Что значит смарт секьюрити. Процесс установки ESET NOD32 Smart Security

Новости 05.03.2019
Новости

Если вы посчитали, что, настроив на своём сервере антивирусы, вы на 100% обезопасили себя и своих клиентов от каких бы то ни было инцидентов, то это ещё не всё. Вам не помешают групповые настройки, исключающие любые ошибки.

Зачем в Windows нужна локальная политика безопасности

Групповая (локальная) политика безопасности (ГПБ/ЛПБ) - это программные средства, обеспечивающие согласованную и максимально эффективную работу компьютеров компании или учреждения. Иметь высокую производительность труда, экономя время и ресурсы - это о вас, если на ПК и ноутбуках под управлением Windows работают настройки группового соединения: вместе эти компьютеры образуют единое целое, помогающее вашей конторе расти и развиваться дальше. Для этого требуется их подключение к одному домену.

Какая версия Windows 10 подходит для настроек групповой политики

Вам нужна Professional/Enterprise - её используют работники частных фирм и госслужащие. Дело в том, что в версии Home/Starter, предназначенной для обычных пользователей, нет компонента gpedit.exe (англ. Group Politics Editor) - нужна его принудительная установка.

Почему в Windows Home/Starter нет инструмента GPEdit

В Home/Starter ГПБ представлена лишь службой «Клиент групповой политики», которую можно отключить совсем. Да и зачем она, если доступ к расширенным настройкам закрыт? Сделано это для предотвращения изменений, вносимых в настройки ОС вредоносным ПО под именем администратора.

Где находится и как работает локальная политика безопасности

Локальные средства безопасности «десятки» управляются службой «Клиент групповой политики». Если эта служба отключена, средство Group Politics Editor не запустится или будет давать сбои в настройке.

Запуск редактора локальной политики безопасности Windows 10

Дайте команду «Пуск - Выполнить» и введите в открывшейся строке команду gpedit.msc.

Подтвердите ввод, нажав OK

Запустить редактор также можно, введя «gpedit» в поиске главного меню Windows 8/10.

Функционал редактора групповой политики

Настройка сервиса ГПБ включает в себя:


Как выключить локальную политику безопасности

Необходимо выключить службу «Клиент групповой политики». Но она «вшита» в Windows 7/8/10 настолько прочно, что остановить и деактивировать её с помощью встроенного мастера настройки служб, вызываемого из диспетчера задач, нельзя.

Самый действенный способ - вмешаться в реестр системы. Сделайте следующее:

  1. Войдите в уже знакомую строку запуска программ «Выполнить» и введите команду «regedit». Откроется редактор реестра.
  2. Перейдите в директорию \HKLM\SYSTEM\CurrentControlSet\Services\gpsvc (процесс gpsvc.exe, видимый в диспетчере задач при работе «Клиента групповой политики», запускается реестром Windows из этого места).
  3. Правый щелчок мышью откроет меню папки «gpsvc» - выберите «Разрешения».

    В редакторе реестра находим папку «gpsvc», нажимаем «Разрешения»

  4. Выберите другого владельца, зайдя в дополнительные параметры безопасности.

    Без изменения имени вы не сможете добраться до полного доступа к процессу gpsvc

  5. Отметьте все разрешения. Желательно удалить лишних пользователей из настройки неограниченного доступа к службе.

    Отметьте все разрешения, удалите лишних пользователей из настройки дополнительного доступа в графе «Группы или пользователи»

  6. Вернитесь к папке gpsvc в данной директории реестра и измените ключ Start, введя значение 4 («Отключено»).

    В папке gpsvc измените ключ Start, введя значение 4, и система отключится

  7. Закройте все окна, нажав OK, перезапустите компьютер.

Это ещё не всё! Вам будет мешать сообщение в трее о неработе службы «Клиент групповой политики».

Оно будет появляться каждый раз, уберите его

Чтобы его убрать, сделайте следующее:


Предварительно сохраните эту папку в отдельный файл реестра. Это делается на случай, если работу службы нужно быстро восстановить, не переустанавливая Windows. После удаления папки перезапустите компьютер - уведомление больше не появится.

