Как отключить политику безопасности

Настраиваем локальную политику безопасности в Windows 7

Политика безопасности представляет собой набор параметров для регулирования безопасности ПК, путем их применения к конкретному объекту или к группе объектов одного класса. Большинство пользователей редко производят изменения данных настроек, но бывают ситуации, когда это нужно сделать. Давайте разберемся, как выполнить данные действия на компьютерах с Виндовс 7.

Варианты настройки политики безопасности

Прежде всего, нужно отметить, что по умолчанию политика безопасности настроена оптимально для выполнения повседневных задач рядового юзера. Производить манипуляции в ней нужно только в случае возникновения необходимости решить конкретный вопрос, требующий корректировки данных параметров.

Изучаемые нами настройки безопасности регулируются с помощью GPO. В Виндовс 7 сделать это можно, используя инструменты «Локальная политика безопасности» либо «Редактор локальных групповых политик». Обязательным условием является вход в профиль системы с полномочиями администратора. Далее мы рассмотрим оба этих варианта действий.

Способ 1: Применение инструмента «Локальная политика безопасности»

Прежде всего, изучим, как решить поставленную задачу с помощью инструмента «Локальная политика безопасности».

Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления».

Далее откройте раздел «Система и безопасности».

Из предложенного набора системных инструментов выберите вариант «Локальная политика безопасности».

Также оснастку можно запустить и через окно «Выполнить». Для этого наберите Win+R и введите следующую команду:

Затем щелкните «OK».

Указанные выше действия приведут к запуску графического интерфейса искомого инструмента. В подавляющем большинстве случаев возникает необходимость откорректировать параметры в папке «Локальные политики». Тогда нужно щелкнуть по элементу с этим наименованием.

В данном каталоге располагается три папки.

В директории «Назначение прав пользователя» определяются полномочия отдельных пользователей или групп юзеров. Например, можно указать, запрет или разрешение для отдельных лиц или категорий пользователей на выполнение конкретных задач; определить, кому разрешен локальный доступ к ПК, а кому только по сети и т.д.

В каталоге «Политика аудита» указываются события, предназначенные для записи в журнале безопасности.

В папке «Параметры безопасности» указываются разнообразные административные настройки, которые определяют поведение ОС при входе в неё как локально, так и через сеть, а также взаимодействие с различными устройствами. Без особой необходимости данные параметры изменять не стоит, так как большинство соответствующих задач можно решить через стандартную настройку учетных записей, родительский контроль и разрешения NTFS.

Читайте также: Родительский контроль в Windows 7
Для дальнейших действий по решаемой нами задаче щелкните по наименованию одного из указанных выше каталогов.

Откроется перечень политик выбранного каталога. Кликните по той из них, которую желаете изменить.

После этого откроется окошко редактирования политики. Его вид и действия, которые необходимо произвести, существенно отличаются от того, к какой именно категории она принадлежит. Например, для объектов из папки «Назначение прав пользователя» в открывшемся окне необходимо добавить или удалить имя конкретного пользователя либо группы юзеров. Добавление производится путем нажатия кнопки «Добавить пользователя или группу…».

Если же необходимо произвести удаление элемента из выбранной политики, то выделите его и нажмите «Удалить».

Мы описали изменение настроек безопасности на примере действий в папке «Локальные политики», но по такой же аналогии можно производить действия и в других каталогах оснастки, например в директории «Политики учетных записей».

Способ 2: Использование инструмента «Редактор локальной групповой политики»

Настроить локальную политику можно также при помощи оснастки «Редактор локальной групповой политики». Правда, данный вариант доступен не во всех редакциях Windows 7, а только в Ultimate, Professional и Enterprise.

В отличие от предыдущей оснастки, данный инструмент нельзя запустить через «Панель управления». Его можно активировать только путем введения команды в окно «Выполнить» или в «Командную строку». Наберите Win+R и введите в поле такое выражение:

Затем щелкните «OK».

