Локальная политика безопасности windows 7 домашняя базовая. Сброс локальных групповых политик в Windows

Желание Microsoft похоронить его в глубине системы совершенно не удивительно - в руках неопытного пользователя Редактор локальной групповой политики может нарушить нормальное функционирование ОС. Это своего рода электронный ящик Пандоры, способный ввергнуть мир Windows в череду несчастий и бед, попади он не в те руки.

Разумеется, эти мрачные пророчества не имеют к вам, дорогие читатели, никакого отношения. Ведь вы - осторожные и внимательные пользователи системных инструментов, и конечно же, не забудете создать точку восстановления системы, прежде чем браться за редактирование локальных групповых политик. Я не сомневаюсь, что на вас можно положиться.

Если коротко, групповые политики - это параметры, управляющие функционированием системы. Их можно использовать для настройки интерфейса Windows 7, ограничения доступа к определенным зонам, определения параметров безопасности и так далее. Изменять групповые политики можно с помощью Редактора локальной групповой политики - оснастки . В версиях Windows 7 Home и Редактор недоступен, поэтому по каждому пункту я буду также давать рекомендации о том, как добиться желаемого результата с помощью Редактора реестра (Regedit). Чтобы запустить Редактор локальной групповой политики:

1. Нажмите кнопку «Пуск» (Start).
2. Введите «gpedit.msc» в строке поиска.
3. Нажмите .

На рис. A показано окно Редактора локальной групповой политики. Слово «локальной» указывает на то, что редактируются групповые политики на локальном компьютере, а не на удаленном.

Рисунок A. Использование Редактора локальной групповой политики для изменения групповой политики на локальном компьютере.

При удалении файлов или папок в Windows 7 всегда появляется диалоговое окно с предложением подтвердить удаление. Если это вас напрягает, подтверждения можно отключить, нажав правой кнопкой мыши на значке Корзины (Recycle Bin) и сняв флажок «Запрашивать подтверждение на удаление» (Display Delete Confirmation Dialog) в диалоговом окне «Свойства» (Properties).

С другой стороны, система по умолчанию запрашивает подтверждение на удаление не просто так, а для того, чтобы пользователь случайно не удалил нужные файлы. Мы с вами - люди опытные и хорошо понимаем, что можно удалять, а что нет. Но ведь не все такие. Если компьютером пользуются маленькие дети или пожилые родители, плохо знакомые с системой, запрос подтверждения на удаление - прекрасная защита от случайных ошибок неопытных пользователей.

В этом случае имеет смысл сделать так, чтобы рядовые пользователи не имели возможности самостоятельно отключать запросы на подтверждение удаления. Это возможно двумя способами:

Либо путем блокирования флажка «Запрашивать подтверждение на удаление» в диалоговом окне свойств Корзины;
. либо путем блокирования самого диалогового окна «Свойства», чтобы пользователь не имел к нему доступа.

Чтобы воспользоваться одним из этих способов:

1. В окне Редактора локальной групповой политики разверните узел «Конфигурация пользователя» (User Configuration).
2. Разверните элемент «Административные шаблоны» (Administrative Templates).
3. Вызовите окно свойств интересующей вас политики.

Если хотите заблокировать флажок «Запрашивать подтверждение на удаление» в окне свойств, разверните элемент «Компоненты Windows» (Windows Components) и выберите пункт «Проводник Windows» (Windows Explorer). Дважды щелкните на политике «Запрашивать подтверждение при удалении файлов» (Display Confirmation Dialog When Deleting Files).

Если у вас нет доступа к , откройте Редактор реестра и создайте параметр DWORD с именем «ConfirmFileDelete» (без кавычек) и значением «1» (без кавычек) в разделе «HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer».

Чтобы сделать недоступной команду «Свойства» в контекстном меню Корзины, выберите пункт «Рабочий стол» (Desktop) и дважды щелкните на политике «Убрать пункт "Свойства" из контекстного меню Корзины» (Remove Properties From The Recycle Bin Context Menu).
Если у вас нет доступа к Редактору локальной групповой политики, откройте Редактор реестра и создайте параметр DWORD с именем «NoPropertiesRecycleBin» (без кавычек) и значением «1» (без кавычек) в разделе «HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer».

4. Выберите значение «Включен» (Enabled).
5. Нажмите «OK», чтобы применить изменения.

2. Отключение области уведомлений

Если вы не пользуетесь областью уведомлений, ее можно полностью отключить. Для этого:

1. В окне Редактора локальной групповой политики разверните узел «Конфигурация пользователя».
2. Разверните элемент «Административные шаблоны».
3. Разверните элемент «Меню "Пуск" и панель задач» (Start Menu And Taskbar).
4. Дважды щелкните на политике «Скрывать область уведомлений» (Hide The Notification Area), выберите значение «Включено» и нажмите «OK».
5. Дважды щелкните на политике «Убрать часы из области уведомлений» (Remove Clock From The System Notification Area), выберите значение «Включено» и нажмите «OK».
6. Выйдите из системы и снова войдите, чтобы изменения вступили в силу.