Локальная политика безопасности Windows 10 не включается

Причины, по которым не включается служба, следующие:

  • вы скачали сборку ОС, в которой этот компонент отключён. Вам поможет код реестра (можно сохранить и запустить как отдельный reg-файл): Windows «EnableInstallerDetection»=dword:00000001. Перезапустите компьютер после запуска созданного твика;
  • вы используете Win 10 Home. Поставьте сервис «Локальная политика безопасности самостоятельно, если у вас нет сборки Professional или Enterprise. Воспользуйтесь инструкциями для Windows 7 и выполните похожее для Windows 10;
  • недостаточно прав, нужны «админские» права. Чтобы включить учётную запись администратора, воспользуйтесь командой «net user администратор /active:yes» в командной строке и зайдите в систему под именем администратора. Попытайтесь запустить редактор ГПБ заново известными выше способами. Как только надобность в GPEditor отпадёт и службу вы отключите, выйдите из учётной записи администратора и выключите его командой «net user администратор /active:no».

Видео: как установить редактор групповой политики в Windows

Службы и процессы групповой безопасности Windows - полезный инструмент, здорово выручающий в работе. Когда он не нужен, его легко выключить.

Редактор локальной групповой политики, один из инструментов windows 10, windows 7, windows 8, windows 8.1, кроме версий home, который не очень популярный среди обычных пользователей, но пришелся по вкусу сетевым администраторам.

Он позволяет контролировать все параметры ОС из одной точки. Это особенно полезно, если вы администратор сети и нужно установить одинаковые правила для нескольких компьютеров / ноутбуков или пользователей в одной и той же самой области.

Также редактор локальной групповой политики предлагает широкий набор возможностей и настроек, которые не найти в обычных местах и может быть очень полезным для обычных пользователей.

Прочтите это руководство, чтобы узнать, что такое локальная групповая политика, где она находится, как ее открыть и как с нею работать на всех версиях виндовс.

Что такое редактор локальной групповой политики

По определению, групповые политики является функцией, которая дает вам точку доступа для администрирования, настройки операционной системы, программ и пользовательских настроек на компьютерах и ноутбуках.

Разумеется, это очень полезно, если вы являетесь администратором сети и вам необходимо ввести определенные правила или параметры для компьютеров и или пользователей.

Тем не менее, этот сценарий не является целью данного учебника. Локальная политика представляют управление компьютерами, не только тех, кто зарегистрирован в группе.

Проще говоря, вы должны думать о групповой политике как о инструменте, регулирующим функционирование ОС windows 10, windows 7, windows 8, windows 8.1 на вашем компьютере.

Кто может запустить редактор локальной групповой политики

Поскольку редактор локальной групповой политики является инструментом хорошо развитым, вы должны знать, что он не доступен для редакций home. Вы можете запустить его только на:

  • Windows 7 Professional, Ultimate и Enterprise
  • Windows 8 и1 Professional, Enterprise
  • Windows 10 Pro и Enterprise

Что можно сделать в редакторе локальной групповой политики

Вы можете настроить множество параметров ОС как администратор и другие пользователи не смогут ваши параметры изменить позже. Вот несколько примеров:

  • Можете позволить пользователям использовать определенные приложения на вашем компьютере.
  • Блокировать доступ к внешним устройствам (например, карты памяти USB), подключенных к компьютеру.
  • Блокировать доступ пользователей к панели управления или настройкам приложений.
  • Скрыть некоторые элементы панели управления.
  • Задает фон, для рабочего стола и блокировать способность пользователей его изменить.
  • Блокировать включение или отключение сетевых соединений и доступ к их свойствам.
  • Запретить пользователям считывать или записывать данные на CD, DVD, внешних накопителях памяти и т.д.
  • Отключить все комбинации клавиш, которые начинаются с кнопки Win. Например, Win+R (открывает «Выполнить»).

Таковы лишь некоторые примеры, а на самом деле есть множество других параметров.

Как открыть редактор локальной групповой политики на Windows 7

Чтобы открыть редактор локальной групповой политики на Windows 7 используйте функцию поиска.


Для этого нажмите «меню Пуск», и в поисковой линейке впишите «gpedit.msc» (без кавычек) и в поле вывода результата нажмите на значок «gpedit.msc» или «Редактировать групповую политику» — смотря какая появится.

В качестве альтернативы можно использовать инструмент «Выполнить». Самый быстрый способ его запустить — одновременно нажмите «Win+R», написать «gpedit.msc» и нажать кнопку «OK».

Как войти в редактор локальной групповой политики на Windows 8.1

Как и в Windows 7 инструмент можно быстро запустить, используя поиск и ведя в него без кавычек — «gpedit.msc».

После этого в результате поиска, нажмите «gpedit». Также можете использовать окно, «Выполнить», как описано в предыдущем разделе.

