Group Policy | Windows для системных администраторов

Статьи о Group Policy

Отключение анимации при первом входе в Windows 10

В Windows 10 и Windows 8/8.1 при первом входе пользователя в систему (после установки ОС или создании нового пользователя) на экране компьютера выводится разноцветная анимация, которая должна скрасить пользователю время до момента появления рабочего стола. Анимация представляет собой несколько последовательных цветных экранов с различной информацией для пользователя. В большинстве своем эта анимация не нужна (особенно на корпоративном ПК) и лишь раздражает пользователя, заставляя его ждать лишнее время до момента начала работы. Есть два способа отключения показа анимации при первом входе в Windows: с помощью GPO или реестр.

Получение привилегии SeDebugPrivilege при включенной политике Debug Program

В предыдущей статье мы рассказывали, что одной из техник защиты от извлечения паролей из памяти Windows mimikatz-like утилитами является запрет получения debug-привилегии для администраторов системы с помощью групповой политики Debug Program. Однако недавно обнаружилось, что без прав отладки (в Windows это привилегия SeDebugPrivilege), локальный администратор сервера не может установить или обновлять Microsoft SQL Server. Дело в том, что установщик SQL Server при запуске проверяет наличие привилегий SeSecurity. SeBackup и SeDebug, которые нужны ему для запуска процесса SQL Server и получения информации об успешном запуске SQL Server.  Вот как это выглядит.

Запуск логон скриптов PowerShell с помощью GPO

Многие администраторы для достижения различных задач широко используют возможности групповых политики по запуску логон/логоф скриптов. Помимо классических bat, cmd, vbs и т.п. скриптов, с помощью GPO можно запускать также и PowerShell скрипты. Разберемся, как это настроить. В том случае, если на всех клиентах домена используется ОС не менее, чем Windows 7 и Windows Server 2008 R2, в GPO имеется отдельный «родной» модуль для запуска PowerShell скриптов.

Смена раскладки клавиатуры (языка) на экране входа в систему

Несколько раз на компьютерах разных пользователей сталкивался с тем, что на экране входа в Windows по-умолчанию используется русская раскладка клавиатуры, при этом имя и пароль пользователей, как правило, набирается в английской раскладке. Поэтому каждый раз перед набором пароля этим несчастным приходится переключать раскладку клавиатуры с русской на английскую (Alt+Shift), что конкретно напрягает.

Методы защиты от mimikatz в домене Windows

Конец июня 2017 года запомнился IT сообществу по массовому заражению множества крупнейших компаний и госучреждений России, Украины и других стран новым вирусом-шифровальщиком Petya (NotPetya). В большинстве случаев, после проникновения внутрь корпоративной сети, Petya молниеносно распространялся по всем компьютерам и серверам домена, парализуя до 70-100% всей Windows-инфраструктуры. И хотя, одним из методов распространения Пети между компьютерами сети было использование эксплоита EternalBlue (как и в случае с WannaCry), это был не основной канал распространения вымогателя. В отличии от WCry, который распространялся исключительно благодаря уязвимости в SMBv1, NotPetya были изначально заточен под корпоративные сети. После заражения системы, шифровальщик с помощью общедоступной утилиты Mimikatz,

Отключение NetBIOS через TCP/IP и LLMNR в домене с помощью GPO

Использование устаревших протоколов без явной необходимости может являться потенциальной брешью в безопасности любой компьютерной сети. В этом плане показательна недавняя шумиха вокруг шифровальщика WCry, простейшая защита от которого заключалась в отказе от использования устаревшего протокола SMBv1  путем его полного отключения. Широковещательные протоколы NetBIOS через TCP/IP и LLMNR также являются устаревшими протоколами, и в большинстве современных сетей они используются только с целями совместимости. Одновременно с этим в инструментарии хакеров есть различные инструменты, позволяющие использовать уязвимости в протоколах NetBIOS и LLMNR для перехвата учетных данных пользователей в локальной подсети (в т.ч. хэши NTLMv2). Поэтому в целях безопасности в доменной сети эти протоколы

Adobe Reader XI – не открываются PDF файлы. Отказано в доступе

На свеже установленной терминальной RDS ферме пользователи стали жаловаться, что при попытке открыть любой pdf документ с рабочего стола (локального диска) с помощью Adobe Reader 11 появляется ошибка «Произошла ошибка при открытии данного документа. Отказано в доступе». При этом при открытии это же документа из сетевой папки (шары) – проблемы не наблюдается (а это совсем уж странно, т.к. сетевая папка априори менее безопасный источник).

Настройка скринсейвера в виде слайдшоу с помощью GPO

У руководства возникла идея установить на всех ПК организации одинаковый скринсейвер (хранитель экрана), представляющий собой слайд-шоу с изображениями. В качестве изображений планируется использование картинок, выполненных в корпоративном стиле компании, на которых указываются основные правила информационной безопасности, полезные советы для пользователей и другая справочная информация. В результате, у меня получилось решение распространения файлов с картинками и управления экранной заставкой с помощью возможностей GPO (групповых политик).

Запрет изменения настроек прокси-сервера с помощью групповой политики

В некоторых организациях при централизованной настройке параметров прокси-сервера в Windows с помощью групповых от администраторов требуется запретить возможность ручной смены настроек прокси-сервера пользователем без прав администратора, заблокировав соответствующие элементы диалогового окна Internet Explorer. Рассмотрим как выполнить эту задачу.

Управление файловыми ассоциациями в Windows 10

В Windows 8 и Windows 10 появился новый механизм управления стандартными ассоциациями файлов. В  этой статье я покажу, как назначить браузер по-умолчанию для открытия html файлов, импортировать эти настройки в xml файл и распространить полученный файл с файловыми ассоциациями  на другие компьютеры  вручную или с помощью групповых политик. В Windows 10 и Windows 8.1 не работает функционал пользовательских Group Policy Preferences  Open With  по управлению ассоциациями файлов, как это было в Windows 7. Зато в новых ОС появилась возможность выгрузить текущие настройки файловых ассоциация с «эталонного» компьютера в xml файл и использовать данный файл  с настройками на других компьютерах, либо



MAXCACHE: 0.25MB/0.00112 sec