Политика безопасности как отключить

Сброс настроек групповых политик в Windows

23.06.2023

itpro

Windows 10, Windows 11, Windows Server 2019, Групповые политики

комментариев 48

Групповые политики (GPO, Group Policy Object) это удобный инструмент тонкой настройки окружения пользователей и операционной системы Windows. На компьютер и пользователей могут применяться доменные групповые политики (если компьютер состоит в домене Active Directory) и локальные (эти политики настраиваются локально на компьютере). Из-за некорректной настройки некоторых параметров GPO (чаще всего связанных с безопасностью), вы можете столкнуться с различными проблемами с запуском приложений или инструментов, ошибками в работе операционной системы (вплоть до невозможности локального входа в Windows) и т.д. Если вы не знаете, какой именно настроенных параметр GPO вызывает проблему, вы можете сбросить настройки групповых политик Windows к значениям по-умолчанию.

�� Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Сбросить отдельные параметры локальной групповой политики с помощью редактора gpedit.msc

Для настройки параметров политик на локальном компьютере используется графическая консоль редактора локальной групповой политики (gpedit.msc). Эта консоль доступна в только в Pro, Enterprise и Education редакциях Windows 10 и 11.

Совет. Вы можете установить консоль gpedit.msc и в домашних (Home) редакциях Windows.

Запустите оснастку gpedit.msc и перейдите в раздел All Settings локальных политик компьютера (Local Computer Policy -> Computer Configuration -> Administrative templates / Политика “Локальный компьютер” -> Конфигурация компьютера -> Административные шаблоны). В этом разделе содержится список всех политик, доступных к настройке в установленных административных (admx) шаблонах GPO. Отсортируйте политики по столбцу State (Состояние) и найдите все активные политики (находятся в состоянии Disabled / Отключено или Enabled / Включено).

Чтобы отключить действие параметра групповой, нужно изменить его состояние на Not configured (Не задана).

Совет.

• Вы можете создать резервную копию текущих настроек локальной GPO с помощью утилиты LGPO.exe
• Список всех примененных настроек локальных и доменных политик на компьютере в виде HTML отчете можно сформировать с помощью команды GPResult:
  gpresult /h c:\distr\gpreport2.html

Аналогично сбросьте настройки параметров в пользовательском разделе локальных политик (User Configuration/ Конфигурация пользователя).

Это самый простой способ найти и отменить применённые настройки локальных параметров групповой политики в Windows. Однако некорректные настройки GPO групповых политик могут привести к невозможности запустить оснастку gpedit.msc (или вообще любые программы), потере прав локального администратора на компьютере, запрета на локальный вход в систему, и т.д.. В таких случаях нужно сбросить все настройки GPO в локальных файлах на компьютере.

Сброс всех настроек локальной GPO из командной строки

Windows хранит настройки локальных групповых политик в файлах Registry.pol. Пользовательские и компьютерные настройки политик хранятся в разных файлах.

• Настройки конфигурации компьютера (раздел Computer Configuration) хранятся в %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
• Пользовательские политики (раздел User Configuration) — %SystemRoot%\System32\GroupPolicy\User\registry.pol

Когда вы включаете определенные параметры в локальной GPO из консоли gpedit.msc, все изменения сохраняются в файлы Registry.pol. После обновления групповых политик (командой gpupdate /force или по-расписанию), новые настройки импортируются в реестр и применяются к компьютеру.

• Параметры из файла \Machine\Registry.pol импортируется в ветку реестра HKEY_LOCAL_MACHINE (HKLM) при загрузке компьютера;
• Настройки пользователя импортируются из файла \User\Registry.pol в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в Windows.

Таким образом, чтобы удалить текущие настройки локальной групповой политики, нужно удалить файлы Registry.pol в каталоге GroupPolicy. Вы можете сбросить текущие политики из командной строки с правами администратора:

RMDIR /S /Q «%WinDir%\System32\GroupPolicyUsers»
RMDIR /S /Q «%WinDir%\System32\GroupPolicy»

Обновите настройки групповых политик, чтобы сбросить старые настройки в реестре:
gpupdate /force

Данные команды сбросят все настройки локальной GPO в секциях Computer Configuration и User Configuration.

Откройте консоль редактора gpedit.msc и убедитесь, что все политики перешли в состояние “Не задано”/”Not configured”. После запуска консоли gpedit.msc каталоги GroupPolicyUsers и GroupPolicy будут пересозданы автоматически

Сброс локальных политик безопасности Windows

Локальные политики безопасности (local security policies) настраиваются с помощью отдельной консоли secpol.msc . Если вы хотите сбросить настройки локальных политик безопасности Windows к значениям по-умолчанию, выполните команду:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Файл %windir%\inf\defltbase.inf содержит шаблон дефолтных локальных настроек безопасности Windows.