Как открыть редактор локальной групповой политики в Windows 10

В операционной системе Windows 10, запустить редактор локальной групповой политики также же, как в Windows 8.1 и Windows 7.

Точно также можете в окне поиска прописать — «gpedit.msc» и нажать на соответствующий значок в выдаче результатов.

Кому нравится пользоваться окном «Выполнить» можете открыть его и запустить редактор как описано в разделах выше – на десятке идентично.

Вот какой имеет открытый вид редактора локальной групповой политики в Windows 10.

ПРИМЕЧАНИЕ: редактор локальной групповой политики выглядит почти идентично и предлагает те же опции, настройки и функции что Windows 7, Windows 8 или Windows 10. Поэтому, здесь будут использованы скриншоты, сделанные только в Windows 10.

Как работать с редактором локальной групповой политики

Редактор локальной групповой политики делится на две части: в левой части отображаются в категории, а в правой содержимое активной категории.

Политика групп организована в двух основных разделах:

  • Конфигурация компьютера — содержит параметры, которые применены во всех компьютерах, независимо от пользователей.
  • Конфигурация пользователя — содержит параметры для пользователей. Они применяются сугубо к пользователям, а не к компьютеру.

  • Настройки ПО — программное обеспечение, раздел которого по умолчанию должен быть пустым.
  • Параметры Windows — содержит параметры безопасности. Это место, где можете найти или добавить скрипты, которые должны выполняться при запуске или завершении работы компьютера.

  • Административные шаблоны — содержит большое количество настроек, которые контролируют многие аспекты работы вашего компьютера. Здесь можете просматривать, редактировать и даже накладывать всевозможные настройки и правила. Упомянем лишь несколько примеров. Вы можете управлять параметрами пользователей, Панелью управления, Сетью, меню Пуск и панелью задач.

Как редактировать с помощью редактора локальной групповой политики

Для того, чтобы лучше понять процесс использования, возьмем пример. Допустим, вы хотите, установить определенный фон для рабочего стола, который будет использоваться для каждого существующего пользователя.

Чтобы добраться до настроек рабочего стола, вам необходимо перейти в категорию «Конфигурация пользователя» в левой панели. Затем перейдите к параметру «Административные шаблоны», откройте «Рабочий стол» и выберите «Настройки рабочего стола».

В правой панели увидите все параметры, которые можно настроить из выбранного административного шаблона. Для каждого параметра, в его правой части отображаются два столбца:

  • Колонка «Состояние» говорит, какие параметры не настроены и активны или не активны.

В левой части этой панели показано подробную информацию о том, что делает конкретный параметр и его эффекты. Эта информация отображается в левой панели, всякий раз, когда вы выбираете настройку.

Например, если вы выбираете «фоновый рисунок рабочего стола», на левой стороне вы увидите, что установка может быть применена к версии от Windows 2000 и более новых.

Если вы хотите изменить настройки, фонового рисунка рабочего стола, дважды щелкните по нему правой кнопкой мыши или нажмите ПКМ и выберите «Изменить».

Появится окно с настройками для редактирования. Например, в нашем случае можем указать фон для рабочего стола.

Для этого нужно поставить птичку напротив слова «Включено» и указать путь к изображению.

В конце, необходимо нажать кнопку «Применить» (Apply) или OK, чтобы активировать настройку.

Это лишь самый простой пример. Я не хочу сейчас даже упоминать о прописывании различных сценариев, так как большинство не будет их использовать.

В целом редактор локальной групповой политики представляет собой сложный инструмент, которым, как ни странно, можно легко установить различные правила для ваших компьютеров и их пользователей.


Чтобы рассмотреть каждый аспект и все доступные настройки придется книгу написать, но надеюсь, что теперь вы как минимум знаете основные принципы этого инструмента.

Если у вас есть какие-либо вопросы о редакторе локальной групповой политики, не стесняйтесь сказать об этом в комментарии ниже. Успехов.

Рубрики: Без рубрики

В этой статье рассматриваются различные методы Администрирование параметров политики безопасности на локальном устройстве или малые и средние организации.

Параметры политики безопасности следует использовать как часть вашего общего реализации безопасности для обеспечения безопасного домена контроллеры, серверы, клиентских устройств и другие ресурсы в вашей организации.

Параметры политики безопасности - это правила, которые можно настроить на устройстве или несколько устройств, для защиты ресурсов на устройстве или в сети. Параметры безопасности расширение оснастки редактора локальных групповых политик (Gpedit.msc) позволяет определить конфигурации безопасности в рамках из объекта групповой политики (GPO). Объекты групповой политики связаны с контейнерами Active Directory, таких как сайты, домены и подразделения, и они позволяют администраторам управлять параметрами безопасности для нескольких компьютеров с любого устройства, присоединенных к домену.