Читайте также: Как исправить ошибку «gpedit.msc не найден» в Windows 7
Откроется интерфейс оснастки. Перейдите в раздел «Конфигурация компьютера».

Далее щелкните по папке «Конфигурация Windows».

Теперь щелкните по элементу «Параметры безопасности».

Откроется директория с уже знакомыми нам по предыдущему методу папками: «Политики учетных записей», «Локальные политики» и т.д. Все дальнейшие действия проводятся по точно такому же алгоритму, который указан при описании Способа 1, начиная с пункта 5. Единственное отличие состоит в том, что манипуляции будут выполняться в оболочке другого инструмента.

Настроить локальную политику в Виндовс 7 можно путем использования одной из двух системных оснасток. Порядок действий в них довольно схожий, отличие заключается в алгоритме доступа к открытию данных инструментов. Но изменять указанные настройки рекомендуем только тогда, когда вы полностью уверены, что это нужно сделать для выполнения определенной задачи. Если же таковой нет, эти параметры лучше не корректировать, так как они отрегулированы на оптимальный вариант повседневного использования.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Как настроить локальную политику безопасности Windows 10 и работать с ней

Если вы посчитали, что, настроив на своём сервере антивирусы, вы на 100% обезопасили себя и своих клиентов от каких бы то ни было инцидентов, то это ещё не всё. Вам не помешают групповые настройки, исключающие любые ошибки.

Зачем в Windows нужна локальная политика безопасности

Групповая (локальная) политика безопасности (ГПБ/ЛПБ) — это программные средства, обеспечивающие согласованную и максимально эффективную работу компьютеров компании или учреждения. Иметь высокую производительность труда, экономя время и ресурсы — это о вас, если на ПК и ноутбуках под управлением Windows работают настройки группового соединения: вместе эти компьютеры образуют единое целое, помогающее вашей конторе расти и развиваться дальше. Для этого требуется их подключение к одному домену.

Какая версия Windows 10 подходит для настроек групповой политики

Вам нужна Professional/Enterprise — её используют работники частных фирм и госслужащие. Дело в том, что в версии Home/Starter, предназначенной для обычных пользователей, нет компонента gpedit.exe (англ. Group Politics Editor) — нужна его принудительная установка.

Почему в Windows Home/Starter нет инструмента GPEdit

В Home/Starter ГПБ представлена лишь службой «Клиент групповой политики», которую можно отключить совсем. Да и зачем она, если доступ к расширенным настройкам закрыт? Сделано это для предотвращения изменений, вносимых в настройки ОС вредоносным ПО под именем администратора.

Где находится и как работает локальная политика безопасности

Локальные средства безопасности «десятки» управляются службой «Клиент групповой политики». Если эта служба отключена, средство Group Politics Editor не запустится или будет давать сбои в настройке.

Запуск редактора локальной политики безопасности Windows 10

Дайте команду «Пуск — Выполнить» и введите в открывшейся строке команду gpedit.msc.

Подтвердите ввод, нажав OK

Запустить редактор также можно, введя «gpedit» в поиске главного меню Windows 8/10.

Функционал редактора групповой политики

Настройка сервиса ГПБ включает в себя:

• конфигурацию программ — управляет сторонними приложениями;
• конфигурацию «десятки» — управляет настройками безопасности системы;
• административные шаблоны — фактически это замена утомительного редактирования настроек из реестра.

Основное окно редактора показывает все настройки групповой политики

Как выключить локальную политику безопасности

Необходимо выключить службу «Клиент групповой политики». Но она «вшита» в Windows 7/8/10 настолько прочно, что остановить и деактивировать её с помощью встроенного мастера настройки служб, вызываемого из диспетчера задач, нельзя.

Самый действенный способ — вмешаться в реестр системы. Сделайте следующее:

1. Войдите в уже знакомую строку запуска программ «Выполнить» и введите команду «regedit». Откроется редактор реестра.
2. Перейдите в директорию HKLMSYSTEMCurrentControlSetServicesgpsvc (процесс gpsvc.exe, видимый в диспетчере задач при работе «Клиента групповой политики», запускается реестром Windows из этого места).
3. Правый щелчок мышью откроет меню папки «gpsvc» — выберите «Разрешения».

