Администрирование компьютера – тонкое и гибкое дело, требующее взвешенного подхода и вдумчивости. Также, чтобы заниматься этим профессионально, понадобится масса знаний и умений. Да, если вы хотите обдуманного контроля над операционной системой, стоит всерьез поразмыслить над установкой серверной версии Windows (благо, в ней намного больше инструментов и средств для администрирования, чем в пользовательской и бизнес-версиях Windows 10).
Но даже в версии Professional можно найти достаточно много механизмов для полного контроля над работой системы, пользовательским доступом, сферой применения программ, поведением UAC и других функций, над которыми рядовой пользователь даже не задумывается (редакция Home не подойдет). Львиная доля этих механизмов сосредоточена в редакторе локальной групповой политики Windows 10.
Если копнуть глубже, здесь можно встретить практически каждый аспект поведения ОС, начиная от правил разрешения сертификатов и заканчивая шифрованием по алгоритму BitLocker. Понадобится недюжинное умение и довольно немало времени, чтобы разобраться во всех настройках и нюансах редактора. Однако я сэкономлю ваше время и расскажу об основных операциях, которые можно проделать с помощью редактора локальной групповой политики в «десятке».
Чтобы включить клиент групповой политики, используйте комбинацию Win+R и на возникшей форме введите название оснастки, — gpedit.msc. После этого редактор откроется. Альтернативный вариант – воспользоваться встроенным в систему поиском, нажав пиктограммку в форме лупы в левом нижнем углу панели задач.
Внешний вид редактора внешне абсолютно ничем не отличается от всех других оснасток для управления и контроля над ПК: сервисов, разметки жесткого диска, системного монитора, средства проверки памяти и других узлов. В левой части активного окна находится структура папок для иерархического доступа к параметрам кастомизации, а в правой части – сами эти параметры. Настройки в левой части оснастки поделены на две основные категории: для управления конфигурацией компьютера (т.е. те, которые действуют для системы в целом, вне зависимости от того, с помощью какого аккаунта был выполнен вход в ОС) и для настройки конфигурации пользователя (т.е. актуальный только для того юзера, который залогинился в операционку). См. также Как войти в Windows 10 как администратор.
Каждая из представленных категорий вмещает в себя параметры трех типов:
- административные шаблоны (настройки для кастомизации ключей из реестра Windows. По существу, те же самые операции можно выполнить и напрямую из реестра, но сделать это при использовании редактора локальной групповой политики гораздо удобнее);
- конфигурация Виндовс (параметры безопасности и системы, прочие настройки среды);
- конфигурация приложений (настройки, имеющие отношение к программам, установленным на ПК).
Рассмотрим несколько простых возможностей, доступных в редакторе. Откроем папку «Конфигурация пользователя», и в ней Административные шаблоны -> Система. Как видим, тут доступны такие занимательные опции, как «Запрет доступа к средствам правки реестра», «Запрет применения режима командной строки», «Запрет запуска заданных приложений Windows» и «Разрешение запуска лишь заданных приложений Windows».
Откроем параметр «Запрет запуска заданных приложений Виндовс». Как несложно догадаться, в этом поле можно указать программы, которые в вашей операционной среде запускаться не смогут. Эта настройка очень простая, и с ней смогут разобраться даже те, кто мало что понимает в средствах администрирования.
По умолчанию данный параметр отключен. Включим его. Для этого в левом верхнем углу выберем опцию «Включено», а рядом с полем «Список запрещенных приложений» нажмем кнопку «Показать».
Теперь перед вами окно, где в каждой из строчек можно задать имя исполняемого файла для приложения, которое вы желаете заблокировать. Впишем в это поле значение “mspaint.exe”, которое соответствует простому графическому редактору Paint, вшитому в базовую комплектацию Windows 10.
Подтвердим свой выбор. После заданных настроек программа Paint будет заблокирована для запуска, а при попытке запустить графический редактор напрямую, через проводник, на экране появится системное сообщение о невозможности выполнения данной операции.
Чтобы отключить групповую политику, выберите вариант «Не задано».
Рассмотрим еще одну функциональную возможность, а именно изменим уровень контроля UAC в качестве примера.
Откроем категорию «Конфигурация компьютера», и в ней папки Конфигурация Windows –> Параметры безопасности -> Локальные политики -> Параметры безопасности. В ней найдем пункт «Контроль над учетными записями: действие запроса, соответствующего повышению привилегий администратора» и выполним двойной щелчок на нем.
По дефолту тут выставлено значение «Запрос на согласие запуска файлов, не соответствующих стандартной поставке Windows» (если выбран этот вариант, при каждом запуске программы, пытающейся внести некие изменения в настройки или параметры ОС, у пользователя каждый раз будут спрашивать согласия).
Рассмотрим другие значения. Первый вариант «Повышение прав без запроса» является наиболее уязвимым, поскольку полностью отключает UAC, позволяя запускать какие-угодно приложения в операционке без каких-либо запросов. Это не вполне безопасно, поэтому данный вариант стоит рассматривать в самую последнюю очередь.
Следующая опция – «Запрос учетных данных на безопасном рабочем столе». Если используется это значение, при каждой попытке запустить на исполнение (или инсталлировать) программу, вносящую изменения в настройки среды, у пользователя будут спрашивать логин и пароль текущей учетной записи. Один из наиболее безопасных режимов, если вы хотите обеспечить максимум контроля над ОС, если за вашим компьютером работает кто-то еще.
Еще один вариант – «Запрос согласия на безопасном рабочем столе». Значение, схожее с предыдущим, с той лишь разницей, что вместо данных для аутентификации перед пользователем будут возникать запросы на подтверждение операции с файлом.
Следующие два значения ведут себя схожим образом, с той лишь разницей, что область применения указанной настройки не распространяется лишь на зону рабочего стола.
Если присмотреться к настройке UAC с помощью редактора, то здесь вариативность и возможности кастомизации гораздо шире, чем с помощью дефолтного метода, из панели управления. Там таких возможностей нет и в помине, а в совокупности с другими модулями клиента локальной групповой политики перед вами открываются огромнейшие горизонты для тонкого управления поведением своей основной рабочей среды.
Напоследок я расскажу, как с помощью групповых политик включить защитника Windows 10.
Перейдем в раздел «Конфигурация компьютера», и в нем откроем каталог «Административные шаблоны» -> «Компоненты Windows» -> «Endpoint Protection».
Если в качестве значения параметра «Выключить Endpoint Protecton» указана опция «Включено», выполните двойной щелчок на ней и установите значение «Отключено» или «Не задано».
Возможностей для изменения групповых политик в редакторе действительно предостаточно. Если вы хотите поближе познакомиться с навыками администрирования ОС Windows при помощи данной оснастки, в сети можно найти достаточно много справочных руководств на эту тематику. В этой статье я лишь описал некоторые из основных приемов.