Для управления параметрами безопасности:

  • Проверка подлинности пользователя к сети или устройства.
  • Ресурсы, которые пользователи могут получить доступ к.
  • Следует ли запись пользователя или группу пользователя действий в журнале событий.
  • Членство в группе.

Сведения о каждого параметра, в том числе описание управление и настройки по умолчанию и вопросы безопасности см. Справочник по параметрам политики безопасности .

Для управления конфигурациями безопасности для нескольких компьютеров, можно использовать один из следующих вариантов:

  • Измените параметры безопасности в объекте групповой Политики.
  • Используйте оснастку Шаблоны безопасности для создания шаблона безопасности, который содержит политики безопасности, которые вы хотите применить и затем импортировать шаблон безопасности в объект групповой политики. Шаблон безопасности - это файл, который представляет конфигурацию безопасности, и его можно импортировать в объект групповой Политики или применяются на локальном устройстве или его можно использовать для анализа безопасности.

Что изменилось в том, как осуществляется параметров?

Со временем новые способы управления параметрами политики безопасности были добавлены, которые включают новые функции операционной системы и добавление новых параметров. В следующей таблице перечислены различные средства, какие безопасности можно администрировать параметры политики.

Средство или возможность Описание и использования

Оснастки MMC позволяет управлять только параметры политики безопасности.

Настраивает и анализирует безопасность системы, сравнивая текущую конфигурацию для шаблонов безопасности.

Средство загрузки

Решение, которое поможет вам планирования, развертывания, эксплуатации и управлять вашей базовые параметры безопасности для клиента Windows и серверных операционных систем и приложений Майкрософт.

SCW - это средство на основе ролей доступно только на серверах: его можно использовать для создания политики, которая включает службы, правила брандмауэра и параметры, которые необходимы для выбранного сервера для выполнения определенных ролей.

Этот набор средств позволяет создавать, использовать и изменять параметры безопасности для вашего локального устройства, подразделения или домена.

GPMC.msc и Gpedit.msc

Консоль управления групповыми политиками использует редактор групповой политики для отображения локальных параметров безопасности, которые можно включить в объекты групповой политики для распространения в домене. Редактор локальных групповых политик выполняет аналогичные функции на локальном устройстве.

Политики ограниченного использования программ (SRP) - это компонент на основе групповой политики, определяющий программного обеспечения на компьютерах в домене, и он управляет возможность запуска этих программ.

Запрещает вредоносных программ (вредоносного по) и неподдерживаемыми приложениями из влияют на компьютерах в вашей среде, и он не позволяет пользователям в вашей организации с помощью неавторизованных приложений, а установка.

С помощью оснастки локальной политики безопасности

Оснастки локальной политики безопасности (Secpol.msc) ограничивает представлении объектов локальной политики к возможностям и следующие политики:

  • Политики учетных записей
  • Локальные политики
  • Брандмауэр Windows в режиме повышенной безопасности
  • Политики диспетчера списка сетей
  • Политики открытого ключа
  • Политики ограниченного использования программ
  • Политики управления приложениями
  • Политики безопасности IP на локальном компьютере
  • Расширенные аудита политики конфигурации

Если компьютер присоединен к домену, могут быть перезаписаны политики, заданные локально.

Локальная политика безопасности оснастки входит в набор средств диспетчера настройки безопасности. Сведения о других средств в это средство установки, см. в разделе в этом разделе.

С помощью средства командной строки secedit

Средство командной строки secedit работает с помощью шаблонов безопасности и предоставляет шесть основных функций:

  • Настройка параметра помогут устранить несоответствия безопасности между устройствами, применив к серверу ошибочные правильный шаблон.
  • Анализ параметра сравнивает конфигурацию безопасности сервера с помощью выбранного шаблона.
  • Импорта параметров позволяет создать базу данных из существующего шаблона. Средство анализа и настройки безопасности делает это также.
  • Экспорт параметра позволяет экспортировать параметры из базы данных в шаблон параметров безопасности.
  • Проверка параметра позволяет проверить синтаксис каждого или все строки текста, созданные или добавляется в шаблоне безопасности. Это гарантирует, что если не удается применить синтаксис шаблона, шаблон не будет проблему.
  • Параметр Создания откат сохраняет сервера текущие параметры безопасности в шаблоне безопасности, поэтому его можно использовать для восстановления большую часть параметров безопасности сервера в известном состоянии. Исключениями являются, когда применяются, шаблон отката не изменит списка управления доступом для файлов или записей реестра, которые были изменены, наиболее недавно применен шаблон.

