Изменить политику безопасности windows 7 cmd
Обновлено: 04.07.2024
Я хочу изменить настройки групповой политики , которая применяется значение локального сервера обновления Windows WSUS HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServer и HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer .
Изменение их непосредственно в реестре не перезапишет то, что было установлено в групповой политике, поэтому я хотел бы знать, какие команды можно использовать для изменения ввода этих значений групповой политикой?
Параметры групповой политики являются неотъемлемой частью любой ИТ-среды на базе Windows. Если вы являетесь сетевым администратором, вы используете их для обеспечения корпоративной политики безопасности и управления настольными системами, и если вы являетесь пользователем, вы почти наверняка были разочарованы ограничениями, налагаемыми этими политиками. Независимо от того, кем вы являетесь, вы должны знать, что если пользователи вашей сети входят в группу локальных администраторов, они могут обойти политики в любое время, когда захотят.
Существует два шага для обхода параметра групповой политики: определение местоположения параметра и предотвращение его применения. Доступно много ссылок на групповые политики, но поскольку параметры групповой политики компьютера хранятся в ветви HKEY_LOCAL_MACHINE реестра, а параметры групповой политики для каждого пользователя - в HKEY_CURRENT_USER, если вы не знаете расположение параметра, которое мешает вам что-либо делать Вы можете использовать Regmon, чтобы найти его.
Количество параметров блокировки рабочего стола, доступных администраторам групповой политики, огромно. Они могут помешать вам сделать что-либо от изменения внешнего вида рабочего стола и меню «Пуск» до запуска определенных приложений. Два обычно применяемых параметра включают предварительно сконфигурированную программу-заставку, чтобы пользователи не тратили ресурсы на необоснованные заставки, и время ожидания заставки, чтобы системы не оставались бесконечно доступными, когда пользователь отходит. Когда эти настройки вступают в силу, Windows пропускает вкладку заставки апплета панели управления свойствами экрана или не позволяет изменять заставку или время ожидания. Я собираюсь показать вам, как использовать возможности локального администратора и Regmon для отслеживания этих настроек и переопределения их в вашей собственной системе.
Хотя он входит в Монитор реестра, в эти дни также существует Process Monitor, который объединяет несколько инструментов мониторинга в одно. Это позволяет вам найти ключи реестра, которые изменяются. Просто перейдите к соответствующим разделам реестра и измените их разрешения, чтобы они больше не могли быть обновлены .
Проверьте, что вы можете сделать с помощью reg команды; Вы можете проверить доступ с помощью accesschk .
Спасибо за метод, Том. Но он фиксирует слишком много данных, когда имеет дело с изменениями, сделанными gpedit.msc . Я думаю, что это скорее другой вопрос, поэтому я открыл новуюГрупповая политика для локальной машины хранится в реестре.
Хромой подход к его изменению - через командную строку с помощью команды reg. Это менее чем практично, поскольку требует абсолютного знания каждого параметра реестра локальной политики, и ошибки здесь могут быть весьма катастрофическими.
Инструмент, который следует использовать вместо этого - PowerShell , преемник Microsoft для командной строки.
Вот некоторые статьи, которые могут помочь вам перейти к использованию командлетов PowerShell для изменений локальной политики:
В процессе использования компьютера, для изменения настроек операционной системы многим пользователям в инструкциях, размещенных в Интернете, рекомендуют изменить параметры локальной групповой политики. В связи с этим, возникает вопрос, как открыть редактор локальной групповой политики в Windows 10, Windows 8.1, Windows 8, Windows 7.
Редактор локальной групповой политики — встроенный инструмент операционной системы Windows, предназначенный для управления групповой политикой компьютеров, не входящих в домен. С помощью этого средства можно настроить работу большого количества параметров операционной системы: включение или отключение функций Windows, запрет запуска определенных программ, применение ограничений для пользователей и т. д.
Системное средство — Редактор локальной групповой политики (gpedit.msc) работает только в старших версиях Windows:
- в Windows 10 Professional (Профессиональная), Education (для образовательных учреждений), Enterprise (Корпоративная);
- в Windows 8.1 Professional (Профессиональная), Enterprise (Корпоративная);
- в Windows 8 Professional (Профессиональная), Enterprise (Корпоративная);
- в Windows 7 Professional (Профессиональная), Ultimate (Максимальная), Enterprise (Корпоративная).
Пользователям домашних версий Windows не повезло из-за того, что Майкрософт решила не предоставлять этот инструмент, как они считают менее неопытным юзерам. Поэтому, в этой статье находятся инструкции, подходящие для владельцев старших версий Windows.
