Paikallisten käytäntöjen määrittäminen Windows 7:ssä. Ryhmäkäytäntöeditori: mikä se on? Yleiset käsitteet ja mahdollisuudet

Aiemmissa ryhmäkäytäntöjä koskevissa artikkeleissani puhuin laajennuksen toiminnasta. Joitakin nykyisen laajennuksen solmuja tarkasteltiin sekä useiden ryhmien käytännön toimivuutta. Tästä artikkelista alkaen voit oppia suojausasetusten hallinnasta paikallisessa tietokoneessa sekä toimialueympäristössä. Turvallisuus on nykyään olennainen osa työtä niin suurten ja jopa pienten yritysten järjestelmänvalvojille kuin kotikäyttäjille, joiden edessä on tietokoneen käyttöönotto. Kokemattomat järjestelmänvalvojat ja kotikäyttäjät saattavat ajatella, että heidän käyttöjärjestelmänsä on suojattu luotettavasti virustorjunnan ja palomuurin asennuksen jälkeen, mutta tämä ei ole täysin totta. Tietenkin nämä tietokoneet suojataan monilta hyökkäyksiltä, ​​mutta mikä pelastaa ne inhimilliseltä tekijältä? Nykyään käyttöjärjestelmien tietoturvaominaisuudet ovat erittäin korkeat. On olemassa tuhansia suojausasetuksia, jotka tarjoavat palveluita, verkon suojausta, rajoittavat pääsyä tiettyihin rekisteriavaimiin ja asetuksiin, hallitsevat BitLocker Drive Encryption -tietojen palautusagentteja, hallitsevat sovellusten käyttöä ja paljon muuta.

Koska Windows Server 2008 R2:ssa on suuri määrä suojausasetuksia Windows 7, et voi määrittää kaikkia tietokoneita samoilla asetuksilla. Artikkeli "Käyttäjätilien hallinnan ryhmäkäytäntöasetukset Windows 7:ssä" käsitteli menetelmiä Windowsin käyttäjätilien hallinnan hienosäätöön, ja tämä on vain pieni osa siitä, mitä voit tehdä suojauskäytännöillä. Paikallisia turvallisuuspolitiikkoja käsittelevässä sarjassa yritän kattaa mahdollisimman monia turvamekanismeja esimerkeillä, jotka voivat auttaa sinua jatkotyössä.

Suojauskäytäntöjen määrittäminen

Suojauskäytäntö on joukko asetuksia, jotka säätelevät tietokoneen turvallisuutta ja joita hallitaan paikallisen GPO:n kautta. Voit määrittää nämä käytännöt laajennuksen avulla "Paikallinen ryhmäkäytäntöeditori" tai napsauttaa. takila "Paikallinen turvallisuuspolitiikka" käytetään muuttamaan tilikäytäntöä ja paikallista käytäntöä paikallisessa tietokoneessa, ja Active Directory -toimialueeseen sidottujen tilien käytännöt voidaan määrittää laajennuksen avulla. "Ryhmäkäytäntöjen hallintaeditori". Voit siirtyä paikallisiin suojauskäytäntöihin seuraavilla tavoilla.

Melko usein monet käyttäjät, jotka työskentelevät tietokonepäätteillä ilman järjestelmänvalvojan oikeuksia, kohtaavat ongelman, että järjestelmänvalvoja on poistanut jotkin toiminnot käytöstä tai yksinkertaisesti kiellettyjä. Tällaisiin kieltoihin käytetään ryhmäkäytäntöeditoria. Mikä se on ja miten sen kanssa työskennellä, näemme nyt.

ryhmäpolitiikka?

Editori itsessään on melko monimutkainen ja tehokas työkalu, jonka avulla voit hienosäätää järjestelmää, ottaa käyttöön tai poistaa käytöstä sen yksittäisiä komponentteja, asettaa käyttöoikeuksia ja kieltoja käyttäjille käyttää yksittäisiä Windows-komponentteja, asentaa tai suorittaa sovelluksia jne.

On myös otettava huomioon, että tällaisia ​​työkaluja on kahdenlaisia: paikallinen ryhmäkäytäntöeditori (tälle päätteelle) ja hakemistopalveluryhmäkäytäntötyökalu (Active Directorya käyttävät sivustot, toimialueet, verkkopäätteet jne.) .

