6 параметров групповой политики Windows, которые должен знать каждый администратор
Групповая политика Windows – это мощный инструмент для настройки многих аспектов Windows. Большинство настроек, которые она предлагает, нацелены на администраторов ПК, чтобы отслеживать и контролировать стандартные учетные записи.
Если вы администрируете ПК в корпоративной среде или несколько учетных записей дома, вам обязательно стоит воспользоваться групповой политикой Windows для контроля использования ПК сотрудниками и членами семьи.
Ниже мы перечислили 6 настроек групповой политики Windows, которые, несомненно, упростят административные задачи.
Доступ к редактору групповой политики Windows
Вы должны получить доступ к редактору групповой политики, прежде чем выполнять какие-либо из приведенных ниже настроек. Хотя существует множество способов доступа к редактору групповой политики Windows, но использование диалогового окна Выполнить является самым быстрым и работает во всех версиях Windows.
Нажмите клавиши WIN + R
, чтобы открыть диалоговое окно Выполнить. Здесь введите gpedit.msc и нажмите ОК, чтобы открыть Редактор локальной групповой политики.
Отслеживайте вход в аккаунт
С помощью групповой политики вы можете заставить Windows записывать все успешные и неудачные попытки входа на ПК с любой учетной записи. Вы можете использовать такую информацию, чтобы отслеживать, кто входит в систему на ПК и пытался ли кто-то войти в систему или нет.
В редакторе групповой политики перейдите по пути Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Политика аудита.
Справа найдите и нажмите дважды по Аудит событий входа в систему.
Здесь установите флажки рядом с вариантами Успех и Отказ. Когда вы нажмете ОК, Windows начнет регистрировать входы в систему на ПК.
Для просмотра этих журналов вам потребуется доступ к другому полезному инструменту Windows – Windows Event Viewer. Снова откройте диалоговое окно Выполнить и введите в нём eventvwr, чтобы открыть средство просмотра событий Windows.
Здесь разверните Журналы Windows, а затем выберите в нём опцию Безопасность. На средней панели вы должны увидеть все недавние события. Пусть вас не смущают все эти события, вам просто нужно найти успешные и неудачные события входа в систему из этого списка.
Успешные события входа в систему имеют идентификатор события: 4624, а неудачные – идентификатор события: 4625. Просто найдите эти идентификаторы событий, чтобы найти логины и увидеть точную дату и время входа.
Двойной щелчок по этим событиям покажет более подробную информацию вместе с точным именем учетной записи пользователя, который вошел в систему.
Запретить доступ к Панели управления
Панель управления – это центр всех настроек Windows, как безопасности, так и удобства использования. Однако, эти настройки могут оказаться действительно плохими в неопытных руках. Если компьютер будет использовать начинающий пользователь или вы не хотите, чтобы кто-то вмешивался в конфиденциальные настройки, вам определенно следует запретить доступ к Панели управления.
Для этого перейдите по пути Конфигурация пользователя - Административные шаблоны - Панель управления.
Справа найдите параметр Запретить доступ к панели управления и параметрам компьютера и нажмите по нему дважды.
Здесь выберите опцию Включено, чтобы запретить доступ к Панели управления. Теперь опция Панели управления будет удалена из меню «Пуск», и никто не сможет получить к ней доступ из любого места, включая диалоговое окно Выполнить.
Запретить пользователям устанавливать программы
Очистка компьютера, зараженного вредоносным ПО, может занять некоторое время. Чтобы пользователи не устанавливали зараженное программное обеспечение, вам следует отключить установщик Windows в групповой политике.
Перейдите по пути Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Установщик Windows.
Найдите справа параметр Запретить установки пользователям и нажмите по нему дважды.
Выберите здесь вариант Включено и выберите Скрыть установки для пользователей в раскрывающемся меню на панели Параметры ниже.
Отключите съемные запоминающие устройства
USB-накопители и другие съемные устройства хранения данных могут быть очень опасными для ПК. Если кто-то случайно (или намеренно) подключит зараженное вирусом запоминающее устройство к компьютеру, оно может заразить весь ваш компьютер и даже вывести его из строя.
Чтобы запретить пользователям использовать съёмные запоминающие устройства, перейдите по пути Конфигурация пользователя - Административные шаблоны - Система - Доступ к съемным носителям.
Справа найдите параметр Съемные диски: запретить чтение и нажмите по нему дважды.
Включите эту опцию, и компьютер не будет считывать данные любого типа с внешнего запоминающего устройства. Кроме того, под ним есть опция Съемные диски: запретить запись. Вы можете включить её, если не хотите, чтобы кто-либо записывал (сохранял) данные на съёмное устройство хранения.
Запретить запуск определенных приложений
Групповая политика также позволяет создать список приложений, чтобы предотвратить их запуск. Он идеально подходит для того, чтобы пользователи не тратили время на известные приложения.
Перейдите по пути Конфигурация пользователя - Административные шаблоны - Система.
Справа откройте опцию Не запускать указанные приложения Windows.
Включите эту опцию и нажмите кнопку Показать ниже, чтобы начать создание списка приложений, которые вы хотите заблокировать.
Чтобы создать список, вы должны ввести имя исполняемого файла приложения, чтобы иметь возможность заблокировать его (тот, у которого .exe в конце, например, CCleaner.exe, CleanMem.exe или launcher.exe). Лучший способ найти точное имя исполняемого файла приложения – это найти папку приложения в проводнике Windows и скопировать точное имя исполняемого файла (вместе с его расширением .exe).
Отключите командную строку и редактор реестра
Когда Панель управления попадает в «плохие руки» – это плохо, но ещё хуже – если это будут командная строка и редактор реестра. Оба этих инструмента могут легко вывести Windows из строя, особенно редактор реестра, который может повредить Windows без возможности восстановления.
Вы должны отключить и командную строку, и редактор реестра Windows, если вас беспокоит безопасность (и состояние) компьютера.
Перейдите по пути Конфигурация пользователя - Административные шаблоны - Система.
Здесь включите параметры Запретить использование командной строки и Запретить доступ к средствам редактирования реестра, чтобы пользователи не могли получить доступ к командной строке и редактору реестра.