В этом руководстве мы разберем много способов запуска Редактора локальной групповой политики, работающих в операционных системах Windows 10, Windows 8.1, Windows 8, Windows 7.
Как открыть редактор локальных групповых политик командой из окна «Выполнить» — 1 способ
Для запуска редактора групповой политики можно воспользоваться командой, запускаемой из окна «Выполнить». Из этого окна запускаются различные инструменты, средства или приложения Windows.
Выполните следующие действия:
- Нажмите на клавиши «Win» + «R».
- В диалоговом окне «Выполнить», в поле «Открыть:» введите выражение: «gpedit.msc» (без кавычек), а затем нажмите на кнопку «ОК».
- На Рабочем столе компьютера откроется окно «Редактор локальной групповой политики».
Как открыть редактор локальной групповой политики из поиска Windows — 2 способ
Вторым способом мы откроем редактор, воспользовавшись встроенным поиском Windows. Для этого, мы применим идентичную команду.
- Перейдите к поисковой строке Windows (способ открытия поиска отличаются в разных версиях операционной системы).
- В поле поиска введите выражение: «gpedit.msc» (без кавычек)
- Поисковая система Windows покажет результат вашего запроса. Вам нужно будет открыть приложение.
Как запустить редактор локальной групповой политики из Проводника Windows — 3 способ
В операционную систему Windows встроен штатный файловый менеджер — Проводник. С помощью Проводника Windows можно открыть редактор групповой политики.
Пройдите следующие шаги:
- Запустите Проводник из Панели задач.
- В открытом окне Проводника, в поле «Расположение» введите «gpedit.msc» (без кавычек).
- Нажмите на клавишу «Enter».
- На компьютере откроется отдельное окно редактора локальной групповой политики.
Открытие редактора групповой политики из консоли управления — 4 способ
Еще один способ: использование консоли управления Microsoft — MMC (Microsoft Management Console). Мы запустим политику локального компьютера в качестве оснастки консоли.
Выполните последовательные шаги:
- Нажмите на клавиши клавиатуры «Win» + «R».
- В окне «Выполнить» введите «mmc» (без кавычек).
- Нажмите на клавишу «Enter».
- В открывшемся окне «Консоль 1 – [Корень консоли]» войдите в меню «Файл», выберите пункт «Добавить или удалить оснастку…».
- В окне «Добавление и удаление оснасток», в области «Доступные оснастки» выберите «Редактор объектов групповой политики», а затем нажмите на кнопку «Добавить».
- В окне «Выбор объекта групповой политики» нажмите на кнопку «Готово».
- В окне «Добавление и удаление оснасток» нажмите на кнопку «ОК».
- В окне «Консоль 1 – [Корень консоли]» щелкните по оснастке «Политика “Локальный компьютер”» для открытия редактора локальной групповой политики в окне консоли управления.
Запуск редактора локальной групповой политики в командной строке — 5 способ
Встроенный инструмент операционной системы — командная строка Windows поможет нам открыть редактор групповой политики.
Потребуется выполнить соответствующую команду:
-
от имени администратора.
- В окне интерпретатора командной строки введите команду «gpedit.msc» (без кавычек), а после этого нажмите на клавишу «Enter».
На Рабочем столе откроется Редактор локальной групповой политики.
Открытие редактора локальной политики в Windows PwerShell — 6 способ
Данный способ аналогичен предыдущему, с той лишь разницей, что вместо командной строки используется другое встроенное средство — Windows PowerShell.
- Запустите Windows PowerShell от имени администратора.
- В окне «Администратор: Windows PowerShell» выполните команду: «gpedit.msc» (без кавычек).
Запуск файла gpedit— 7 способ
Этот способ предполагает запуск редактора локальной групповой политики непосредственно с файла инструмента, находящегося в системной папке «Windows».
Необходимы выполнить следующие действия:
- Откройте Проводник Windows, а затем пройдите по пути:
- В папке «System32» найдите файл «gpedit».
- Щелкните два раза по файлу левой кнопкой мыши для запуска редактора групповой политики.
Для облегчения доступа к gpedit.msc создайте ярлык файла, с которого потом можно будет запускать редактор локальной групповой политики:
На Рабочем столе вашего компьютера появится ярлык для запуска системного инструмента. Для большего удобства, ярлык приложения можно закрепить на Панели управления или в меню «Пуск».
Выводы статьи
При работе на компьютере, некоторым пользователям необходимо воспользоваться услугами системного средства — Редактора локальной групповой политики, для настройки параметров операционной системы Windows. Открыть редактор локальной групповой политики можно с помощью нескольких способов: из диалогового окна «Выполнить», с помощью поиска Windows, из Проводника, из консоли управления (MMC), из командной строки или Windows PowerShell, запуском с файла «gpedit» из системной папки.
