Локальная политика безопасности windows 11 где находится

Как открыть редактор локальной групповой политики в Windows 11

В Windows 11 «Редактор локальной групповой политики» позволяет любому пользователю контролировать, большой диапазон параметров и может быть использован для установки ограничений и изменения настроек по умолчанию для всех пользователей ПК.

С его помощью вы сможете настроить процесс входа и завершения работы операционной системой, настройками конфиденциальности, ограничениями для установки драйверов и программ. Инструмент легко доступен, но обычным пользователям Windows иногда сложно получить к нему доступ.

В этом руководстве мы познакомим вас со всеми возможными вариантами открыть редактор локальной групповой политики в Windows 11.

Как в Windows 11 отрыть «редактор локальной групповой политики» с помощью Поиска

1. Откройте Поиск в Windows 11 любым удобным вам способом, с помощью значка на панели задач, меню «Пуск» или просто нажмите клавиши Win S

1. Наберите в поиске:

gpedit.msc

Или

Изменение групповой политики

1. Кликните верхний результат чтобы открыть редактор локальной групповой политики.

Как открыть редактор локальной групповой политики из приложения «Параметры».

Доступ к редактору локальной групповой политики вы можете получить из приложения «Параметры» в Windows 11.

1. Откройте приложение «Параметры»

1. В поле поиска в приложения «Параметры» (см. скрин) введите «Изменение групповой политики» и выберите из списка результатов «Изменение групповой политики» это позволит открыть редактор.

Как в Windows 11 открыть редактор локальной групповой политики с помощью окна «Выполнить».

1. Чтобы открыть окно «Выполнить» нажмите сочетание клавиш Win R , или воспользуйтесь меню Win X.

1. В поле «Открыть» введите:

gpedit.msc

Как открыть редактор локальной групповой политики в качестве оснастки консоли управления

1. Нажмите кнопку «Пуск», введите:

1. И нажмите клавишу Enter , это откроет консоль управления MMC.
2. В консоли перейдите в меню «Файл» выберите пункт «Добавить или удалить оснастку».

1. В открывшимся диалоговом окне, дважды кликните «Редактор объектов групповой политики» нажмите кнопку «Готово» и «ОК».

Как открыть редактор локальной групповой политики в Windows 11 из классической панели управления.

Редактор локальной групповой политики можно получить доступ с помощью классической панели управления, которая пока еще доступна в Windows 11.

1. Откройте панель управления, любым удобным вам способом.

1. Введите с права в строке поиска «Изменение групповой политики» и нажмите результат (см. картинку ниже).

Как открыть редактор локальной групповой политики с помощью Терминала Windows, PowerShell или командной строки.

1. Кликните на кнопке «Пуск» правой кнопкой мыши или нажмите клавиши Win X и выберите в меню «Windows Терминал».

1. В окно терминала введите или скопируйте и вставьте:

gpedit.msc

1. И нажмите Enter

При желании вы можете использовать PowerShell или командную строку.

Как открыть редактор локальной групповой политики с помощью диспетчера задач.

Вы можете открыть редактор локальной групповой политики с помощью диспетчера задач.

1. Откройте диспетчер задач. Если окно не информативно, нажмите кнопку «Подробнее».
2. Перейдите в меню «Файл» выберите «Запустить новую задачу».

1. В следующем окне «Создание задачи» введите «gpedit.msc» и нажмите кнопку «OK».

Откройте редактор локальной групповой политики с помощью проводника Windows 11

Откройте Проводник и введите в адресную строку:

gpedit.msc

Нажмите клавишу Enter .

Откройте редактор локальной групповой политики, из расположения по умолчанию

Исполняемый файл «Редактора локальной групповой политики» по умолчанию находится в папке «System32».

1. Перейдите по следующему пути:

C:\Windows\System32

1. Найдите файл с именем «gpedit.msc» и попробуйте его открыть.

Как создать ярлык на рабочем столе для групповой политики.

Если вы предпочитаете ярлыки на рабочем столе, вы можете создать его для групповой политики.

1. Кликните правой кнопкой мыши на пустом месте рабочего стола и выберите в контекстном меню «Создать элемент» → «Ярлык»

1. В мастере создания ярлыков в строке расположение объекта введите «gpedit.msc» (без кавычек) и нажмите кнопку «Далее».

1. Введите предпочитаемое имя для ярлыка и нажмите кнопку «Готово».

Теперь вы сможете в любое время получить доступ к редактору локальной групповой политики, дважды кликнув ярлык на рабочем столе.

Как закрепить редактор локальной групповой политики на панели задач или начальном экране Windows 11

1. Перед тем как использовать данный способ необходимо создать ярлык для редактора локальной групповой политики (шаги описаны выше).

1. После создания ярлыка кликните на нем правой кнопкой мыши и в контекстном меню выберите «Закрепить на начальном экране» или «Закрепить на панели задач».

Теперь вы можете открыть редактор локальной групповой политики из меню «Пуск» или панели задач.