С помощью диспетчера соответствия требованиям безопасности

Security Compliance Manager - это средство загрузки, которое поможет вам планирования, развертывания, эксплуатации и управлять вашей базовые параметры безопасности для операционных систем Windows клиента и сервера и для приложений Microsoft. Он содержит полный базы данных рекомендуемые параметры безопасности, методы для настройки вашей базовые параметры, а параметр для реализации этих параметров в различных форматах - XLS, объекты групповой политики, в том числе пакетов управления требуемой конфигурации (DCM) или безопасности содержимого Протокол автоматизации (SCAP). Security Compliance Manager используется для экспорта базовые показатели в среде, чтобы автоматизировать процесс проверки развертывания и соответствие базовые параметры безопасности.

Администрирование политик безопасности с помощью диспетчера соответствия требованиям безопасности

  1. Скачайте последнюю версию. Вы можете узнать дополнительные сведения в блоге Руководство Майкрософт по безопасности .
  2. Ознакомьтесь с документацией базовые соответствующие безопасности, включенного в это средство.
  3. Загрузите и импортируйте базовые параметры безопасности, соответствующих. Процесс установки этапы выбора базовый план.
  4. Откройте раздел справки и следуйте инструкциям, настройки, сравнение и объединение вашего базовые параметры безопасности перед развертыванием этих базовых параметров.

С помощью мастера настройки безопасности

Мастер настройки безопасности (SCW) поможет выполнить процесс создания, редактирования, применив или откат политики безопасности. Политика безопасности, созданный с помощью SCW представляет собой XML-файл, который, при применении настраивает службы, безопасность сети, определенные разделы реестра и аудита политики. SCW - это средство на основе ролей: его можно использовать для создания политики, которая включает службы, правила брандмауэра и параметры, которые необходимы для выбранного сервера для выполнения определенных ролей. Например сервер может быть файлового сервера, сервера печати или контроллера домена.

  • SCW отключает ненужные службы и предоставляет брандмауэра Windows в режиме повышенной безопасности поддержки.
  • Политики безопасности, которые были созданы с помощью SCW не так же, как шаблонов безопасности, которые представляют собой файлы с расширением INF. Шаблоны безопасности содержат дополнительные параметры безопасности, чем те, которые можно настроить с помощью SCW. Тем не менее можно включить шаблон безопасности в файл политики безопасности SCW.
  • Вы можете развернуть политики безопасности, создаваемые с помощью SCW с помощью групповой политики.
  • SCW не установить или удалить возможности, необходимые для выполнения роли сервера. Вы можете установить возможности конкретных ролей сервера через диспетчер серверов.
  • SCW обнаруживает зависимостей роли сервера. При выборе роли сервера, автоматически выбирает зависимые роли сервера.
  • Все приложения, которые используют протокол IP и порты должна быть запущена на сервере, при запуске мастера настройки безопасности.
  • В некоторых случаях должен быть подключен к Интернету для использования ссылок в справке SCW. > Примечание Мастер настройки, доступные только в Windows Server и применимо только к установке server.

Мастер настройки может осуществляться через диспетчер серверов или путем запуска scw.exe. Мастер этапы конфигурацию безопасности сервера, чтобы:

  • Создайте политику безопасности, которая может применяться к любому серверу в сети.
  • Измените существующую политику безопасности.
  • Примените существующую политику безопасности.
  • Откатить последнюю примененную политику безопасности.

Мастер политики безопасности настраивает службы и безопасность сети, основанные на роли сервера, а также настраивает аудит и параметры реестра.

См. Дополнительные сведения о Мастере, включая процедуры, Мастер настройки безопасности .

Работа с помощью Configuration Manager безопасности

Набор средств безопасности Configuration Manager позволяет создать и применить изменение безопасности для вашего локального устройства, подразделения или домена.

Инструкции о том, как использовать диспетчер конфигураций безопасности, см. раздел Безопасности Configuration Manager .

В следующей таблице перечислены функции диспетчера настройки безопасности.

Средства безопасности Configuration Manager Описание

Определяет политики безопасности в шаблоне. Эти шаблоны могут применяться к групповой политике или на локальном компьютере.

Изменение отдельных параметров безопасности в домене, узла или подразделения.

Изменение отдельных параметров безопасности на локальном компьютере.

