Как заблокировать рабочий стол

Контроль использования внешних устройств штатными средствами Windows

По статистике в утечке информации чаще всего виноваты не пресловутые хакеры, а штатные сотрудники компании которые по той или иной причине решили унести с собой данные на флешке, телефоне и т.п. Чтобы решить эту проблему предложено наверное с десяток утилит разных производителей. Штатные средства безопасности Windows позволяют решить большинство задач по повышению защищенности систем не прибегая к сторонним решеням. Основную роль здесь играют групповые политики, которые с выходом Windows 7 и Windows Server 2008R2 пополнились рядом интересных возможностей.

В Windows для управления конфигурациями компьютеров и правами пользователей применяются наборы правил, объединяемые в объекты групповых политик (Group Policy Object, GPO), которые являются частью ОС и охватывают всевозможные настройки — учетные записи, параметры ОС и безопасности, аудит, конфигурацию устройств и многое другое. Правильной настройке групповых политик новички обычно не уделяют должного внимания, считая их маловажными, запутанными и неинтересными. Между тем установки GP по умолчанию не всегда оптимальны и не гарантируют должный уровень безопасности, поэтому ознакомиться с некоторыми из политик следует в обязательном порядке.
Политики делят на локальные и доменные, применить их можно для всего домена или подразделения, индивидуального компьютера или учетной записи. После настройки GPO подхватываются всеми системами автоматически, достаточно пользователю или ПК подключиться к домену. На клиентской стороне интерпретацией GPO занимаются расширения Client Side Extension (CSE), они специфичны для каждой версии ОС Windows и также требуют периодического обновления. Возможности GP растут от версии к версии, так в ОС Windows 7 и Windows Server 2008R2 доступно более 3000 политик. Полный список можно найти в документах по адресу — clck.ru/0xSTA.
Локальные политики настраиваются при помощи оснастки gpedit.msc, централизованное управление GPO в домене производится при помощи консоли «Управление групповой политикой» (Group Policy Management Editor, GMPC.msc). Часть параметров в этих консолях совпадает, но для домена доступны и специфические настройки, поэтому далее будем вести речь о возможностях GMPC.
Оснастка GMPC автоматически устанавливается на сервере вместе с ролью Доменные службы Active Directory (Active Directory Domain Services). Если компьютер не является контроллером домена, GMPC можно установить из Диспетчера сервера, добавив соответствующий компонент. Или при помощи PowerShell:

PS> Import-Module ServerManager PS> Add-WindowsFeature GPMC

Чтобы управлять настройками групповых политик из Windows 7, потребуется установить RSAT (Remote Server Administration Tools). Еще один полезный и бесплатный инструмент, о котором нужно знать при работе с GPO — Advanced Group Policy Management (AGPM, расширенное управление политиками групп), позволяющий редактировать GPO в автономном режиме, поддерживается контроль версий, бэкап настроек и делегирование прав на настройки (админ затем просто подтверждает новые GPO).
Получить информацию о текущих установках GPO можно запустив в консоли GMPC «Мастер результатов групповой политики», для локальной системы — Gpresult.exe.
Кроме этого, после установки роли AD DS (или консоли GPMC) станет доступным ряд командлетов PowerShell, позволяющих автоматизировать все этапы работы с групповыми политиками — создание, изменение, удаление, копирование, резервирование и восстановление GPO. Чтобы получить полный список нужных командлетов, набираем:

PS> Import-Module grouppolicy PS> Get-Command –module grouppolicy

Теперь просмотрим список всех политик, применяемых на домене, их статус и выведем отчет по политикам:

PS> Get-GPO -All PS> Get-GPOReport -All -ReportType Html -Path C:allgpo.html

В домене после его создания уже существуют две политики («Политика домена по умолчанию» и «Политика по умолчанию для контроллеров домена«), для дальнейших настроек создадим новую политику, в которой и будем производить все настройки. Вызываем GPMC, выбираем домен, переходим в подпункт «Объекты групповой политики» и в контекстном меню выбираем пункт Создать. По запросу задаем имя и описание, новая политика появится в списке. Для редактирования в контекстном меню выбираем пункт Изменить, после чего запустится консоль «Редактор управления групповыми политиками«.
Теперь рассмотрим некоторые политики, которые помогут повысить общий уровень безопасности в организации.

