Как запустить «Редактор локальной групповой политики»?

Когда в Windows 10 вам необходимо открыть редактор локальной групповой политики, для этого вы можете использовать командную строку, команду выполнить, поиск на панели задач, меню Пуск или с помощью консоли управления (MMC).

Введение

Все мы любим заворожённо читать про очередное расследование инцидента, где шаг за шагом распутывается клубок: как проник злоумышленник, какие инструменты он использовал и когда, что за процессы создавались на скомпрометированном хосте, что происходило в сети и, конечно же, кто виноват и что делать.

На практике ответы на эти вопросы находятся не всегда. Зачастую при расследовании специалисты отделов ИБ сталкиваются с тем, что аудит не настроен, логи перезаписались, отсутствует единая система хранения и анализа журналов, «перезалит» заражённый хост (популярное решение всех проблем).

Ниже мы разберём один из самых важных этапов, который нужен для того, чтобы расследование не завершилось ещё в самом начале: сбор и хранение журналов аудита. Будут рассмотрены возможности расширенного аудита ОС Windows и его настройка.

Открыть редактор локальной групповой политики с помощью меню «Пуск».

  1. Откройте меню «Пуск» и введите в верхней части меню появится значок, при клике, на котором, откроется редактор политики.

Чтобы просмотреть все применяемые политики в разделе «Конфигурация компьютера», перейдите в раздел «Конфигурация компьютера Административные шаблоны Все параметры» 

Чтобы просмотреть все применяемые политики пользовательской настройки, перейдите в раздел «Конфигурация пользователя Административные шаблоны Все параметры».

Примечание: вы можете использовать поиск на панели задач.

Открыть с помощью

Самый простой способ изменить ассоциацию программы с определенным типом файлов это открыть эти файлы нужной программой. На файле нажимаете правой кнопкой мышки и выбираете Открыть с помощью > Выбрать программу…

В открывшемся окошке в разделе Рекомендуемые программы выбираем нужную, контролируем установленную галочку Использовать выбранную программу для всех файлов такого типа и жмем ОК

Если в Рекомендуемых программах нет нужной утилиты — раскрываем раздел Другие программы и ищем ее там

Если в других программах нужной утилиты также не оказалось, то жмем Обзор… и выбираем утилиту. Выбрать так же можно не установленную, портативную, программу.

Теперь у вас этот тип файлов по умолчанию будет открываться выбранной программой.

Как установить?

Есть 2 решения:

  • перенос файлов редактора из версии Pro, установка компонентов из дистрибутива и установка неофициального приложения, скомпилированного в установщик пользователем для Windows 7 (но оно подходит для версий 8.1 и 10);
  • установка приложения с последующим переносом системных файлов и библиотек.
Читайте также:  Как в Windows 7 правильно перенести папку на другой диск

Важно! Так как вы будете работать с системными файлами, всегда есть вероятность повреждения системы. Рекомендую создать точку восстановления.

Способ 1

Также рекомендуем отключить UAC прежде чем приступать к переносу. Для этого:

  1. Нажмите правой кнопкой мыши по «Пуск» и выберите «Панель управления».
  2. Перейдите в раздел «Учетные записи пользователей».
  3. В новом окне нажмите «Изменить параметры контроля учетных записей».
  4. Поставьте ползунок в крайнее нижнее состояние «Никогда не уведомлять» и нажмите «ОК».

Процедура переноса

Для установки «Редактора локальной групповой политики», необходим дистрибутив Windows 10. Скачать его можно на сайте Microsoft с помощью MediaCreationTool. Также утилита позволит установить образ на флешку или DVD-диск или же создаст ISO-образ диска. Еще, необходим сам файл , который нужно скопировать с компьютера под управлением Windows 10 Pro. Если такового нет в наличии, вы можете установить Windows 10 Pro на флешку.

Для переноса:

  1. Подключите диск или флешку с дистрибутивом системы или монтируйте ISO-образ на виртуальный привод.
  2. Загрузите и установите утилиту Far Manager 3, которая поможет корректно перенести системные файлы.
  3. Скопируйте файл  из системы Windows 10 Pro и перенесите ее в свою версию в директорию:

    C:\Windows\System32

  4. Теперь установите системные файлы из пакета .Net Framework 3.5. Их нужно установить локально из ранее созданного дистрибутива Windows. Зайдите в командную строку (Администратор) и выполните команду:

    Dism /online /enable-feature /featurename:NetFx3 /All /Source:D:\sources\sxs /LimitAccess

    где, D:\sources\sxs — путь к установочным файлам .Net Framework 3.5, что расположены на носителе Windows 10.

  5. Запустится установка .Net Framework 3.5. Требуется некоторое время для завершения процедуры.
  6. Скачайте и запустите установщик [download id=»13714″].
  7. Следуйте подсказкам иннсталятора и завершите установку. Затем зайдите в

    C:\Windows\System32

    и запустите ранее скопированный файл

Важно! Редактор создавался до выхода Windows 8 и 10, в нем нет политик, добавленных в эти версии систем.

Способ 2

Для этого способа не требуется дополнительный дистрибутив или файлы версии Windows Pro, но придется некоторые системные файлы переносить вручную. Чтобы запустить редактор:

  1. Скачайте [download id=»13714″] и установите на свой компьютер.
  2. Если ваша версия системы x64, не нажимая кнопку «Finish», нажмите Win+R и выполните команду

    %WinDir%\Temp

  3. Из папки gpedit скопируйте файлы , , , , , в директорию C:\Windows\System32
  4. Затем скопируйте папки GroupPolicy, GroupPolicyUsers, GPBAK и файл из директории C:\Windows\SysWOW64 в C:\Windows\System32.
  5. Перезагрузите ПК и запустите редактор.

Если после запуска появляется ошибка — зайдите в C:\Windows\Temp\gpedit и запустите файл  или в зависимости от разрядности вашей Windows 10.

Возникли вопросы после написания статьи? Поделитесь ими в комментариях или используйте форму обратной связи с администрацией.

Как настроить запрет запуска исполняемых файлов из каталога?

Рассмотрим более надежный и удобный вариант запрета запуска исполняемых файлов.

Открываем настройку Групповой политики Windows. Для этого запускаем Run (Пуск-Выполнить). Вводим и нажимаем ОК.

В открывшемся окне переходим в раздел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики ограниченного использования программ — Дополнительные правила.

Если у вас отсутствует папка «Дополнительные правила», то необходимо нажать на Политики ограниченного использования программ правой кнопкой мыши и нажать на «Создать политики ограниченного использования программ». Затем переходите в папку «Дополнительные правила».

В данной папке нажимаем правой кнопкой — «Создание правила для пути».

Нам необходимо создать правило, запрещающее запуск исполняемых файлов с расширением *.ехе из каталога %AppData%.

В поле путь прописываем «%appdata%*.exe», уровень безопасности «Запрещено», описание на ваше усмотрение.

Данным правилом мы запретили запуск *.exe только в папке %appdata%, но в данной папке есть много различных подпапок, в которых тоже необходимо запретить выполнение данных файлов. Поэтому создаем еще одно правило для подпапок. Для этого делаем все тоже самое, но путь указываем «%appdata%**.exe».

Но этого не достаточно для безопасности. Вредоносные программы могут запускаться из других мест. Наиболее популярные места хранения вредоносных программ рассмотрим ниже.

Какие пути можно прописать для запрета запуска исполняемых файлов?

%LocalAppData%*.exe – Запрет запуска файлов из %LocalAppData%.

%LocalAppData%**.exe – Запрет файлов запуска из вложенных каталогов %LocalAppData%.

%LocalAppData%TempRar**.exe – Запрет запуска exe файлов из архивов, открытых с помощью WinRAR.

%LocalAppData%Temp7z**.exe – Запрет запуска exe файлов из архивов, открытых с помощью 7zip.

%LocalAppData%Tempwz**.exe – Запрет запуска exe файлов из архивов, открытых с помощью WinZip.

%LocalAppData%**.exe – Запрет запуска exe файлов из архивов, открытых с помощью встроенного архиватора Windows.

