Если вы хотите изменить поведение Windows, получив больший контроль над безопасностью или отключив несколько вещей, которые Microsoft предлагает вам, вы можете сделать это, настроив параметры групповой политики. Да, вы также можете сделать то же самое из редактора реестра , но у групповой политики есть еще несколько преимуществ, например, групповая политика не изменится после обновления Windows, в отличие от реестра. Самое главное, вы можете либо настроить групповую политику локально в своей системе, либо сделать так, чтобы активный каталог применялся к нескольким системам в вашем домене. Так что это особенно полезно для офисов и школ, использующих компьютеры Windows.
Лучшие настройки групповой политики
Прежде чем мы начнем, давайте поймем, что групповая политика — это графический инструмент, который позволяет вам редактировать собственные параметры ОС, параметры ядра и т. д. Однако неправильная настройка групповой политики может даже привести к сбоям в работе вашей ОС. Итак, если вы собираетесь вносить какие-либо изменения, обязательно экспортируйте список, прежде чем вносить какие-либо изменения.
Как получить доступ к групповой политике
Одним из самых больших предостережений групповой политики является то, что она доступна только на тех компьютерах, которые работают под управлением Windows Professional, Education или Enterprise Versions. Даже если вы используете Windows Home, вы можете получить доступ к групповой политике, но с несколькими обходными путями, которые я объясню ниже.
Чтобы получить доступ к групповой политике, есть несколько способов, один из самых простых способов — открыть командную строку> введите «gpedit.msc» и нажмите «Ввод».
Хотя групповая политика не является частью выпусков Windows Home, все же есть способ получить к ней доступ. Все, что вам нужно сделать, это установить сторонний редактор групповой политики, загрузив этот пакетный файл . Откройте его от имени администратора, он начнет установку в командной строке. Установка займет около 2-3 минут. После завершения процесса снова откройте командную строку и введите gpedit.msc, чтобы получить к ней доступ.
1. Отключите любую установку программного обеспечения.
Не разрешая пользователям устанавливать различное программное обеспечение, вы можете уменьшить объем обслуживания и очистки, необходимых при установке чего-то плохого, поскольку это также является одной из потенциальных причин вредоносного ПО. Это еще более полезно, особенно в школах, где вы хотите, чтобы учащиеся имели доступ только к тому, что требуется.
Если вы хотите запретить пользователям устанавливать или запускать программы, вы можете установить это, открыв « Групповая политика» > «Перейти к конфигурациям компьютеров» > «Административные шаблоны» > «Компоненты Windows» > «Установщик Windows» и дважды щелкнуть параметр « Отключить установщик Windows ». Измените параметр, чтобы включить его, и убедитесь, что в нем указано «Только для неуправляемых приложений», чтобы они могли устанавливать все приложения, разрешенные руководством. Теперь нажмите «Применить» и перезагрузите компьютер, чтобы изменения вступили в силу.
Блокировка запуска определенных приложений
Блокировка всех приложений для установки во многих ситуациях является излишним. Если все, что вам нужно, это заблокировать всего несколько приложений, вы можете внести эти изменения в групповую политику.
Откройте «Групповая политика» > «Конфигурация пользователя» > «Административные шаблоны» > «Система» и дважды щелкните параметр «Не запускать указанные приложения Windows ». Измените настройку, чтобы включить, и нажмите кнопку «Показать». Теперь вы можете ввести список приложений, которые вы хотите заблокировать для пользователей, и нажать «ОК». Теперь нажмите «Применить» и перезагрузите систему, чтобы настройки вступили в силу.
2. Заблокируйте доступ к панели управления
Важно установить ограничения для панели управления в основном в бизнес-среде, поскольку это дает вам контроль над всей системой. Вы можете либо полностью заблокировать доступ, либо ограничить его доступ.