Автоматизация задач настройки безопасности в командной строке.

Анализ и настройка безопасности

Анализ и настройка безопасности - это оснастки MMC для анализа и настройки безопасности локальной системы.

Анализ безопасности

Состояния операционной системы и приложений на устройстве являются динамическими. Например необходимо временно изменить уровни безопасности таким образом, вы можете сразу же устранить администрирования или сетевой неполадки. Тем не менее это изменение часто забывают. Это означает, что компьютер может больше не соответствует требованиям безопасности предприятия.

Обычный анализ позволяет отслеживать и обеспечить достаточный уровень безопасности на каждом компьютере в рамках программы управления рисками предприятия. Можно настроить уровень безопасности и, самое главное, определять любой недостатков безопасности, которые могут возникнуть в системе со временем.

Анализ и настройка безопасности позволяет быстро просмотреть результаты анализа безопасности. Он рекомендации вместе с текущими параметрами системы и используется для выделения областей, где текущие параметры не совпадают предложенный уровень безопасности visual флагов или "Примечания". Анализ и настройка безопасности также предоставляет возможность устранения несоответствий, анализ показывает.

Настройка безопасности

Анализ и настройка безопасности могут также использоваться для непосредственной настройки локальной системы. Используются личные базы данных можно импортировать шаблонов безопасности, которые были созданы с помощью шаблонов безопасности и применять эти шаблоны на локальном компьютере. Это немедленно настраивает безопасность системы с уровнями, заданными в шаблоне.

Шаблоны безопасности

С помощью шаблонов безопасности оснастки консоли управления Microsoft можно создать политику безопасности для вашего устройства или сети. Это единая точка входа, где полный спектр безопасность системы может быть учтено. Оснастки шаблонов безопасности не предоставляет новых параметров безопасности, а упорядочивает все существующие атрибуты безопасности в себе для упрощения администрирования безопасности.

При импорте шаблона безопасности в объект групповой политики облегчается администрирование домена, настроив безопасности для домена или подразделения за один раз.

Чтобы применить шаблон безопасности на локальном устройстве, можно использовать анализ и конфигурацию безопасности или средство командной строки secedit.

Шаблоны безопасности можно использовать для определения:

  • Политики учетных записей
    • Политика паролей
    • Политика блокировки учетной записи
    • Политика Kerberos
  • Локальные политики
    • Политика аудита
    • Назначение прав пользователя
    • Параметры безопасности
  • Журнал событий: Приложения, системы и параметры журнала событий безопасности
  • Группы с ограниченным доступом: Членства в группах конфиденциальные
  • Системные службы: Загрузка и разрешения для системных служб
  • Реестр: Разрешения для разделов реестра
  • Файловая система: Разрешения для папок и файлов

Каждый шаблон сохраняются как текстовые INF-файл. Это позволяет копировать, вставлять, импорта и экспорта некоторые или все атрибуты шаблона. За исключением IP-безопасности и политики открытого ключа в шаблоне безопасности могут храниться все атрибуты безопасности.

Расширение Параметры безопасности для групповой политики

Подразделения, доменов и сайтов связаны с объектами групповой политики. Инструмент "Параметры безопасности" позволяет изменить конфигурацию безопасности объект групповой политики, в свою очередь, повлияет на несколько компьютеров. С параметрами безопасности можно изменить параметры безопасности из многих устройств, в зависимости от объекта групповой политики, можно изменить, из только одно устройство, присоединенных к домену.

Параметры безопасности или политики безопасности, правила, которые настроены на устройстве или нескольких устройств для защиты ресурсов на устройстве или в сети. Для управления параметрами безопасности:

  • Как пользователи проходят проверку подлинности в сети или устройства
  • Ресурсы, которые пользователи могут использовать.
  • Членство в группе.

Можно изменить параметры безопасности на нескольких компьютерах двумя способами:

  • Создание политики безопасности с помощью шаблона безопасности с помощью шаблонов безопасности и затем импортировать шаблон с помощью параметров безопасности для объекта групповой политики.
  • Измените некоторые параметры с параметрами безопасности.

Локальная политика безопасности

Политика безопасности представляет собой сочетание параметров безопасности, которые влияют на безопасность на устройстве. Локальная политика безопасности можно использовать для изменения политики учетных записей и локальные политики на локальном устройстве

С помощью локальной политики безопасности вы можете контролировать:

  • Кто имеет доступ к устройства.
  • Ресурсы, которые пользователи могут использовать на вашем устройстве.
  • Ли действий пользователя или группы, записываются в журнал событий.

Если локальное устройство присоединяется к домену, вы облагаются получить политику безопасности из политики домена или подразделения, что вы являетесь членом политикой. Если вы получаете политики из нескольких источников, конфликты разрешаются в следующем порядке приоритета.

  1. Политика подразделения
  2. Политика домена
  3. Политики веб-сайтов

Если вы изменили параметры безопасности на локальном устройстве с помощью локальной политики безопасности, затем непосредственно изменении параметров на устройстве. Таким образом параметры вступают в силу немедленно, но это может быть только временные. Параметры фактически будет работать на локальном устройстве до следующего обновления параметров групповой политики безопасности, когда параметры безопасности, которые получены из групповой политики, переопределит локальные параметры везде, где в случае конфликтов.

С помощью диспетчера настройки безопасности

Инструкции о том, как использовать диспетчер конфигураций безопасности, см. в разделе Безопасности Configuration Manager как для . В этом разделе содержатся следующие сведения в этой статье:

Применение параметров безопасности

При изменении параметров безопасности, параметры обновляются на компьютерах в подразделении, связанных для вашего объекта групповой политики:

  • После перезапуска устройства, параметры на устройстве будут обновляться.
  • Чтобы заставить устройство для восстановления ее параметры безопасности, а также все параметры групповой политики, используйте gpupdate.exe.

Приоритет политики, когда несколько политик применяется к компьютеру

Параметры безопасности, которые определяются несколько политик соблюдается следующем порядке:

  1. Политика подразделения
  2. Политика домена
  3. Политики веб-сайтов
  4. Политика локального компьютера

Например с рабочей станции, присоединенных к домену будет иметь переопределяется политика домена везде, где возникает конфликт параметры безопасности. Аналогичным образом Если эта же рабочая станция является членом подразделения, параметры политики организационное подразделение переопределит домена и локальные параметры. Если рабочая станция является членом более одного подразделение, подразделение, непосредственно содержащее рабочей станции имеет наивысший порядок применения.

Примечание Используйте gpresult.exe, чтобы узнать, какие политики применяются к устройству, а также в каком порядке. Для учетных записей домена может быть только одна учетная запись политику, которая содержит политики паролей, политики блокировки учетных записей и политики Kerberos.

Сохранение состояния в параметрах безопасности

Параметры безопасности по-прежнему могут сохранять, даже если параметр больше не определены в политике, были применены изначально.

Сохранение в параметрах безопасности происходит при:

  • Этот параметр не был ранее определен для устройства.
  • Этот параметр предназначен для объекта реестра.
  • Этот параметр предназначен для объекта файловой системы.

Все параметры, примененные с помощью локальной политики или объекта групповой политики хранятся в локальной базе данных на устройстве. Всякий раз, когда изменяется параметр безопасности, компьютер сохраняет значение параметра безопасности в локальной базе данных, где хранится история всех параметров, которые были применены к устройству. Если политика сначала определяет параметр безопасности и больше не определяет этого параметра, параметр принимает предыдущее значение в базе данных. Если предыдущее значение не существует в базе данных, этот параметр не вернется к любым и сохраняет текущее значение. Это поведение иногда называется «является».

Параметры реестра и файлов будет поддерживать значения, примененные с помощью политики до этого задать другие значения.

Фильтрация параметров безопасности на основании членства в группе

Можно также определить, какие пользователи и группы будут или не будет иметь объекта групповой политики, примененных к нему независимо от того, какой компьютер, они войти с запрет их разрешения чтения или применить групповую политику для этого объекта групповой политики. Оба эти разрешения необходимы для применения групповой политики.

Импорт и экспорт шаблонов безопасности

Анализ и конфигурацию безопасности предоставляет возможность импорта и экспорта шаблонов безопасности в или из базы данных.

Если в базу данных анализа были внесены изменения, эти параметры можно сохранить путем их экспорта в шаблон. Функция экспорта предоставляет возможность сохранения параметров базы данных анализа как новый файл шаблона. Затем можно использовать этот файл шаблона для анализа или настройки системы или его можно импортировать в объект групповой политики.

Анализ безопасности и просмотр результатов

Анализ и настройка безопасности выполняется путем сравнения текущего состояния системы безопасности базы данных аналитики анализа безопасности. Во время создания базы данных аналитики используется по крайней мере один шаблон безопасности. Если вы хотите импортировать несколько шаблонов безопасности, базы данных будет объединить различные шаблоны и создать один составной шаблон. Он устраняет конфликты в порядке импорта; последний шаблон, который будет импортирован имеет приоритет.

Анализ и настройка безопасности отображает результаты анализа в области безопасности, с помощью visual флаги для указания проблемы. Он отображает текущие параметры системы и base конфигурации для каждого атрибута безопасности в области безопасности. Чтобы изменить параметры базы данных анализа, щелкните правой кнопкой мыши запись и выберите Свойства .

Флаг Visual Значение

Красный X

Элемент определен в базе данных анализа и в системе, но не совпадают значения параметров безопасности.

Зеленый флажок

Элемент определен в базе данных анализа и в системе и параметр значения совпадают.

Вопросительный знак

Операция не определен в базе данных анализа и, таким образом, не проанализированы.

Если элемент не анализируется, возможно, что он не был определен в базе данных анализа или что пользователь, выполняющий анализ не содержать необходимые права для выполнения анализа на определенный объект или область.

Восклицательный знак

Этот элемент определен в базе данных аналитики, но не существует в самой системы. Например может быть группа с ограниченным доступом, определенные в базе данных анализа, но фактически не существует в проанализированных системе.

Выделение отсутствует

Элемент не определен в базе данных анализа или в системе.

Если вы решите принять текущие параметры, соответствующее значение в базовой конфигурации изменяется в соответствии с их. При изменении параметров в соответствии с базовой конфигурации системы, изменения будут отражены при настройке системы с помощью анализа и настройки безопасности.

Чтобы предотвратить дальнейшее выделение параметров, которые обнаружения и определяется быть целесообразным, необходимо внести изменения базовой конфигурации. Изменения внесенные в копию шаблона.

Устранение несоответствий системы безопасности

Вы можете устранить несоответствия между анализа базы данных и системных параметров:

  • Принятие или изменение некоторых или всех значений, отмеченных или не включенных в конфигурацию, если вы знаете, что уровни безопасности локальной системы являются допустимыми из-за контекст (или роли) этого компьютера. Эти значения атрибутов являются обновляются в базе данных и применяются к системе при нажатии кнопки настройки компьютера .
  • Настройка системы для значений базы данных анализа, если вы знаете, система не соответствует допустимым уровням безопасности.
  • При импорте шаблона более подходящим для роли этого компьютера в базу данных как новой основной конфигурации и применение его к системе. Изменения в базе данных анализа проводятся шаблон, хранящийся в базе данных, а не в файл шаблона безопасности. Файл шаблона безопасности будет изменен только в том случае, если вам вернуться к шаблонов безопасности и изменить этот шаблон или экспорте сохраненной конфигурации в тот же файл шаблона. Настройка компьютера использовать только для изменения областей безопасности, не являющихся параметрами групповой политики, такие как безопасность локальных файлов и папок, разделов реестра и системных служб. В противном случае когда применяются параметры групповой политики, они имеют приоритет над параметрами локального, такие как политики учетных записей. Как правило не используйте Теперь настройки компьютера при анализе безопасности для клиентов на основе домена, так как у вас будет для настройки каждого клиента по отдельности. В этом случае следует вернуться к шаблонов безопасности, изменить шаблон и повторно применить его к соответствующему объекту групповой политики.

Автоматизация задач настройки безопасности

Вызов secedit.exe средство командной строки из пакетного файла или автоматического планировщика, можно использовать его для автоматического создания и применения шаблонов и анализ системы безопасности. Вы также можете запустить динамически из командной строки. Secedit.exe полезно, когда у вас есть несколько устройств, на которых безопасности необходимо проанализировать или настроить, и вам необходимо выполнить эти задачи нерабочее.

Работа со средствами групповой политики

Групповая политика - инфраструктуру, которая позволяет указывать управляемые конфигурации для пользователей и компьютеры с помощью параметров групповой политики и настроек групповой политики. Для параметров групповой политики, влияющие на локальном устройстве или пользователя можно использовать редактор локальных групповых политик. Предпочтения групповой политики и параметры групповой политики можно управлять в среде доменных служб Active Directory (AD DS) через консоль управления групповыми политиками (GPMC). Средства управления групповой политикой также включены в пакет средств удаленного администрирования сервера для предоставления способ для администрирования параметров групповой политики с рабочего стола.

Обратная связь

Мы бы хотели узнать ваше мнение. Укажите, о чем вы хотите рассказать нам.

Наша система обратной связи основана на принципах работы с вопросами на GitHub. Дополнительные сведения см. в .



Рекомендуем почитать