Руководство по редактору групповых политик

Active Directory, Защита данных

Редактор групповых политик — это средство администрирования Windows, позволяющее пользователям настраивать важные параметры на своих компьютерах или в сетях. Администраторы могут устанавливать требования к паролям, запускать программы и определять, в какие приложения или настройки пользователям можно вносить изменения. Такие параметры называются объектами групповой политики (GPO). Хакеры используют GPO для отключения Windows Defender. Системные администраторы применяют GPO для управления учетными записями заблокированных пользователей. Этот блог посвящен версии редактора групповых политик для Windows 10 (также известной как gpedit), но он доступен и для Windows 7, 8, Windows Server 2003 и более поздних версий.

В этой статье мы рассмотрим, как  использовать редактор групповых политик, поговорим о некоторых важных параметрах безопасности в объектах групповых политик и нескольких альтернативах gpedit.

5 способов получения доступа к редактору групповых политик в Windows 10

Существует несколько способов получить доступ к редактору групповых политик. Выбирайте удобный для себя:

Вариант 1. Откройте редактор локальной групповой политики с помощью команды “Запустить”

  • Откройте “Поиск” на панели инструментов и введите “Запустить”, или выберите команду “Запустить” в меню “Пуск”.
  • Введите “gpedit.msc” в командной строке “Запустить” и нажмите “ОК”.

Вариант 2. Откройте редактор локальной групповой политики в меню “Поиск”

  • Откройте “Поиск” на панели инструментов.
  • Введите “gpedit” и нажмите “Редактировать групповую политику”.

Вариант 3. Откройте редактор локальной групповой политики в командной строке

  • Введите “gpedit.msc” в командной строке и нажмите “Enter”.

Вариант 4. Откройте редактор локальной групповой политики в PowerShell

Вариант 5. Откройте редактор локальной групповой политики на панели управления меню “Пуск”

  • Откройте панель управления меню “Пуск”.
  • Нажмите значок Windows на панели инструментов, а затем значок виджета, чтобы открыть настройки.
  • Начните вводить “групповая политика” (group policy) или “gpedit”, затем выберите опцию “Редактировать групповую политику” (Edit Group Policy).

Для чего нужен редактор групповых политик

Более подходящим будет вопрос, для чего он не нужен! С его помощью вы можете делать что угодно: от установки обоев на рабочем столе до отключения служб и удаления проводника из стандартного меню “Пуск”. Групповые политики контролируют доступность версий сетевых протоколов и обеспечивают соблюдение правил использования паролей. Службе ИТ-безопасности будет очень полезно установить и поддерживать строгую групповую политику. Ниже приведено несколько примеров качественных групповых политик ИТ-безопасности:

  • Ограничение количества приложений, которые пользователи могут устанавливать или открывать на своих корпоративных устройствах.
  • Запрет использования съемных устройств, таких как USB-накопители или DVD-приводы.
  • Отключение сетевых протоколов наподобие TLS 1.0 и применение более безопасных протоколов.
  • Ограничение параметров, доступных для изменения пользователями, с помощью панели управления. Например, можно разрешить пользователям менять разрешение экрана, но не настройки VPN.
  • Запрет открывать gpedit для изменения любых из вышеперечисленных настроек пользователями.

Это всего лишь несколько примеров того, для чего служба ИТ-безопасности может использовать групповые политики. Если целью является создание более безопасной и надежной среды, используйте групповые политики для гарантии соблюдения правил безопасности.

Компоненты редактора групповых политик

Окно редактора групповых политик представляет собой список в левой части и контекстный просмотр — в правой. Когда вы нажимаете на пункт списка с левой стороны, меняется фокус справа и отображается подробная информация о выбранном пункте. Элементы верхнего уровня списка — это “Конфигурация компьютера” и “Конфигурация пользователя”. Открыв дерево “Конфигурация компьютера”, вы можете ознакомиться с вариантами управления различными аспектами поведения системы. Например, перейдя по цепочке “Конфигурация компьютера” -> “Административные шаблоны” -> “Панель управления” -> “Персонализация”, вы увидите справа такие команды, как “Не отображать экран блокировки”.