Чтобы заблокировать доступ, откройте «Групповая политика» > « Конфигурация пользователя» > «Административные шаблоны» > «Панель управления» > и дважды щелкните « Запретить доступ к панели управления и параметрам ПК » и нажмите «Включить и применить». И изменения будут применены сразу.
Показать только определенные элементы панели управления
Вышеупомянутый процесс блокирует доступ ко всей панели управления. Но если вы хотите ограничить использование. вы можете сделать это, открыв «Групповая политика» > « Конфигурация пользователя» > «Административные шаблоны» > «Панель управления» > и дважды щелкнув « Показать только указанные элементы панели управления» и нажав «Включить». Теперь нажмите на опцию «Показать», чтобы указать каждую опцию панели управления для отображения. Если его нет в этом списке, он не будет отображаться пользователю.
Это означает, что вам нужно будет тщательно выбрать и ввести каждый элемент панели управления, который вы хотите включить. Вы можете найти названия всех элементов Панели управления на веб-сайте Microsoft .
3. Отключить командную строку
Командная строка, несомненно, настолько полезна и в то же время является кошмаром, поскольку она дает пользователям возможность запускать команды и программы, которые вам не предназначены. Это также может быть опасным инструментом в руках неопытных. Есть много причин для отключения командной строки. Возможно, у вас есть дети, которые делят семейный компьютер, или вы разрешаете гостям использовать ваш компьютер, когда они остаются с вами. Или, возможно, у вас есть бизнес-компьютер, который нужно заблокировать.
Чтобы отключить, откройте «Групповая политика» > «Конфигурация пользователя» > «Административные шаблоны» > «Система» и дважды щелкните параметр «Запретить доступ к командной строке ». Измените политику, чтобы включить и применить. Теперь вам нужна перезагрузка, чтобы изменения вступили в силу.
4. Отключите редактор реестра Windows.
Как и командная строка, редактор реестра может даже сломать что-то и обойти несколько ограничений групповой политики. Поэтому, чтобы защитить политику, вы можете открыть «Групповая политика»> «Конфигурация пользователя»> «Административные шаблоны»> «Система» и дважды щелкнуть « Запретить доступ к инструментам редактирования реестра » и включить его. Теперь нажмите «Применить» и перезагрузите компьютер, чтобы изменения вступили в силу.
5. Заблокируйте драйверы съемных носителей
USB-накопители или другие виды съемных носителей могут быть опасны для ПК. Если кто-то случайно или намеренно подключит зараженное вирусом запоминающее устройство, это может повлиять на ПК или даже на домен. При работе с большим количеством компьютеров использование драйверов носителей затрудняет управление хранилищем. Блокировка драйверов съемных носителей обычно используется во многих школах и колледжах.
Чтобы заблокировать драйверы носителей, откройте «Групповая политика» > «Конфигурация пользователя» > «Административные шаблоны» > «Система» > «Доступ к съемным носителям» и дважды щелкните « Съемные диски: запретить доступ на чтение». Теперь нажмите на опцию «Включить» и примените, чтобы остановить ПК для чтения внешних драйверов.
Блокировка записи
Вышеуказанная опция только заставит ПК не читать файлы на внешнем устройстве. Но вы все равно можете копировать файлы на внешнее устройство. Если вы хотите защитить файлы, вам также необходимо заблокировать возможность записи. Это обычно реализуется в бизнес-среде.
Чтобы заблокировать параметры записи, откройте «Групповая политика» > «Конфигурация пользователя» > «Административные шаблоны» > «Система» > «Доступ к съемным носителям» и дважды щелкните « Съемные диски: запретить доступ к записи» . Теперь включите опцию и выберите «Применить», чтобы применить изменения.
Кроме того, вы можете использовать классы All Removable Storage: Запретить любой доступ , чтобы одновременно заблокировать параметры чтения и записи.
