Часто используемые настройки групповых политик.
Команды:
- Обновить групповые политики:
user> gpupdate /force
Заметки:
- Имеем Windows Server 2003 с поднятым AD DC. При настройке групповых политик непосредственно с самого сервера, в разделах "Конфигурация компьютера" и "Конфигурация пользователя" может не быть необходимых групповыз политик, которые, например, есть в более поздних версиях Windows Server. Для того, чтобы была возможность администрировать отсутствующие групповые политики, можно воспользоваться "Средством удаленного администрирования сервера - RSAT". После установки с компьютера под управлением Windows 7-10, можно будет управлять отсутствующими GPO. И, самое главное, они спокойно будут применяться к компьютерам в домене.
Links:
Group Policy Administrative Templates Catalog
Конфигурация компьютера:
Настройка удаленного рабочего стола:
Средствами GPO по протоколу RDP.
1. Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows /
Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Подключения /
- Разрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов - Включено;
2. Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows /
Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Безопасность /
- Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети - Включено;
- Требовать безопасное RPC-подключение - Включено;
- Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP - Включено / Уровень безопасности - Согласование;
3. Конфигурация компьютера -> Политики -> Административные шаблоны -> Сеть /
Сетевые подключения -> Брандмауэр Windows -> Профиль домена /
- Брандмауэр Windows: Разрешить исключения для входящих сообщений удаленного управления рабочим столом - Включено;
- Чтобы можно было при подключении к компьютеру зайти под учеткой пользователя.
Win+R -> sysdm.cpl -> Удаленный доступ -> Удаленный рабочий стол -> Выбрать пользователей.
4. Конфигурация компьютера -> Настройка -> Параметры панели управления -> Локальные пользователи и группы -> Добавить новый элемент -> Локальная группа /
Действие: Обновить
Имя группы: Пользователи удаленного рабочего стола (встроенная учетная запись)
Членны группы: NET\Domain Users -> Общие параметры /
Применять один раз и не применять повторно
5. Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows /
Службы удаленных рабочих столов -> Клиент подключения к удаленному рабочему столу /
- Запретить сохранение паролей - Включено;
Для подключения нажимаем "Win+R" и вводим "mstsc". С помощью вкладки "Локальные ресурсы", можно выбрать устройства, которые будут использоваться во время удаленного сеанса. Во вкладке "Подробнее", в меню настроек, можно подключить к удаленному рабочему столу локальные диски и дисковводы.
Настройка удаленного помощника:
С возможностью подключаться к хостам без файла приглашения.
В "Windows Server 2019", для того, чтобы на 3-ем шаге была возможность выбрать предопределенное правило, необходимо в диспетчере сервера включить компонент - удаленный помощник. "Важно" - Созданные правила будут применяться к следующим профилям сети: Домен / Частный / Публичный.
1. Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Удаленный помощник /
Настроить запрашиваемую удаленную помощь -> Включено /
- Разрешить помощникам управлять компьютером
Максимальное время билета (значение): 1
Максимальное время билета (единицы): Минуты
Метод отправки приглашений по электронной почте: Simple MAPI /
- Настроить предлагаемую удаленную помощь - Включено /
Разрешить помощникам управлять компьютером
Помощники: net.lan\Domain Admins /
- Включить ведение журнала сеансов - Отключено;
- Включить оптимизацию пропускной способности - Включено / Полная оптимизация;
- Чтобы удаленный помощник мог отвечать на запросы UAC (Повышение прав до уровня Администратора).
2. Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности /
Локальные политики -> Параметры безопасности /
- Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав - Отключено
- Контроль учетных записей: разрешение UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол - Включено
3. Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности /
Монитор брандмауэра Защитника Windows в режиме повышенной безопасности -> Правила для входящих подключений /
- Создать правило -> Предопределенные -> Удаленный помощник
Для запуска удаленного помощника на рабочем столе создается ярлык: "msra /offerra" или через Win+R.