Lisäksi sinun on tiedettävä, että tällaisia ​​toimintoja tarjotaan samoissa Windows 7- tai 8-järjestelmissä vain Ultimate-, Professional- ja Enterprise-versioissa. Kotiversioissa, kuten Home tai Starter, tätä elementtiä ei asenneta aluksi, joten sitä ei tarvitse edes yrittää etsiä. Hieman myöhemmin tarkastelemme, kuinka ryhmäkäytäntöeditori otetaan käyttöön Windowsin kotirakennuksissa. Sillä välin tarkastellaan tämän työkalun päätoimintoja.

Muokkausohjelman käynnistäminen

Harkitse ensin kysymystä paikallisen ryhmäkäytäntöeditorin avaamisesta. Helpoin tapa on käyttää komentoriviä tai Suorita-valikkoa (Win + R). Editor 8 tai 7) kutsuu komento gpedit.msc.

Katsotaan nyt pääasetuksia ja selvitetään, mitä varten ne ovat.

Perusparametrit ja -asetukset

Editorin vasemmassa ikkunassa näet heti kaksi pääosiota. Ensimmäinen koskee tietokonejärjestelmää kokonaisuudessaan. Täällä voit muokata kaikkia järjestelmää koskevia parametreja riippumatta siitä, mikä käyttäjä työskentelee päätelaitteen parissa. Toinen osa sisältää asetukset, jotka on niin sanotusti sidottu kuhunkin tiettyyn käyttäjään.

Tässä tapauksessa (tietysti jos kirjaudut sisään järjestelmänvalvojana) voit asettaa kieltoja ja lupia muille käyttäjille tiettyjen toimien suorittamisessa.

Joten esimerkiksi on tarpeen poistaa käytöstä esimerkiksi rekisterin muokkaaminen, jotta kokematon käyttäjä, Jumala varjelkoon, ei pääse sinne ja poista tärkeän avaimen tai merkinnän, joka voi vaikuttaa koko "käyttöjärjestelmän" suorituskykyyn. Voit tehdä tämän käyttämällä käyttäjän kokoonpanon hallintamallit-osiota, jossa vastaava kohde on valittuna estämään pääsy rekisterin muokkaustyökaluihin. Kun siirryt alivalikkovalikkoon, valitse "Käytössä"-parametrin vieressä oleva valintaruutu.

Nyt kun käyttäjä syöttää regedit-komentoa, hän saa viestin, jonka mukaan järjestelmänvalvoja on kieltänyt rekisterin muokkaamisen. Tämä koskee kuitenkin kaikkia käyttäjien toimia ja olemassa olevia rajoituksia tai käyttöoikeuksia.

Myös tietokoneen asetusasetukset näyttävät mielenkiintoisilta. Joten esimerkiksi Ctrl + Alt + Del -näppäinyhdistelmää painettaessa suoritettavaa toimintoa on melko helppo muuttaa tai jotain muuta. Toisin sanoen editorin asetuksilla voit mukauttaa järjestelmää, kuten he sanovat, itsellesi. Tätä varten on olemassa melko paljon tehokkaita työkaluja.

Ryhmäkäytäntöeditorin asentaminen ja käyttöönotto Windows Home -versioissa (7, 8)

Nyt muutama sana siitä, kuinka voit käyttää ryhmäkäytäntöeditoria Windows Home- ja Starter-versioissa. Tätä varten sinun tarvitsee vain ladata asennusten jakelupaketti Internetistä ja asentaa tämä komponentti. Asennus ei aiheuta ongelmia, koska se on vakioprosessi. Kun olet valmis, sinun on käynnistettävä tietokonejärjestelmäsi uudelleen. Mutta siinä ei vielä kaikki.

Missä on paikallinen ryhmäkäytäntöeditori

Tässä tulemme kysymykseen editorin käynnistämisestä vastaavan tiedoston sijainnista. 32-bittisellä arkkitehtuurilla varustettujen järjestelmien vakioversiossa käynnistystiedosto sijaitsee System32-järjestelmäkansiossa Windowsin juurihakemistossa.

Saman "seitsemän" tai "kahdeksan" 64-bittisissä versioissa tiedoston asennuksen jälkeen yllä olevalla apuohjelmalla sen sijainti muutetaan SysWOW64-kansioon (tässä ovat kaikki "Suorita"-valikon kautta kutsutut komentotiedostot sijaitsee).

Joten jos annat heti asennuksen ja järjestelmän uudelleenkäynnistyksen jälkeen komennon kutsua editori, mikään ei välttämättä toimi. Järjestelmä näyttää yksinkertaisesti viestin, että gpedit.msc-tiedostoa ei löydy. Se on okei. Tie ulos tästä tilanteesta on melko yksinkertainen. Sinun tarvitsee vain kopioida haluamasi tiedosto System32-kansioon, siinä kaikki.

Johtopäätös

Lopuksi on vielä lisättävä, että ryhmäkäytäntöeditori on melko tehokas ja vakava työkalu. Siksi ainakaan ilman alkutietoa ei ole suositeltavaa muuttaa siellä olevia parametreja, muuten, mikä hyvä, koko järjestelmä "kaatuu". No, kokenut käyttäjä, joka käyttää järjestelmän rekisteriä ja ryhmäkäytäntöasetuksia yhdessä, voi lypsätä paljon, varsinkin kun editori ja rekisteri ovat yhteydessä toisiinsa, jopa joidenkin asetusten ja parametrien täydellinen päällekkäisyys.

Ryhmäkäytäntöeditori (Gpedit.msc) on erityinen mmc-konsoli, jonka avulla voit hallita erilaisia ​​järjestelmäparametreja muokkaamalla ennalta määritettyjä asetuksia - käytäntöjä (sivustolla on kokonainen osio). Jos kaivaa syvemmälle, niin itse asiassa gpedit.msc-editori on vain käyttöliittymä Windowsin rekisteriasetusten hallintaan, ts. mikä tahansa käytäntömuutos johtaa muutokseen yhdessä tai toisessa Windows 7 -rekisterin avaimessa. Ryhmäkäytäntöasetusten ja rekisteriasetusten välillä on jopa erityinen vastaavuustaulukko. Niitä kutsutaan " Ryhmäkäytäntöasetusten viite Windowsille ja Windows Serverille" (http://www.microsoft.com/download/en/details.aspx?displaylang=fi&id=25250). Nuo. kaikki gpedit-graafisella konsolilla määritetyt asetukset voidaan asettaa manuaalisesti etsimällä haluttu rekisteriavain tästä taulukosta.

Ryhmäkäytännön hallintakonsoli on kuitenkin saatavilla vain käyttöjärjestelmän "vanhemmissa" versioissa - Windows 7 Ultimate-, Professional- ja Enterprise-versioissa. Jos kirjoitat gpedit.msc-komennon Windows 7 Home Premiumissa, Home Basicissa tai Starterissa, näyttöön tulee virheilmoitus, jonka mukaan komentoa ei löydy. Nuo. näissä versioissa ei ole ryhmäkäytäntöeditoria.

Onko siis mahdollista asentaa ryhmäkäytäntöeditorigpedit sisäänWindows 7Koti? Onneksi kyllä ​​(vaikkakaan ei triviaalisti)!

Gpedit.msc:n asentaminen Windows 7 Home -käyttöjärjestelmään tarvitsemme erityisen korjaustiedoston (epävirallinen). Voit ladata sen.

Pura ja suorita asennustiedosto järjestelmänvalvojan oikeuksilla. Asennus suoritetaan ohjatussa tilassa ja on erittäin yksinkertaista.

Jos käytät Windows Homen tai Starterin 64-bittistä versiota, sinun on korjaustiedoston asentamisen jälkeen lisäksi kopioitava seuraavat objektit C:\windows\SysWOW64-hakemistosta C:\Windows\System32-hakemistoon:

• GroupPolicy-kansio
• kansio GroupPolicyUsers
• gpedit.msc-tiedosto

Kun olet asentanut päivityksen, sinun on käynnistettävä tietokoneesi uudelleen ja yritettävä suorittaa gpedit.msc-komento. Jos kaikki menee hyvin, halutun ryhmäkäytäntöeditorin konsolin pitäisi avautua.

Aiemmissa ryhmäkäytäntöjä koskevissa artikkeleissani puhuin laajennuksen toiminnasta. Joitakin nykyisen laajennuksen solmuja tarkasteltiin sekä useiden ryhmien käytännön toimivuutta. Tästä artikkelista alkaen voit oppia suojausasetusten hallinnasta paikallisessa tietokoneessa sekä toimialueympäristössä. Turvallisuus on nykyään olennainen osa työtä niin suurten ja jopa pienten yritysten järjestelmänvalvojille kuin kotikäyttäjille, joiden edessä on tietokoneen käyttöönotto. Kokemattomat järjestelmänvalvojat ja kotikäyttäjät saattavat ajatella, että heidän käyttöjärjestelmänsä on suojattu luotettavasti virustorjunnan ja palomuurin asennuksen jälkeen, mutta tämä ei ole täysin totta. Tietenkin nämä tietokoneet suojataan monilta hyökkäyksiltä, ​​mutta mikä pelastaa ne inhimilliseltä tekijältä? Nykyään käyttöjärjestelmien tietoturvaominaisuudet ovat erittäin korkeat. On olemassa tuhansia suojausasetuksia, jotka tarjoavat palveluita, verkon suojausta, rajoittavat pääsyä tiettyihin rekisteriavaimiin ja asetuksiin, hallitsevat BitLocker Drive Encryption -tietojen palautusagentteja, hallitsevat sovellusten käyttöä ja paljon muuta.

Koska Windows Server 2008 R2- ja Windows 7 -käyttöjärjestelmissä on paljon suojausasetuksia, kaikkia tietokoneita ei ole mahdollista määrittää käyttämällä samoja asetuksia. Tässä artikkelissa on käsitelty menetelmiä Windows-käyttöjärjestelmien käyttäjätilien hallinnan hienosäätöön, ja tämä on vain pieni osa siitä, mitä voit tehdä suojauskäytännöillä. Paikallisia turvallisuuspolitiikkoja käsittelevässä sarjassa yritän kattaa mahdollisimman monia turvamekanismeja esimerkeillä, jotka voivat auttaa sinua jatkotyössä.

Suojauskäytäntöjen määrittäminen

Suojauskäytäntö on joukko asetuksia, jotka säätelevät tietokoneen turvallisuutta ja joita hallitaan paikallisen GPO:n kautta. Voit määrittää nämä käytännöt laajennuksen avulla "Paikallinen ryhmäkäytäntöeditori" tai napsauttaa. takila "Paikallinen turvallisuuspolitiikka" käytetään muuttamaan tilikäytäntöä ja paikallista käytäntöä paikallisessa tietokoneessa, ja Active Directory -toimialueeseen sidottujen tilien käytännöt voidaan määrittää laajennuksen avulla. Ryhmäkäytäntöjen hallintaeditori. Voit siirtyä paikallisiin suojauskäytäntöihin seuraavilla tavoilla:

Jos tietokoneesi on liitetty Active Directory -toimialueeseen, suojauskäytäntö määräytyy toimialueen käytännön tai sen organisaatioyksikön käytännön mukaan, jonka jäsen tietokone on.

Käytä suojauskäytäntöjä paikalliselle tietokoneelle ja toimialueeseen liitetyn työaseman GPO:lle

Seuraavat esimerkit osoittavat eron paikallisen tietokoneen suojauskäytännön ja Windows Server 2008 R2 -toimialueeseen liitetyn työtietokoneen GPO:n käyttämisen välillä.

Suojauskäytännön soveltaminen paikalliseen tietokoneeseen

Jotta nykyinen esimerkki voidaan suorittaa onnistuneesti, tilin, jolla nämä toiminnot suoritetaan, on oltava ryhmän jäsen "Järjestelmänvalvojat" paikallisella tietokoneella. Jos tietokone on liitetty toimialueeseen, vain ryhmän jäsenet voivat suorittaa näitä toimintoja. "Verkkotunnuksen ylläpitäjät" tai ryhmät, joilla on oikeus muokata käytäntöjä.

Tässä esimerkissä nimeämme vierastilin uudelleen. Voit tehdä tämän seuraavasti:

Kun tietokone on käynnistetty uudelleen, sinun on avattava Ohjauspaneeli-komponentti, jotta voit tarkistaa, onko suojauskäytäntöä sovellettu tietokoneeseesi. "Käyttäjätilit" ja seuraa linkkiä "Toisen tilin hallinta". Avautuvassa ikkunassa näet kaikki paikallisella tietokoneellasi luodut tilit, mukaan lukien uudelleen nimetty vierastili:

Suojauskäytännön soveltaminen Windows Server 2008 R2 -toimialueeseen liitetylle työtietokoneen GPO:lle

Tässä esimerkissä estämme käyttäjää Test_ADUser vaihtamasta tietokoneensa tilin salasanaa. Muistutuksena, sinun on oltava ryhmän jäsen, jotta voit suorittaa seuraavat vaiheet. "Verkkotunnuksen ylläpitäjät". Tee seuraava:

Kun tietokone on käynnistynyt uudelleen, voit tarkistaa, onko suojauskäytäntöä sovellettu siirtymällä muutettuun tietokoneeseen ja avaamalla MMC-hallintakonsoli. Lisää siihen napsahdus "Paikalliset käyttäjät ja ryhmät" ja yritä vaihtaa verkkotunnuksesi salasana.

Suojauskäytännön soveltaminen Windows Server 2008 R2 -toimialueen ohjaimesta peräisin olevaan ryhmäkäytäntöobjektiin

Tässä esimerkissä muutetaan uusien yksilöllisten salasanojen määrää, jotka on määritettävä käyttäjätilille, ennen kuin vanhaa salasanaa käytetään uudelleen. Tämän käytännön avulla voit parantaa turvallisuutta varmistamalla, että vanhoja salasanoja ei käytetä uudelleen useita kertoja. Kirjaudu toimialueen ohjaimeen tai käytä etäpalvelimen hallintatyökaluja. Tee seuraava:

Tietoja snapin käytöstä "Ryhmäpolitiikan hallinta" toimialueen ohjaimissa ja komennosta gpupdate käsitellään yksityiskohtaisesti seuraavissa artikkeleissa.

Johtopäätös

Tässä artikkelissa opit paikallisten suojauskäytäntöjen soveltamismenetelmistä. Annetut esimerkit havainnollistavat suojauskäytäntöjen määrittämistä laajennuksen avulla "Paikallinen turvallisuuspolitiikka" paikallisessa tietokoneessa, käytäntöjen asettaminen toimialueeseen liitetylle tietokoneelle ja paikallisten suojauskäytäntöjen hallinta toimialueen ohjaimella. Seuraavissa paikallisia suojauskäytäntöjä käsittelevän sarjan artikkeleissa opit laajennuksen kunkin solmun käytöstä "Paikallinen turvallisuuspolitiikka" ja esimerkkejä niiden käytöstä testi- ja tuotantoympäristössä.

Suojauskäytäntö on joukko parametreja, joilla säädellään tietokoneen turvallisuutta soveltamalla niitä tiettyyn objektiin tai saman luokan objektien ryhmään. Useimmat käyttäjät tekevät harvoin muutoksia näihin asetuksiin, mutta joskus se on välttämätöntä. Katsotaanpa, kuinka nämä vaiheet suoritetaan tietokoneissa, joissa on Windows 7.

Ensinnäkin on huomioitava, että oletusarvoisesti suojauskäytäntö on konfiguroitu optimaalisesti tavallisen käyttäjän jokapäiväisiä tehtäviä varten. Siinä on tarpeen suorittaa manipulaatioita vain, jos on tarpeen ratkaista tietty ongelma, joka vaatii näiden parametrien säätämistä.

Tutkimamiamme suojausasetuksia hallinnoivat GPO:t. Windows 7:ssä voit tehdä tämän työkalujen avulla tai "Paikallinen ryhmäkäytäntöeditori". Edellytyksenä on, että olet kirjautunut järjestelmäprofiiliin järjestelmänvalvojan oikeuksilla. Seuraavaksi tarkastelemme näitä molempia vaihtoehtoja.

Tapa 1: Käytä paikallista suojauskäytäntötyökalua

Ensinnäkin opitaan ratkaisemaan ongelma työkalulla "Paikallinen turvallisuuspolitiikka".

1. Suorita määritetty laajennus napsauttamalla "Alkaa" ja mene kohtaan "Ohjauspaneeli".



2. Avaa seuraavaksi osio "Järjestelmä ja turvallisuus".



3. Klikkaus "Hallinto".



4. Valitse vaihtoehto ehdotetuista järjestelmätyökaluista "Paikallinen turvallisuuspolitiikka".

   

   Voit myös käynnistää laajennuksen ikkunan kautta "Juosta". Voit tehdä tämän kirjoittamalla Win+R ja kirjoita seuraava komento:

   Napsauta sitten OK.



5. Yllä olevat vaiheet käynnistävät haetun työkalun graafisen käyttöliittymän. Useimmissa tapauksissa kansion asetusten säätäminen on välttämätöntä "Paikalliset käytännöt". Sitten sinun on napsautettava tämännimistä elementtiä.



6. Tämä hakemisto sisältää kolme kansiota.

   Hakemistossa määrittelee yksittäisten käyttäjien tai käyttäjäryhmien valtuudet. Voit esimerkiksi määrittää, kielletäänkö tai sallitaanko tiettyjen henkilöiden tai käyttäjäryhmien suorittaminen tiettyjä tehtäviä. määrittää, kenellä on paikallinen pääsy tietokoneeseen ja kenelle vain verkon kautta jne.

   Luettelossa "Tarkastuspolitiikka" määrittää tapahtumat, jotka kirjoitetaan suojauslokiin.

   Kansiossa "Turvallisuusvaihtoehdot" määritetään erilaisia ​​​​hallintaasetuksia, jotka määrittävät käyttöjärjestelmän toiminnan, kun se syötetään sekä paikallisesti että verkon kautta, sekä vuorovaikutus eri laitteiden kanssa. Sinun ei pitäisi muuttaa näitä asetuksia ilman erityistä tarvetta, koska useimmat asiaankuuluvat tehtävät voidaan ratkaista tilin vakioasetusten, lapsilukon ja NTFS-oikeuksien avulla.

   

7. Jos haluat lisätoimenpiteitä ratkaisemaanamme tehtävään, napsauta jonkin yllä olevista hakemistoista.



8. Valitun luettelon käytäntöjen luettelo avautuu. Napsauta sitä, jota haluat muuttaa.



9. Tämä avaa käytännön muokkausikkunan. Sen ulkonäkö ja suoritettavat toimet eroavat merkittävästi siitä, mihin luokkaan se kuuluu. Esimerkiksi kansion objekteille "Käyttäjän oikeuksien siirto" avautuvassa ikkunassa sinun on lisättävä tai poistettava tietyn käyttäjän tai käyttäjäryhmän nimi. Lisääminen tapahtuu nappia painamalla "Lisää käyttäjä tai ryhmä...".

   

   Jos haluat poistaa elementin valitusta käytännöstä, valitse se ja napsauta "Poistaa".



10. Kun olet suorittanut manipulaatiot käytäntöjen muokkausikkunassa, älä unohda napsauttaa painikkeita tallentaaksesi tehdyt säädöt "Käytä" ja OK muutoin muutokset eivät tule voimaan.

Kuvasimme suojausasetusten muuttamisen esimerkin avulla kansion toiminnoista "Paikalliset käytännöt", mutta samalla analogisesti voit suorittaa toimintoja muissa laajennushakemistoissa, esimerkiksi hakemistossa "Tilikäytännöt".

Tapa 2: Käytä paikallista ryhmäkäytäntöeditoria

Voit myös määrittää paikallisen käytännön laajennuksen avulla "Paikallinen ryhmäkäytäntöeditori". Totta, tämä vaihtoehto ei ole käytettävissä kaikissa Windows 7 -versioissa, vaan vain Ultimate-, Professional- ja Enterprise-versioissa.

1. Toisin kuin edellinen laajennus, tätä työkalua ei voi käynnistää kautta "Ohjauspaneeli". Se voidaan aktivoida vain kirjoittamalla komento ikkunaan "Juosta" tai sisään "Komentorivi". Soita Win+R ja kirjoita seuraava lauseke kenttään:

   Napsauta sitten OK.