Как заблокировать рабочий стол

Иногда возникает необходимость заблокировать рабочий стол, чтобы защитить компьютер от нежелательного вторжения. Существует несколько способов решения данного вопроса, в зависимости от ожидаемого уровня безопасности.

блокировать

  • Как заблокировать рабочий стол
  • Как заблокировать компьютер на пароль
  • Как отключить рабочий стол

Если вы просто отлучились на время и хотите запретить доступ к компьютеру вцелом, можно выставить автоматическую блокировку рабочего стола экранной заставкой через заданный интервал времени. Для Windows XP, нужно открыть Панель управления – Экран – Заставка. Далее нужно выставить таймер и поставить галочку в строке «Защита паролем». (Для Windows 7, нужно нажать клавиши Win+L).

Так же блокировку можно сделать, воспользовавшись настройками Групповой политики (GPO или gpedit.msc). Для Win2000XP: Пуск – Выполнить — gpedit.msc — Конфигурация пользователя — Административные шаблоны — Рабочий стол. Дальше выбираете интересующие вас настройки.

Если нужно ограничить доступ для определенной группы пользователей, то в настройках безопасности GPO нужно поставить запрет для выделенной группы. Чтобы создать объект GPO нужно иметь необходимое ПО, в частности Active Directory Users and Computers, файл dsa.msc.

Запустите приложение, затем откройте консоль и создайте OU (организационная единица) в которой будет работать заданная блокировка. Для этого правой кнопкой мыши клик на OU – «Свойства» (Properties) – GPO – «Новый» (New) – присвойте имя новому объекту. Содержимое полученной заготовки формируйте по шаблонам в папке SysVol, в соответствии с вашими требованиями безопасности. Чтобы настроить политику для этой группы откройте вкладку Group Policy (Групповая политика) — Edit (Редактировать).

Таким же образом создается OU, для которой данная блокировка не будет действовать (если вы не хотите чтобы под ограничение попал весь домен, не забудьте указать в настройках «не наследовать политику домена»).

Блокировка компьютера при простое в терминале

Доброго дня.
Подскажите, пожалуйста, где задается допустимый интервал неактивности сеанса пользователя на терминале, после чего происходит его блокировка до нажатия Ctrl-Alt-Del и повторного ввода пароля?

Это не настройка уровня групповой политики домена, потому что сами рабочие станции не блокируются при неактивности.

ScreenSaver типа BlankScreen нужно включать в настройках рабочего стола терминала, а не на локальной машине — иначе будет блокироваться локальная машина, а не терминальный сеанс.
(Мне как раз пришлось в одном месте это отключать, так как пользователям было свойственно «спать» за компьютерами и их достало вводить пароли — теперь просто давят NumLock).

(7) На терминале заставка рабочего стола НЕ включена. Терминальный сеанс, тем не менее, блокируется?

(9) В понедельник точно посмотрю, где я это выключал — просто такие вопросы — они решаются за компьютеров на автомате, а когда потом пытаешься вспомнить, где ты лазил, не всегда получается.

Ну по ситуации:
1) задается с свойствах каждого из пользователей на сервере (домене). Для каждого пользователя свои настройки времени простоя, или ограниения активного сеанса.

2) тоже что и в 1), но задается для всех пользователей сервера. В «Terminal Services Configuration» в разделе «Connections» в свойствах «RDP-Tcp». Вызвать «Terminal Services Configuration» можно из меню «администрирование» на сервере.

Возможны варианты для домена (контроллера домена) — но и с ними похоже аналогично.

1) Заставка на терминальном сервере отключена.
2) В свойствах пользователя в оснастке «AD — Пользователи и компьютеры» на вкладке «Сеансы» никаких ограничений не задано.
3) Групповая политика «Конфигурация пользователя — Административные шаблоны — Панель управления — Экран — Таймаут экранной заставки» не определена.

А сеанс все равно блокируется после нескольких минут простоя. Не могу понять, откуда эта блокировка возникает.

(15) Неа, там тоже ничего не включено.

Есть подозрение, что хотя рабочий стол в терминальном сеансе и не создается, но, тем не менее, там как-то незримо присутствует заставка, которая и запускается после нескольких минут простоя, приводя потом к блокировке компьютера.

Сейчас запущу терминальный сеанс под логином пользователя и буду медитировать.

Включает экранные заставки рабочего стола.

