Лучшие параметры групповой политики, которые нужно изменить для управления Windows

Групповая политика Windows Это технология управления конфигурацией, которая является частью Windows Server Active Directory. Их можно использовать для настройки параметров в клиентских и серверных операционных системах Windows, чтобы обеспечить согласованную и безопасную настройку на нескольких устройствах. Существуют сотни параметров, доступных для использования при настройке объектов групповой политики (GPO), но в этой статье я покажу вам некоторые параметры групповой политики, которые необходимо правильно настроить для обеспечения базовой безопасности в вашей среде.

Если вы хотите изменить поведение Windows, взяв на себя больший контроль над безопасностью или отключив некоторые вещи, которые Microsoft предлагает вам, вы можете сделать это, выполнив следующие действия. Изменить параметры групповой политики. Да, вы также можете сделать то же самое из Редактор реестра , но у групповой политики есть несколько других преимуществ, например, конфигурации групповой политики не изменятся после обновления Windows, в отличие от реестра. Что наиболее важно, вы можете либо настроить групповую политику локально в своей системе, либо создать Active Directory для применения настроек к нескольким системам в вашем домене. Это особенно полезно для офисов и школ, работающих на компьютерах с Windows.

Окна | Параметры групповой политики 1 | windows 10 19h1 как настроить память с помощью редактора групповой политики 524031 3 rnOT0Yfs DzTechs

Лучшие настройки групповой политики

Прежде чем мы начнем, позвольте нам указать, что групповая политика - это графический инструмент, который позволяет вам изменять исходные настройки операционной системы, настройки ядра и т. Д. Однако неправильное изменение групповой политики может привести к сбою вашей операционной системы. Итак, если вы собираетесь вносить какие-либо изменения, обязательно Экспорт виртуальных конфигураций прежде чем вносить какие-либо изменения.

Одним из самых серьезных недостатков групповой политики является то, что она доступна только на компьютерах с выпусками Windows Professional, Education или Enterprise. Даже если вы используете Windows Home, вы можете получить доступ к групповой политике, но с некоторыми обходными путями, которые я объясню ниже.

Для доступа к групповой политике есть несколько способов, один из самых простых - открыть Командная строка -> введите «gpedit.msc». И нажмите Enter.

Окна | Параметры групповой политики 2 | доступ к групповой политике 6U4S0Yfs DzTechs

Хотя групповая политика не является частью выпуска Windows Home, все же есть способ получить к ней доступ. Все, что вам нужно сделать, это установить этот сторонний редактор групповой политики, загрузив Пакетный файл Этот. Вы должны открыть его с правами администратора, и установка начнется в командной строке. На установку уйдет около 2-3 минут. После завершения процесса снова откройте командную строку и введите gpedit.msc чтобы достичь этого.

Окна | Параметры групповой политики 3 | установка групповой политики в Windows home 8n5S0Yfs DzTechs

1. Отключите установку приложений.

Не позволяя пользователям устанавливать различные приложения, вы можете сократить объем обслуживания и очистки, необходимых при установке чего-то плохого, поскольку это также является одной из возможных причин появления вредоносных программ. Это более полезно, особенно в школах, где вы хотите, чтобы учащиеся имели доступ только к тому, что требуется для использования.

Окна | Параметры групповой политики 4 | отключить установщик windows zD5S0Yfs DzTechs

Если вы хотите запретить пользователям устанавливать или запускать приложения, вы можете установить это, открыв групповую политику и перейдя в Конфигурации компьютера> Административные шаблоны> Компоненты Windows> Установщик Windows И вам нужно дважды щелкнуть параметр Отключить установщик Windows. Измените настройку на Давать возможность Убедитесь, что опция говорит «Только для неуправляемых приложений», Чтобы пользователь мог установить все разрешенные администрацией приложения. Теперь нажмите на تطبيق Перезагрузите компьютер, чтобы внести изменения.

Окна | Настройки групповой политики 5 | отключить установщик Windows 2 uC5S0Yfs DzTechs

Блокировать запуск определенных приложений

Блокировка установки всех приложений является излишним во многих ситуациях. Если все, что вам нужно, это заблокировать только определенные приложения, вы можете внести эти изменения в групповую политику.

Окна | Параметры групповой политики 6 | не запускайте определенное приложение Windows vt5S0Yfs DzTechs

Откройте групповую политику и перейдите в Конфигурация пользователя> Административные шаблоны> Система И дважды щелкните Option Не запускать указанные приложения Windows. Измените настройку на Давать возможность и нажмите кнопку. Показать. Теперь вы можете ввести список приложений, которые вы хотите заблокировать и к которым вы не хотите, чтобы пользователи получали доступ, и вам нужно нажать Ok. Теперь нажмите تطبيق Перезагрузите систему, чтобы внести изменения.

Окна | Параметры групповой политики 7 | список названий приложений для отключения sr5S0Yfs DzTechs

2. Запретить доступ к панели управления.

Важно наложить некоторые ограничения на панель управления, в основном в бизнес-средах, потому что она дает вам контроль над всей системой. Вы можете либо полностью заблокировать доступ, либо ограничить доступ к некоторым страницам.

Чтобы заблокировать доступ, откройте групповую политику и перейдите в Конфигурация пользователя> Административные шаблоны> Панель управления и дважды щелкните Запрещенный доступ к панели управления и настройки ПК и нажмите Давать возможность وتطبيق. Изменения вступят в силу немедленно.

Окна | Параметры групповой политики 8 | запретить пользователям доступ к панели управления vt5S0Yfs DzTechs

Показывать только определенные страницы из панели управления

Вышеупомянутый процесс предотвращает полный доступ к Панели управления. Но если вы хотите ограничить использование. Вы можете сделать это, открыв групповую политику и перейдя в Конфигурация пользователя> Административные шаблоны> Панель управления и дважды щелкните Показать только указанные элементы панели управления и нажмите Давать возможность. Теперь нажмите на Дисплей Выбирает каждый параметр панели управления для отображения. Если параметр отсутствует в этом меню, он не будет отображаться для пользователя.

Это означает, что вам нужно будет тщательно выбрать и ввести каждый элемент панели управления, который вы хотите включить. Ты можешь найти Названия всех элементов Панели управления на сайте Microsoft.

Окна | Параметры групповой политики 9 | показывать только отдельные элементы панели управления uC5S0Yfs DzTechs

3. Отключить командную строку

Командная строка, несомненно, очень полезна, и в то же время это кошмар, поскольку она дает пользователям возможность запускать команды и приложения, к которым вы не хотите получать доступ. Это также может быть опасным инструментом в неопытных руках. Есть много причин для отключения командной строки: возможно, у вас есть дети, использующие семейный компьютер, или вы разрешаете гостям использовать ваш компьютер, когда они остаются с вами. Или, может быть, у вас бизнес-компьютер, поэтому вам нужно его отключить.

Окна | Параметры групповой политики 10 | Запретить доступ к командной строке Iv5S0Yfs DzTechs

Чтобы отключить командную строку, откройте групповую политику и перейдите в Конфигурация пользователя> Административные шаблоны> Система и дважды щелкните Запретить использование командной строки. Вы должны изменить политику на Давать возможность И нажав на تطبيق. Теперь вам нужно перезагрузить компьютер, чтобы внести изменения.

4. Отключите редактор реестра Windows.

Как и командная строка, редактор реестра Windows может привести к сбою системы при ее неправильном изменении, а также при обходе некоторых ограничений групповой политики. Таким образом, чтобы защитить конфигурации, вы можете открыть групповую политику, перейти в раздел «Конфигурация пользователя»> «Административные шаблоны»> «Система», дважды щелкнуть «Запретить доступ к инструментам редактирования реестра» и включить политику. Теперь нажмите на تطبيق Перезагрузите компьютер, чтобы внести изменения.

5. Запретить доступ к съемным носителям.

USB-накопители или другие съемные носители могут быть опасны для вашего компьютера. Если кто-то случайно или намеренно подключит запоминающее устройство, зараженное вирусом, это может повлиять на компьютер или даже на весь домен. При работе большого количества компьютеров разрешение доступа к внешним носителям затрудняет управление хранилищем. Доступ к съемным носителям обычно заблокирован во многих школах и колледжах.

Чтобы заблокировать доступ к внешним носителям, откройте групповую политику и перейдите в Конфигурация пользователя> Административные шаблоны> Система> Доступ к съемному хранилищу и дважды щелкните Съемные диски: запретить доступ для чтения. Теперь нажмите на вариант Расширение прав и возможностей и нажмите تطبيق Перезагрузите компьютер, чтобы внести изменения.

блокирование возможности записи

Вышеупомянутая опция заставит ПК не читать файлы на внешнем устройстве. Но вы все равно можете копировать файлы на внешнее устройство. Если вы хотите защитить файлы, вам также необходимо заблокировать опцию записи. Эта конфигурация обычно применяется в бизнес-средах.

Чтобы заблокировать возможность записи, откройте групповую политику и перейдите в Конфигурация пользователя> Административные шаблоны> Система> Доступ к съемному хранилищу и дважды щелкните Съемные диски: запретить запись в доступе. Теперь включите опцию и выберите تطبيق чтобы применить изменения.

Окна | Параметры групповой политики 11 | отключение чтения и записи внешних устройств Os5S0Yfs DzTechs

В качестве альтернативы вы можете использовать опцию. Все классы съемных носителей: запретить любой доступ Для одновременной блокировки параметров чтения и записи.

6. Скрыть разделы компьютера.

Если в системах есть какая-либо конфиденциальная информация, вы можете скрыть ее от определенных пользователей, чтобы получить к ней доступ. Вы можете сделать это в настройках групповой политики. Но помните, что этот параметр скроет его только из проводника и некоторых других приложений, но люди по-прежнему могут получить к нему доступ из командной строки.

В любом случае, вы можете скрыть разделы на диске, открыв групповую политику и перейдя в Конфигурация пользователя> Административные шаблоны> Компоненты Windows> Проводник Windows и дважды щелкнув по Скрытие указанных дисков на моем компьютере и выберите вариант Расширение прав и возможностей. После включения щелкните раскрывающееся меню на панели параметров и выберите диски, которые хотите скрыть. Диски будут скрыты, когда вы нажмете Ok.

7. Увеличьте минимальную длину пароля.

Длина пароля Windows по умолчанию - 8, и вам нужно использовать как минимум одну прописную и строчную букву и как минимум одну цифру или специальный символ. На самом деле он довольно хорошо защищен. Но вы можете повысить безопасность, увеличив длину пароля. Вы можете установить его длину до 14 с использованием прописных и строчных букв, цифр или специальных символов.

Вы можете изменить это, открыв групповую политику и перейдя в Конфигурация компьютера> Параметры Windows> Параметры безопасности> Политики учетных записей> Политика паролей И дважды щелкните Политика Минимальная длина пароля Установите значение длины и коснитесь تطبيق.

Окна | Параметры групповой политики 12 | установка минимальной длины пароля Y35S0Yfs DzTechs

8. Следите за входами в систему.

С помощью групповой политики вы можете заставить Windows отслеживать все успешные и неудачные попытки входа на компьютер. Вы можете установить его на конкретный компьютер или на конкретного пользователя. В любом случае это будет полезно для отслеживания неавторизованных людей, пытающихся войти в систему. Вы можете включить эту конфигурацию, открыв групповую политику и перейдя в Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Политика аудита и дважды щелкните Аудит событий логотипа.

Здесь установите флажок рядом с «Параметры».Успех"И"Ошибка. Когда вы нажимаетеOk’, Windows начнет регистрировать входы в ваш компьютер.

Чтобы просмотреть эти логины, откройте диалоговое окно «Выполнить», нажав Win + R и введите eventvwr , чтобы открыть средство просмотра событий Windows. Теперь разверните реестр Windows, затем выберите Вариант безопасности. На средней панели вы можете просмотреть все попытки входа в систему. Вы можете посмотреть учетную запись, которая пыталась войти в систему, а также дату и время. Но успех и неудача - символы.

Окна | Параметры групповой политики 13 | запись попыток входа в систему 6y5S0Yfs DzTechs

9. Отключите OneDrive.

Вы можете захотеть использовать OneDrive или просто ненавидите его. Если вы или ваша организация не используете OneDrive или просто хотите удалить его со своего компьютера, вы можете сделать это с помощью групповой политики. Откройте групповую политику и перейдите в Конфигурация компьютера> Административные шаблоны> Компоненты Windows> OneDrive и дважды щелкните Запретить использование OneDrive для хранения файлов. Теперь включите конфигурацию и нажмите تطبيق. Вам необходимо перезагрузить компьютер, чтобы внести изменения.

10. Держите изменения групповой политики под контролем

В любом случае, эти изменения можно вернуть в нормальное состояние с помощью групповой политики таким же образом, но с помощью сброса, чтобы отключить его. Вы можете нести ответственность за групповую политику, используя Аудит целей групповой политики. Чтобы постоянно отслеживать изменения, внесенные в объекты групповой политики, попробуйте Лепид репортер изменений.

Инкапсуляция

После того, как вы закончили настройку параметров групповой политики, вам необходимо передать параметры группе компьютеров в Active Directory Где вы можете установить каталог для каждого компьютера в домене. Вы также можете установить особые групповые политики Только для индивидуальных пользователей или компьютеров. Теперь все, что вам нужно сделать, это загрузить групповую политику из активного каталога приложения. Любые изменения в Active Directory будут автоматически применяться к отдельным системам.

ДзТех

Я государственный инженер с большим опытом работы в области программирования, создания веб-сайтов, SEO и технического написания. Я увлечен технологиями и посвящаю себя предоставлению качественной информации общественности. Я могу стать более ценным ресурсом для пользователей, которые ищут точную и достоверную информацию об обзорах продуктов и специализированных приложениях в различных областях. Моя непоколебимая приверженность качеству и точности гарантирует, что предоставляемая информация заслуживает доверия и полезна для аудитории. Постоянное стремление к знаниям заставляет меня идти в ногу с новейшими технологическими разработками, гарантируя, что общие идеи будут передаваться в ясной и доступной форме.
Перейти к верхней кнопке