. В списке Системные переменные дважды щелкните Переменная среды PATH .
4. Введите:
%SystemRoot%\System32;%SystemRoot%;%SystemRoot%\system32\WBEM
Примечание . Другие системные переменные для PATH удалять не нужно.
5. Нажмите кнопку ОК .

Другой вариант исправления ошибки.
Из папки C:\windows\SysWOW64 нужно скопировать:
- файл gpedit.msc
- папки GroupPolicy и GroupPolicyUsers
в папку C:\Windows\System32 . Перезагрузите компьютер.

Еще один способ: запустить установщик патча setup.exe, но не нажимать на кнопку Finish при установке. Вместо этого нужно открыть папку C:\Windows\Temp\gpedit\ и открыть текстовым редактором файл x64.bat (или x86.bat для 32-разрядных ОС). В файле нужно заменить шесть фрагментов %username%:f на "%username%":f - другими словами, добавить кавычки. Затем сохраните измененный файл, и в той же папке кликните правой кнопкой мыши по файлу x64.bat или x86.bat и выберите Запуск от имени администратора . Закройте установщик и попробуйте запустить gpedit.msc.

Если редактор групповых политик успешно запустится, выглядеть он будет следующим образом:

Несмотря на английский язык интерфейса в нем все интуитивно понятно.

Редактор групповых политик (Gpedit.msc ) – это специальная mmc консоль, которая позволяет управлять различными параметрами системы путем редактирования предопределенных настроек – политик (на сайте существует целый раздел посвященный ). Если копнуть глубже, то по сути редактор gpedit.msc это просто интерфейс для управления параметрами реестра Windows, т.е. любое изменение политики ведет к изменению того или иного ключа в реестре Windows 7. Существует даже специальные таблицы соответствия между параметрами групповых политик и настройками в реестре. Называются они “Group Policy Settings Reference for Windows and Windows Server “ (http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=25250). Т.е. все те настройки, которые задаются с помощью графической консоли gpedit можно задать вручную, найдя в данной таблице нужный ключ реестра.

Однако консоль управления групповыми политиками доступна только в «старших» версиях ОС – редакции Windows 7 Ultimate, Professional и Enterprise. Если же набрать команду gpedit.msc в Windows 7 Home Premium, Home Basic или Starter, то появится ошибка о том, что команда не найдена. Т.е. редактора групповых политик в этих версиях нет.

Так можно ли установить редактор групповых политик gpedit в Windows 7 Home ? К счастью да (хотя и не тривиально)!

Чтобы установить gpedit.msc в Windows 7 Home нам понадобиться специальный патчик (неофициальный). Скачать его можно .

Распакуйте и запустите установочный файл с правами администратора. Установка осуществляется в режиме мастера и крайне проста.

Если вы используете 64 битную версию Windows Home или Starter, после установки патча необходимо дополнительно скопировать следующие объекты из каталога C:\windows\SysWOW64 в каталог C:\Windows\System32:

• папку GroupPolicy
• папку GroupPolicyUsers
• файл gpedit.msc

После установки обновления необходимо будет перезагрузить компьютер и попробовать выполнить команду gpedit.msc. Если все пройдет успешно, должна открыться искомая консоль редактора групповых политик.