Если эта политика отключена, экранные заставки не запускаются. Кроме того, отключена группа элементов «Заставка» на вкладке «Заставка» в окне «Экран» панели управления. В результате пользователи не могут изменить параметры экранных заставок.

Если эта политика не задана, она не влияет на работу системы.

Если эта политика включена, экранная заставка используется при соблюдении следующих условий: во-первых, на компьютере клиента с помощью политики «Имя исполняемого файла экранной заставки» или панели управления задана допустимая экранная заставка; во-вторых, таймаут экранной заставки установлен не равным нулю с помощью политики или панели управления.

См. также политику «Скрыть вкладку выбора заставки».

Задает интервал времени бездействия пользователя перед тем, как будет запущена экранная заставка.

Если интервал времени установлен, он может принимать значения от 1 секунды до 86400 секунд, что составляет 24 часа. Если же установлено значение, равное нулю, то экранная заставка не запускается.

Эта политика не оказывает влияния на запуск экранной заставки в следующих случаях:

— Эта политика отключена или не задана.

— Время ожидания установлено равным нулю.

— Включен параметр «Нет экранной заставки».

— Ни параметр политики «Имя исполняемого файла экранной заставки», ни вкладка «Заставка» диалога «Свойства экрана», запускаемого с помощью панели управления клиентского компьютера не указывают правильного имени имеющейся на клиентском компьютере программы экранной заставки.

Если эта политика не задана, то используется интервал времени ожидания, заданный на клиентском компьютере с помощью вкладки «Заставка» диалога «Свойства экрана». По умолчанию используется значение 15 минут.

Определяет, должна ли использоваться парольная защита экранных заставок на этом компьютере.

Если эта политика включена, все экранные заставки будут использовать парольную защиту. Если эта политика отключена, использование парольной защиты будет запрещено.

Кроме того, эта политика отключает флажок «Защита паролем» на вкладке «Заставка» в окне «Экран» панели управления, и в результате пользователи не могут изменить параметр парольной защиты.

Если эта политика не задана, пользователи могут выбирать, должна или не должна использоваться парольная защита для каждой конкретной заставки.

Чтобы обеспечить парольную защиту, следует также включить параметр «Экранная заставка» и задать таймаут с помощью параметра «Таймаут экранной заставки».

Замечание: чтобы удалить вкладку «Заставка», используйте политику «Скрыть вкладку выбора заставки».

Ни одна из этих ГП не задана.

А по результатам медитации видно, что таки появляется заставка в терминальном сеансе, а после нее блокируется компьютер. Только что заставляет эту заставку появляться — понять никак не могу.

Таки да, во всем виноват скринсейвер пользователя. Я почему-то протупил и забыл, что для каждого пользователя — свои настройки скринсейвера.

В общем, нужно было один «полноценно» подключиться к терминальному серверу (т.е. без запуска конкретной программы при старте) так, чтобы появился рабочий стол, проводник и т.д. Затем поменять настройка заставки и все.

Это если для одного пользователя, если для многих, то нужно использовать групповые политики, описанные выше.

(23) не задана это не значит, что не задан режим/параметр — это означает что в этом случае ГП не влияет на существующее положение вещей

«Жесткий» метод сброса групповых политик в Windows на дефолтные значения

Прежде чем говорить о радикальном способе сброса групповых политик в Windows, проведем краткий экскурс в архитектуру административных шаблонов групповых политик Windows.

Архитектура административных шаблонов групповых политик основана на специальных файлах Registry.pol. Данные файлы хранят параметры реестра, которые соответствуют тем или иным настройкам сконфигурированных групповых политик. Пользовательские и компьютерные политики хранятся в разных файлах Registry.pol.

  • Настройки компьютера (раздел Computer Configuration) хранятся в %SystemRoot%System32 GroupPolicyMachineregistry.pol
  • Пользовательские политики (раздел User Configuration) — %SystemRoot%System32 GroupPolicyUserregistry.pol

Сброс локальных политик

При загрузке компьютера система экспортирует содержимое файла MachineRegistry.pol в ветку системного реестра HKEY_LOCAL_MACHINE (HKLM). Содержимое файла UserRegistry.pol экспортируется в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в систему.

Консоль редактора локальных групповых политик при открытии грузит содержимое данных файлов и предоставляет их в удобном пользователю виде. При закрытии редактора GPO внесенные изменения записываются в реестр.

