Утилита GPResult.exe – представляет собой консольное приложение, предназначенное для анализа настроек и диагностики групповых политик, которые применяются к компьютеру и/или пользователю. В частности, GPResult позволяет получить данные результирующего набора политик (Resultant Set of Policy, RSOP), список примененных доменных политик (GPO), их настройки и детальную информацию об ошибках их обработки. Утилита входит в состав ОС Windows начиная со времен Windows XP. В этой статье мы рассмотрим особенности использования GPResult для диагностирования работы и отладки применения групповых политик домена Active Directory. Итак, чтобы получить подробную информацию о групповых политиках, которые применяются к объектам пользователю и компьютеру, и других параметрах, относящихся к инфраструктуре
↧
GPResult: диагностика применения групповых политик
↧
Информации о последнем входе в Windows на экране приветствия
В Windows есть полезная функция, позволяющая отобразить информацию о последней интерактивной попытке входа в систему прямо на экране приветствия Windows. Выглядит это следующим образом: каждый раз, когда пользователь набирает свой пароль для входа в систему, перед ним появляется информация с датой и временем последней удачной и неудачной попытке входа в систему (а также общее количество неудачных попыток входа). Если при попытке регистрации на компьютере будет введен неверный пароль (например, в случае попытки несанкционированного доступа), то при следующей загрузке системы пользователь увидеть уведомление о неудавшейся попытке войти на его компьютер. В этой статье разберемся, как включить отображение информации о последнем интерактивном
↧
↧
Настройка Internet Explorer с помощью групповых политик в Windows 2012
Большинство win- администраторов, даже если их разбудить посредине ночи, смогут безошибочно указать раздел групповых политик, в котором задаются параметры прокси–сервера для Internet Explorer. Напомним, что настройка параметров Internet Explorer (в том числе настройка прокси-сервера) выполняется с помощью редактора групповых политик (gpmc.msc). Нужные политики находятся в пользовательском разделе GPO: User configuration –> Policies –> Windows Settings –> Internet Explorer Maintenance. Но в Windows Server 2012 / Windows 8 разработчики Microsoft решили удивить своих пользователей и целиком убрали раздел Internet Explorer Maintenance из редактора групповых политик. Привычный раздел групповых политик Internet Explorer Maintenance (IEM) также пропадает и в Windows 7 / Windows
↧
Перенос настроек локальной групповой политики между компьютерами
Групповые политики являются мощным и одновременно гибким инструментом настройки параметров ОС Windows и являются незаменимым средством приведения компьютеров к единой конфигурации в рамках домена Active Directory. При отсутствии домена настраивать параметры отдельного компьютера можно через локальную групповую политику. Существенные недостаток локальных политик – отсутствие средств их распространения между компьютерами рабочей группы. В результате, администратору приходится на каждом компьютере вручную настраивать параметры групповой политики. При большом количестве компьютеров и настраиваемых параметров это не очень-то продуктивно…. Оптимально было бы создать в рамках рабочей группы некий эталонный компьютер с необходимыми настройками локальных групповых политик и параметров безопасности, которые должны быть применены на этих
↧
MS Local Administrator Password Solution – управление паролями локальных администраторов в домене
Вопрос управления встроенными учетными записям на компьютерах домена является одним из важнейших аспектов безопасности, требующих внимание системного администратора. Безусловно, не стоит допускать использования одинаковых паролей локальных администраторов на всех компьютерах . Есть множество подходов к организации управления учетными записями локальных администраторов в домене: начиная от полного их отключения (не очень удобно), до управления через logon скрипты групповых политик и создания собственных систем управления встроенными учётками и их паролями. Ранее одним из популярных средств изменения паролей локальный администраторов на ПК являлось возможность расширений групповых политик (GPP – Group Policy Preferences), однако в этой системе была найдена серьезная уязвимость, позволяющая любому пользователю
↧
↧
Отключение USB накопителей через групповые политики (GPO)
При подключении нового USB устройства к компьютеру, система автоматически определяет устройство и устанавливает подходящий драйвер, в результате чего пользователь практически сразу может использовать подключенное USB устройство или накопитель. В некоторых организациях для предотвращения утечки конфиденциальных данных и проникновения в сеть вирусов, возможность использования USB накопителей (флешки, USB HDD, SD-карты и т.п) отключают из соображений безопасности. В этой статье мы покажем, как с помощью групповых политик (GPO) отключить возможность использовать внешних USB накопителей, запретить запись данных и запуск исполняемых файлов. Политика блокировки USB устройств будет работать, если инфраструктура соответствует требованиям: Версия схемы Active Directory — Windows Server 2008 и выше Примечание.
↧
Настройка обоев рабочего стола с помощью групповых политик
Рассмотрим, как с помощью групповых политик можно установить одинаковый рисунок рабочего стола (обои) на всех компьютерах домена. Как правило, такое требование возникает в крупных организациях, требующих от пользователей использовать единообразный вид фонового рисунка рабочего стола, выполненного в корпоративном стиле компании. Требования к инфраструктуре: уровень домена должен быть не меньше Windows 2008, а клиенты не ниже Windows 7. Нам понадобится, собственно файл с рисунком, который вы хотите использовать в качестве обоев. Это может быть файл формата bmp или jpg. Желательно заранее протестировать корректность отображения файла на экранах с разным разрешением. Данный файл можно предварительно скопировать на все компьютеры, но гораздо более
↧
Установка сертификата на компьютеры домена с помощью групповых политик
Рассмотрим особенности централизованной установки сертификатов на компьютерах домена и добавление их в список доверенных с помощью групповых политик. В нашем случае, мы установим самоподписанный сертификат Exchange на клиентские компьютеры. В том случае если на вашем Exchange сервере используется самоподписанный сертификат, то на клиентах, при первом запуске Outlook будет появляться сообщение, что сертификат не доверенный и пользоваться им небезопасно. Чтобы убрать это предупреждение, нужно на компьютере пользователя добавить сертификат Exchange в список доверенных сертификатов системы. Это можно сделать вручную (либо путем интеграции сертификата в корпоративный образ ОС), но гораздо более проще и эффективнее автоматически установить сертификат с помощью возможностей групповых политик
↧
SCCM / WMI запрос для выборки всех ноутбуков в домене
Для расстановки специализированного ПО на все переносные устройства компании потребовалась необходимость построения группы компьютеров или SCCM коллекции, которая бы включала в себя все ноутбуки (и другие переносные мобильные системы), работающие в корпоративной сети. Задача оказалась не так проста, как кажется на первый взгляд. Мне сразу не удалось найти свойство системы, которое бы однозначно определяло компьютер как ноутбук или десктоп. Для начала попробовал отфильтровать мобильные компьютеры с помощью WMI фильтров GPO, и назначить на них установку ПО с помощью групповых политик. Было несколько вариантов составления WMI запросов путем проверки: статуса батареи (она есть только у ноутбуков): SELECT * FROM Win32_Battery WHERE
↧
↧
Настройка ключей реестра с помощью групповых политик
Настройки большинство приложений и множество тонких настроек Windows не предполагают централизованного управления средствами групповых политик (GPO), но часто имеют возможность настройки своих параметров через реестр. В этой статье мы рассмотрим, как с помощью групповых политик централизованно управлять, создавать, изменять значение и удалять произвольные ключи реестра на компьютерах домена. Классические групповые политики не предполагают встроенной возможности управления произвольным ключом реестра. Поэтому администраторам для централизованного назначения ключей реестра через GPO приходилось использовать такие трудоемкие методы, как создание собственных административных (.adm / .admx) шаблонов GPO (пример GPO на admx шаблоне для Google Chrome) или сценариев для Logon скриптов. В Windows Server 2008 Microsoft
↧
Настройка Mozilla Firefox для работы в корпоративной среде
Этой статьей я постараюсь описать процесс управления конфигурацией современных версий Mozilla Firefox в среде предприятия (доменной среде на базе Microsoft Active Directory). Проблемы централизованного управления параметрами браузера Firefox Ранее, управление настройками Firefox, в среде предприятия не представляло особой сложности, так как, как и любое правильное Windows приложение, Firefox хранил все свои настройки в реестре. Можно было найти или написать самому, необходимые административные шаблоны групповых политик, чтобы упростить администраторам весь процесс (к примеру, для того же Chrome, Google разработала и поддерживает набор adm/admx шаблонов). Однако, компания Mozilla решила этому правилу изменить и теперь Firefox хранит свои настройки в файлах,
↧
Как в Windows 10 Pro заблокировать Windows Store с помощью GPO
Недавно Microsoft анонсировала, что начиная с версии 1511 Windows 10 в редакции Pro, администраторы не смогут более заблокировать Магазин приложений Windows (Windows Store) с помощью параметра групповой политики Turn off the Store application, как это было возможно выполнить в первоначальном релизе Windows 10 (выпущенном прошлым летом). Возможность отключить Windows Store через GPO будет поддерживаться только в редакциях Windows 10 Enterprise и Education, и в Windows 8 Enterprise и Pro, как ни странно. Почему Microsoft накладывает такие ограничения на организации малого и среднего бизнеса, которые являются преимущественными пользователями редакции Windows 10 Pro, не понятно. Однако и в SMB сегменте, у администраторов
↧
Почему перестали работать некоторые GPO после установки MS16-072
На прошлой неделе Microsoft выпустила обновления безопасности, меняющих стандартную схему работы механизма применения групповых политик Windows. Речь об обновлениях, выпущенных в рамках бюллетеня MS16-072 от 14 июня 2016 года, который предназначен для устранения уязвимостей в механизме GPO. Разберемся для чего выпущено это обновление и что нужно знать системному администратору об изменениях в применении групповых политик. Обновления из MS16-072 устраняют уязвимость, позволяющую злоумышленнику реализовать атаку Man in the middle (MiTM), и получить доступ к трафику, передаваемому между компьютером и контроллером домена. Для защиты от уязвимости разработчики MS решили изменить контекст безопасности, в котором получаются политики. Если ранее, пользовательские политики получались в
↧
↧
Как изменить стандартные разрешения для новых GPO
Возвращаясь к проблемам, возникающим с применением групповых политик, после установки обновлений из бюллетеня безопасности MS16-072 (KB3163622), хочется поговорить еще об одном важном моменте. Как вы помните, чтобы после установки данного обновления на клиентах корректно работали GPO Security Filtering, нужно вручную отредактировать все политики, в которых используются Security Filtering и на вкладке Delegation предоставить доступ только на чтение для Domain Computers (или целиком переводится на Item-Level Targeting). Но как же быть с новыми политиками? Неужели теперь придется каждый раз при создании новой GPO, вручную править ее списки контроля доступа? К счастью, нет. Возможно поправить стандартные права в шаблоне ACL, который используется
↧
Восстановление файлов после заражения шифровальщиком из снимков VSS
Продолжаем серию статей о методах противодействия вирусам-шифровальщикам. В прошлый раз мы рассмотрели простую методику превентивной защиты от шифровальщиков на файловых серверах с помощью FSRM. Сегодня речь пойдет о методе восстановления данных, позволяющем безболезненно восстановить файлы, в случаях, если вирус уже прорвался и зашифровал документы на компьютере пользователя. Самый простой способ вернуть оригинальные данные после шифрования документов трояном-шифровальщиком – восстановить данные из резервной копии. И если централизованное резервное копирование данных на серверах еще можно организовать, то бэкап данных с компьютеров пользователей обеспечить гораздо сложнее. К счастью, в Windows уже есть встроенный механизм ведения резервных копий — теневые копии, создаваемые службой Volume
↧
Отладочный журнал обработки GPO на клиентах — gpsvc.log
В Windows XP и Windows 2003 для детального анализа применения групповых политик на клиентах мог использоваться отладочный журнал Userenv.log (%Systemroot%\Debug\UserMode\Userenv.log). С его помощью можно было отследить порядок и время применения групповых политик, найти политики, из-за которых компьютер долго загружается и решить другие проблемы с применением GPO. В Windows 7 (и выше), разработчики Microsoft решили отказаться от использования файла Userenv.log в качестве основного инструмента отладки применения GPO. Большинство событий, относящихся к процессу применения GPO теперь доступны в журнале событий Event Viewer (eventvwr) в разделе Applications and Services Logs –> Microsoft -> Windows -> Applications and Services Logs -> Group Policy ->
↧
Блокировка вирусов и шифровальщиков с помощью Software Restriction Policies
Продолжаем цикл статей о противодействии классу вирусов-шифровальщиков в корпоративной среде. В предыдущих частях мы рассмотрели настройку защиты на файловых серверах с помощью FSRM и использования теневых снимков дисков для быстрого восстановления данных после атаки. Сегодня речь пойдет о способе предотвращения запуска исполняемых файлов вирусов-шифровальщиков (в том числе обычных вирусов и троянов) на ПК пользователей. Помимо антивируса, еще одним барьером для предотвращения запуска вредоносного ПО на компьютерах пользователей могут быть политики ограниченного использования программ. В среде Windows это могут быть технология Software Restriction Policies или AppLocker. Мы рассмотрим пример использования Software Restriction Policies для защиты от вирусов. Software Restriction Policies (SRP)
↧
↧
Управление стартовым экраном и элементами таскбара в Windows 10 через GPO
В Windows 10 RTM и Windows 8.1 были доступны всего два режима настройки параметров меню Пуск и начального экрана (Start Layout) на компьютерах пользователей домена: можно было либо полностью заблокировать пользователю возможность изменения любых элементов стартового экрана, либо пользователь мог менять любые параметры макета (описано здесь). В Windows 10 версии 1511 появилась возможность частичной блокировки элементов макета стартового экрана, позволяющая администратору выбрать какие группы пользователь не может изменить. Таким образом, пользователи теперь могут изменить любые элементы макета стартового экрана кроме группы корпоративных приложений и ярлыков. Рассмотрим особенности управления стартовым экраном, меню Пуск и значками таскбара в Windows 10 с помощью
↧
Используем WMI фильтр для привязки GPO к IP подсети
В этот раз возникла необходимость применить GPO к компьютерам в определённой IP подсети. В самом простом случае, когда данная подсеть включена в отдельный сайт Active Directory (и эта подсеть в сайте одна), можно назначить политику на сайт AD (пример привязки политики к сайту есть здесь), это простой и удобный метод. В нашем случае, назначить политику на весь сайт мы не можем, т.к. к сайту AD привязано несколько IP подсетей. Придется воспользоваться возможностями фильтрации политик с помощью WMI фильтров. Ранее мы рассматривали, пример использования WMI фильтров для применения конкретной групповой политики только к определенным версиям ОС Windows. В данном случае аналогичным
↧
Методика диагностики причин долгого применения GPO в Windows
Медленная загрузка компьютера, вызванная долгим применением групповых политик, является одной из частых проблем в домене, на которые жалуются пользователи. С точки зрения пользователя компьютер загружается очень долго, и как будто зависает на несколько минут на этапе «Применение параметров компьютера / пользователя». В этой статье я попробую собрать полезные диагностические инструменты и приемы, позволяющие администратору выявить причины медленного применения GPO на компьютерах домена. На самом деле причин, из-за которых на компьютере долго применяются групповые политики может быть множество: это и проблемы с DNS, доступностью и скоростью подключения к DC, неправильной настройкой сайтов AD или проблемы с репликацией, неверно настроенные групповых политики
↧