Разрешить удаленное администрирование RPC:
Позволяет разрешить для стандартного сетевого профиля или профиля домена удаленное администрирование с помощью "консоли управления (Microsoft)" и инструментария управления "Windows (WMI)". Для взаимодействия с инструментами администрирования необходима включенная служба "Удаленный вызов процедур (RPC)".
1. Конфигурация компьютера -> Политики -> Административные шаблоны -> Сеть -> Сетевые подключения -> Брандмауэр -> Профиль домена /
- Брандмауэр Защитника Windows: Разрешить входящее исключение удаленного администрирования.
Например: когда нужно выключить или перезагрузить удаленный хост. (shutdown -r -t 300 -m \\hostname or ip)
Настройка теневого подключения по RDP:
С возможностью просмотра сессии пользователя без подтверждения.
1. Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Подключения
- Устанавливает правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов;
2. Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности /
Монитор брандмауэра Защитника Windows в режиме повышенной безопасности -> Правила для входящих подключений /
- Создать правило -> Предопределенные -> Дистанционное управление рабочим столом
Включить все три правила: (а так к теневым подключениям относится 1-ое, можно вкдючить только его, /
если включен 3-й пункт из раздела "Настройка удаленного рабочего стола");
* Удаленный рабочий стол — теневая копия (TCP — входящий трафик);
* Удаленный рабочий стол — пользовательский режим (входящий трафик TCP);
* Удаленный рабочий стол — пользовательский режим (входящий трафик UDP);
Если пользователь заблокировал экран (Win+L), то установить сеанс не получится.
Для подключения черз теневое подлючение у подключающейся учетной записи должны быть права администратора на компьютере, а в свойствах системы включен удаленный рабочий стол (RDP).
- Узнать удаленно список сессий:
qwinsta /server:<Имя или IP адрес компьютера>
mstsc /shadow:<ID сессии> /v:<Имя или IP адрес компьютера>
- /prompt - Запросить имя и пароль пользователя, под которым будет выполняться вход. Если не указано, вход под текущим.
- /control - Режим взвимодействия с сеансом пользователя. Если параметр не задан, то подключение будет в режиме просмотра.
- /noConsentPrompt - Не запрашивать у пользователя подтверждение на подключение к сессии.
На клиенте должен быть включен RemoteRPC.
Выключение компьютеров:
В заданное время через планировщик заданий. Политика будет применяться к группе "Компьютеры домена", кроме ПК из белого списка, которые будут находиться в заданной группе "false-shutdown".
Структура: В "пользователи и компьютеры" имеется Корневой домен "int.lan", в нем создано подразделение "int", в котором содержатся "comps" - подразделение для компьютеров и "users" - подразделение для пользователей.
Группа: false-shutdown
Создается в подразделении "comps" с помощью оснастки "Пользователи и компьютеры".
- Имя группы: false-shutdown;
- Область действия группы: Локальная в домене;
- Тип группы: Безопасность;
- Члены группы: Компьютеры, на которые действие политики не распространяется;
Групповая политика: pc-shutdown
Задание планировщика в политике с настройками "Конфигурация компьютера", может применяться от учетной записи "NT AUTHORITY\System".
Политика "pc-shutdown" помещается в подразделение "comps", оснастки "Управление групповой политикой".
