Настройка параметров политики безопасности
В этой статье описаны действия по настройке параметра политики безопасности на локальном устройстве, на устройстве, присоединенном к домену, и на контроллере домена. Для выполнения этих процедур необходимо иметь права администратора на локальном устройстве или соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена.
Если локальный параметр недоступен, это означает, что этот параметр в настоящее время контролируется объектом групповой политики.
Настройка параметра с помощью консоли локальной политики безопасности
- Чтобы открыть локальную политику безопасности, на экране Пуск введите secpol.msc и нажмите клавишу ВВОД.
- В разделе Параметры безопасности дерева консоли, выполните одно из следующих действий.
- Выберите Политики учетных записей , чтобы изменить политику паролей или политику блокировки учетных записей.
- Выберите Локальные политики , чтобы изменить политику аудита, назначение прав пользователя или параметры безопасности.
- Когда вы найдете параметр политики в области сведений, дважды щелкните политику безопасности, которую вы хотите изменить.
- Измените параметр политики безопасности и нажмите кнопку ОК.
- Некоторые параметры политики безопасности требуют перезапуска устройства для того, чтобы параметр вступил в силу.
- Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Настройка параметра политики безопасности с помощью консоли редактора локальных групповых политик
Для установки и использования консоли управления (MMC) и обновления объекта групповой политики (GPO) на контроллере домена требуются соответствующие разрешения.
- Откройте редактор локальных групповых политик (gpedit.msc).
- В дереве консоли щелкните Конфигурация компьютера, выберите Параметры Windows, а затем — Параметры безопасности.
- Выполните одно из следующих действий.
- Выберите Политики учетных записей , чтобы изменить политику паролей или политику блокировки учетных записей.
- Выберите Локальные политики , чтобы изменить политику аудита, назначение прав пользователя или параметры безопасности.
- В области сведений, дважды щелкните параметр политики безопасности, который вы хотите изменить.
Примечание. Если эта политика безопасности еще не определена, выберите флажок Определить параметры политики.
Если вы хотите настроить параметры безопасности для многих устройств в сети, можно использовать консоль управления групповыми политиками.
Настройка параметра для контроллера домена
В следующей процедуре описывается настройка параметра политики безопасности только для контроллера домена (из контроллера домена).
- Чтобы открыть политику безопасности контроллера домена, в дереве консоли найдите Политика GroupPolicyObject [ComputerName] , щелкните Конфигурация компьютера, выберите Параметры Windows, а затем — Параметры безопасности.
- Выполните одно из следующих действий.
- Дважды щелкните Политики учетной записи, чтобы изменить Пароль политики, Политику блокировки учетных записей или Политику Kerberos.
- Выберите Локальные политики , чтобы изменить политику аудита, назначение прав пользователя или параметры безопасности.
- В области сведений, дважды щелкните политику безопасности, которую вы хотите изменить.
Примечание. Если эта политика безопасности еще не определена, выберите флажок Определить параметры политики.
- Всегда проверяйте только что созданную политику в тестовом подразделении перед ее применением к сети.
- Когда вы измените параметр безопасности с помощью объекта групповой политики и нажмете ОК, этот параметр вступит в силу при следующем обновлении параметров.
Связанные статьи
Процедура для изменения политики безопасности на компьютерах Mac с Apple Silicon
Процедура после запуска компьютера в режиме восстановления macOS описана здесь.
По этой причине вы не сможете использовать веб-браузер на Mac во время выполнения данной процедуры. Рекомендуется отобразить эту процедуру на смартфоне или аналогичном устройстве и обращаться к ней в процессе выполнения.
Вы можете открыть данную страницу на смартфоне, считав двумерный штрих-код ниже.
- Процедура для изменения политики безопасности
- Процедура для восстановления политики безопасности до «Высший уровень безопасности»
Процедура для изменения политики безопасности
- В меню Apple выберите [Выключить] для выключения Mac.
- После выключения системы подождите 10 секунд, а затем нажмите и удерживайте кнопку питания на Mac.
- Щелкните [Параметры], затем щелкните [Продолжить].
- Щелкните [Утилиты], затем выберите [Утилита безопасной загрузки].

- Выберите из отображенных загрузочный диск, который вы хотите использовать, затем щелкните [Политика безопасности].

- После выбора «Сниженный уровень безопасности» выберите «Разрешить пользователям управлять расширениями ядра от подтвержденных разработчиков» и щелкните [ОК].
(Мы рекомендуем взять на заметку настройки перед выполнением изменений, так чтобы вы могли восстановить предыдущую политику безопасности по окончании использования приложения.)
- Введите имя администратора и пароль, затем щелкните [ОК].

- Когда настройка политики безопасности будет завершена, отобразится следующее окно.

- В меню Apple выберите [Перезагрузить] для перезапуска Mac.

- После перезапуска вернитесь на начальную страницу и продолжите операцию.
Процедура для восстановления политики безопасности до «Высший уровень безопасности»
- В меню Apple выберите [Выключить] для выключения Mac.
- После выключения системы подождите 10 секунд, а затем нажмите и удерживайте кнопку питания на Mac.
- Щелкните [Параметры], затем щелкните [Продолжить].

- Щелкните [Утилиты], затем выберите [Утилита безопасной загрузки].

- Выберите из отображенных загрузочный диск, который вы хотите использовать, затем щелкните [Политика безопасности].

- После выбора «Высший уровень безопасности» щелкните [ОК].

- Введите имя администратора и пароль, затем щелкните [ОК].

- Когда настройка политики безопасности будет завершена, отобразится следующее окно.

- В меню Apple выберите [Перезагрузить] для перезапуска Mac.

Завершение работы системы — параметр политики безопасности
Описание рекомендаций, расположения, значений, управления политиками и соображений безопасности для параметра политики «Завершение работы системы «.
Справочные материалы
Этот параметр безопасности определяет, может ли пользователь, вошедший в систему локально на устройстве, выключить Windows.
Завершение работы контроллеров домена делает их неспособными выполнять такие действия, как обработка запросов на вход, обработка групповая политика параметров и ответы на запросы LDAP. Завершение работы контроллеров домена, которым назначены операции master ролей, которые также называются гибкими операциями с одним master или ролями FSMO, может отключить функциональность ключевого домена. Например, обработка запросов на вход для новых паролей, выполняемых эмулятором основного контроллера домена (PDC), master.
Чтобы включить поддержку гибернации, задать параметры управления питанием и отменить завершение работы, требуется право пользователя завершить работу системы .
Возможные значения
- Определяемый пользователем список учетных записей
- По умолчанию
- Не определено
Рекомендации
- Убедитесь, что только администраторы и операторы резервного копирования имеют право завершить работу системного пользователя на рядовых серверах. И только администраторы имеют право пользователя на контроллерах домена. Удаление этих групп по умолчанию может ограничить возможности пользователей, которым назначены определенные административные роли в вашей среде. Убедитесь, что делегированные задачи не будут затронуты негативно.
- Возможность завершения работы контроллеров домена должна быть ограничена несколькими доверенными администраторами. Несмотря на то, что для завершения работы системы требуется возможность входа на сервер, следует быть осторожными с учетными записями и группами, которые позволяют завершить работу контроллера домена.
Местоположение
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Значения по умолчанию
По умолчанию для этого параметра используются администраторы, операторы резервного копирования, операторы сервера и операторы печати на контроллерах домена, а также администраторы и операторы резервного копирования на автономных серверах.
В следующей таблице перечислены фактические и действующие значения политики по умолчанию для последних поддерживаемых версий Windows. Значения по умолчанию также можно найти на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Default Domain Policy | Не определено |
| Политика контроллера домена по умолчанию | Администраторы Операторы архива Операторы серверов Операторы печати |
| Параметры по умолчанию для автономного сервера | Администраторы Операторы архива |
| Действующие параметры по умолчанию для контроллера домена | Администраторы Операторы архива Операторы серверов Операторы печати |
| Действующие параметры по умолчанию для рядового сервера | Администраторы Операторы архива |
| Действующие параметры по умолчанию для клиентского компьютера | Администраторы Операторы архива Пользователи |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Для активации этого параметра политики не требуется перезагрузка компьютера.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Это право пользователя не имеет такого же эффекта, как принудительное завершение работы удаленной системы. Дополнительные сведения см. в разделе Принудительное завершение работы удаленной системы.
Параметры применяются в следующем порядке через объект групповая политика , который перезаписывает параметры на локальном компьютере при следующем обновлении групповая политика:
- Параметры локальной политики
- Параметры политики сайта
- Параметры политики домена
- Параметры политики подразделения
Если локальный параметр выделен серым цветом, он указывает, что объект групповой политики в настоящее время управляет этим параметром.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Возможность завершения работы контроллеров домена должна быть ограничена несколькими доверенными администраторами. Хотя для параметра Завершение работы системного пользователя требуется возможность входа на сервер, следует быть осторожным с тем, какие учетные записи и группы разрешены для завершения работы контроллера домена.
Когда контроллер домена завершает работу, он не может обрабатывать запросы на вход, обрабатывать параметры групповая политика и отвечать на запросы LDAP. Если вы завершаете работу контроллеров домена с операциями master ролями, можно отключить функции ключевого домена, такие как обработка запросов на вход для новых паролей, выполняемых master PDC.
Для других ролей сервера, особенно для ролей, в которых неадминистраторы имеют права на вход на сервер, например серверы узла сеансов удаленных рабочих столах, очень важно, чтобы это право пользователя было удалено от пользователей, у которых нет законных причин для перезапуска серверов.
Противодействие
Убедитесь, что только группам Администраторы и Операторы резервного копирования назначено право завершение работы системного пользователя на рядовых серверах. И убедитесь, что только группе Администраторы назначено право пользователя на контроллерах домена.
Возможное влияние
Влияние удаления этих групп по умолчанию из права пользователя Завершение работы системы может ограничить делегированные возможности назначенных ролей в вашей среде. Убедитесь, что делегированные действия не оказывают негативного влияния.
Связанные статьи
Как отключить усиленную безопасность Internet Explorer в Windows Server

Для выполнения многих задач на виртуальном сервере с Windows необходимо отключать усиленную безопасность, которая включена по умолчанию.
Для отключения усиленной безопасности нужно:
- Зайти в Диспетчер серверов из панели задач

- Выбирайте в левой колонке “Локальный сервер”

- В правой колонке параметров найдите пункт “Конфигурация усиленной безопасности Internet Explorer” и нажмите на слово “Включено”

- Во всплывшем окне переставьте все параметры на “Отключить” и нажмите кнопку “ОК”. Не переживайте, что в диспетчере задач показывается, что защита все еще включена, правильно параметр будет отображен после перезагрузки страницы, например, кнопкой F5.