Перезагрузите компьютер. Это должно сбросить настройки безопасности Windows, которые хранятся в ветке реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Здесь в том числе находятся настройки UAC.

Если предыдущий способ не помог, попробуйте вручную переименовать файл контрольной точки базы локальных политик безопасности %windir%\security\database\edb.chk:

ren %windir%\security\database\edb.chk edb_old.chk

Обновите настройки политик:
gpupdate /force
Перезагрузите Windows с помощью команды shutdown:
Shutdown –f –r –t 0

Как сбросить настройки локальных GPO, если вы не можете войти в Windows?

Если локальный вход в Windows невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью Applocker), вы можете удалить файлы Registry.pol, загрузившись с установочного диска Windows (загрузочной USB флешки) или любого LiveCD.

Загрузитес компьютер с любого установочного диска/флешки с Windows и запустите командную строку ( Shift+F10 ).

Выполните команду:
diskpart

Затем выведите список подключенных к компьютеру дисков:
list volume
В данном примере буква, присвоенная системному диску, соответствует букве в системе – C:\. В некоторых случаях она может не соответствовать. Поэтому следующие команды необходимо выполнять в контексте вашего системного диска (например, D:\ или C:\)

Завершите работу с diskpart:
exit

Выполните следующие команды:
rd /S /Q C:\Windows\System32\GroupPolicy
rd /S /Q C:\Windows\System32\GroupPolicyUsers

Перезагрузите компьютер в обычном режиме и проверьте, что все параметры локальной групповой политики сброшены в состояние по-умолчанию.

Сброс настроек доменных GPO в Windows

Если компьютер включен в домен Active Directory, его настройки могут быть заданы задаются доменными GPO.

Файлы registry.pol всех применённых доменных GPO кэшируются в каталог %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies. Каждая политика хранится в отдельном каталоге с GUID доменной политики.

Когда вы исключаете компьютер из домена, файлы registry.pol доменных политик на компьютере должны автоматически удалиться. Иногда случается, что компьютер покинул домен, но на него все еще действуют доменные GPO.

В этом случае рекомендуется выполнить сброс кеша доменных политик на компьютере. Воспользуйтесь следующим BAT скриптом:

DEL /S /F /Q “%ALLUSERSPROFILE%\Microsoft\Group Policy\History\*.*”
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy /f
REG DELETE HKLM\Software\Policies\Microsoft /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f
REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f
REG DELETE HKCU\Software\Policies\Microsoft /f
REG DELETE «HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects» /f
DEL /F /Q C:\WINDOWS\security\Database\secedit.sdb
klist purge
gpupdate /force
exit

Также отметим, что в папке C:\ProgramData\Microsoft\Group Policy\History находятся настройки параметров Group Policy Preferences, примененных на компьютере. Если вы включили опцию Remove this item if it is no longer applied в настройках элемента GP Preferences, кэш GPO в этой папке позволит вернуть предыдущее состояние после отключения политики.

Восстановить настройки по-умолчанию для Default Domain Policy

В групповых политиках домене есть две политики по умолчанию с известными GUID:

Рекомендации Microsoft указывают, что не нужно редактировать эти GPO. Лучше создать копию этих политик в консоли Group Policy Management (gpmc.msc) и изменить нужные настройки.

Вы можете восстановить настройки этих GPO к состоянию по-умолчанию с помощью утилиты dcgpofix.

Откройте командную строку с правами администратора домена на DC и выполните команду:

dcgpofix /target:Domain – сбросить Default Domain GPO

dcgpofix /target:DC – сбросить Default Domain Controller GPO

Или сбросить сразу обе политики:

Может появится ошибка:

The Active Directory schema version for this domain and the version supported by this tool do not match. The GPO can be restored using the /ignoreschema command-line parameter. However, it is recommended that you try to obtain an updated version of this tool that might have an updated version of the Active Directory schema. Restoring a GPO with an incorrect schema might result in unpredictable behavior.

В этом случае нужно добавить параметр /ignoreschema для принудительного сброса настроек стандартных GPO. Например:

dcgpofix /ignoreschema /target:Domain

Совет. Рассмотренные выше методики позволяют сбросить все настройки групповых политик во всех версиях Windows. Сбрасываются все настройки, внесенные с помощью редактора групповой политики, однако не сбрасываются все изменения, внесенные в реестре напрямую через regedit.exe, REG- файлы, PowerShell, или доменные GPP с настройками реестра.

�� Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Предыдущая статья Следующая статья

Управление политикой безопасности Загрузочного диска на компьютере Mac с чипом Apple

В отличие от политик безопасности на компьютере Mac с процессором Intel политики безопасности на компьютере Mac с чипом Apple относятся к конкретной установленной операционной системе. Это означает, что на одном компьютере Mac может быть установлено несколько экземпляров macOS с разными версиями и политиками безопасности. Поэтому в Утилиту безопасной загрузки был добавлен инструмент выбора операционной системы.

На компьютере Mac с чипом Apple утилита системной безопасности показывает общее состояние настроенной пользователем безопасности macOS, например загрузку расширения ядра или конфигурацию защиты целостности системы (SIP). Если изменение настроек безопасности приводит к значительному снижению уровня защиты или существенно упрощает вмешательство в систему, для внесения такого изменения пользователю потребуется войти в среду recoveryOS путем удерживания кнопки питания (благодаря этому вредоносное программное обеспечение не может передать сигнал; это может сделать только человек с физическим доступом). Поэтому компьютер Mac с чипом Apple также не требует (и не поддерживает) пароль прошивки, так как все критически важные изменения уже регулируются авторизацией пользователя. Подробнее о SIP см. в разделе Защита целостности системы.

Высший уровень безопасности или сниженный уровень безопасности можно задать с помощью Утилиты безопасной загрузки в среде recoveryOS. Режим низкого уровня безопасности может быть вызван только из командной строки для пользователей, которые решили существенно снизить уровень защиты своего Mac и принимают сопряженные с этим риски.

Политика «Высший уровень безопасности»

Высший уровень безопасности выбран по умолчанию и работает так же, как и в iOS и iPadOS. При загрузке и подготовке к установке такого программного обеспечения операционная система macOS вместо использования глобальной подписи, прилагаемой к программному обеспечению, обращается к тому же серверу подписания Apple, который используется для iOS и iPadOS, и запрашивает новую «персонализированную» подпись. Подпись называется персонализированной, если запрос на подписание содержит уникальный идентификатор чипа ECID — в данном случае уникальный идентификатор процессора Apple. В этом случае подпись, возвращаемая сервером подписания, является уникальной и может использоваться только этим конкретным процессором Apple. При использовании высшего уровня безопасности загрузочное ПЗУ и низкоуровневый загрузчик помогают убедиться в том, что подпись не просто предоставлена Apple, а предназначена для этого конкретного Mac, то есть что эта версия macOS привязана к этому Mac.

Использование интернет-сервера подписания также обеспечивает лучшую защиту от атак методом отката, чем обычные подходы, в которых используются глобальные подписи. В системе на основе глобальных подписей новая эпоха безопасности может наступить несколько раз, но система, на которой никогда не была установлена последняя версия прошивки, этого не знает. Например, компьютер, который считает, что находится в эпохе безопасности 1, принимает программное обеспечение из эпохи безопасности 2, хотя на самом деле уже наступила эпоха безопасности 5. С системой интернет-подписания чипа Apple сервер подписания может отклонять запросы создания подписей от программного обеспечения, которое не соответствует последней эпохе безопасности.

Кроме того, если злоумышленник обнаружит уязвимость после смены эпохи безопасности, он не сможет просто взять уязвимое программное обеспечение из системы A, принадлежащей предыдущей эпохе, и с его помощью атаковать систему B. Тот факт, что уязвимое программное обеспечение из более ранней эпохи было персонализировано для системы A, помогает предупредить его передачу и, следовательно, его использование для атаки системы B. Совместное применение всех этих механизмов дает более твердую гарантию того, что злоумышленники не смогут преднамеренно поместить уязвимое программное обеспечение на компьютер, чтобы обойти средства защиты, предоставляемые новейшим программным обеспечением. Однако обладатель имени и пароля администратора Mac всегда может выбрать политику безопасности, которая наилучшим образом подходит для его ситуации.