Настройка параметров политики безопасности

В этой статье описаны действия по настройке параметра политики безопасности на локальном устройстве, на устройстве, присоединенном к домену, и на контроллере домена. Для выполнения этих процедур необходимо иметь права администратора на локальном устройстве или соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена.

Если локальный параметр недоступен, это означает, что этот параметр в настоящее время контролируется объектом групповой политики.

Настройка параметра с помощью консоли локальной политики безопасности

1. Чтобы открыть локальную политику безопасности, на экране Пуск введите secpol.msc и нажмите клавишу ВВОД.
2. В разделе Параметры безопасности дерева консоли, выполните одно из следующих действий.
   • Выберите Политики учетных записей , чтобы изменить политику паролей или политику блокировки учетных записей.
   • Выберите Локальные политики , чтобы изменить политику аудита, назначение прав пользователя или параметры безопасности.
3. Когда вы найдете параметр политики в области сведений, дважды щелкните политику безопасности, которую вы хотите изменить.
4. Измените параметр политики безопасности и нажмите кнопку ОК.

• Некоторые параметры политики безопасности требуют перезапуска устройства для того, чтобы параметр вступил в силу.
• Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Настройка параметра политики безопасности с помощью консоли редактора локальных групповых политик

Для установки и использования консоли управления (MMC) и обновления объекта групповой политики (GPO) на контроллере домена требуются соответствующие разрешения.

1. Откройте редактор локальных групповых политик (gpedit.msc).
2. В дереве консоли щелкните Конфигурация компьютера, выберите Параметры Windows, а затем — Параметры безопасности.
3. Выполните одно из следующих действий.
   • Выберите Политики учетных записей , чтобы изменить политику паролей или политику блокировки учетных записей.
   • Выберите Локальные политики , чтобы изменить политику аудита, назначение прав пользователя или параметры безопасности.
4. В области сведений, дважды щелкните параметр политики безопасности, который вы хотите изменить.

Примечание. Если эта политика безопасности еще не определена, выберите флажок Определить параметры политики.

Если вы хотите настроить параметры безопасности для многих устройств в сети, можно использовать консоль управления групповыми политиками.

Настройка параметра для контроллера домена

В следующей процедуре описывается настройка параметра политики безопасности только для контроллера домена (из контроллера домена).

1. Чтобы открыть политику безопасности контроллера домена, в дереве консоли найдите Политика GroupPolicyObject [ComputerName] , щелкните Конфигурация компьютера, выберите Параметры Windows, а затем — Параметры безопасности.
2. Выполните одно из следующих действий.
   • Дважды щелкните Политики учетной записи, чтобы изменить Пароль политики, Политику блокировки учетных записей или Политику Kerberos.
   • Выберите Локальные политики , чтобы изменить политику аудита, назначение прав пользователя или параметры безопасности.
3. В области сведений, дважды щелкните политику безопасности, которую вы хотите изменить.

Примечание. Если эта политика безопасности еще не определена, выберите флажок Определить параметры политики.

• Всегда проверяйте только что созданную политику в тестовом подразделении перед ее применением к сети.
• Когда вы измените параметр безопасности с помощью объекта групповой политики и нажмете ОК, этот параметр вступит в силу при следующем обновлении параметров.

Связанные статьи

Как установить редактор групповой политики в Windows 11 Home

Если вы используете на своем компьютере операционную систему Windows 11 Home (Домашнюю) вы могли заметить, что там отсутствует редактор групповой политики (gpedit.msc). Это происходит из-за того, что из-за того, что gpedit.msc изначально не предустановлен в домашней версии Windows.

Но, вы все равно можете установить или включить редактор групповой политики. Также вы можете попробовать использовать альтернативное приложение редактору групповой политики.

Групповая политика в Windows (GPO) — это расширенный способ настройки системы и параметров пользователя для локального компьютера или для ПК, находящегося в сети. Вы можете использовать групповую политику для настройки почти всей операционной системы, включая программное обеспечение, параметры сети и политики безопасности.

Во время использования компьютера пользователям приходится решать различные проблемы или изменять настройки ОС. Во многих случаях предлагаются разные варианты с использованием редактора локальной групповой политики.

Gpedit.msc не найден Windows 11 Home

При попытке запустить групповые политики вы увидите сообщение о том, что в Windows 11 Домашняя gpedit.msc не найден, потому что этот компонент системы отсутствует на компьютере.

Домашняя версия Windows 11 предназначена для личного использования, поэтому gpedit.msc будет для вас недоступен. И это серьезный недостаток домашней версии, потому что управление параметрами групповых политик локального компьютера помогает настроить ОС.

Из-за этого, многим пользователям домашних версий Windows приходится использовать редактор реестра для внесения некоторых изменений в систему. Но вместо реестра Windows вы можете настроить различные параметры Windows 11 через редактор групповой политики.

С помощью редактора локальной групповой политики намного проще выполнить настройку системы, чем сделать это из редактора реестра. Поэтому многим пользователям необходимо установить редактор групповой политики в Windows 11 Домашней версии.

