Group Policy Editor este un Windows instrument de administrare care permite utilizatorilor să configurați multe setări importante pe computerele lor sau rețele. Administratorii pot configura cerințele de parolă, programele de pornire și pot defini ce aplicații sau setări pot schimba alți utilizatori pe cont propriu. Acest blog se va ocupa mai ales de versiunea Windows 10 a editorului de Politici de grup (gpedit), dar îl puteți găsi în Windows 7, 8 și Windows Server 2003 și versiuni ulterioare.,

5 moduri de a accesa editorul de Politici de grup local

există o mulțime de moduri diferite de a ajunge la editorul de Politici de grup Local. Puteți găsi unul care vă sunt cele mai confortabile cu.

Deschideți Editorul de Politici de grup Local în Run

• deschideți căutarea în bara de instrumente și tastați Run sau selectați Run din meniul Start.
• tip ” gpedit.,msc ‘ în comanda Run și faceți clic pe OK.

Deschideți Editorul de Politici de grup Local în căutare

• deschideți căutarea în bara de instrumente
• tastați „gpedit” și faceți clic pe ” Editați Politica de grup.’

Deschideți Editorul de Politici de grup Local în promptul de comandă

• din promptul de comandă, tastați ‘gpedit.msc „și a lovit” Enter.’

Deschideți Editorul de Politici de grup Local în PowerShell

• În PowerShell, tastați „gpedit” și apoi ” Enter.’

dacă preferați, puteți utiliza, de asemenea, PowerShell pentru a face modificări la GPO-urile locale fără UI.,

Deschideți Editorul de Politici de grup Local în Panoul de control al meniului Start

• deschideți Panoul de Control din meniul Start.
• Faceți clic pe pictograma Windows din bara de instrumente, apoi faceți clic pe pictograma widget pentru setări.
• începeți să tastați „Politica de grup” sau „gpedit” și faceți clic pe opțiunea ” Editați Politica de grup.

Componente a Local Group Policy Editor

Acum, că aveți gpedit de până și să fie difuzate, există câteva detalii importante de știut înainte de a începe a face modificări., Politicile de grup sunt ierarhice, ceea ce înseamnă că o politică de grup la nivel superior-cum ar fi o politică de grup la nivel de domeniu – poate înlocui politicile locale.

politicile de grup sunt procesate în aceeași ordine pentru fiecare autentificare-mai întâi politicile locale, apoi nivelul Site-ului, apoi domeniul, apoi unitatea organizațională (OU). Politicile OU vor trece peste toate celelalte și așa mai departe în lanț.există două categorii majore de politici de grup – Computer și utilizator – care se află în panoul din stânga al ferestrei gpedit.configurarea computerului: aceste politici se aplică computerului local și nu se modifică per utilizator.,

Configurare utilizator: aceste politici se aplică utilizatorilor de pe computerul local și se vor aplica oricăror utilizatori noi în viitor, de pe acest computer local.aceste două categorii principale sunt împărțite în subcategorii:

Setări Software: setările Software conțin Politici de grup specifice software-ului: această setare este goală în mod implicit.

Setări fereastră: setările Windows conțin setări locale de securitate. De asemenea, puteți seta scripturi de conectare sau administrative pentru a executa modificări în această categorie.,

șabloane Administrative: șabloanele Administrative pot controla modul în care se comportă computerul local în mai multe moduri. Aceste politici pot schimba modul în care arată panoul de Control, ce imprimante sunt accesibile, ce opțiuni sunt disponibile în meniul start și multe altele.

ce puteți face cu editorul de Politici de grup

o întrebare mai bună ar fi ce nu puteți face cu gpedit! Puteți face orice de la Setați o imagine de fundal pentru desktop pentru a dezactiva serviciile și a elimina Explorer din meniul start implicit., Politicile de grup controlează ce versiune a protocoalelor de rețea sunt disponibile și aplică regulile de parolă. O echipă de securitate IT corporativă beneficiază foarte mult prin înființarea și menținerea unei politici stricte de grup. Iată câteva exemple de politici bune de grup de securitate IT:

• dezactivați dispozitivele amovibile precum unitățile USB.
• dezactivați TLS 1.0 Pentru a impune utilizarea protocoalelor mai sigure.
• limitați setările pe care un utilizator le poate modifica folosind Panoul de Control. Lăsați-i să schimbe rezoluția ecranului, dar nu și setările VPN.,
• specificați o imagine de fundal sancționată de companie bună și dezactivați capacitatea utilizatorului de ao schimba.
• împiedică utilizatorii să acceseze gpedit pentru a schimba oricare dintre setările de mai sus.acestea sunt doar câteva exemple despre modul în care o echipă de securitate IT ar putea utiliza politicile de grup. Dacă echipa IT stabilește aceste politici la nivel de OU sau domeniu, utilizatorii nu le vor putea modifica fără aprobarea administratorului.,
  

  cum se configurează o setare de politică de securitate folosind consola Editor de Politici de grup local

  odată ce aveți o idee despre ceea ce GPO-uri pe care doriți să setați, folosind gpedit pentru a face modificările este destul de simplu.

  să ne uităm la o setare rapidă a parolei pe care o putem schimba:

  1. În gpedit, faceți clic pe Setări Windows, apoi Setări Cont, apoi politică parolă. 2. Selectați opțiunea pentru ” Parola trebuie să îndeplinească cerințele de complexitate.”3., Dacă aveți drepturi Administrative de a modifica această setare, puteți face clic pe butonul de lângă „Activare” și apoi faceți clic pe Aplicare. (ed. Varonis are o politică de securitate IT foarte solidă, deoarece desigur)

  cum se utilizează PowerShell pentru a administra politicile de grup

  mulți administratori de sistem se mută la PowerShell în loc de UI pentru a gestiona politicile de grup. Iată câteva dintre cmdleturile PowerShell grouppolicy pentru a vă începe.

  

  • New-GPO: acest cmdlet creează un nou GPO neatribuit. Puteți transmite un nume, proprietar, domeniu și mai mulți parametri noului GPO.,
  • Get-GPOReport: acest cmdlet returnează toate sau GPO specificate(E) care există într-un domeniu într-un fișier XML sau HTML. Foarte util pentru depanare și documentare.
  • Get-GPResultantSetOfPolicy: acest cmdlet returnează întregul set de politici rezultat (RsoP) pentru un utilizator sau computer sau ambele și creează un fișier XML cu rezultatele. Acesta este un cmdlet excelent pentru cercetarea problemelor cu GPO., S-ar putea să credeți că o politică este setată la o anumită valoare, dar această politică ar putea fi suprascrisă de un alt GPO și singura modalitate de a vă da seama este să cunoașteți valorile reale aplicate unui utilizator sau unui computer.
  • Invoke-GPUpdate: acest cmdlet vă permite să actualizați GPO-urile pe un computer, este la fel ca și rularea gpupdate.exe. Puteți programa actualizarea să se întâmple la un moment dat pe un computer la distanță cu cmdlet, ceea ce înseamnă, de asemenea, că puteți scrie un script pentru a împinge multe reîmprospătări dacă apare nevoia.,

  există mai multe cmdleturi în obiectul PowerShell „grouppolicy”, dar aceste patru sunt utile în special pentru a urmări și a rezolva problemele de moștenire cu GPO-uri.

  PowerShell este unul dintre un hacker instrumentele preferate, iar unul dintre trucurile preferate este de a activa contul de administrator local, care trebuie atent cu handicap pentru a obține controlul de un sistem pentru mai multe infiltrare sau a privilegiilor de muncă.,este important să monitorizați Active Directory pentru orice modificări aduse Politicii de grup – adesea aceste modificări sunt primele semnale în atacurile APT, unde hackerii intenționează să fie în rețeaua dvs. pentru o vreme și vor să rămână ascunși. Varonis monitorizează și corelează activitatea curentă împotriva normalizat de comportament și de date avansate de securitate amenințare de modele pentru a detecta atacurile APT, infectii malware, brute-force atacuri, inclusiv încercările de a schimba Gpo.consultați acest curs PowerShell de Adam Bertram pentru mai multe sfaturi și trucuri PowerShell! Este în valoare de 3 credite CPE!