%Temp%*.exe – Запрет запуска exe файлов из каталога %temp%.

%Temp%**.exe – Запрет запуска exe файлов из вложенных каталогов %temp%.

После создания правил необходимо применить их. Правила начнут действовать после перезагрузки компьютера, либо после выполнения команды «gpupdate /force» в командной строке.

PS: имейте ввиду, что недостаточно заблокировать файлы только с расширением .exe. Вирусы могут быть и с другими расширениями, например, *.bat,*.vbs, *.js, *.wsh и т.п.

И помните, что у вас могут возникнуть проблемы с установкой и обновлением легальных программ, т.к. многие используют заблокированные выше пути для своих файлов с расширением .exe и т.п.

Рекомендуем к прочтению

  • Kodak dcs pro slr c
  • Ip камера не определяется в сети
  • Kontiki виртуальный номер бесплатно
  • Braun series 3 cooltec
  • Amd radeon rx vega 64 hbm2 8gb
  • Hijackthis что это за программа

Сторонние брандмауэры

Пользователь может установить сторонние брандмауэры (Firewall). Популярные такие как:

  • Comodo Firewall;
  • Ashampoo WinOptimizer (это набор утилит, в числе которых содержится и файерволл).

При использовании стороннего брандмауэра отключается встроенный в Windows, поскольку при совместной работе они могут конфликтовать, что приведет к общему сбою. В некоторых случаях этот компьютер не подключается ко всемирной сети. Исправить ошибку поможет только переустановка системы (или откат внесенных изменений, если включено «Восстановление») (см. Как запустить восстановление системы).

Сброс локальных политик с помощью консоли

Этот способ предполагает использование графической консоли редактора локальной групповой политики gpedit.msc для отключения всех настроенных политик. Графический редактор локальной GPO доступен только в Pro, Enterprise и Education редакциях.

Запустите оснастку и перейдите в раздел All Settings локальных политик компьютера (Local Computer Policy -> Computer Configuration — > Administrative templates / Политика «Локальный компьютер» -> Конфигурация компьютера -> Административные шаблоны). Данные раздел содержит список всех политик, доступных к настройке в административных шаблонах. Отсортируйте политики по столбцу State (Состояние) и найдите все активные политики (находятся в состоянии Disabled / Отключено или Enabled / Включено). Отключите действие всех или только определенных политик, переведя их в состояние Not configured (Не задана).

Сброс локальных политик с помощью консоли

Такие же действия нужно провести и в разделе пользовательских политик (User Configuration/ Конфигурация пользователя). Таким образом можно отключить действие всех настроек административных шаблонов GPO.

Указанный выше способ сброса групповых политик в Windows подойдет для самых «простых» случаев. Некорректные настройки групповых политик могут привести к более серьезным проблемам, например: невозможности запуска оснастки или вообще всех программ, потери пользователем прав администратора системы, или запрета на локальный вход в систему. Рассмотрим эти случаи подробнее.

Устанавливаем редактор на Windows Home

Теперь разберемся с домашней версией «десятки». В ней нет локальных политик по умолчанию, то есть нет редактора с доступным графическим интерфейсом. Все изменения, которые доступны в редакторе, нужно делать через реестр. А это менее наглядно и неудобно.

Но попробуем установить редактор на Home-версию. Для этого запускаем командную строку от имени администратора. Здесь подробно описано, как это сделать.

Нам нужно прописать по очереди две команды:

  • FOR %F IN («%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~*.mum») DO (DISM /Online /NoRestart /Add-Package:»%F»)
  • FOR %F IN («%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~*.mum») DO (DISM /Online /NoRestart /Add-Package:»%F»)
Устанавливаем редактор на Windows Home

Кому-то легче будет создать текстовый файл, скопировать обе команды и сохранить его под любым именем с расширением .bat. Затем данный файл запустить от имени администратора и дождаться выполнения команд.

После установки пакетов редактора попробуйте его открыть. Воспользуйтесь любым вышеописанным способом.

Обратите внимание! Многие параметры, даже при успешной установке редактора, будут недоступны в Home версии.