Чтобы изменить параметр, дважды нажмите на него:

В редакторе групповых политик есть сотни различных подобных настроек. Если вы хотите ознакомиться с их полным списком, обратитесь к документации Microsoft.

Компоненты редактора локальной групповой политики:

  • Конфигурация компьютера. Данные политики применяются к локальному компьютеру независимо от пользователя.
  • Конфигурация пользователя. Данные политики применяются к пользователям (включая всех новых пользователей) на конкретном локальном компьютере.

Эти две основные категории разбиты на подкатегории:

  • Параметры ПО. Параметры ПО содержат групповые политики, относящиеся к конкретному ПО. По умолчанию этот параметр пуст.

Как настроить параметр политики безопасности с помощью консоли редактора локальной групповой политики

Имея представление о том, какие GPO вы хотите установить, использовать редактор групповой политики для внесения изменений становится довольно просто. Рассмотрим, как можно быстро изменить параметры пароля:

  1. В gpedit нажмите “Настройки Windows”, затем “Настройки учетной записи” и “Политика паролей”:
  2. Выберите опцию “Пароль должен соответствовать требованиям к сложности”:

3. Нажмите “Включено” и “Применить” для внесения изменений на вашем локальном компьютере. Изменение корпоративных GPO в данном блоге мы не рассматриваем.

Как использовать PowerShell для администрирования групповых политик

Многие системные администраторы предпочитают управлять групповыми политиками с помощью PowerShell. Ниже представлено несколько командлетов групповой политики PowerShell, с которых можно начать:

  • New-GPO. Этот командлет создает новый неназначенный GPO. Вы можете передать новому GPO информацию об имени, владельце, домене и другие параметры.
  • Get-GPOReport. Этот командлет возвращает все или указанные GPO, существующие в домене, в файле XML или HTML. Очень полезная функция для поиска неполадок и документации.
  • Get-GPResultantSetOfPolicy. Этот командлет возвращает весь результирующий набор политик (RsoP) для пользователя и/или компьютера и создает XML-файл с результатами. Это отличный командлет для анализа проблем с GPO. Можно предположить, что для политики задано определенное значение, но она может быть перезаписана другим GPO, и единственный способ выяснить это — узнать фактические значения, применяемые к пользователю или компьютеру.
  • Invoke-GPUpdate. Этот командлет позволяет обновлять объекты групповой политики на компьютере аналогично запуску gpupdate.exe. С помощью командлета можно запланировать обновление  на удаленном компьютере в определенное время, а значит, вы также можете написать сценарий, который будет  выполнять множество обновлений.

Ограничения редактора групповых политик

Приложение gpedit представляется слишком простым инструментом, который должен помочь защитить всё ваше предприятие. GPO обновляются через разные промежутки времени на компьютерах в сети или при перезагрузке. Таким образом, неизвестно, когда на всех компьютерах произойдут внесенные вами изменения. Хакеры также могут менять локальные групповые политики с помощью gpedit или PowerShell, что может отменить любую включенную в системе защиту. Несколько компаний предлагают альтернативные инструменты редактирования групповой политики, и для упрощения своей работы вы можете научиться вносить все изменения с помощью PowerShell. Однако в gpedit нет встроенного внутреннего аудита, поэтому вам необходим надежный план управления изменениями и проведение независимой проверки всех изменений GPO для гарантии безопасности. Очень важно проверять Active Directory на наличие любых изменений в групповой политике — часто такие изменения сигнализируют об APT-атаках.  Varonis обнаруживает угрозы путем проверки и сопоставления текущей активности с обычным поведением, и с помощью встроенных моделей угроз способен обнаружить APT-атаки, заражение вредоносным ПО, атаки методом перебора паролей, включая попытки внести изменения в GPO.

Прослушайте наш курс по PowerShell, в котором вы научитесь использовать PowerShell для управления Active Directory. Изучив основы, вы сможете управлять GPO с помощью PowerShell.

 

 

Бесплатный аудит рисков кибербезопасности

Узнайте об уязвимостях вашей ИТ-инфраструктуры - мы проведем бесплатный аудит рисков и подготовим для вас отчет. Это займет около 90 минут вашего времени и никак не отразится на бизнес-процессах компании.