В редакторе реестра находим папку «gpsvc», нажимаем «Разрешения»

Без изменения имени вы не сможете добраться до полного доступа к процессу gpsvc

Отметьте все разрешения, удалите лишних пользователей из настройки дополнительного доступа в графе «Группы или пользователи»

В папке gpsvc измените ключ Start, введя значение 4, и система отключится

Это ещё не всё! Вам будет мешать сообщение в трее о неработе службы «Клиент групповой политики».

Оно будет появляться каждый раз, уберите его

Чтобы его убрать, сделайте следующее:

1. Запустите уже знакомый редактор реестра.
2. Удалите из него папку HKLMSYSTEMCurrentControlSetControlWinlogonNotificationsComponentsGPClient.

Запустите редактор реестра и удалите из него папку GPClient

Предварительно сохраните эту папку в отдельный файл реестра. Это делается на случай, если работу службы нужно быстро восстановить, не переустанавливая Windows. После удаления папки перезапустите компьютер — уведомление больше не появится.

Локальная политика безопасности Windows 10 не включается

Причины, по которым не включается служба, следующие:

• вы скачали сборку ОС, в которой этот компонент отключён. Вам поможет код реестра (можно сохранить и запустить как отдельный reg-файл): Windows [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem] «EnableInstallerDetection»=dword:00000001. Перезапустите компьютер после запуска созданного твика;
• вы используете Win 10 Home. Поставьте сервис «Локальная политика безопасности самостоятельно, если у вас нет сборки Professional или Enterprise. Воспользуйтесь инструкциями для Windows 7 и выполните похожее для Windows 10;
• недостаточно прав, нужны «админские» права. Чтобы включить учётную запись администратора, воспользуйтесь командой «net user администратор /active:yes» в командной строке и зайдите в систему под именем администратора. Попытайтесь запустить редактор ГПБ заново известными выше способами. Как только надобность в GPEditor отпадёт и службу вы отключите, выйдите из учётной записи администратора и выключите его командой «net user администратор /active:no».

Видео: как установить редактор групповой политики в Windows

Службы и процессы групповой безопасности Windows — полезный инструмент, здорово выручающий в работе. Когда он не нужен, его легко выключить.

drumbumbum

drumbumbum

При попытке открыть/запустить файла типа exe, msi, bat (и прочих исполняемых типов файлов) из локального или сетевого каталога в Windows может появляться предупреждение Открыть файл – предупреждение системы безопасности (Open file — Security Warning). Для продолжения выполнения программы пользователь должен вручную подтвердить запуск такого файла, нажав кнопку Запустить (Run). Такое поведение Windows предполагает определённый уровень защиты системы от запуска потенциально опасных исполняемых файлов, полученных из Интернета или других недоверенных источников.

В ряде случаев, когда запуск / установка подобного ПО осуществляется в фоновом режиме через скрипты планировщика, групповые политики, задания SCCM и т.д. это может вызвать проблемы, т.к. предупреждающее окно не появляется в сессии пользователя. Соответственно, запуск такого приложения в пакетом режиме становится невозможен.

Напомним, как выглядит окно с предупреждением. Так, при открытии файла из сетевого каталога окно предупреждения выглядит так:

Открыть файл – предупреждение системы безопасности

Не удаётся проверить издателя. Вы действительно хотите запустить этот файл?

Open File — Security Warning

The Publisher could not be verified. Are you sure you want to run this software?

При запуске файла с локального диска (или сетевого каталога, смонтированного через net use) текст предупреждения немного другой:

Open File — Security Warning

Do you want tio run this file?

Открыть файл – предупреждение системы безопасности

Запустить этот файл?

Попробуем разобраться, как отключить предупреждение системы безопасности при запуске исполняемых или установочных файлов в Windows 7 (в общем-то, инструкция подходит и для других ОС Microsoft, начиная с Windows XP).

Мы предлагаем несколько вариантов отключения этого окна. Выберите подходящий в зависимости от требуемого решения (в некоторых случаях предложенные решения приходится комбинировать).

При запуске локального приложения, скачанного из интернета

Исполняемые файлы, скачанные из Интернета автоматически помечаются как потенциально опасные (загруженные из небезопасного источника). Реализуется этот функционал через альтернативный поток NTFS файла (для упрощения, будем считать что это особая метка файла), который автоматически назначается скачанному файлы (Как Windows определяет, что файл скачан из Интернета). Чтобы удалить эту метку, нужно разблокировать это приложение. Для этого:

1. Откройте свойства исполняемого файла
2. И на вкладке Общие (General) нажмите кнопку Разблокировать (Unblock). У полученного из интернета файла будет указано такое предупреждение

После того, как файл был разблокирован, он будет запускаться без предупреждающего окна (метка будет снята).

При запуске приложений из сетевого каталога

В том случае, если окно предупреждения появляется при запуске программы из сетевого каталога, следует в настройках обозревателя Internet Explorer добавить имя и/или ip адрес сервера), на котором хранится файл (в зависимости от способа обращения к серверу) в зону Местная интрасеть. Для этого

1. Перейдите в Панель управления -> Свойства обозревателя (Internet Option)
2. Вкладка Безопасность (Security)
3. Открыть Местная интрасеть (Local Intranet)->Узлы (Sites) ->Дополнительно(Advanced)

То же самое можно сделать через GPO, для этого нужно включить политику Compute Configuration-> Administrative Templates->Windows Components->Internet Explorer -> Internet Control Panel -> Security Page -> Site to Zone Assignment List(Список назначений зоны безопасности для веб-сайтов). Задав в ее настройках список доверенных серверов в формате

• Имя сервера (в виде file://server_name, \server_name, server_name или IP)
• Номер зоны (1 – Для местной интрасети)

Отключение предупреждение для определенных типов файлов через групповык политики

Если подойти к вопросу более радикально (и менее безопасно), можно совсем отключить данное предупреждение через групповые политики.

Для этого в редакторе GPO перейдите в раздел

User Configuration-> Administrative Templates-> Windows Components-> Attachment Manager.

• Включите политику Удаление сведений о зоне происхождения вложений (Do not preserve zone information in file attachments). Все скачанные файлы будут запускаться без подтверждения на все компьютерах.
• Включите политику Список исключений для типов файлов с низким риском(Inclusion list for low file types), указать в ее настройках список нужных расширений файлов, например: .exe;.vbs;.msi. Система будет игнорировать метки на файлах с этими расширением, и запускать их без подтверждения.

Сохраните политику и примените ее на клиентах, выполнив на них команду gpupdate /force

Как отменить действия групповой политики на локальном компьютере.

Групповые политики — это основной инструмент управления пользователями в домене. С их помощью администратор может настраивать практически любые параметры рабочей среды пользователя. Все, начиная от запрета на запуск определенных программ и заканчивая рисунком на рабочем столе можно задать через групповые политики. Управление политиками осуществляется на уровне домена и только члены группы администраторов домена или предприятия имеют к ним доступ.

Можно ли отменить действие групповых политик на персональном компьютере, без прав администратора домена? Выясним это. В качестве тестируемого будем использовать компьютер с установленной MS Windows 7, который является членом домена. Все действия проводим под обычной учетной записью, не имеющей в домене никаких административных прав.
За применение групповых политик на локальном компьютере в Windows 7 отвечает служба Group Policy Client (gpsvc). Ее состояние можно посмотреть прямо в «Диспетчере задач», на вкладке «Службы».
Или в оснастке Службы (Services).
Служба «gpsvc» запускается от имени локальной системы, и не остановить, не изменить параметры запуска ее из графической оснастки мы не сможем.
Как вариант можно с помощью утилиты «psexec» запустить командную консоль от имени системы и затем остановить службу командой «net stop gpsvc»
Решение это временное. Хотя служба и остановлена, изменить параметры ее запуска мы все равно не сможем, и при следующей перезагрузке она будет запущена. Чтобы изменить режим запуска службы нам потребуется правка реестра.
Настройки службы находятся в разделе «HKLMSYSTEMCurrentControlSetServicesgpsvc». По умолчанию изменение параметров этого раздела запрещено, так что прежде чем приступать к его редактированию, нам необходимо получить на это права. Нажимаем правой клавишей мыши на разделе и выбираем пункт «Разрешения».