Многие твики и настройки Windows (в том числе описываемые на этом сайте) затрагивают изменение параметров локальной групповой политики или политик безопасности с помощью соответствующего редактора (присутствует в профессиональных и корпоративных версиях ОС и в Windows 7 Максимальная), редактора реестра или, иногда, сторонних программ.
В этой инструкции подробно о способах сбросить локальные групповые политики и политики безопасности в Windows 10, 8 и Windows 7 различными способами.
Сброс с помощью редактора локальной групповой политики
Первый способ сброса — использовать встроенный в Windows версий Pro, Enterprise или Ultimate (в Домашней отсутствует) редактор локальной групповой политики.
Шаги будут выглядеть следующим образом
Готово — параметры всех локальных политик были изменены на те, которые установлены по умолчанию в Windows (а они именно не заданы).
Как сбросить локальные политики безопасности в Windows 10, 8 и Windows 7
Для локальных политик безопасности есть отдельный редактор — secpol.msc, однако, способ для сброса локальных групповых политик здесь не подойдет, потому как некоторых из политик безопасности имеют заданные значения по умолчанию.
Для сброса вы можете использовать командную строку, запущенную от имени администратора, в которую следует ввести команду
Удаление локальных групповых политик
Важно: этот способ потенциально нежелателен, выполняйте его только на свой страх и риск. Также этот способ не сработает для политик, измененных путем внесения правок в редакторе реестра минуя редакторы политик.
Политики загружаются в реестр Windows из файлов в папках Windows\System32\GroupPolicy и Windows\System32\GroupPolicyUsers. Если удалить эти папки (может потребоваться загрузиться в безопасном режиме) и перезагрузить компьютер, политики будут сброшены на настройки по умолчанию.
Удаление можно произвести и в командной строке, запущенной от имени администратора, по порядку выполнив команды (последняя команда выполняет перезагрузку политик):
Если ни один из способов вам не помог, можно сбросить Windows 10 (доступно и в Windows 8/8.1) на настройки по умолчанию, в том числе и с сохранением данных.
rОдним из основных инструментов тонкой настройки параметров пользователя и среды Windows являются групповые политики — GPO (Group Policy Object). На сам компьютер и его пользователей могут действовать доменные групповые политики (если компьютер состоит в домене Active Directory) и локальные (эти политики настраиваются локально на компьютере). Однако некорректная настройка некоторых параметров GPO может привести к различным проблемам: невозможность подключить принтер, запрет на подключение USB накопителей, ограничение сетевого доступа некорректными настройками брандмауэра Windows, запрета на установку или запуск любых приложений (через политики SPR или AppLocker) или на локальный или удаленный вход на компьютеры.
Если администратор не может локально войти в систему, или не знает точно какая из примененных им настроек GPO вызывает проблему, приходится прибегать к аварийному сценарию сброса настроек групповых политик на настройки по-умолчанию. В “чистом” состоянии ни один из параметров групповых политик не задан.
В этой статье мы покажем несколько методов сброса настроек параметров локальных и доменных групповых политик к значениям по умолчанию. Эта инструкция является универсальной и может быть использована для сброса настроек GPO на всех поддерживаемых версиях Windows: начиная с Windows 7 и заканчивая Windows 10, а также для всех версий Windows Server 2008/R2, 2012/R2 / 2016 и 2019.
Сброс параметров локальной групповой политики с помощью редактора gpedit.msc
Этот способ предполагает использование графической консоли редактора локальной групповой политики gpedit.msc для отключения всех настроенных политик. Графический редактор локальной GPO доступен только в Pro, Enterprise и Education редакциях Windows 10.
Совет. В домашних (Home) редакциях Windows консоль Local Group Policy Editor отсутствует, однако запустить ее все-таки можно. По ссылкам ниже вы сможете скачать и установить консоль gpedit.msc для Windows 7 и Windows 10:Запустите оснастку gpedit.msc и перейдите в раздел All Settings локальных политик компьютера (Local Computer Policy -> Computer Configuration — > Administrative templates / Политика “Локальный компьютер” -> Конфигурация компьютера -> Административные шаблоны). В этом разделе содержится список всех политик, доступных к настройке в административных шаблонах. Отсортируйте политики по столбцу State (Состояние) и найдите все активные политики (находятся в состоянии Disabled / Отключено или Enabled / Включено). Отключите действие все (или только определенные настройки GPO), переведя их в состояние Not configured (Не задана).
Аналогично измените настройки параметров в пользовательском разделе локальных политик (User Configuration/ Конфигурация пользователя). Так можно отключить действие всех настроек административных шаблонов GPO.
Совет. Список всех примененных настроек локальных и доменных политик в удобном html отчете можно получить с помощью встроенной утилиты GPResult командой:gpresult /h c:\distr\gpreport2.html
Указанный выше способ сброса групповых политик в Windows подойдет для самых “простых” случаев. Некорректные настройки групповых политик могут привести к более серьезным проблемам. Например, невозможность запустить оснастку gpedit.msc или вообще любых программ, потери административных прав на компьютере, или запрета на локальный вход в систему. В таких случаях приходится сбрасывать сохраненные настройки GPO в локальных файлах на компьютере.
Файлы групповых политик Registry.pol
Архитектура групповых политик Windows основана на специальных файлах Registry.pol. Данные файлы хранят параметры реестра, которые соответствуют тем или иным настройкам GPO. Пользовательские и компьютерные настройки политик хранятся в разных файлах Registry.pol.
При загрузке компьютера Windows загружает содержимое файла \Machine\Registry.pol в ветку системного реестра HKEY_LOCAL_MACHINE (HKLM). Содержимое файла \User\Registry.pol импортируется в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в систему.
Когда вы открываете консоль редактора GPO, она загружает содержимое registry.pol файлов и предоставляет их в удобном графическом виде. При закрытии редактора GPO внесенные изменения сохраняются в файлы Registry.pol. После обновления групповых политик (командой gpupdate /force или по-расписанию), новые настройки попадают в реестр и применяются к компьютеру.
Совет. Для внесения изменения в файлы стоит использовать только редактор групповых политик GPO. Не рекомендуется редактировать файлы Registry.pol вручную или с помощью старых версий редактора групповой политики!Чтобы удалить все текущие настройки локальной групповой политики, нужно удалить файлы Registry.pol в каталоге GroupPolicy.
Сброс настроек локальной GPO из командной строки
Для принудительного сброса всех текущих настроек групповых политик в Windows вам нужно удалить файлы Registry.pol. Допустимо целиком удалить каталоги с файлами настройки политик. Сделать это можно следующими командами, запущенными в командной строке с правами администратора:
RMDIR /S /Q "%WinDir%\System32\GroupPolicyUsers"
RMDIR /S /Q "%WinDir%\System32\GroupPolicy"
После этого нужно сбросить старые настройки политик в реестре, применив GPO с чистыми настройками:
Данные команды сбросят все настройки локальной GPO в секциях Computer Configuration и User Configuration.
Откройте консоль редактора gpedit.msc и убедитесь, что все политики перешли в состояние “Не задано”/”Not configured”. После запуска консоли gpedit.msc удаленные папки GroupPolicyUsers и GroupPolicy будут пересозданы автоматически с пустыми файлами Registry.pol.
Сброс локальных политик безопасности Windows
Локальные политик безопасности (local security policies) настраиваются с помощью отдельной консоли управления secpol.msc . Если проблемы с компьютером вызваны “закручиванием гаек” в локальных политиках безопасности, и, если у вас остался доступ к системе и административные права, сначала стоит попробовать сбросить настройки локальных политик безопасности Windows к значениям по-умолчанию. Для этого в командной строке с правами администратора выполните:
- Для Windows 10, Windows 8.1/8 и Windows 7: secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
- Для Windows XP: secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
Как сбросить настройки локальных GPO, если невозможно войти в Windows?
Если локальный вход в Windows невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью Applocker), вы можете удалить файлы Registry.pol, загрузившись с установочного диска Windows (загрузочной USB флешки) или любого LiveCD.
- Загрузитес компьютер с любого установочного диска/флешки с Windows и запустите командную строку ( Shift+F10 ).
- Выполните команду:
- Затем выведите список подключенных к компьютеру дисков:
Сброс примененных настроек доменных GPO
Несколько слов о доменных групповых политиках. Если компьютер включен в домен Active Directory, некоторые его настройки задаются доменными GPO.
Совет. Если вам нужно совсем заблокировать применение доменных политик на конкретном компьютере, рекомендуем статью Отключаем применение доменных GPO в Windows.Этим файлам registry.pol соответствуют следующие ветки реестра:
- HKLM\Software\Policies\Microsoft
- HKCU\Software\Policies\Microsoft
- HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
История примененных версий доменных политик, которые сохранились на клиенте, находится в ветках:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\
- HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\History\
Локальный кэш примененных доменных GPO хранится в каталоге C:\ProgramData\Microsoft\Group Policy\History. Удалите файлы в этом каталоге командой:
DEL /S /F /Q “%PROGRAMDATA%\Microsoft\Group Policy\History\*.*”
Затем выполните команду:
gpupdate /force /boot
Совет. Рассмотренные выше методики позволяют сбросить все настройки групповых политик во всех версиях Windows. Сбрасываются все настройки, внесенные с помощью редактора групповой политики, однако не сбрасываются все изменения, внесенные в реестре напрямую через regedit.exe, REG- файлы, через доменные GPP или любым другим способом. Предыдущая статья Следующая статьяСпасибищще, чувак. )) Словил вирусню с xxxсайтов, а они мне права перепутали так, что уж думал, систему переставлять придется. Еще раз огромное!!)
Хорошо бы ещё указать в каких версиях Ос Windows (начиная с Vista) имеется Локальная групповая политика, а в каких нет. Спасибо!
Если бы была кнопка лайк, поставил бы лайк, а так просто спасибо за статью! Очень помогло 🙂
чтоб как здесь
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
не все локальные политики сбрасывать ?
День добрый! При изменение любого параметра в gpedit.msc вылазит ошибка:
Ошибка:
В результате вызова компонента COM возвращена ошибка в формате HRESULT E_FAIL
************** Оперативная отладка (JIT) **************
Для подключения оперативной (JIT) отладки файл .config данного
приложения или компьютера (machine.config) должен иметь
значение jitDebugging, установленное в секции system.windows.forms.
Приложение также должно быть скомпилировано с включенной
отладкой.
Не знаете в чем может быть дело? Поможет ли жесткий сброс политик в этом вопросе?
Политика безопасности представляет собой набор параметров для регулирования безопасности ПК, путем их применения к конкретному объекту или к группе объектов одного класса. Большинство пользователей редко производят изменения данных настроек, но бывают ситуации, когда это нужно сделать. Давайте разберемся, как выполнить данные действия на компьютерах с Виндовс 7.
Варианты настройки политики безопасности
Прежде всего, нужно отметить, что по умолчанию политика безопасности настроена оптимально для выполнения повседневных задач рядового юзера. Производить манипуляции в ней нужно только в случае возникновения необходимости решить конкретный вопрос, требующий корректировки данных параметров.
Изучаемые нами настройки безопасности регулируются с помощью GPO. В Виндовс 7 сделать это можно, используя инструменты «Локальная политика безопасности» либо «Редактор локальных групповых политик». Обязательным условием является вход в профиль системы с полномочиями администратора. Далее мы рассмотрим оба этих варианта действий.
Способ 1: Применение инструмента «Локальная политика безопасности»
Прежде всего, изучим, как решить поставленную задачу с помощью инструмента «Локальная политика безопасности».
-
Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления».
Также оснастку можно запустить и через окно «Выполнить». Для этого наберите Win+R и введите следующую команду:
В директории «Назначение прав пользователя» определяются полномочия отдельных пользователей или групп юзеров. Например, можно указать, запрет или разрешение для отдельных лиц или категорий пользователей на выполнение конкретных задач; определить, кому разрешен локальный доступ к ПК, а кому только по сети и т.д.
В каталоге «Политика аудита» указываются события, предназначенные для записи в журнале безопасности.
В папке «Параметры безопасности» указываются разнообразные административные настройки, которые определяют поведение ОС при входе в неё как локально, так и через сеть, а также взаимодействие с различными устройствами. Без особой необходимости данные параметры изменять не стоит, так как большинство соответствующих задач можно решить через стандартную настройку учетных записей, родительский контроль и разрешения NTFS.
Мы описали изменение настроек безопасности на примере действий в папке «Локальные политики», но по такой же аналогии можно производить действия и в других каталогах оснастки, например в директории «Политики учетных записей».
Способ 2: Использование инструмента «Редактор локальной групповой политики»
Настроить локальную политику можно также при помощи оснастки «Редактор локальной групповой политики». Правда, данный вариант доступен не во всех редакциях Windows 7, а только в Ultimate, Professional и Enterprise.
-
В отличие от предыдущей оснастки, данный инструмент нельзя запустить через «Панель управления». Его можно активировать только путем введения команды в окно «Выполнить» или в «Командную строку». Наберите Win+R и введите в поле такое выражение:
Затем щелкните «OK».
Настроить локальную политику в Виндовс 7 можно путем использования одной из двух системных оснасток. Порядок действий в них довольно схожий, отличие заключается в алгоритме доступа к открытию данных инструментов. Но изменять указанные настройки рекомендуем только тогда, когда вы полностью уверены, что это нужно сделать для выполнения определенной задачи. Если же таковой нет, эти параметры лучше не корректировать, так как они отрегулированы на оптимальный вариант повседневного использования.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Читайте также: