Локальна політика безпеки в Windows 10
В операційних системах сімейства Windows є багато оснасток і політик, що представляють собою набір параметрів для налаштування різних функціональних складових ОС. Серед них знаходиться оснащення під назвою «Локальна політика безпеки» і відповідає вона за редагування захисних механізмів Віндовс. В рамках сьогоднішньої статті ми обговоримо компоненти згаданого інструменту і розповімо про їхній вплив на взаємодію з системою.
Налаштування «Локальної політики безпеки» в Windows 10
Як ви вже знаєте з попереднього абзацу, згадана політика складається з кількох компонентів кожен з яких зібрав в собі параметри з регулювання захищеності самої ОС, користувачів і мереж час обміну даними. Логічно буде приділити час кожному розділу, тому давайте відразу ж почнемо детальний розбір.
Запускається «Локальна політика безпеки» одним із чотирьох способів, кожного буде максимально корисний певним користувачам. У статті за наступним посиланням ви можете ознайомитися з кожним методом і вибрати відповідний. Однак прагнемо звернути вашу увагу, що всі наведені сьогодні скріншоти зроблені на самому вікні інструменту, а не в редакторі локальних групових політик, через що слід враховувати особливості інтерфейсів.
Детальніше: Розташування локальної політики безпеки в Windows 10
Політики облікових записів
Почнемо з першої категорії під назвою «Політики облікових записів». Розгорніть її і відкрийте розділ «Політика паролів». Справа ви бачите список властивостей, кожен з яких відповідає за обмеження або виконання дій. Наприклад, в пункті «Мінімальна довжина пароля» ви самостійно вказуєте кількість знаків, а в «Мінімальний термін дії пароля» - кількість днів на блокування його зміни.
Двічі клацніть на одному з параметрів, щоб відкрити окреме вікно з його властивостями. Як правило, тут присутній обмежену кількість кнопок і налаштувань. Наприклад, в «Мінімальний термін дії пароля» ви тільки виставляєте кількість днів.
У вкладці «Пояснення» знаходиться детальний опис кожного параметра від розробників. Зазвичай воно розписано досить широко, але більша частина інформації є даремною або ж очевидною, тому її можна опустити, виділивши тільки основні моменти особисто для себе.
У другій папці «Політика блокування облікового запису» присутній три політики. Тут доступна установка часу до скидання лічильника блокування, порогове значення блокування (кількість помилок введення пароля при вході в систему) і тривалість блокування профілю користувача. Про те, як встановлюються кожні параметри, ви вже дізналися з інформації вище.
локальні політики
У розділі «Локальні політики» зібрано відразу кілька груп параметрів, розділених за тек. Перша має назву «Політика аудиту». Якщо говорити просто, аудит - процедура спостереження за діями користувача з подальшим занесенням їх в журнал подій і безпеки. Праворуч ви бачите декілька пунктів. Їх назви говорять самі за себе, тому окремо зупинятися на кожному немає ніякого сенсу.
Якщо значення встановлено «Ні аудиту», дії відслідковуватися не будуть. У властивостях ж на вибір надається два варіанти - «Відмова» і «Успіх». Поставте галочку однією з них або відразу на обох, щоб зберігати успішні і перервані дії.
У папці «Призначення прав користувача» зібрані налаштування, що дозволяють надати групам користувачів доступ для виконання певних процесів, наприклад, вхід в якості служби, можливість підключення до інтернету, установка або видалення драйверів пристроїв і багато іншого. Ознайомтеся з усіма пунктами і їх описом самостійно, в цьому немає нічого складного.
У «Властивості» ви бачите перелік груп користувачів, яким дозволено здійснення заданого дії.
В окремому вікні відбувається додавання груп користувачів або тільки деяких облікових записів з локальних комп'ютерів. Від вас вимагається лише вказати тип об'єкта і його розміщення, а після перезавантаження комп'ютера всі зміни вступлять в силу.
Розділ «Параметри безпеки» присвячений забезпеченню захищеності двох попередніх політик. Тобто тут ви можете налаштувати аудит, який буде відключати систему при неможливості додавання відповідного запису аудиту у журнал, або ж встановити обмеження на кількість спроб введення пароля. Параметрів тут налічується більше тридцяти. Умовно їх можна розділити на групи - ті, що їх інтерактивний вхід в систему, контроль облікових записів, мережевий доступ, пристрої та мережева безпека. У властивостях вам дозволено активувати або відключати кожну з цих налаштувань.