Необходимо изменить владельца раздела, для этого переходим в дополнительные параметры безопасности и выбираем владельцем свою учетную запись.
Даем себе полные права и, на всякий случай, удаляем всех из списка доступа.

Возвращаемся к настройкам службы. За режим запуска отвечает параметр Start. По умолчанию он равен 2, что означает режим запуска Авто. Для отключения службы ставим 4.

Отключив таким образом службу клиента групповой политики, вы периодически будете получать в трее уведомления о недоступности службы Windows.
Чтобы этого избежать, можно удалить (предварительно сохранив) раздел реестра HKLMSYSTEMCurrentControlSetControlWinlogonNotificationsComponentsGPClient
Данным способом можно отключить действие групповых политик. При этом не обязательно иметь права администратора в домене, достаточно лишь входить в группу локальных администраторов на ПК. Все вышеизложенное применимо только на компьютерах с установленными ОС: Windows 7 или Vista. В более ранних операционных системах службы «gpsvc» нет, а за применение групповых политик отвечает служба «Winlogon».

Перед любым вмешательством в реестр обязательно делайте его резервную копию, чтобы в случае чего оперативно откатить изменения.

Обнуляем настройки групповой политики в Windows 10

Конечно же, вы знаете, что многие тонкие настройки Windows 10 можно выполнить с помощью изменения локальных групповых политик системы. Увлекшись изменением различных системных параметров в соответствующем редакторе, пользователи иногда могут сделать лишние изменения, которые приведут впоследствии к нестабильности работы операционной системы. Попробуем разобраться, как можно откатить назад сделанные изменения.

Обнуляем параметры групповых политик

В редакторе

Откатить изменения можно непосредственно в самом редакторе. Для этого запускаем его («Win-R»+gpedit.msc).

По очереди открываем следующие разделы:

• Конфигурация компьютера;
• Административные шаблоны;
• Все параметры.
  

Для того чтобы было легче увидеть сделанные нами ранее изменения, включаем сортировку по столбцу «Состояние» (для этого просто кликаем на заголовок столбца).

Состояние измененных пользователем групповых политик будет установлено либо в положение «Выключено» либо «Включено». Чтобы откатиться к первоначальным значениям дважды щелкаем каждый измененный параметр, в новом окне выбираем опцию «Не задано».

Далее переходим в раздел «Конфигурация пользователя», затем снова раскрываем «Все параметры» и повторяем все описанные выше процедуры.

В командной строке

Восстановить значения параметров также можно буквально за три шага. Запускаем командную строку с правами администратора и, одну за другой по очереди выполняем три команды:

1. RD /S /Q «%WinDir%System32GroupPolicy»
2. RD /S /Q «%WinDir%System32GroupPolicyUsers»
3. gpuрdаte /force
   
   

Для сохранения изменений потребуется перезагрузиться.

Сбрасываем локальные политики безопасности

После восстановления исходных параметров групповых политик Windows 10, желательно также вернуть настройки дополнительного инструмента — «Параметры безопасности»- («Win-R»+secpol.msc).

Данное действие выполняется в командной строке (администратор). Пишем в ней такую команду:

secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose

После завершения выполнения перезагружаемся.

Вместо послесловия

Получилось ли у вас вернуть настройки групповых политик Windows 10 на значения по умолчанию?