Из этого руководства вы узнаете, как установить редактор локальных групповых политик в Windows 11 домашней версии несколькими способами. Мы используем системные инструменты и альтернативный вариант, который добавляет необходимый функционал с помощью стороннего приложения. Эти методы также будут работать в более старых версиях операционной системы: Windows 10, Windows 8.1, Windows 8, Windows 7.

Обратите внимание, что после включения gpedit.msc Windows 11 Home, не все политики будут работать, потому что часть политик жестко привязаны к старшим версиям Windows: Профессиональной, Корпоративной и для образовательных учреждений.

Как включить редактор групповых политик с помощью пакетного BAT-файла

Файл консоли gpedit.msc находится в папке по пути: C:\Windows\System32. Если вы проверите эту папку в домашней версии Windows 11, то вы найдете там другие утилиты, например, gpupdate, gpresults, но gpedit.msc там не будет.

По умолчанию DISM в Windows используется для восстановления образа Windows или для изменения файлов установочного носителя Windows. Но вы также можете использовать его для включения редактора групповой политики.

Вам нужно будет создать пакетный BAT-файл, чтобы добавить редактор локальных групповых политик в домашнюю версию Windows.

Выполните эту инструкцию:

1. Откройте программу Блокнот на компьютере.
2. Скопируйте это содержимое в окно приложения:

@echo off pushd "%~dp0" dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txt dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txt for /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i" pause

1. Войдите в меню «Файл», а в контекстном меню выберите «Сохранить как».
2. В окне «Сохранить как» в поле «Тип файла:» укажите «Все файлы», в поле «Имя файла:» введите произвольное имя с расширением «*.bat», например, «gpedit-enable.bat».
3. Нажмите на кнопку «Сохранить», а затем закройте Блокнот.

1. Запустите этот пакетный файл, щелкнув по нему правой кнопкой мыши, от имени администратора.
2. В окне командной строки выполняется установка пакетов групповой политики.
3. После успешного завершения операции нажмите на любую клавишу.

1. Теперь нажмите на клавиши «Win» + «R».
2. В диалоговое окно «Выполнить» введите «gpedit.msc» и нажмите «ОК».

1. На рабочем столе откроется окно «Редактор локальной групповой политики» в домашней версии операционной системы Windows.

Если сразу не заработало, перезагрузите компьютер.

Теперь вы также можете использовать групповые политики в Windows 10 Home без необходимости постоянно вносить изменения в системный реестр.

Читайте также: Установка редактора локальной групповой политики в Window 10 Home

Вы можете скачать на свой компьютер ZIP-архив с готовым BAT-файлом, который не требуется запускать от имени администратора, по этой ссылке .

Включение групповой политики через командную строку

Подобную операцию можно выполнить в Windows 11 Домашней с помощью командной строки. Нам потребуется выполнить две команды, используя этот системный инструмент.

Выполните следующие действия:

1. В поле поиска Windows введите «CMD».
2. Запустите командную строку от имени администратора.
3. В окне интерпретатора командной строки выполните эту команду, нажимая на клавишу «Enter»:

FOR %F IN ("%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~*.mum") DO (DISM /Online /NoRestart /Add-Package:"%F")

1. Затем введите и выполните следующую команду:

FOR %F IN ("%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~*.mum") DO (DISM /Online /NoRestart /Add-Package:"%F")

1. Закройте окно командной строки после завершения операции.
2. Откройте на компьютере редактор локальной групповой политики.

Как включить редактор локальной групповой политики в Policy Plus

Policy Plus — переносное (портативное) приложение, которое добавляет функциональные возможности редактора локальной групповой политики во все версии и выпуски Windows, включая Windows 11, Windows 10, Windows 8, Windows Server.

Для работы приложения Policy Plus требуется наличие в операционной системе среды .NET Framework 4.5 или более новой версии.

1. Загрузите Policy Plus с официальной страницы на GitHub: https://github.com/Fleex255/PolicyPlus/releases . Выберите последний релиз, а затем скачайте файл «PolicyPlus.exe» на ПК.
2. Запустите исполняемый файл «PolicyPlus.exe» от имени администратора.
3. В окне приветствия нажмите на кнопку «Да»
4. В открывшемся окне «Acquire ADMX Files» нужно нажать на кнопку «Begin».

1. После завершения загрузки файлов административных шаблонов нажмите на кнопку «Да», чтобы открыть приложение.

Интерфейс Policy Plus очень похож на стандартный редактор локальной групповой политики. Вы можете выбрать «Computer» (Компьютер), «User or computer» (Пользователь или компьютер) или «User» (Пользователь) в раскрывающемся меню в левом верхнем углу. Все остальные функции очень похожи на редактор по умолчанию.

Включение или отключение параметров локальных групповых политик происходит в окнах, похожих на стандартное системное средство.

В следующий раз, когда вам понадобится изменить параметры Windows, снова запустите файл приложения Policy Plus на компьютере.

Выводы статьи

В операционной системе Windows многие настройки намного удобнее делать с помощью редактора локальной групповой политики (gpedit.msc), чем вручную вносить изменения в реестр. В домашней версии Windows 11 отсутствуют групповые политики, поэтому пользователи не могут воспользоваться этой консолью для изменения параметров системы. Вы можете использовать несколько методов, которые помогут вам добавить групповые политики в Windows 11 Home.

Как включить групповые политики в Windows 11 Home (видео)
Похожие публикации:

• Как обновить Windows 11 на неподдерживаемом компьютере: 2 способа
• Как поменять разрешение экрана в Windows
• Как включить защиту системы Windows — 5 способов
• Исправление ошибки восстановления системы 0x81000203 в Windows
• Как настроить меню «Пуск» в Windows 11

Администрирование параметров политики безопасности

В этой статье рассматриваются различные методы администрирования параметров политики безопасности на локальном устройстве или в организации небольшого или среднего размера.

Параметры политики безопасности следует использовать в рамках общей реализации безопасности, чтобы обеспечить безопасность контроллеров домена, серверов, клиентских устройств и других ресурсов в организации.

Политики параметров безопасности — это правила, которые можно настроить на устройстве или нескольких устройствах для защиты ресурсов на устройстве или в сети. Расширение параметров безопасности оснастки «Редактор локального групповая политика» (Gpedit.msc) позволяет определять конфигурации безопасности как часть объекта групповая политика (GPO). Объекты групповой политики связаны с контейнерами Active Directory, такими как сайты, домены и подразделения, и позволяют администраторам управлять параметрами безопасности для нескольких компьютеров с любого устройства, присоединенного к домену.

Параметры безопасности могут управлять следующими параметрами:

• Проверка подлинности пользователя в сети или на устройстве.
• Ресурсы, доступ к которым разрешен пользователям.
• Следует ли записывать действия пользователя или группы в журнал событий.
• Членство в группе.

Сведения о каждом параметре, включая описания, параметры по умолчанию, а также рекомендации по управлению и безопасности, см. в справочнике по параметрам политики безопасности.

Для управления конфигурациями безопасности для нескольких компьютеров можно использовать один из следующих вариантов:

• Изменение определенных параметров безопасности в объекте групповой политики.
• Используйте оснастку «Шаблоны безопасности», чтобы создать шаблон безопасности, содержащий политики безопасности, которые требуется применить, а затем импортировать шаблон безопасности в объект групповая политика. Шаблон безопасности — это файл, представляющий конфигурацию безопасности. Его можно импортировать в объект групповой политики или применить к локальному устройству или использовать для анализа безопасности.

Что изменилось при администрировании параметров

Со временем появились новые способы управления параметрами политики безопасности, включая новые функции операционной системы и добавление новых параметров. В следующей таблице перечислены различные средства, с помощью которых можно администрировать параметры политики безопасности.

Инструмент или компонент	Описание и использование
Оснастка «Политика безопасности»	Secpol.msc Оснастка MMC предназначена для управления только параметрами политики безопасности.
Средство командной строки редактора безопасности	Secedit.exe Настраивает и анализирует безопасность системы путем сравнения текущей конфигурации с указанными шаблонами безопасности.
Диспетчер соответствия требованиям безопасности	Скачивание средства Акселератор решений, помогающий планировать, развертывать, эксплуатировать и администрировать базовые показатели безопасности для клиентских и серверных операционных систем Windows, а также приложений Майкрософт.
Мастер настройки безопасности	Scw.exe SCW — это средство на основе ролей, доступное только на серверах. Его можно использовать для создания политики, которая позволяет службам, правилам брандмауэра и параметрам, необходимым для выполнения определенных ролей выбранным сервером.
Средство Configuration Manager безопасности	Этот набор инструментов позволяет создавать, применять и изменять безопасность для локального устройства, подразделения или домена.
групповая политика	Gpmc.msc и Gpedit.msc Консоль управления групповая политика использует редактор объектов групповая политика для предоставления локальных параметров безопасности, которые затем можно включить в объекты групповая политика для распространения по всему домену. Редактор локальной групповая политика выполняет аналогичные функции на локальном устройстве.
Политики ограниченного использования программ См. статью Администрирование политик ограниченного использования программного обеспечения.	Gpedit.msc Политики ограниченного использования программного обеспечения (SRP) — это функция на основе групповая политика, которая определяет программы, выполняемые на компьютерах в домене, и управляет возможностью запуска этих программ.
Администрирование AppLocker См. администрирование AppLocker	Gpedit.msc Предотвращает влияние вредоносных программ (вредоносных программ) и неподдерживаемых приложений на компьютеры в вашей среде, а также запрещает пользователям в вашей организации устанавливать и использовать несанкционированные приложения.

Использование оснастки «Локальная политика безопасности»

Оснастка «Локальная политика безопасности» (Secpol.msc) ограничивает представление объектов локальной политики следующими политиками и функциями:

• Политики учетных записей
• Локальные политики
• Брандмауэр Windows в режиме повышенной безопасности
• Политики диспетчера списков сетей
• Политики открытых ключей
• Политики ограниченного использования программ
• Политики управления приложениями
• Политики безопасности IP-адресов на локальном компьютере
• Расширенная конфигурация политики аудита

Политики, заданные локально, могут быть перезаписаны, если компьютер присоединен к домену.

Оснастка «Локальная политика безопасности» входит в набор средств Configuration Manager безопасности. Сведения о других средствах в этом наборе инструментов см. в разделе Работа с Configuration Manager безопасности этой статьи.

Использование программы командной строки secedit

Программа командной строки secedit работает с шаблонами безопасности и предоставляет шесть основных функций:

• Параметр Configure помогает устранить несоответствия в безопасности между устройствами, применяя правильный шаблон безопасности к неправильному серверу.
• Параметр Analyze сравнивает конфигурацию безопасности сервера с выбранным шаблоном.
• Параметр Import позволяет создать базу данных на основе существующего шаблона. Это клонирование также выполняется с помощью средства конфигурации и анализа безопасности.
• Параметр Export позволяет экспортировать параметры из базы данных в шаблон параметров безопасности.
• Параметр Validate позволяет проверить синтаксис каждой или любых строк текста, созданных или добавленных в шаблон безопасности. Эта проверка гарантирует, что если шаблон не сможет применить синтаксис, проблема в шаблоне не будет.
• Параметр Generate Rollback сохраняет текущие параметры безопасности сервера в шаблон безопасности, чтобы его можно было использовать для восстановления большинства параметров безопасности сервера до известного состояния. Исключением является то, что при применении шаблон отката не изменяет записи списка управления доступом в файлах или записях реестра, которые были изменены последним примененным шаблоном.

Использование диспетчера соответствия требованиям безопасности

Диспетчер соответствия требованиям безопасности — это скачиваемое средство, которое помогает планировать, развертывать, эксплуатировать и администрировать базовые показатели безопасности для клиентских и серверных операционных систем Windows, а также для приложений Майкрософт. Он содержит полную базу данных с рекомендуемыми параметрами безопасности, методами настройки базовых показателей и возможностью реализации этих параметров в нескольких форматах, включая XLS, объекты групповой политики, пакеты управления требуемой конфигурацией (DCM) или протокол автоматизации содержимого безопасности (SCAP). Диспетчер соответствия требованиям безопасности используется для экспорта базовых показателей в среду для автоматизации развертывания и проверки соответствия требованиям.

Администрирование политик безопасности с помощью диспетчера соответствия требованиям безопасности

1. Скачайте последнюю версию. Дополнительные сведения см. в блоге о базовых показателях безопасности Майкрософт .
2. Ознакомьтесь с соответствующей документацией по базовым показателям безопасности, включенной в это средство.
3. Скачайте и импортируйте соответствующие базовые показатели безопасности. Процесс установки описывает выбор базовых показателей.
4. Откройте справку и следуйте инструкциям по настройке, сравнению или слиянию базовых показателей безопасности перед развертыванием этих базовых показателей.

Использование мастера настройки безопасности

Мастер настройки безопасности (SCW) поможет вам создать, изменить, применить или откатить политику безопасности. Политика безопасности, созданная с помощью scW, — это файл .xml, который при применении настраивает службы, сетевую безопасность, определенные значения реестра и политику аудита. SCW — это средство на основе ролей. Его можно использовать для создания политики, которая позволяет службам, правилам брандмауэра и параметрам, необходимым для выполнения определенных ролей выбранным сервером. Например, сервером может быть файловый сервер, сервер печати или контроллер домена.

Ниже приведены рекомендации по использованию SCW.

• SCW отключает ненужные службы и обеспечивает поддержку брандмауэра Windows с расширенной безопасностью.
• Политики безопасности, созданные с помощью SCW, не совпадают с шаблонами безопасности, которые представляют собой файлы с расширением INF. Шаблоны безопасности содержат больше параметров безопасности, чем параметры, которые можно задать с помощью scW. Однако шаблон безопасности можно включить в файл политики безопасности SCW.
• Вы можете развернуть политики безопасности, созданные с помощью SCW, с помощью групповая политика.
• ScW не устанавливает и не удаляет компоненты, необходимые серверу для выполнения роли. Функции, зависящие от ролей сервера, можно установить с помощью диспетчер сервера.
• SCW обнаруживает зависимости роли сервера. При выборе роли сервера автоматически выбираются зависимые роли сервера.
• Все приложения, использующие протокол IP и порты, должны выполняться на сервере при запуске SCW.
• В некоторых случаях для использования ссылок в справке по scW необходимо подключиться к Интернету.

Примечание. ScW доступен только в Windows Server и применим только к установкам сервера.

Доступ к scW можно получить через диспетчер сервера или запустив scw.exe. Мастер выполняет настройку безопасности сервера, чтобы:

• Создайте политику безопасности, которая может применяться к любому серверу в сети.
• Изменение существующей политики безопасности.
• Примените существующую политику безопасности.
• Откат последней примененной политики безопасности.

Мастер политики безопасности настраивает службы и сетевую безопасность на основе роли сервера, а также настраивает параметры аудита и реестра.

Дополнительные сведения о scW, включая процедуры, см. в разделе Мастер настройки безопасности.

Работа с Configuration Manager безопасности

Набор средств «Безопасность Configuration Manager» позволяет создавать, применять и изменять безопасность для локального устройства, подразделения или домена.

Процедуры использования Configuration Manager безопасности см. в разделе Configuration Manager безопасности.

В следующей таблице перечислены функции Configuration Manager безопасности.

Средства Configuration Manager безопасности	Описание
Настройка и анализ безопасности	Определяет политику безопасности в шаблоне. Эти шаблоны можно применять к групповая политика или к локальному компьютеру.
Шаблоны безопасности	Определяет политику безопасности в шаблоне. Эти шаблоны можно применять к групповая политика или к локальному компьютеру.
Расширение параметров безопасности для групповая политика	Изменяет отдельные параметры безопасности в домене, на сайте или в подразделении.
Локальная политика безопасности	Изменяет отдельные параметры безопасности на локальном компьютере.
Secedit	Автоматизирует задачи по настройке безопасности в командной строке.

Настройка и анализ безопасности

Конфигурация и анализ безопасности — это оснастка MMC для анализа и настройки безопасности локальной системы.

Анализ безопасности

Состояние операционной системы и приложений на устройстве является динамическим. Например, может потребоваться временно изменить уровни безопасности, чтобы можно было немедленно устранить проблемы администрирования или сети. Однако это изменение часто может не быть изменено. Это состояние изменений означает, что компьютер может больше не соответствовать требованиям к корпоративной безопасности.

Регулярный анализ позволяет отслеживать и обеспечивать достаточный уровень безопасности на каждом компьютере в рамках корпоративной программы управления рисками. Вы можете настроить уровни безопасности и, самое главное, обнаружить все недостатки системы безопасности, которые могут возникнуть в системе с течением времени.

Конфигурация и анализ безопасности позволяют быстро просматривать результаты анализа безопасности. В нем представлены рекомендации наряду с текущими параметрами системы и используются визуальные флаги или примечания для выделения областей, в которых текущие параметры не соответствуют предлагаемому уровню безопасности. Конфигурация и анализ безопасности также позволяют устранять любые несоответствия, выявленные анализом.

Конфигурация безопасности

Конфигурация и анализ безопасности также можно использовать для прямой настройки безопасности локальной системы. Используя личные базы данных, можно импортировать шаблоны безопасности, созданные с помощью шаблонов безопасности, и применить эти шаблоны к локальному компьютеру. Эти шаблоны безопасности немедленно настраивают безопасность системы с уровнями, указанными в шаблоне.

Шаблоны безопасности

С помощью оснастки «Шаблоны безопасности» для консоли управления Майкрософт можно создать политику безопасности для устройства или сети. Это единая точка входа, где можно учесть полный спектр системной безопасности. Оснастка «Шаблоны безопасности» не вводит новые параметры безопасности, она просто упорядочивает все существующие атрибуты безопасности в одном месте, чтобы упростить администрирование безопасности.

Импорт шаблона безопасности в объект групповая политика упрощает администрирование домена за счет одновременной настройки безопасности для домена или подразделения.

Чтобы применить шаблон безопасности к локальному устройству, можно использовать конфигурацию и анализ безопасности или программу командной строки secedit.

Шаблоны безопасности можно использовать для определения:

• Политики учетных записей
  • Политика паролей
  • Политика блокировки учетной записи
  • Политика Kerberos
  • Политика аудита
  • Назначение прав пользователя
  • Параметры безопасности

  Каждый шаблон сохраняется в виде текстового INF-файла. Этот файл позволяет копировать, вставлять, импортировать или экспортировать некоторые или все атрибуты шаблона. За исключением политик безопасности по протоколу INTERNET и открытых ключей, все атрибуты безопасности могут содержаться в шаблоне безопасности.

  Расширение параметров безопасности для групповая политика

  Подразделения, домены и сайты связаны с объектами групповая политика. Средство параметров безопасности позволяет изменить конфигурацию безопасности объекта групповая политика, в свою очередь, затрагивая несколько компьютеров. С помощью параметров безопасности можно изменять параметры безопасности многих устройств в зависимости от того, какой объект групповая политика вы изменяете, с одного устройства, присоединенного к домену.

  Параметры безопасности или политики безопасности — это правила, настроенные на устройстве или нескольких устройствах для защиты ресурсов на устройстве или в сети. Параметры безопасности могут управлять следующими параметрами:

  • Как пользователи проходят проверку подлинности в сети или на устройстве
  • Какие ресурсы разрешено использовать пользователям
  • Регистрируются ли действия пользователя или группы в журнале событий
  • Членство в группе

  Конфигурацию безопасности на нескольких компьютерах можно изменить двумя способами:

  • Создайте политику безопасности с помощью шаблона безопасности с шаблонами безопасности, а затем импортируйте шаблон с помощью параметров безопасности в объект групповая политика.
  • Измените несколько параметров выбора с помощью параметров безопасности.