6. Скрыть раздел диска с компьютера
Если в системах есть какая-либо конфиденциальная информация, вы можете скрыть ее от определенных пользователей, чтобы получить к ней доступ. Вы можете сделать это в настройках групповой политики. Но помните, что этот параметр скроет его только от проводника и некоторых других приложений, но люди по-прежнему смогут получить к нему доступ из командной строки.
В любом случае, вы можете скрыть его, открыв « Групповая политика» > «Конфигурация пользователя» > «Административные шаблоны» > «Компоненты Windows» > «Проводник Windows» , дважды щелкнув « Скрытие указанных дисков на моем компьютере» и выбрав параметр «Включить». После включения щелкните раскрывающееся меню на панели «Параметры» и выберите, какие диски вы хотите скрыть. Диски будут скрыты, когда вы нажмете OK.
7. Увеличьте минимальную длину пароля
Длина пароля Windows по умолчанию составляет 8, и вы должны использовать по крайней мере один верхний и нижний регистр, а также цифру или специальный символ. На самом деле он хорошо защищен. Но вы можете повысить безопасность, увеличив длину пароля. Вы можете установить его до 14 вместе с использованием прописных и строчных букв, цифр или специальных символов.
Вы можете изменить это, открыв « Групповая политика» > «Конфигурация компьютера» > «Параметры Windows» > «Параметры безопасности» > «Политики учетных записей» > «Политика паролей» , дважды щелкните «Политика минимальной длины пароля » и укажите значение длины, нажмите и примените.
8. Отслеживание входа в учетную запись
С помощью групповой политики вы можете заставить Windows отслеживать все успешные и неудачные входы в систему на ПК. Вы можете установить его для определенного компьютера или конкретного пользователя. В любом случае, это будет полезно для отслеживания неавторизованных лиц, пытающихся войти в систему. Вы можете включить его, открыв « Групповая политика» > «Конфигурация компьютера» > «Параметры Windows» > «Параметры безопасности» > «Локальные политики» > «Политика аудита» и дважды нажав « Аудит событий входа».
Здесь установите флажок рядом с параметрами «Успех» и «Ошибка» . Когда вы нажмете «ОК», Windows начнет вести учет входов в систему, сделанных на ПК.
Чтобы просмотреть эти логины, откройте «Выполнить» и введите eventvwr , чтобы открыть средство просмотра событий Windows. Теперь разверните журналы Windows и выберите параметр « Безопасность ». На средней панели вы можете просмотреть все попытки входа в систему. Вы можете посмотреть учетную запись, с которой пытались войти, дату, а также время. Но успех и неудачные попытки упоминаются с кодом.
9. Отключить OneDrive
Вам может нравиться OneDrive или полностью его ненавидеть. Если вы или ваша организация не используете OneDrive или просто хотите удалить его со своего ПК, вы можете сделать это с помощью групповой политики. Откройте «Групповая политика» > «Конфигурация компьютера» > «Административные шаблоны» > «Компоненты Windows» > «OneDrive» и дважды щелкните «Запретить использование OneDrive для хранения файлов» . Теперь включите его и нажмите «Применить». Для внесения изменений необходимо перезагрузить компьютер.
10. Держите под контролем изменения групповой политики
В любом случае, эти изменения можно вернуть в нормальное состояние, используя групповую политику тем же методом, но отключив их. Вы можете по-прежнему отвечать за групповую политику, используя аудит объектов групповой политики . Чтобы постоянно отслеживать изменения, внесенные в объекты групповой политики, попробуйте Lepide Change Reporter.
Подведение итогов
После завершения настройки параметров групповой политики вам необходимо переместить параметры в группу компьютеров в Active Directory , где вы можете установить каталог для каждого компьютера в домене. Вы также можете установить определенные групповые политики только для отдельных пользователей или компьютеров. Теперь все, что вам нужно сделать, это загрузить групповую политику из Active Directory, чтобы применить ее. Любые изменения в активном каталоге автоматически применяются к отдельным системам.