Содержание
Если вы хотите изменить поведение Windows, взяв на себя больший контроль над безопасностью или отключив несколько вещей, которые Microsoft предлагает вам, вы можете сделать это, изменив параметры групповой политики. Да, вы также можете выполнить то же самое из редактора реестра , но у групповой политики есть еще несколько преимуществ, например, групповая политика не изменится после обновления Windows, в отличие от реестра. Самое главное: вы можете либо настроить групповую политику локально в своей системе, либо сделать так, чтобы активный каталог применялся к нескольким системам в вашем домене. Это особенно полезно для офисов и школ, работающих на компьютерах Windows.
Лучшие настройки групповой политики
Прежде чем мы начнем, давайте поймем, что групповая политика — это графический инструмент, который позволяет редактировать собственные настройки ОС, настройки ядра и т. д. Однако неправильная настройка групповой политики может даже привести к сбоям в работе вашей ОС. Поэтому, если вы собираетесь вносить какие-либо изменения, обязательно экспортируйте список, прежде чем вносить какие-либо изменения.
Как получить доступ к групповой политике
Одним из самых больших предостережений групповой политики является то, что она доступна только на компьютерах под управлением версий Windows Professional, Education или Enterprise. Даже если вы используете Windows Home, вы можете получить доступ к групповой политике, но с некоторыми обходными путями, которые я объясню ниже.
Чтобы получить доступ к групповой политике, существует несколько способов. Один из самых простых способов — открыть командную строку >ввести «gpedit.msc» и нажать «Ввод».
Хотя групповая политика не входит в состав выпусков Windows Home, доступ к ней все же существует. Все, что вам нужно сделать, это установить сторонний редактор групповой политики, загрузив этот Пакетный файл . Откройте его от имени администратора, он начнет установку в командной строке. Установка займет около 2-3 минут. После завершения процесса снова откройте командную строку и введите gpedit.msc, чтобы получить к ней доступ.
1. Отключите любую установку программного обеспечения
Не разрешая пользователям устанавливать различное программное обеспечение, вы можете уменьшить объем обслуживания и очистки, требуемых в случае установки чего-то плохого, поскольку это также является одной из потенциальных причин появления вредоносного ПО. Это еще более полезно, особенно в школах, где вы хотите, чтобы учащиеся имели доступ только к тому, что необходимо.
Если вы хотите запретить пользователям устанавливать или запускать программы, вы можете установить это, открывГрупповую политику >Перейдите в раздел «Конфигурации компьютера» >«Административные шаблоны» >«Компоненты Windows» >«Установщик Windows» и дважды щелкните . >Отключите Установщик Windows. Измените настройку, чтобы включить, и убедитесь, что в опции указано «Только для неуправляемых приложений», чтобы они могли устанавливать все приложения, разрешенные руководством. Теперь нажмите «Применить» и перезагрузите компьютер, чтобы изменения вступили в силу.
Блокировка запуска определенных приложений
Во многих ситуациях блокировать установку всех приложений является излишним. Если все, что вам нужно, — это заблокировать всего несколько приложений, вы можете внести эти изменения в групповую политику.
Откройте Групповая политика >Конфигурация пользователя >Административные шаблоны >Система и дважды щелкните параметр Не запускать указанные приложения Windows. Измените настройку, чтобы включить ее, и нажмите кнопку «Показать». Теперь вы можете ввести список приложений, которые хотите заблокировать для пользователей, и нажать «ОК». Теперь нажмите «Применить» и перезагрузите систему, чтобы настройки вступили в силу.
2. Заблокируйте доступ к панели управления
Ограничения для панели управления важно устанавливать чаще всего в бизнес-средах, поскольку это дает вам контроль над всей системой. Вы можете либо заблокировать весь доступ, либо ограничить его доступ.
Чтобы заблокировать доступ, откройте Групповую политику >Конфигурация пользователя >Административные шаблоны >Панель управления > , дважды щелкните Запретить доступ к панели управления и настройкам ПК и нажмите включить и применить. И изменения вступят в силу сразу.
Показать только определенные элементы панели управления
Вышеуказанный процесс блокирует доступ ко всей панели управления. Но если вы хотите ограничить использование. это можно сделать, открыв групповую политику >Конфигурация пользователя >Административные шаблоны >Панель управления > , дважды щелкнув Показать только указанные элементы панели управления и нажав «Включить». Теперь нажмите на опцию «Показать», чтобы указать каждую опцию панели управления, которую нужно отобразить. Если его нет в этом списке, он не будет показан пользователю.
Это означает, что вам нужно тщательно выбрать и ввести каждый элемент панели управления, который вы хотите включить. Вы можете найти имена все элементы панели управления на веб-сайте Microsoft .
3. Отключить командную строку
Командная строка, несомненно, очень полезна и в то же время кошмарна, поскольку она дает пользователям возможность запускать команды и программы, для которых вы не предназначены. Это также может быть опасным инструментом в руках неопытных. Существует множество причин отключить командную строку. Возможно, у вас есть дети, которые пользуются общим компьютером, или вы позволяете гостям пользоваться вашим компьютером, когда они остаются с вами. Или, возможно, у вас рабочий компьютер, и вам необходимо его заблокировать.
Чтобы отключить, откройте Групповая политика >Конфигурация пользователя >Административные шаблоны >Система и дважды щелкните параметр Запретить доступ к командной строке. Измените политику, чтобы включить и применить. Теперь вам потребуется перезагрузка, чтобы изменения вступили в силу.
4. Отключить редактор реестра Windows
Как и командная строка, редактор реестра может даже нарушать работу и обходить некоторые ограничения групповой политики. Поэтому, чтобы защитить политику, вы можете открыть Групповая политика >Конфигурация пользователя >Административные шаблоны >Система, дважды щелкнуть Запретить доступ к инструментам редактирования реестра и включить его. Теперь нажмите «Применить» и перезагрузите компьютер, чтобы изменения вступили в силу.
5. Блокировать драйверы съемных носителей
USB-устройства и другие съемные носители могут быть опасны для ПК. Если кто-то случайно или намеренно подключит зараженное вирусом устройство хранения данных, это может повлиять на компьютер или даже домен. При использовании большого количества компьютеров включение мультимедийных драйверов затрудняет управление хранилищем. Блокировка драйверов съемных носителей обычно используется во многих школах и колледжах.
Чтобы заблокировать драйверы носителей, откройте Групповая политика >Конфигурация пользователя >Административные шаблоны >Система >Доступ к съемным носителям и дважды щелкните Съемные диски: запретить доступ для чтения. Теперь нажмите на опцию «Включить» и примените, чтобы компьютер не мог читать внешние драйверы.
Блокировка записи
Вышеуказанная опция только заставит ПК не читать файлы на внешнем устройстве. Но вы все равно можете скопировать файлы на внешнее устройство. Если вы хотите защитить файлы, вам также необходимо заблокировать опцию записи. Это обычно реализуется в бизнес-среде.
Чтобы заблокировать параметры записи, откройте Групповая политика >Конфигурация пользователя >Административные шаблоны >Система >Доступ к съемным носителям и дважды щелкните Съемные диски: запретить доступ к записи. Теперь включите эту опцию и выберите «Применить», чтобы применить изменения.
В качестве альтернативы вы можете использовать Все классы съемных носителей: запретить весь доступ, чтобы одновременно заблокировать параметры чтения и записи.
6. Скрыть раздел диска с компьютера
Если в системах есть какая-либо конфиденциальная информация, возможно, вы захотите скрыть ее от конкретных пользователей, чтобы получить к ней доступ. Вы можете сделать это из настроек групповой политики. Но помните, что этот параметр скроет его только от проводника и некоторых других приложений, но люди по-прежнему смогут получить к нему доступ из командной строки.
В любом случае вы можете скрыть его, открыв Групповая политика >Конфигурация пользователя >Административные шаблоны >Компоненты Windows >Проводник Windows и дважды щелкнув Скрыть указанные диски на моем компьютере >и выберите опцию включения. После включения щелкните раскрывающееся меню на панели «Параметры» и выберите, какие диски вы хотите скрыть. Диски будут скрыты, когда вы нажмете «ОК».
7. Увеличьте минимальную длину пароля
Длина пароля Windows по умолчанию равна 8, и вам необходимо использовать хотя бы одну заглавную или строчную букву, а также цифру или специальный символ. На самом деле он хорошо защищен. Но вы можете повысить безопасность, увеличив длину пароля. Вы можете установить его до 14, используя прописные и строчные буквы, а также цифры или специальные символы.
Вы можете изменить это, открыв Групповая политика >Конфигурация компьютера >Настройки Windows >Настройки безопасности >Политики учетных записей >Политика паролей и дважды щелкните Минимальная длина пароля и укажите политику. значение длины, нажмите и примените.
8. Отслеживать входы в учетную запись
С помощью групповой политики вы можете заставить Windows отслеживать все успешные и неудачные входы в систему на ПК. Вы можете установить его для конкретного компьютера или конкретного пользователя. В любом случае, это будет полезно для отслеживания посторонних лиц, пытающихся войти в систему. Ее можно включить, открыв Групповая политика >Конфигурация компьютера >Настройки Windows >Настройки безопасности >Локальные политики >Политика аудита и дважды коснувшись Аудит событий входа в систему.
Здесь установите флажки рядом с параметрами «Успех» и «Неудача». Когда вы нажмете «ОК», Windows начнет вести учет входов в систему на ПК.
Чтобы просмотреть эти имена входа, откройте «Выполнить» и введите eventvwr, чтобы открыть средство просмотра событий Windows. Теперь разверните Журналы Windows и выберите параметр Безопасность . На средней панели вы можете просмотреть все попытки входа. Вы можете посмотреть учетную запись, под которой пытались войти, дату, а также время. Но успешные и неудачные попытки упоминаются в коде.
9. Отключить OneDrive
Вам может нравиться OneDrive или полностью его ненавидеть. Если вы или ваша организация не используете OneDrive или просто хотите удалить его со своего компьютера, вы можете обойтись групповой политикой. Откройте Групповая политика >Конфигурация компьютера >Административные шаблоны >Компоненты Windows >OneDrive и дважды щелкните Запретить использование OneDrive для хранения файлов. Теперь включите его и нажмите «Применить». Для внесения изменений необходимо перезагрузить компьютер.
10. Держите изменения групповой политики под контролем
В любом случае, эти изменения можно вернуть в нормальное состояние, используя групповую политику тем же методом, но снова отключив их. Вы можете продолжать отвечать за групповую политику, используя Аудит объектов групповой политики . Чтобы постоянно отслеживать изменения, вносимые в объекты групповой политики, попробуйте Репортер по лепидным изменениям.
Подведение итогов
После завершения настройки параметров групповой политики вам необходимо перенести настройки в группу компьютеров в Active Directory где вы можете установить каталог для каждого компьютера в домене. Вы также можете установите определенные групповые политики только для отдельных пользователей или компьютеров. Теперь все, что вам нужно сделать, это загрузить групповую политику из Active Directory, чтобы применить ее. Любые изменения в активном каталоге автоматически применяются к отдельным системам.