Монітор брандмауера для програми Windows Defender в режимі підвищеної безпеки
«Монітор брандмауера Захисника Windows в режимі підвищеної безпеки» - один з найскладніших розділів «Локальної політики безпеки». Розробники спробували спростити процес налагодження вхідних і вихідних підключень за допомогою додавання Майстра настройки, однак починаючі користувачі все одно з працею розберуться з усіма пунктами, але ці параметри і вкрай рідко потрібні такій групі користувачів. Тут є створення правил для програм, портів або зумовлених з'єднань. Ви блокуєте або дозволяєте підключення, вибравши при цьому мережа і групу.
У цьому ж розділі відбувається визначення типу безпеки підключення - ізоляція, сервер-сервер, тунель або звільнення від перевірки автентичності. Зупинятися на всіх настройках немає сенсу, адже це стане в нагоді тільки досвідченим адміністраторам, а вони в змозі самостійно забезпечити надійність вхідних і вихідних з'єднань.
Політики диспетчера списку мереж
Зверніть увагу на окрему директорію «Політики диспетчера списку мереж». Кількість відображуваних тут параметрів залежить від активних і доступних інтернет-з'єднань. Наприклад, пункт «Невідомі мережі» або «Ідентифікація мереж» буде присутній завжди, а «Мережа 1», «Мережа 2» і так далі - в залежності від реалізації вашого оточення.
У властивостях ви можете вказати ім'я мережі, додати дозволу для користувачів, встановити власний значок або задати розташування. Все це доступно для кожного параметра і має застосовуватися окремо. Після виконання змін не забувайте їх застосовувати і перезавантажувати комп'ютер, щоб вони вступали в силу. Іноді може знадобитися і перезавантаження роутера.
Політики відкритого ключа
Корисним розділ «Політики відкритого ключа» буде тільки для тих, хто використовує комп'ютери на підприємстві, де для здійснення криптографічних операцій або інших захищених маніпуляцій задіяні відкриті ключі і центри специфікацій. Все це дозволяє гнучко проводити контроль довірчих відносин між пристроями, забезпечивши стабільну і безпечну мережу. Внесення змін залежать від активного на підприємстві центру дорученням.
Політики управління додатками
У «Політики управління додатками» знаходиться інструмент «AppLocker». Він включає в себе безліч найрізноманітніших функцій і налаштувань, що дозволяють регулювати роботу з програмами на ПК. Наприклад, він дозволяє створити правило, яке обмежує запуск всіх програм, окрім зазначених, або встановити обмеження на зміну файлів програмами, задавши окремі аргументи і виключення. Повну інформацію щодо згаданого інструменту ви отримаєте в офіційній документації компанії Microsoft, там все розписано максимально детально, з поясненням кожного пункту.
AppLocker в операційну систему Windows
Що ж стосується меню «Властивості», то тут застосування правил налаштовується для колекцій, наприклад, виконувані файли, інсталятор Windows, сценарії і упаковані програми. Кожне значення може застосовуватися примусово, в обхід інших обмежень «Локальної політики безпеки».
Політики IP-безпеки на «Локальний комп'ютер»
Налаштування в розділі «Політики IP-безпеки на« Локальний комп'ютер »» мають деяку схожість з тими, що доступні в веб-інтерфейсі роутера, наприклад, включення шифрування трафіку або його фільтрація. Користувач сам створює необмежену кількість правил через вбудований Майстер створення вказує там методи шифрування, обмеження на передачу і прийом трафіку, а також активує фільтрацію по IP-адресами (дозвіл або заборона на підключення до мережі).
На скріншоті нижче ви бачите приклад одного з таких правил зв'язку з іншими комп'ютерами. Тут присутній список IP-фільтрів, їх дія, методи перевірки, кінцева точка і тип підключення. Все це задається користувачем вручну, виходячи з його потреб в забезпеченні фільтрації передачі і прийому трафіку з певних джерел.
Конфігурація розширеної політики аудиту
В одній з попередніх частин сьогоднішньої статті ви вже були ознайомлені з аудитами та їх налаштуванням, однак існують ще додаткові параметри, які винесені в окремий розділ. Тут вже ви бачите більш широке дію аудитів - створення / завершення процесів, зміна файлової системи, реєстру, політик, управління групами облікових записів користувачів, додатків та багато іншого, з чим можете ознайомитися самостійно.
Коригування правил здійснюється точно так же - потрібно лише відзначити галочкою «Успіх», «Відмова», щоб запустити процедуру спостереження і записи в журнал безпеки.
На цьому ознайомлення з «Локальної політикою безпеки» в Windows 10 завершено. Як бачите, тут є багато найкорисніших параметрів, що дозволяють організувати гарний захист системи. Ми настійно радимо перед внесенням певних змін уважно вивчити опис самого параметра, щоб зрозуміти його принцип роботи. Редагування деяких правил іноді призводить до серйозних проблемам роботи ОС, тому робіть все вкрай обережно.