  Локальная политика безопасности

  Политика безопасности — это сочетание параметров безопасности, влияющих на безопасность на устройстве. Вы можете использовать локальную политику безопасности для изменения политик учетных записей и локальных политик на локальном устройстве.

  С помощью локальной политики безопасности можно управлять следующими параметрами:

  • Кто обращается к вашему устройству
  • Какие ресурсы пользователи имеют право использовать на вашем устройстве
  • Регистрируются ли действия пользователя или группы в журнале событий

  Если ваше локальное устройство присоединено к домену, вы можете получить политику безопасности из политики домена или из политики любого подразделения, членом которому вы являетесь. Если вы получаете политику из нескольких источников, конфликты разрешаются в следующем порядке приоритета.

  1. Политика подразделения
  2. Политика домена
  3. Политика сайта
  4. Политика локального компьютера

  Если вы изменяете параметры безопасности на локальном устройстве с помощью локальной политики безопасности, то вы напрямую изменяете параметры на своем устройстве. Таким образом, параметры вступают в силу немедленно, но это может быть только временным. Фактически эти параметры будут действовать на локальном устройстве до следующего обновления групповая политика параметров безопасности, когда параметры безопасности, полученные от групповая политика, будут переопределять локальные параметры при возникновении конфликтов.

  Использование Configuration Manager безопасности

  Инструкции по использованию Configuration Manager безопасности см. в разделе Практическое руководство по Configuration Manager безопасности. В этом разделе содержатся сведения о следующих темах:

  • Применение параметров безопасности
  • Импорт и экспорт шаблонов безопасности
  • Анализ безопасности и просмотр результатов
  • Устранение несоответствий в системе безопасности
  • Автоматизация задач конфигурации безопасности

  Применение параметров безопасности

  После изменения параметров безопасности параметры обновляются на компьютерах в подразделении, связанном с объектом групповая политика:

  • При перезапуске устройства его параметры будут обновлены.
  • Чтобы заставить устройство обновить параметры безопасности и все параметры групповая политика, используйте gpupdate.exe.

  Приоритет политики, если к компьютеру применяется несколько политик

  Для параметров безопасности, определенных несколькими политиками, наблюдается следующий порядок очередности:

  1. Политика подразделения
  2. Политика домена
  3. Политика сайта
  4. Политика локального компьютера

  Например, для рабочей станции, присоединенной к домену, локальные параметры безопасности будут переопределены политикой домена в любом случае конфликта. Аналогичным образом, если одна и та же рабочая станция является членом подразделения, параметры, примененные из политики подразделения, переопределяют как доменные, так и локальные параметры. Если рабочая станция является членом нескольких организационных подразделений, то подразделение, которое непосредственно содержит рабочую станцию, имеет наивысший приоритет.

  Используйте gpresult.exe, чтобы узнать, какие политики применяются к устройству и в каком порядке. Для учетных записей домена может быть только одна политика учетных записей, которая включает политики паролей, политики блокировки учетных записей и политики Kerberos.

  Сохраняемость в параметрах безопасности

  Параметры безопасности могут по-прежнему сохраняться, даже если параметр больше не определен в первоначально примененной политике.

  Сохраняемость в параметрах безопасности возникает в следующих случаях:

  • Этот параметр ранее не был определен для устройства.
  • Параметр предназначен для объекта реестра.
  • Параметр предназначен для объекта файловой системы.

  Все параметры, применяемые с помощью локальной политики или объекта групповая политика, хранятся в локальной базе данных на вашем устройстве. При изменении параметра безопасности компьютер сохраняет значение параметра безопасности в локальной базе данных, которая сохраняет журнал всех параметров, примененных к устройству. Если политика сначала определяет параметр безопасности, а затем больше не определяет этот параметр, то параметр принимает предыдущее значение в базе данных. Если предыдущее значение не существует в базе данных, параметр не отменить изменения ни к чему и остается определенным как есть. Это поведение иногда называют «татуировкой».

  Параметры реестра и файлов будут поддерживать значения, применяемые с помощью политики, пока для этого параметра не будут заданы другие значения.

  Фильтрация параметров безопасности на основе членства в группах

  Вы также можете решить, какие пользователи или группы будут или не будут применять к ним объект групповая политика, независимо от того, на каком компьютере они выполнили вход, запретив им разрешение Применить групповая политика или Чтение для этого объекта групповая политика. Оба этих разрешения необходимы для применения групповая политика.

  Импорт и экспорт шаблонов безопасности

  Конфигурация и анализ безопасности позволяют импортировать и экспортировать шаблоны безопасности в базу данных или из нее.

  Если вы внесли какие-либо изменения в базу данных анализа, эти параметры можно сохранить, экспортируя их в шаблон. Функция экспорта позволяет сохранять параметры базы данных анализа в виде нового файла шаблона. Затем этот файл шаблона можно использовать для анализа или настройки системы или импортировать его в объект групповая политика.

  Анализ безопасности и просмотр результатов

  Конфигурация и анализ безопасности выполняют анализ безопасности, сравнивая текущее состояние безопасности системы с базой данных анализа. Во время создания база данных анализа использует по крайней мере один шаблон безопасности. Если вы решили импортировать несколько шаблонов безопасности, база данных объединит различные шаблоны и создаст один составной шаблон. Он разрешает конфликты в порядке импорта; последний импортируемый шаблон имеет приоритет.

  Конфигурация безопасности и анализ отображают результаты анализа по областям безопасности с помощью визуальных флагов для указания проблем. В нем отображаются текущие системные и базовые параметры конфигурации для каждого атрибута безопасности в областях безопасности. Чтобы изменить параметры базы данных анализа, щелкните запись правой кнопкой мыши и выберите пункт Свойства.

  Флаг визуального элемента	Значение
  Красный X	Запись определена в базе данных анализа и в системе, но значения параметров безопасности не совпадают.
  Зеленый проверка знак	Запись определяется в базе данных анализа, в системе и совпадают значения параметров.
  Вопросительный знак	Запись не определена в базе данных анализа и, следовательно, не была проанализирована. Если запись не анализируется, это может быть связано с тем, что она не определена в базе данных анализа или что пользователь, выполняющий анализ, может не иметь достаточных разрешений для выполнения анализа для определенного объекта или области.
  Восклицательный знак	Этот элемент определен в базе данных анализа, но не существует в фактической системе. Например, может существовать ограниченная группа, которая определена в базе данных анализа, но на самом деле не существует в анализируемой системе.
  Без выделения	Элемент не определен в базе данных анализа или в системе.

  Если вы решили принять текущие параметры, соответствующее значение в базовой конфигурации изменяется в соответствии с ними. Если изменить системный параметр в соответствии с базовой конфигурацией, это изменение будет отражено при настройке системы с помощью конфигурации и анализа безопасности.

  Чтобы избежать дальнейшего пометки параметров, которые вы изучили и определили, что это разумно, можно изменить базовую конфигурацию. Изменения вносятся в копию шаблона.

  Устранение несоответствий в системе безопасности

  Расхождения между базой данных анализа и параметрами системы можно устранить следующими способами:

  • Принятие или изменение некоторых или всех значений, помеченных или не включенных в конфигурацию, если вы определили, что уровни безопасности локальной системы допустимы из-за контекста (или роли) этого компьютера. Затем эти значения атрибутов обновляются в базе данных и применяются к системе при нажатии кнопки Настроить компьютер сейчас.
  • Настройка системы для значений базы данных анализа, если вы определили, что система не соответствует допустимым уровням безопасности.
  • Импорт более подходящего шаблона для роли этого компьютера в базу данных в качестве новой базовой конфигурации и его применение к системе. Изменения в базе данных анализа вносятся в сохраненный шаблон в базе данных, а не в файл шаблона безопасности. Файл шаблона безопасности будет изменен только при возврате к шаблону безопасности и изменении этого шаблона или экспорте хранимой конфигурации в тот же файл шаблона. Используйте параметр Настроить компьютер сейчас только для изменения областей безопасности, не затронутых параметрами групповая политика, таких как безопасность в локальных файлах и папках, разделы реестра и системные службы. В противном случае при применении параметров групповая политика он будет иметь приоритет над локальными параметрами, такими как политики учетных записей. Как правило, не используйте команду Настроить компьютер сейчас при анализе безопасности для доменных клиентов, так как вам придется настраивать каждый клиент отдельно. В этом случае вернитесь к шаблонам безопасности, измените шаблон и повторно примените его к соответствующему объекту групповая политика.

  Автоматизация задач конфигурации безопасности

  Вызвав средство secedit.exe в командной строке из пакетного файла или автоматического планировщика задач, вы можете использовать его для автоматического создания и применения шаблонов, а также анализа безопасности системы. Его также можно запустить динамически из командной строки. Secedit.exe полезно, если у вас есть несколько устройств, на которых необходимо проанализировать или настроить безопасность, и вам нужно выполнять эти задачи в нерабочее время.

  Работа со средствами групповая политика

  групповая политика — это инфраструктура, которая позволяет задавать управляемые конфигурации для пользователей и компьютеров с помощью групповая политика параметров и групповая политика параметров. Для групповая политика параметров, влияющих только на локальное устройство или пользователя, можно использовать локальный редактор групповая политика. Управлять параметрами групповая политика и параметрами групповая политика в среде доменные службы Active Directory (AD DS) можно с помощью консоли управления групповая политика (GPMC). средства управления групповая политика также включены в пакет средств удаленного администрирования сервера, чтобы обеспечить возможность администрирования групповая политика параметров на рабочем столе.

  Обратная связь

  Были ли сведения на этой странице полезными?

  Похожие публикации:

  1. 720 fast или 720 чем отличается
  2. Замок который закрывается поднятием ручки вверх
  3. Как выбрать каждый второй элемент массива
  4. Как скопировать адрес ссылки чтобы она была активной