Совет. Для внесения изменения в файлы стоит использовать только редактор групповых политик GPO. Не рекомендуется редактировать файлы Registry.pol вручную или с помощью старых версий редактора групповой политики!

Чтобы удалить все текущие настройки локальных групповых политик, необходимо удалить файлы Registry.pol в каталоге GroupPolicy. Сделать это можно следующими командами, запущенными в командной строке с правами администратора:

Как отменить действия групповой политики на локальном компьютере.

Групповые политики — это основной инструмент управления пользователями в домене. С их помощью администратор может настраивать практически любые параметры рабочей среды пользователя. Все, начиная от запрета на запуск определенных программ и заканчивая рисунком на рабочем столе можно задать через групповые политики. Управление политиками осуществляется на уровне домена и только члены группы администраторов домена или предприятия имеют к ним доступ.

Можно ли отменить действие групповых политик на персональном компьютере, без прав администратора домена? Выясним это. В качестве тестируемого будем использовать компьютер с установленной MS Windows 7, который является членом домена. Все действия проводим под обычной учетной записью, не имеющей в домене никаких административных прав.
За применение групповых политик на локальном компьютере в Windows 7 отвечает служба Group Policy Client (gpsvc). Ее состояние можно посмотреть прямо в «Диспетчере задач», на вкладке «Службы».
Или в оснастке Службы (Services).
Служба «gpsvc» запускается от имени локальной системы, и не остановить, не изменить параметры запуска ее из графической оснастки мы не сможем.
Как вариант можно с помощью утилиты «psexec» запустить командную консоль от имени системы и затем остановить службу командой «net stop gpsvc»
Решение это временное. Хотя служба и остановлена, изменить параметры ее запуска мы все равно не сможем, и при следующей перезагрузке она будет запущена. Чтобы изменить режим запуска службы нам потребуется правка реестра.
Настройки службы находятся в разделе «HKLMSYSTEMCurrentControlSetServicesgpsvc». По умолчанию изменение параметров этого раздела запрещено, так что прежде чем приступать к его редактированию, нам необходимо получить на это права. Нажимаем правой клавишей мыши на разделе и выбираем пункт «Разрешения».

Необходимо изменить владельца раздела, для этого переходим в дополнительные параметры безопасности и выбираем владельцем свою учетную запись.
Даем себе полные права и, на всякий случай, удаляем всех из списка доступа.

Возвращаемся к настройкам службы. За режим запуска отвечает параметр Start. По умолчанию он равен 2, что означает режим запуска Авто. Для отключения службы ставим 4.

Отключив таким образом службу клиента групповой политики, вы периодически будете получать в трее уведомления о недоступности службы Windows.
Чтобы этого избежать, можно удалить (предварительно сохранив) раздел реестра HKLMSYSTEMCurrentControlSetControlWinlogonNotificationsComponentsGPClient
Данным способом можно отключить действие групповых политик. При этом не обязательно иметь права администратора в домене, достаточно лишь входить в группу локальных администраторов на ПК. Все вышеизложенное применимо только на компьютерах с установленными ОС: Windows 7 или Vista. В более ранних операционных системах службы «gpsvc» нет, а за применение групповых политик отвечает служба «Winlogon».

Перед любым вмешательством в реестр обязательно делайте его резервную копию, чтобы в случае чего оперативно откатить изменения.

Отключение экрана блокировки

Если у вас установлен пароль в операционной системе, то чтобы при включении компьютера или после выхода из «спящего» режима, Windows 7 не запрашивала постоянно у вас пароль вам необходимо сделать следующее:

  1. Опять заходите в «Пуск».
  2. Переходим в раздел «Панель управления», которых находиться в правом столбце.
  3. В появившемся окне, находим название раздела «Система и безопасность» и нажимаем на него.
  4. В следующем окне выбираем категорию «Электропитание».
  5. В появившемся окне в левой колонке выбираем раздел, называющийся «Запрос пароля при пробуждении». (Можно зайти сюда более простым способом: ввести в строке поиска Панели управления фразу «запрос пароля», нажать Enter , а затем выбрать нужный пункт из списка).
  6. Ставим галочку напротив фразы: «Не запрашивать пароль», после чего нажимаем сохранить изменения.

Теперь у вас не будет блокироваться Windows и появляться на экране запрос ввода пароля при выходе из спящего режима.

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector