Все статьи о Групповые политики


Политика паролей учетных записей в Active Directory

Для обеспечения высокого уровня безопасности учетных записей в домене Active Directory администратору необходимо настроить и внедрить политику паролей, обеспечивающей достаточную сложность, длину пароля и частоту смены пароля пользователей и сервисных учетных записей. Тем самым можно усложнить злоумышленнику возможность подбора или перехвата...

Как разрешить / запретить пользователям вход на компьютеры в домене AD

По умолчанию при создании пользователя в AD он автоматически добавляется в группу Domain Users. Группа Domain Users в свою очередь по умолчанию добавляется в локальную группу Users на компьютере при добавлении его в домен AD. Это означает что любой пользователь домена...

Отключение анимации при первом входе в Windows 10

В Windows 10 и Windows 8/8.1 при первом входе пользователя в систему (после установки ОС или создании нового пользователя) на экране компьютера выводится разноцветная анимация, которая должна скрасить пользователю время до момента появления рабочего стола. Анимация представляет собой несколько последовательных цветных...

Получение привилегии SeDebugPrivilege при включенной политике Debug Program

В предыдущей статье мы рассказывали, что одной из техник защиты от извлечения паролей из памяти Windows mimikatz-like утилитами является запрет получения debug-привилегии для администраторов системы с помощью групповой политики Debug Program. Однако недавно обнаружилось, что без прав отладки (в Windows это...

Запуск логон скриптов PowerShell с помощью GPO

Многие администраторы для достижения различных задач широко используют возможности групповых политики по запуску логон/логоф скриптов. Помимо классических bat, cmd, vbs и т.п. скриптов, с помощью GPO можно запускать также и PowerShell скрипты. Разберемся, как это настроить. В том случае, если на...

Смена раскладки клавиатуры (языка) на экране входа в систему

Несколько раз на компьютерах разных пользователей сталкивался с тем, что на экране входа в Windows (экране приветствия) по-умолчанию используется русская раскладка клавиатуры, при этом имя и пароль пользователей, как правило, набирается в английской раскладке. Поэтому каждый раз перед набором пароля этим...

Методы защиты от mimikatz в домене Windows

Конец июня 2017 года запомнился IT сообществу по массовому заражению множества крупнейших компаний и госучреждений России, Украины и других стран новым вирусом-шифровальщиком Petya (NotPetya). В большинстве случаев, после проникновения внутрь корпоративной сети, Petya молниеносно распространялся по всем компьютерам и серверам домена,...

Отключение NetBIOS через TCP/IP и LLMNR в домене с помощью GPO

Использование устаревших протоколов без явной необходимости может являться потенциальной брешью в безопасности любой компьютерной сети. В этом плане показательна недавняя шумиха вокруг шифровальщика WCry, простейшая защита от которого заключалась в отказе от использования устаревшего протокола SMBv1  путем его полного отключения. Широковещательные...

Adobe Reader XI – не открываются PDF файлы. Отказано в доступе

На свеже установленной терминальной RDS ферме пользователи стали жаловаться, что при попытке открыть любой pdf документ с рабочего стола (локального диска) с помощью Adobe Reader 11 появляется ошибка «Произошла ошибка при открытии данного документа. Отказано в доступе». При этом при открытии...

Настройка скринсейвера в виде слайдшоу с помощью GPO

У руководства возникла идея установить на всех ПК организации одинаковый скринсейвер (экранную заставку), представляющий собой слайд-шоу с изображениями. В качестве изображений планируется использование картинок, выполненных в корпоративном стиле компании, на которых указываются основные правила информационной безопасности, полезные советы для пользователей и...

Запрет изменения настроек прокси-сервера с помощью групповой политики

В некоторых организациях при централизованной настройке параметров прокси-сервера в Windows с помощью групповых от администраторов требуется запретить возможность ручной смены настроек прокси-сервера пользователем без прав администратора, заблокировав соответствующие элементы диалогового окна Internet Explorer. Рассмотрим как выполнить эту задачу....

Управление файловыми ассоциациями в Windows 10

В Windows 8 и Windows 10 появился новый механизм управления стандартными ассоциациями файлов. В  этой статье я покажу, как назначить браузер по-умолчанию для открытия html файлов, импортировать эти настройки в xml файл и распространить полученный файл с файловыми ассоциациями  на другие...