- Состояние объекта групповой политики -> Параметры конфигурации пользователя отключены;
Делегирование -> Дополнительно -> Безопасность -> Группа (Прошедшие проверку);
- Разрешить: Чтение: yes
- Разрешить: Применять групповую политику: no;
Область -> Фильтры безопасности -> Добавить -> Группа (Компьютеры домена);
Делегирование -> Дополнительно -> Безопасность -> Добавить -> Группа (false-shutdown);
- Разрешить: Чтение: yes
- Запретить: Применить групповую политику: yes
1. Конфигурация компьютера -> Настройка -> Параметры панели управления -> Назначенные задания / Создать Запланированная задача
- Общие:
Действие: Обновить;
Имя: pc_shutdown;
При выполнении задачи использовать: NT AUTHORITY\System;
yes - Выполнять вне зависимости от регистрации пользователя;
yes - Выполнять с наивысшими правами;
Настроить для: Win7, WinSRV 2008 R2;
- Триггеры: Создать
Ежедневно: 19:55:00;
Повторять каждые: 1 дн.;
- Действия: Запуск программы
shutdown /s /f /t 300 /c "Ежедневное плановое выключение! Компьютер выключится через 5 мин." /d p:0:0
- Условия:
Пробуждать компьютер для выполнения задачи;
- Параметры:
При сбое выполнения перезапускать через: 1 мин, попытки перезапуска 3 раза;
Настройка клиента для cинхронизация времени с сервером NTP:
Переопределение стандартного сервера для синхронизации времени на свой.
1. Конфигурация компьютера -> Политики -> Административные шаблоны -> Система /
Служба времени Windows -> Поставщики времени
- Включить NTP-клиент Windows - Включено;
- Настроить NTP-клиент Windows - Включено;
NTPServer: 192.168.5.1,0x9; (IP-адрес или DomainName)
Type: NTP;
CrossSiteSyncFlags: 2;
ResolvePeerBackoffMinutes: 15;
ResolvePeerBackoffMaxTimes: 7;
SpecialPollInterval: 3600;
EventLogFlags: 0;
Смена стандартного языка на экране входа в систему: [link]
1. Конфигурация компьютера -> Политики -> Административные шаблоны -> Панель управления -> Язык и региональные стандарты /
- Ограничить выбор языка интерфейса Windows для всех вошедших в систему пользователей - Включено;
Английский
2. Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Службы языковых стандартов
- Запретить копирование пользовательских методов ввода в системную учетную запись для входа - Включено;
Блокировка компьютера при простое: link
1. Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности /
- Интерактивный вход в систему: предел простоя компьютера - Определить следующий параметр политики: 300 сек;
Политики ограниченного использования программ:
В этом примере будет использоваться блокировка приложения по правилу "сертификата" и уровнем безопасности - "неограниченный".
Важный момент: есть два основных "уровня безопасности" и при настройке, важно это понимать.
- Запрещено - по умолчанию, все что не разрешено, запрещено.
- Неограниченный - по умолчанию, все что не запрещено, разрешено.
Сохранение сертификата:
ПКМ -> TeamViewer_Setup.exe -> Свойства -> Цифровые подписи -> Сведения -> Просмотр сертификата -> Состав -> Копировать в файл -> В кодировке DER или Base64 -> TeamViewer;
GPO:
1. Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности /
- Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ -> Включено;
2. Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ /
- Уровни безопасности -> Неограниченный -> По умолчанию;
- Применение -> всех пользователей, кроме локальных администраторов;
- Дополнительные правила -> Создать правило для сертификата;
- Общие:
Обзор: TeamViewer.cer;
Уровень безопасности: Запрещено;
Добавить доменных пользователей в лок-ую группу безо-сти: [link]
Рассмотрим два варианта добавления пользователей в группу локальных администраторов. Второй способ более грамотный с точки зрения безопасности.
Открываем Active Directory - Пользователи и компьютеры, открываем OU относящиеся к компьютерам и создаем группу "local-admins". В нее добавляем необходимых пользователей.
1. Группы с ограниченным доступом (Restricted Groups);
1.1. Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Группы с ограниченным доступом /
- Добавить группу: NET\local-admins
- Члены этой группы: -
- Эта группа входит в: Администраторы
2. Предпочтения групповой политики (Group Policy Preferences);
Конфигурация компьютера -> Настройка -> Параметры панели управления -> Локальные пользователи и группы /
- Создать -> Локальная группа
- Действие: Обновить
- Имя группы: Администраторы (Встроенная учетная запись)
- Члены группы: NET\local-admins
Разрешить ICMP-сообщения:
Позволяет разрешить для стандартного сетевого профиля или профиля домена всевозможные "ICMP-сообщения".
1. Конфигурация компьютера -> Политики -> Административные шаблоны -> Сеть -> Сетевые подключения -> Брандмауэр -> Профиль домена /
- Брандмауэр защитника Windows - Разрешить исключения ICMP.
- Разрешить эхо-запрос во входящем трафике.
Конфигурация пользователя:
Перенаправление папок:
На примере папки Документы.
1. Конфигурация пользователя -> Политики -> Конфигурация Windows -> Перенаправление папок /
- Документы -> Конечная папка
Политика: Перенаправлять папки всех пользователей в одно расположение;
Расположение целевой папки: Создать папку для каждого пользователя на корневом пути;
Корневой путь: D:\users.net.lan
- Документы -> Параметры
* - Предоставить права монопольного доступа к "Документы";
* - Перенести содержимое "Документы" в новое расположение;
- - Применить политику перенаправления также к ОС..(..)..;
* - После удаления политики оставить папку в новом расположении;
Вывод ярлычков на рабочий стол:
Вывод стандартных ярлыков таких как: "Документы пользователя", "Панель управления" с помощью реестра. А также создание ярлыков на папки с возможностью нацеливания на уровень элемента.
Настройка реестра:
Вывод стандартного ярлыка на примере Документов пользователя.
1. Конфигурация пользователя -> Настройка -> Конфигурация Windows -> Реестр / Создать элемент реестра
- Общие:
Действие: Обновить;
Куст: HKEY_CURRENT_USER;
Путь раздела: SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
Тип параметра: REG_DWORD;
Значение: 0;
База: Десятичный;
- Общие параметры:
* - Применить один раз и не применять повторно;
Описание: Отображение документов пользователя.
Показать примеры:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{59031a47-3f72-44a7-89c5-5595fe6b30ee}"=dword:00000000 - Отображение документов пользователя.
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"=dword:00000000 - Отображение моего компьютера.
"{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}"=dword:00000000 - Отображение сети.
"{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}"=dword:00000000 - Отображение панели управления.
Настройка ярлыков:
Вывод ярлыка к общему сетевому ресурсу с нацеливанием на уровень элемента - Группа безопасности.
1. Конфигурация пользователя -> Настройка -> Конфигурация Windows -> Ярлыки / Создать ярлык
- Общие:
Действие: Обновить;
Имя: Share;
Тип объекта: Объект файловой системы;
Размещение: Рабочий стол;
Конечный путь: \\net\share;
Путь к файлу значка: %SystemRoot%\System32\SHELL32.dll;
Индекс значка: 273;
- Общие параметры:
* - Выполнять в контексте безопасности вошедшего пользователя (Параметр политики пользователя);
* - Применить один раз и не применять повторно;
* - Нацеливание на уровень элемента
- Нацеливание:
Создать элемент: Группа безопасности;
Группа: NET\Domain Users;
* - Пользователь в группе;
Запрет на запуск указанных приложений Windows:
Позволяет задать список приложений запрещенных для запуска.
1. Конфигурация пользователя -> Политики -> Административные шаблоны -> Система /
Не запускать указанные приложения Windows -> Включено -> Список запрещенных приложений /
TeamViewer_Setup.exe
Запрет на использование съемных накопителей: | Другой способ;
Эти настройки присутствуют как в конфигурации пользователя, так и в конфигурации компьютера.
1. Конфигурация пользователя -> Политики -> Административные шаблоны -> Система -> Доступ к съемным запоминающим устройствам
Блокировка компьютера при простое через скринсейвер:
1. Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация /
- Включение заставки -> Включено;
- Запретить изменение заставки - Включено;
- Защита заставки с помощью пароля - Включено;
- Тайм-аут экранной заставки - Секунды: 300;
- Применение указанной заставки - Имя исполняемого файла заставки: Ribbons.scr; ( *.scr из директории: %systemroot%\system32\)