Чтобы реализовать эту политику через реестр, нажмите кнопку «Пуск», введите в строке поиска «regedit», нажмите и подтвердите продолжение операции в окне . Откроется Редактор реестра. Найдите в нем раздел «HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer». Если раздел «Explorer» отсутствует, выделите раздел «Policies», выберите пункт меню «Правка | Создать | Раздел» (Edit | New | Key), введите «Explorer» (без кавычек) и нажмите .

Теперь выполните следующие действия:
1. Выберите пункт меню «Правка | Создать | Параметр DWORD (32 бита)» (Edit | New | DWORD (32-bit) Value).
2. Введите «NoTrayItemsDisplay» (без кавычек) и нажмите .
3. Нажмите , чтобы вызвать окно свойств «NoTrayItemsDisplay», введите «1» (без кавычек) и нажмите «OK».
4. Выберите пункт меню «Правка | Создать | Параметр DWORD (32 бита)».
5. Введите «HideClock» (без кавычек) и нажмите .
6. Нажмите , чтобы вызвать окно свойств «HideClock», введите «1» (без кавычек) и нажмите «OK».
7. Выйдите из системы и снова войдите, чтобы изменения вступили в силу.

Редактор групповых политик (Gpedit.msc ) – это специальная mmc консоль, которая позволяет управлять различными параметрами системы путем редактирования предопределенных настроек – политик (на сайте существует целый раздел посвященный ). Если копнуть глубже, то по сути редактор gpedit.msc это просто интерфейс для управления параметрами реестра Windows, т.е. любое изменение политики ведет к изменению того или иного ключа в реестре Windows 7. Существует даже специальные таблицы соответствия между параметрами групповых политик и настройками в реестре. Называются они “Group Policy Settings Reference for Windows and Windows Server “ (http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=25250). Т.е. все те настройки, которые задаются с помощью графической консоли gpedit можно задать вручную, найдя в данной таблице нужный ключ реестра.

Однако консоль управления групповыми политиками доступна только в «старших» версиях ОС – редакции Windows 7 Ultimate, Professional и Enterprise. Если же набрать команду gpedit.msc в Windows 7 Home Premium, Home Basic или Starter, то появится ошибка о том, что команда не найдена. Т.е. редактора групповых политик в этих версиях нет.

Так можно ли установить редактор групповых политик gpedit в Windows 7 Home ? К счастью да (хотя и не тривиально)!

Чтобы установить gpedit.msc в Windows 7 Home нам понадобиться специальный патчик (неофициальный). Скачать его можно .

Распакуйте и запустите установочный файл с правами администратора. Установка осуществляется в режиме мастера и крайне проста.

Если вы используете 64 битную версию Windows Home или Starter, после установки патча необходимо дополнительно скопировать следующие объекты из каталога C:\windows\SysWOW64 в каталог C:\Windows\System32:

• папку GroupPolicy
• папку GroupPolicyUsers
• файл gpedit.msc

После установки обновления необходимо будет перезагрузить компьютер и попробовать выполнить команду gpedit.msc. Если все пройдет успешно, должна открыться искомая консоль редактора групповых политик.

Политика безопасности представляет собой набор параметров для регулирования безопасности ПК, путем их применения к конкретному объекту или к группе объектов одного класса. Большинство пользователей редко производят изменения данных настроек, но бывают ситуации, когда это нужно сделать. Давайте разберемся, как выполнить данные действия на компьютерах с Виндовс 7.

Прежде всего, нужно отметить, что по умолчанию политика безопасности настроена оптимально для выполнения повседневных задач рядового юзера. Производить манипуляции в ней нужно только в случае возникновения необходимости решить конкретный вопрос, требующий корректировки данных параметров.

Изучаемые нами настройки безопасности регулируются с помощью GPO. В Виндовс 7 сделать это можно, используя инструменты либо «Редактор локальных групповых политик» . Обязательным условием является вход в профиль системы с полномочиями администратора. Далее мы рассмотрим оба этих варианта действий.

Способ 1: Применение инструмента «Локальная политика безопасности»

Прежде всего, изучим, как решить поставленную задачу с помощью инструмента «Локальная политика безопасности» .

1. Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления» .



2. Далее откройте раздел «Система и безопасности» .



3. Щелкните «Администрирование» .



4. Из предложенного набора системных инструментов выберите вариант «Локальная политика безопасности» .

   

   Также оснастку можно запустить и через окно «Выполнить» . Для этого наберите Win+R и введите следующую команду:

   Затем щелкните «OK» .



5. Указанные выше действия приведут к запуску графического интерфейса искомого инструмента. В подавляющем большинстве случаев возникает необходимость откорректировать параметры в папке «Локальные политики» . Тогда нужно щелкнуть по элементу с этим наименованием.



6. В данном каталоге располагается три папки.

   В директории определяются полномочия отдельных пользователей или групп юзеров. Например, можно указать, запрет или разрешение для отдельных лиц или категорий пользователей на выполнение конкретных задач; определить, кому разрешен локальный доступ к ПК, а кому только по сети и т.д.

   В каталоге «Политика аудита» указываются события, предназначенные для записи в журнале безопасности.

   В папке «Параметры безопасности» указываются разнообразные административные настройки, которые определяют поведение ОС при входе в неё как локально, так и через сеть, а также взаимодействие с различными устройствами. Без особой необходимости данные параметры изменять не стоит, так как большинство соответствующих задач можно решить через стандартную настройку учетных записей, родительский контроль и разрешения NTFS.

   

7. Для дальнейших действий по решаемой нами задаче щелкните по наименованию одного из указанных выше каталогов.



8. Откроется перечень политик выбранного каталога. Кликните по той из них, которую желаете изменить.



9. После этого откроется окошко редактирования политики. Его вид и действия, которые необходимо произвести, существенно отличаются от того, к какой именно категории она принадлежит. Например, для объектов из папки «Назначение прав пользователя» в открывшемся окне необходимо добавить или удалить имя конкретного пользователя либо группы юзеров. Добавление производится путем нажатия кнопки «Добавить пользователя или группу…» .

   

   Если же необходимо произвести удаление элемента из выбранной политики, то выделите его и нажмите «Удалить» .



10. После завершения манипуляций в окне редактирования политики для сохранения внесенных корректировок не забудьте нажать кнопки «Применить» и «OK» , а иначе изменения не вступят в силу.

Мы описали изменение настроек безопасности на примере действий в папке «Локальные политики» , но по такой же аналогии можно производить действия и в других каталогах оснастки, например в директории «Политики учетных записей» .

Способ 2: Использование инструмента «Редактор локальной групповой политики»

Настроить локальную политику можно также при помощи оснастки «Редактор локальной групповой политики» . Правда, данный вариант доступен не во всех редакциях Windows 7, а только в Ultimate, Professional и Enterprise.

1. В отличие от предыдущей оснастки, данный инструмент нельзя запустить через «Панель управления» . Его можно активировать только путем введения команды в окно «Выполнить» или в «Командную строку» . Наберите Win+R и введите в поле такое выражение:

   Затем щелкните «OK» .

   

Достаточно часто многие пользователи, работающие на компьютерных терминалах без администраторских прав, сталкиваются с проблемой, что какое-то действие отключено администратором или просто запрещено. Для таких запретов и используется редактор групповой политики. Что это такое и как с ним работать, мы сейчас и посмотрим.

групповой политики?

Сам по себе редактор представляет достаточно сложное и мощное средство, позволяющее производить тонкую настройку системы, включать или отключать ее отдельные компоненты, устанавливать разрешения и запреты для пользователей на использование отдельных компонентов Windows, устанавливать или запускать приложения и т. д.

Тут следует учитывать и то, что существует два типа такого инструмента: редактор локальной групповой политики (для данного терминала) и инструментарий для групповых политик службы каталогов (Active Directory используется сайтами, доменами, сетевыми терминалами и т. д.).

Кроме того, обязательно нужно знать, что такие функции предусмотрены в тех же системах Windows 7 или 8 исключительно версий Ultimate, Professional и Enterprise. В домашних версиях типа Home или Starter этот элемент не установлен изначально, так что искать его даже нечего пытаться. Чуть позже мы рассмотрим, как включить редактор групповой политики в домашних сборках Windows. А пока посмотрим на основные функции этого инструмента.

Запуск редактора

Для начала рассмотрим вопрос, как зайти в редактор локальной групповой политики. Самым простым способом считается использование командной строки или меню «Выполнить» (Win + R). Редактор 8 или 7) вызывается командой gpedit.msc.

Теперь посмотрим на основные настройки и разберемся, для чего они предназначены.

Основные параметры и настройки

В левом окне редактора сразу можно увидеть два основных раздела. Первый касается компьютерной системы в целом. Здесь можно редактировать все параметры, которые применяются к системе, независимо от того, какой именно пользователь работает на терминале в данный момент. Во втором разделе находятся настройки, так сказать, привязанные к каждому конкретному юзеру.

В данном случае (естественно, если зайти как администратор) можно устанавливать запреты и разрешения другим пользователям на выполнение тех или иных действий.

Так, например, необходимо отключить, допустим, редактирование реестра, чтобы неопытный юзер не дай бог не полез туда и не удалил важный ключ или запись, которая может повлиять на работоспособность всей «операционки». Для этого используется раздел административных шаблонов пользовательской конфигурации, где и выбирается соответствующий пункт запрета доступа к средствам редактирования реестра. При входе в меню подраздела просто ставится галочка напротив параметра «Включено».

Теперь юзер при вводе команды regedit получит сообщение о том, что редактирование реестра запрещено администратором. Впрочем, это касается любых действий пользователей и действующих ограничений или разрешений.

Интересными выглядят и настройки компьютерной конфигурации. Так, например, совершенно запросто можно изменить, опустим, действие, выполняемое при нажатии сочетания клавиш Ctrl + Alt + Del, или что-то еще. Иными словами, применяя параметры редактора, можно настроить систему, что называется, под себя. Для этого тут имеется достаточно много мощнейших средств.

Установка и включение редактора групповой политики в версиях Windows Home (7, 8)

Теперь несколько слов о том, как можно использовать редактор групповой политики в версиях Windows Home и Starter. Для этого нужно всего лишь скачать из Интернета установочный дистрибутив и инсталлировать данный компонент. Установка проблем не вызывает, поскольку является стандартным процессом. По его завершении потребуется перезагрузка компьютерной системы. Но это еще не все.

Где находится редактор локальной групповой политики

Тут мы подходим к вопросу о местонахождении файла, отвечающего за запуск редактора. В стандартном варианте для систем с архитектурой 32 бита файл запуска располагается в системной папке System32 в корневой директории Windows.

В 64-битных версиях той же «семерки» или «восьмерки» после установки файла при помощи вышеуказанной утилиты его расположение будет изменено на папку SysWOW64 (именно там распложены все файлы команд, вызываемых через меню «Выполнить»).

Так что, если сразу после установки и перезагрузки системы ввести команду вызова редактора, может ничего и не получиться. Система просто выдаст сообщение, что файл gpedit.msc не найден. Ничего страшного. Выход из такой ситуации достаточно прост. Нужно просто искомый файл копировать в папку System32, только и всего.

Заключение

В заключение остается добавить, что редактор групповой политики - инструмент достаточно мощный и серьезный. Поэтому хотя бы без каких-либо начальных знаний изменять параметры, находящиеся там, не рекомендуется, а то еще, чего доброго, вся система «вылетит». Ну а опытный пользователь, используя совестно системный реестр и настройки групповой политики, может доиться очень многого, тем более что сам редактор и реестр взаимосвязаны между собой вплоть до полного дублирования некоторых настроек и параметров.

В предыдущих моих статьях о групповых политиках было рассказано о принципах работы оснастки . Рассматривались некоторые узлы текущей оснастки, а также функционал множественной групповой политики. Начиная с этой статьи, вы сможете узнать об управлении параметрами безопасности на локальном компьютере, а также в доменной среде. В наше время обеспечение безопасности является неотъемлемой частью работы как для системных администраторов в крупных и даже мелких предприятиях, так и для домашних пользователей, перед которыми стоит задача настройки компьютера. Неопытные администраторы и домашние пользователи могут посчитать, что после установки антивируса и брандмауэра их операционные системы надежно защищены, но это не совсем так. Конечно, эти компьютеры будут защищены от множества атак, но что же спасет их от человеческого фактора? Сейчас возможности операционных систем по обеспечению безопасности очень велики. Существуют тысячи параметров безопасности, которые обеспечивают работу служб, сетевую безопасность, ограничение доступа к определенным ключам и параметрам системного реестра, управление агентами восстановления данных шифрования дисков BitLocker, управление доступом к приложениям и многое, многое другое.

В связи с большим числом параметров безопасности операционных систем Windows Server 2008 R2 и Windows 7 , невозможно настроить все компьютеры, используя один и тот же набор параметров. В статье "Настройки групповых политик контроля учетных записей в Windows 7" были рассмотрены методы тонкой настройки контроля учетных записей операционных систем Windows, и это только малая часть того, что вы можете сделать при помощи политик безопасности. В цикле статей по локальным политикам безопасности я постараюсь рассмотреть как можно больше механизмов обеспечения безопасности с примерами, которые могут вам помочь в дальнейшей работе.

Конфигурирование политик безопасности

Политика безопасности - это набор параметров, которые регулируют безопасность компьютера и управляются с помощью локального объекта GPO. Настраивать данные политики можно при помощи оснастки "Редактор локальной групповой политики" или оснастки . Оснастка "Локальная политика безопасности" используется для изменения политики учетных записей и локальной политики на локальном компьютере, а политики учетных записей, привязанных к домену Active Directory можно настраивать при помощи оснастки "Редактор управления групповыми политиками" . Перейти к локальным политикам безопасности, вы можете следующими способами.