Введение
Все мы любим заворожённо читать про очередное расследование инцидента, где шаг за шагом распутывается клубок: как проник злоумышленник, какие инструменты он использовал и когда, что за процессы создавались на скомпрометированном хосте, что происходило в сети и, конечно же, кто виноват и что делать.
На практике ответы на эти вопросы находятся не всегда. Зачастую при расследовании специалисты отделов ИБ сталкиваются с тем, что аудит не настроен, логи перезаписались, отсутствует единая система хранения и анализа журналов, «перезалит» заражённый хост (популярное решение всех проблем).
Ниже мы разберём один из самых важных этапов, который нужен для того, чтобы расследование не завершилось ещё в самом начале: сбор и хранение журналов аудита. Будут рассмотрены возможности расширенного аудита ОС Windows и его настройка.
Настройки политики
Каждая политика доступна для настройки. Открывается окно редактирования параметров по двойному щелчку на
определенную строку. Вид окон может отличаться, все зависит от выбранной политики.
Стандартное простое окно имеет три различных состояния, которые настраиваются пользователем. Если точка стоит
напротив «Не задано», то политика не
действует. «Включить» – она будет работать и активируются
настройки. «Отключить» – находится в рабочем состоянии, однако параметры не
применяются.
Рекомендуем обратить внимание на строку «Поддерживается» в окне, она показывает,
на какие версии Windows распространяется политика
Как на практике применить групповые политики в Windows 10
Здравствуйте, уважаемые читатели моего блога. В некоторых статьях я неоднократно использовал возможности системной утилиты gpedit, которая позволяет управлять запуском и установкой приложений, контролировать поведение пользователей, ограничивать некоторые возможности ОС
Сегодня я хотел бы подробно рассказать о такой важной вещи, как настройка групповых политик в Windows 10. Будет рассмотрено несколько полезных примеров, которые могут Вам пригодиться
Сразу же подчеркну, что подобный функционал доступен только в «Профессиональной» и «Корпоративной» версиях операционной системы Microsoft. Но есть способ установить утилиту и для «Домашней» (Home) версии. Если этого не делать, то вносить изменения в некоторые аспекты ОС придется через редактирование реестра, что менее безопасно и не так удобно, чем с помощью графического интерфейса.
Добавление утилиты для версий «Домашняя» и «Стартер»
Нам понадобится скачать вот этот архив с патчем:
Групповые политики для Windows Home Скачано: 1642, размер: 855 Кб, дата: 08.Авг.2016
Распаковываем в любую папку и запускаем установщик setup.exe с правами администратора.
Когда появится последнее окно с кнопкой «Закончить установку» (Finish), не спешите её нажимать. Если используете систему 64 bit, то следует зайти в каталог, где расположены системные файлы (Windows) и скопировать из временной папки Temp/gpedit следующие dll-файлы:
- gpedit
- appmgr
- fde
- gptext
- fdeploy
- gpedit.msc
- Вставляем их в директорию %WinDir%\System32
- Теперь заходим в каталог SysWOW64 и с него копируем папки:
- GroupPolicy
- GroupPolicyUsers
- GPBAK
- И один файл gpedit.msc
- Вставляем их System32 и перезапускаем ПК.
- После запуска пробуем войти в консоль «Выполнить» (Win + R) и вбиваем в поле ввода следующую команду:
В случае возникновения ошибки (если не удается войти) следует пройти по пути: Windows\ Temp\ gpedit и там в ручном режиме запустить файл, соответствующий разрядности Вашей ОС – xbat или x86.bat.
Вот и всё. Теперь Ваша «Домашняя» версия поддерживает возможность настройки групповых политик.
Примеры работы групповых политик на практике
О том, как запустить утилиту было сказано выше. Не буду повторяться. Когда откроется окно редактора локальной групповой политики, слева отобразится перечень элементов для конфигурации ПК и пользователя, а справа – более конкретные параметры, а также подробная информация о выбранном пункте.
Уверен, Вы хотите поскорее перейти от сухой теории к рассмотрению живых примеров.
Установка запрета на запуск приложений
- Переходим по следующему пути: «Конфигурация пользователя», затем «Административные шаблоны», выбираем подпапку «Система».
- Справа отобразится перечень возможностей.
- Допустим, мы не хотим запускать определенные приложения из соображений безопасности. Для этого открываем настройки пункта «Не запускать указанные приложения Windows».
- В открывшемся окне выделяем отметку «Включить», а после этого кликаем по кнопке «Показать» (которая откроет перечень запрещенных программ).
- Теперь осталось только прописать имена .exe файлов в данном списке, и сохранить изменения, нажав на «ОК».
- После попытки запуска указанного софта будет появляться следующая ошибка:
Чтобы отключить запрет, нужно просто удалить нужный файл из «черного списка».
Внесение изменений в UAC
Если Вам надоело всплывающее окно, которое появляется каждый раз, когда Вы пытаетесь запустить стороннее приложение, значит необходимо изменить некоторые параметры управления учетными записями. Для этого:
- Переходим к папке «Конфигурация ПК», затем – «Конфигурирование Windows». После этого открываем директорию «Параметры безопасности», переходим в «Локальные политики».
- Справа отобразится перечень настроек. Нас интересует следующая опция: «Запрос согласия для исполняемых файлов не из Windows».
- Чтобы полностью отказаться от появления уведомлений, выбираем из списка вариант «Повышение без запроса».
Это лишь парочка простейших примеров, которые могут помочь в решении некоторых проблем. Я рекомендую более подробно изучить работу данного системного клиента, чтобы научиться управлять большинством возможностей Windows 10.
C уважением, Виктор
Методика диагностики причин долгого применения GPO в Windows
Медленная загрузка компьютера, вызванная долгим применением групповых политик, является одной из частых проблем в домене, на которые жалуются пользователи. С точки зрения пользователя компьютер загружается очень долго, и как будто зависает на несколько минут на этапе «Применение параметров компьютера / пользователя». В этой статье я попробую собрать полезные диагностические инструменты и приемы, позволяющие администратору выявить причины медленного применения GPO на компьютерах домена.
На самом деле причин, из-за которых на компьютере долго применяются групповые политики может быть множество: это и проблемы с DNS, доступностью и скоростью подключения к DC, неправильной настройкой сайтов AD или проблемы с репликацией, неверно настроенные групповых политики и кривые скрипты и т.п. Проблематично описать универсальный алгоритм по диагностике всех этих проблем. При решении таких проблем, как правило, большую роль имеет опыт и навыки специалиста, производящего диагностику. В этой статье мы остановимся только на диагностики проблем, связанных с самими механизмами работы GPO и клиента GPClient.
Методы клонирования объекта групповой политики
Существует несколько методов, позволяющих вам произвести полное копирование GPO:
- Через оснастку управление групповыми политиками GPMC
- Это использование моего любимого сильного языка, PowerShell
Открываем оснастку «Управление групповой политикой (gpmc.msc)». Находим нужный объект GPO который вам необходимо скопировать. В моем примере, это будет «Управление UIPI».
Посмотрим на вкладке «Параметры», что делает данная политика. Я ее использовал для отключения User Interface Privilege Isolation.
Далее переходим в контейнер «Объекты групповой политики», который содержит все ваши объекты GPO присутствующие в данном домене Active Directory. Щелкаем правым кликом по нужному и из контекстного меню выбираем пункт «Копировать».
Вот вы нажали скопировать и ничего не произошло, на мой взгляд, что Microsoft сделала очень не очевидно, что нужно делать дальше, особенно если вы делаете, это впервые. Парадокс заключается в том, что скопировать объект GPO вы можете только в контейнере «Объекты групповой политики» и нигде более. Вот почему бы сразу сюда не вставлять? Чтобы вы могли теперь создать скопированный объект GPO, кликните правым кликом по данному контейнеру и из контекстного меню выберите «Вставить».
У вас появится дополнительное окно с выбором действий «Копирование объекта групповой политики»:
- Использовать разрешения по умолчанию для новых объектов групповой политики
- Сохранить существующие разрешения
Если хотите создать полный клон, то выбираем второй пункт, если хотите под шаманить список доступа к объекту, то выбираем первый вариант. Далее появится окно со статусом и прогрессом копирования, дожидаемся успешного окончания операции.
В итоге у вас появится новый объект GPO. у которого в начале названия будет слово «Копия»
Обратите внимание, что все разрешения я сохранил, это видно по списку в фильтре безопасности и примененному WMI фильтру. Так же стоит отметить, что у новой политики, будет новый GUID, можете проверить на вкладке «Сведения». Для вашего удобства советую вам переименовать новую политику, через клавишу F2 или контекстное меню
Для вашего удобства советую вам переименовать новую политику, через клавишу F2 или контекстное меню.
Теперь посмотрим на сколько удобнее, это сделать через PowerShell. Для начала откройте PowerShell от имени администратора. Первым делом я вам предлагаю посмотреть вашу текущую политику, для этого есть командлет Get-GPO и вот такая конструкция.
get-gpo -Name «Управление UIPI»
Убедившись, как называется объект GPO и удостоверившись, что он вообще есть мы приступаем к его копированию. Для этого воспользуемся командлетом Gopy-GPO (https://docs.microsoft.com/en-us/powershell/module/grouppolicy/copy-gpo?view=win10-ps)
Copy-GPO -SourceName «Управление UIPI» -TargetName «Copy_Управление UIPI» -CopyAcl
- SourceName — Имя копируемой политики
- TargetName — Имя новой политики
- -CopyAcl — Копирует все разрешения на политику GPO.
Теперь сделав просмотр новой политики, я вижу, что были скопированы права и WMI фильтры.
Так же вы можете проводить копирование между доменами. Между исходным доменом и доменом назначения должны существовать доверительные отношения.
Copy-GPO -SourceName «Gpo01» -SourceDomain «root.pyatilistnik.org» TargetName «Gpo01» -TargetDomain «sales.pyatilistnik.org»
Для переименовывания политики, через PowerShell можно применить командлет Rename-GPO.
Rename-GPO -Name «Copy_Управление UIPI» -TargetName «Update_Управление UIPI»
На этом у меня все и надеюсь, что вам было интересно и полезно получить новые знания. С вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org.
Планирование создания правил политики
Планируя применение политик ограниченного использования программ, всегда полезно и настоятельно рекомендуется предварительно провести их «обкатку» в тестовой среде. Ввиду сложности структуры на первоначальном этапе возможны ошибки, которые, конечно, лучше исправлять не на рабочей системе. В случае «срабатывания» правила политики в локальный журнал компьютера заносится событие. Код содержит тип правила, его вызвавшего (865 — уровень безопасности по умолчанию, 866 — правило для пути, 867 — правило для сертификата, 868 — правило для зоны Интернета или правило для хеша).
При создании политики, имеющей уровень безопасности Не разрешено, необходимо будет определить, какой код может быть разрешен для запуска пользователем. Как отмечалось выше, эта задача может быть достаточно трудоемкой. Для облегчения процесса инвентаризации программ можно задействовать их отслеживание с помощью расширенного ведения журнала. Этот способ достаточно прост и эффективен.
На тестовом компьютере активируется политика ограничения программ, и в качестве уровня безопасности устанавливается параметр Неограниченный. Все дополнительные правила из политики удаляются. Суть в том, что, несмотря на отсутствие ограничений, при активировании политики можно включить функцию расширенного ведения журнала, в который будет заноситься информация о запущенных программах. Выполнив на тестовом компьютере запуск минимально необходимого пользователю набора программ, а затем, проанализировав этого журнал, можно разработать все необходимые правила для политики.
Для включения режима расширенного ведения журнала на тестовом компьютере создайте параметр реестра в ветви HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers с именем LogFileName. Его значение должно содержать путь к каталогу, где будет расположен файл журнала. Содержимое журнала выглядит следующим образом:
winlogon.exe (PID = 452) identified C:\WINDOWS\system32\userinit.exe as Unrestricted using path rule, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}
Эта запись «переводится» так: родительский процесс winlogon.exe, имеющий значение идентификатора (PID) 452, выполнил запуск C:\Windows\system32\userinit.exe; правило, вызвавшее «срабатывание» — правило для пути с уровнем безопасности Неограниченный (Unrestricted), имеет код GUID {191cd7fa-f240-4a17-8986-94d480a6c8ca}. Каждое правило имеет свой идентификатор GUID. После того, как политика ограниченного использования программ применена, ее конфигурация хранится в системном реестре. Список контроля доступа, защищающий разделы реестра, позволяет только администраторам и учетной записи SYSTEM изменять ее. Политика пользователя хранится в разделе HKCU\Software\Policies\Microsoft\Windows\, политика компьютера хранится в разделе HKLM\SOFTWARE\Policies\Microsoft\Windows\.
Параметры политик в реестре
В случае каких-либо ошибок можно найти правило по его коду GUID и выяснить причину ошибки. По окончании отладки всех правил, на рабочей системе ведение журнала желательно прекратить, удалив параметр LogFileName из реестра для уменьшения использования дискового пространства и снижения быстродействия системы. В случае, если политика содержит параметры только для компьютера или пользователя, для ускорения обработки политики следует отключить неиспользуемые компоненты GPO.
Также для определения тех программ, которым потребуется создать разрешающие правила, можно воспользоваться утилитой msinfo32.exe. Для этого запустите все необходимые приложения, после этого нажмите кнопку Пуск, выберите Выполнить и введите команду msinfo32.exe. В окне программы msinfo32 разверните узел Программная среда и выберите Выполняемые задачи.
Что это за служба
Служба политики диагностики – это модуль автоматического поиска и устранения программных сбоев в работе системы. Она также предоставляет пошаговые рекомендации, с помощью которых любой пользователь может устранить возможные неполадки в работе Windows. К примеру, если после включения компьютера будет обнаружено, что в порт RJ-45 вставлен сетевой кабель, но связаться с интернетом системе не удаётся, то модуль политики диагностики выполнит следующие действия:
- проверит наличие драйвера для сетевого оборудования;
- произведёт перезапуск подключения к сети;
- выполнит проверку текущей конфигурации сетевых настроек.
Затем выводится результат проведённой диагностики. Если восстановить подключение так и не удалось, то модуль предоставит рекомендации по устранению неполадок, а именно:
- проверить правильность подключения кабеля;
- проверить связку логин/пароль для доступа к сети (если используется PPPoE-соединение или подобное ему);
- проверить целостность сетевого кабеля или работу роутера, к которому тот подключён.
В дополнение выводится сервисная информация для системных администраторов, которая тоже поможет быстрее обнаружить неисправность в работе сетевого модуля. И подобный принцип используется для всех запускаемых служб Windows (коих насчитывается уже свыше 60 в системе, устанавливаемой по умолчанию).
Ошибка же типа «Служба политики диагностики не запущена или работает неправильно» в Windows 10 делает компьютер более уязвимым для сетевых атак. Игнорировать данное уведомление не стоит, так как работа на незащищённой системе ставит под угрозу конфиденциальные данные пользователя.
Настройки политики
Каждая политика доступна для настройки. Открывается окно редактирования параметров по двойному щелчку на определенную строку. Вид окон может отличаться, все зависит от выбранной политики.
Стандартное простое окно имеет три различных состояния, которые настраиваются пользователем. Если точка стоит напротив «Не задано», то политика не действует. «Включить» – она будет работать и активируются настройки. «Отключить» – находится в рабочем состоянии, однако параметры не применяются.
Рекомендуем обратить внимание на строку «Поддерживается» в окне, она показывает, на какие версии Windows распространяется политика
Сбросить групповую политику по умолчанию
Параметры групповой политики могут различаться в зависимости от конфигурации, например Персонализация, настройки брандмауэра, принтеры, политики безопасности, и т. д. Мы рассмотрим несколько методов, с помощью которых вы можете сбросить соответствующие политики до состояния по умолчанию.
1]Сбросить настройки GPO с помощью редактора локальной групповой политики.
Теперь это очень простой. Выполните следующие шаги, чтобы сбросить измененные настройки GPO.
1. Нажмите Клавиша Windows + R на клавиатуре, чтобы запустить приглашение. Войти gpedit.msc и нажмите Enter, чтобы открыть редактор локальной групповой политики.
2. Перейдите по следующему пути на левой боковой панели окна редактора групповой политики:
3. Теперь в правом окне отсортируйте параметры политики по столбцу Состояние, чтобы все политики, которые Включено выключено в настоящее время можно получить доступ наверху.
4. Далее измените их состояние с Включено выключено к Не настроено и примените настройки.
5. Повторите то же самое для пути ниже.
6. Это восстановит все параметры групповой политики до состояния по умолчанию. Однако, если вы столкнулись с некоторыми серьезными проблемами, такими как потеря прав администратора или запрет на вход в систему, вы можете попробовать следующий метод.
2]Восстановить локальные политики безопасности по умолчанию
Политики безопасности вашей административной учетной записи в Windows поддерживаются в другой консоли управления — secpol.msc (локальная политика безопасности). Эта оснастка параметров безопасности расширяет возможности оснастки групповой политики и помогает определять политики безопасности для компьютеров в вашем домене.
Теперь, при определенных обстоятельствах, вы можете столкнуться с некоторыми испорченными настройками безопасности, которые вы можете установить правильно, если сохранили права администратора на своем компьютере.
Выполните следующие шаги, чтобы сбросить политики безопасности на вашем компьютере:
1. Нажмите Клавиша Windows + X на клавиатуре, чтобы запустить Прямая ссылка меню. Выбирать Командная строка (администратор) , чтобы открыть окно командной строки с повышенными привилегиями.
2. Введите следующую команду в окне подсказки и нажмите Enter:
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
3. После завершения задачи перезагрузите компьютер, чтобы изменения вступили в силу, и начните заново с политиками безопасности.
4. Если некоторые из компонентов по-прежнему выглядят странно, вы можете перейти к следующему способу полного сброса объектов групповой политики.
Читать: Как импортировать или экспортировать параметры групповой политики в Windows 10.
3]Сброс объектов групповой политики с помощью командной строки
Этот конкретный метод включает удаление папки параметров групповой политики с диска, на котором установлена Windows. Выполните следующие шаги, чтобы сделать это с помощью окна командной строки с повышенными привилегиями.
1. Откройте окно командной строки с повышенными привилегиями так же, как описано в способе 2.
2. Введите эти команды в CMD и выполните их одну за другой.
RD /S /Q "%WinDir%System32GroupPolicyUsers"
RD /S /Q "%WinDir%System32GroupPolicy"
gpupdate /force
3. После этого перезагрузите компьютер.
Убедитесь, что вы создали точку восстановления системы, прежде чем вносить какие-либо изменения в реестр или параметры политики.
Связанное чтение: Как восстановить поврежденную групповую политику в Windows 10.
Сброс настроек до по умолчанию.
Первое, с чего стоит начать, если редактор групповой политики работает, это сбросить все настройки до дефолтных. Совершенно необязательно, что изменения были сделаны вами. Вы можете предоставить системе самой решить какое действие и с какими функцией/службой/файлом предпринять в следующем сеансе. Запускаем редактор из строки Выполнить
gpedit.msc
и последовательно в разделах
Конфигурация компьютера — Административные шаблоны — Все параметры
и
Конфигурация пользователя — Административные шаблоны — Все параметры
сортируем справа параметры по Состоянию. Ваша задача найти все, что Включены и Отключены, переведя их в состояние Не задана:
Далее. Локальные политики безопасности в отношении вашей учётной записи располагаются в другой консоли, вызываемой командой
secpol.msc
Если есть подозрения, что проблемы с системой возникли из-за намешанных в кучу настроек безопасности, настройки политики можно сбросить до дефолтных из командной строки cmd, запущенной от имени администратора:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
Перезагружаем компьютер с новыми настройками. Если какие-то из отдельных компонентов продолжают себя «неправильно вести», можно сбросить настройки объектов полностью. Это достигается удалением содержимых двух папок в недрах Windows, установленной на конкретном компьютере. Перед выполнением команд все окна остальных приложений (в том числе проводника Windows) нужно закрыть. По умолчанию команды выглядят так (последняя — принудительное и немедленное обновление политики дабы не ждать установленных по умолчанию 90 мин.):
RD /S /Q "%WinDir%\System32\GroupPolicyUsers" RD /S /Q "%WinDir%\System32\GroupPolicy" gpupdate /force
gpedit.msc не найден в Windows 7: решение проблемы
Для настройки некоторых служб Windows нужен редактор групповых политик gpedit.msc. Он присутствует в сборках Ultimate, Professional и Enterprise. Но в других сборках его может и не быть, например, в базовой, стартовой. И при открытии редактора высвечивается окно с надписью: “Не удается найти gredit.msc, проверьте правильность введенного имени”.
Чтобы использовать редактор групповых политик, совсем не нужно менять Windows на версию с необходимым компонентом. Для этого можно использовать специальную программу.
Включение gpedit.msc
Далее распакуйте его в любую папку с помощью программ 7-ZIP или WinRAR. После чего у вас должен появиться файл с установкой setup.exe. Двойным нажатием мыши запустите его.
Интерфейс программы хоть и на английском языке, но разобраться будет не слишком сложно. Нажимайте “Далее” (Next) и все, процесс установки проходит почти без вашего вмешательства. По завершению установки кликните Finish.
Далее, если у вас 64-разрядная система, откройте папку Windows на локальном диске С, далее выберите «SysWOW64» и скопируйте из нее папки “GroupPolicy”, “GroupPolicyUsers” и файл gpedit.msc. Вернитесь обратно в папку Windows и найдите в ней System32. В нее нужно вставить скопированные файлы.
Важно! Если у вас стоит 32-разярядная Windows — ничего копировать не нужно. После всех изменений перезагрузите компьютер, чтобы они вошли в силу и попробуйте запустить редактор групповой политики
Это можно сделать через командную строку, нажав +R и в поле вписав gpedit.msc
После всех изменений перезагрузите компьютер, чтобы они вошли в силу и попробуйте запустить редактор групповой политики. Это можно сделать через командную строку, нажав +R и в поле вписав gpedit.msc.
Возможные проблемы
При запуске редактора групповой политики может появиться сообщение, что “Консоль управления не может создать оснастку”. В основном, ошибка может появиться из-за того, что имя пользователя Виндовс содержит несколько слов.
Чтобы это исправить нужно заново запустить файл установки приложения и перед тем как нажать на Finish, откройте локальный диск С, перейдите в папку Windows, далее откройте Temp, а после gpedit.
Теперь нужно отредактировать пакетный файл. Выберите его, в зависимости от разрядности вашей системы. Если у вас 32-разрядная Windows, то нажмите правой кнопкой мыши на файл с именем х86 и выберите “Изменить”. С 64-разрядной версией действия те же, только выбирать нужно файл с названием х64.
Далее нужно найти строки, которые содержат имя пользователя и взять их в кавычки. К примеру, если до модификации строка была , то в результате модификации она должна выглядеть как .
После этого сохраните его. Далее кликните правой клавишей мышки на файл и укажите “Запуск от имени Администратора”. Только после этого можно вернуться к нашей установке и нажать на завершение.
Теперь можно запускать gpedit.msc.
В случае если в результате всех совершенных операций, ошибка про невозможность создания оснастки все равно возникает, то можно попробовать решить эту проблему созданием новой учетной записи с правами администратора, только имя обязательно должно состоять из единственного слова.
Зайдите в систему, используя только что созданную учетную запись и опять запустите установку утилиты. После завершения инсталляции перезапустите компьютер и зайдите под своей обычной учетной записью. После этого нужно удалить учетку нового пользователя и можно пользоваться редактором групповых политик gpedit.msc.
Отладочные журналы Group Policy Preferences
Как вы видите, доступные индивидуальные настройки для каждого CSE. В настройках политики можно указать тип событий, записываемых в журнал (Informational, Errors, Warnings или все), максимальный размер журнала и местоположение лога:
После сбора логов нужно проанализировать их на ошибки, а также попытаться найти соседние события, время между которыми отличается на несколько минут.
Итак, в этой статье мы рассмотрели основные способы диагностики проблем долгого применения групповых политик на компьютерах домена. Надеюсь, статья будет полезной.
Предыдущая статья Следующая статья
Что такое групповая политика Windows?
Групповая политика обеспечивает централизованный способ настройки и применения всех видов параметров на компьютерах в сети Active Directory. Эти параметры поддерживаются контроллером домена, и отдельные компьютеры не могут их переопределить.
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
Таким образом, групповая политика наиболее распространена на доменах Windows в бизнес-настройках.
, Однако компьютеры, которые не находятся в сети Active Directory (имеется в виду большинство домашних компьютеров), могут по-прежнему настраивать свои параметры локально с помощью редактора локальной групповой политики.
Думайте об этом как о панели управления, кроме гораздо более мощных. С помощью групповой политики вы можете ограничить доступ к частям системы, назначить определенную домашнюю страницу для всех пользователей и даже запускать определенные сценарии всякий раз, когда компьютер запускается или выключается.
За кулисами большинство параметров в редакторе групповой политики просто вносят изменения в реестр Windows. Редактор групповой политики предоставляет гораздо более дружественный интерфейс для управления этими параметрами без необходимости вручную просматривать реестр.
Единственным недостатком является то, что по умолчанию групповая политика доступна только для компьютеров, работающих под управлением Professional или более поздних версий Windows. Если вы работаете в Windows Home, это упущение может убедить вас перейти на Windows 10 Pro
— хотя есть обходной путь, который мы упомянем ниже.
Как на практике применить групповые политики в Windows 10
Здравствуйте, уважаемые читатели моего блога. В некоторых статьях я неоднократно использовал возможности системной утилиты gpedit, которая позволяет управлять запуском и установкой приложений, контролировать поведение пользователей, ограничивать некоторые возможности ОС
Сегодня я хотел бы подробно рассказать о такой важной вещи, как настройка групповых политик в Windows 10. Будет рассмотрено несколько полезных примеров, которые могут Вам пригодиться
Сразу же подчеркну, что подобный функционал доступен только в «Профессиональной» и «Корпоративной» версиях операционной системы Microsoft. Но есть способ установить утилиту и для «Домашней» (Home) версии. Если этого не делать, то вносить изменения в некоторые аспекты ОС придется через редактирование реестра, что менее безопасно и не так удобно, чем с помощью графического интерфейса.
Добавление утилиты для версий «Домашняя» и «Стартер»
Нам понадобится скачать вот этот архив с патчем:
Групповые политики для Windows Home Скачано: 1642, размер: 855 Кб, дата: 08.Авг.2016
Распаковываем в любую папку и запускаем установщик setup.exe с правами администратора.
Когда появится последнее окно с кнопкой «Закончить установку» (Finish), не спешите её нажимать. Если используете систему 64 bit, то следует зайти в каталог, где расположены системные файлы (Windows) и скопировать из временной папки Temp/gpedit следующие dll-файлы:
- gpedit
- appmgr
- fde
- gptext
- fdeploy
- gpedit.msc
- Вставляем их в директорию %WinDir%\System32
- Теперь заходим в каталог SysWOW64 и с него копируем папки:
- GroupPolicy
- GroupPolicyUsers
- GPBAK
- И один файл gpedit.msc
- Вставляем их System32 и перезапускаем ПК.
- После запуска пробуем войти в консоль «Выполнить» (Win + R) и вбиваем в поле ввода следующую команду:
В случае возникновения ошибки (если не удается войти) следует пройти по пути: Windows\ Temp\ gpedit и там в ручном режиме запустить файл, соответствующий разрядности Вашей ОС – xbat или x86.bat.
Вот и всё. Теперь Ваша «Домашняя» версия поддерживает возможность настройки групповых политик.
Примеры работы групповых политик на практике
О том, как запустить утилиту было сказано выше. Не буду повторяться. Когда откроется окно редактора локальной групповой политики, слева отобразится перечень элементов для конфигурации ПК и пользователя, а справа – более конкретные параметры, а также подробная информация о выбранном пункте.
Уверен, Вы хотите поскорее перейти от сухой теории к рассмотрению живых примеров.
Установка запрета на запуск приложений
- Переходим по следующему пути: «Конфигурация пользователя», затем «Административные шаблоны», выбираем подпапку «Система».
- Справа отобразится перечень возможностей.
- Допустим, мы не хотим запускать определенные приложения из соображений безопасности. Для этого открываем настройки пункта «Не запускать указанные приложения Windows».
- В открывшемся окне выделяем о, а после этого кликаем по кнопке «Показать» (которая откроет перечень запрещенных программ).
- Теперь осталось только прописать имена .exe файлов в данном списке, и сохранить изменения, нажав на «ОК».
- После попытки запуска указанного софта будет появляться следующая ошибка:
Чтобы отключить запрет, нужно просто удалить нужный файл из «черного списка».
Внесение изменений в UAC
Если Вам надоело всплывающее окно, которое появляется каждый раз, когда Вы пытаетесь запустить стороннее приложение, значит необходимо изменить некоторые параметры управления учетными записями. Для этого:
- Переходим к папке «Конфигурация ПК», затем – «Конфигурирование Windows». После этого открываем директорию «Параметры безопасности», переходим в «Локальные политики».
- Справа отобразится перечень настроек. Нас интересует следующая опция: «Запрос согласия для исполняемых файлов не из Windows».
- Чтобы полностью отказаться от появления уведомлений, выбираем из списка вариант «Повышение без запроса».
Это лишь парочка простейших примеров, которые могут помочь в решении некоторых проблем. Я рекомендую более подробно изучить работу данного системного клиента, чтобы научиться управлять большинством возможностей Windows 10.
C уважением, Виктор
Трюк 8. Вспоминаем про HTA
Последний хинт касается неофициальных исключений, на которые не действуют групповые политики. Вадимc Поданс написал в блоге отличную серию постов, посвещенных SRP-политикам. В частности, он обнаружил отличный путь для их обхода и запуска произвольного кода с использованием приложения HTA (HTML Application).
Итак, последовательность действий:
- Создаем файлик с примерно таким текстом:
msgbox «I’m dangerous VB Code!!!»
- Сохраняем его с расширением .hta (например, execute_this.hta).
- Создаем ярлык для него.
- Открываем ссылку — и hta запускается.
Надо ли говорить, что вместо вызова безобидного MessageBox’а VB-код может сделать в системе что угодно? Политики SRP должны проверять весь код, который может исполняться, в том числе и всевозможные скрипты. Однако из-за тонкостей работы групповых политик данный обход работает. К аналогичным «глюковатым» расширениям помимо HTA Вадимс относит REG, MSC, HTA, CHM. Точно так же ситуация наблюдается и с com-файлами (в том числе всякими олдскульными ДОС’овскими программами, которые все еще разбросаны в папке винды). Они не учитывают правила групповых политик, так как работают в виртуальной машине DOS.