Политика «Сниженный уровень безопасности»

Сниженный уровень безопасности аналогичен среднему уровню безопасности на компьютере Mac с процессором Intel и чипом T2, при этом поставщик (в данном случае Apple) генерирует цифровую подпись для кода, чтобы подтвердить, что этот код получен от поставщика. Эта мера помогает предотвратить добавление неподписанного кода злоумышленниками. Apple называет эту подпись «глобальной», поскольку ее можно использовать на любом компьютере Mac в течение любого периода времени, если в данный момент на компьютере Mac установлена политика «Сниженный уровень безопасности». Сниженный уровень безопасности сам по себе не обеспечивает защиту от атак методом отката, однако несанкционированное изменение операционной системы может привести к тому, что пользовательские данные станут недоступными. Подробнее см. в разделе Расширения ядра на компьютере Mac с чипом Apple.

Помимо возможности запуска более ранних версий macOS, сниженный уровень безопасности требуется для выполнения других действий, таких как установка сторонних расширений ядра, в результате чего система пользователя подвергается риску. Расширения ядра имеют те же разрешения, что и само ядро, поэтому любые уязвимости в них могут привести к возникновению прямой угрозы для всей операционной системы. Именно поэтому разработчикам настоятельно рекомендуется переходить на расширения системы, прежде чем поддержка расширений ядра будет удалена из macOS для будущих компьютеров Mac с чипом Apple. Даже если возможность добавления сторонних расширений ядра включена, отдельные расширения невозможно загружать в ядро по запросу. Вместо этого расширения ядра объединяются во вспомогательную коллекцию ядра (AuxKC), хэш которой хранится в политике LocalPolicy, и поэтому затем требуется перезагрузка. Подробнее о создании AuxKC см. в разделе Расширения ядра в macOS.

Политика «Низкий уровень безопасности»

Низкий уровень безопасности предназначен для тех, кто принимает риск значительного снижения уровня защиты своего Mac. Данный режим отличается от политики «Функции безопасности отключены» на компьютере Mac с процессором Intel и чипом T2. В режиме низкого уровня безопасности по-прежнему выполняется проверка подписи и выполняется вся безопасная последовательность загрузки, однако переход в режим низкого режима безопасности сигнализирует загрузчику iBoot о том, что ему следует принять объекты загрузки с локальной подписью Secure Enclave, такие как сгенерированная пользователем загрузочная коллекция ядра, созданная на основе настраиваемого ядра XNU. Таким образом в режиме низкой безопасности на уровне архитектуры обеспечивается возможность запуска произвольного ядра «полностью ненадежной операционной системы». После загрузки настраиваемой загрузочной коллекции ядра или ненадежной операционной системы некоторые ключи дешифрования становятся недоступными. Эта мера направлена на то, чтобы исключить возможность доступа ненадежной операционной системы к данным надежных операционных систем.

Важно! Apple не предоставляет настраиваемые ядра XNU и не обеспечивает поддержку их использования.

Политика «Низкий уровень безопасности» также отличается от политики «Функции безопасности отключены» на компьютере Mac с процессором Intel и чипом T2 тем, что она необходима для ослабления ряда функций безопасности, которые в прошлом управлялись независимо. Особенно важно, что для отключения защиты целостности системы (SIP) на компьютере Mac с чипом Apple пользователь должен подтвердить, что намеренно задает для системы политику «Низкий уровень безопасности». Это необходимо, поскольку отключение SIP всегда облегчает взлом ядра системы. В частности, отключение SIP на компьютере Mac с чипом Apple приводит к отключению применения подписи расширения ядра во время создания AuxKC, в результате чего в память ядра можно загрузить произвольное расширение ядра. На компьютере Mac с чипом Apple защита SIP была усилена путем перемещения хранилища политик из энергонезависимой памяти в политику LocalPolicy. Теперь для отключения SIP требуется аутентификация, выполненная пользователем, у которого есть доступ к ключу подписания политики LocalPolicy, из среды recoveryOS, перейти в которую можно путем длительного нажатия кнопки питания. Это значительно усложняет отключение SIP для злоумышленников, использующих только программное обеспечение, а также и при наличии физического доступа к компьютеру.

Невозможно выбрать режим низкого уровня безопасности из Утилиты безопасной загрузки. Для снижения уровня безопасности пользователи должны использовать инструменты командной строки из Терминала в recoveryOS, например csrutil (для отключения SIP). Когда пользователь снижает уровень безопасности, этот факт отражается в Утилите безопасной загрузки, так что пользователь может легко установить более защищенный режим.

Примечание. Компьютер Mac с чипом Apple не требует и не поддерживает определенные политики загрузки с носителя, поскольку с технической точки зрения все загрузки выполняются локально. Если пользователь хочет выполнить загрузку с внешнего носителя, необходимо сначала персонализировать версию операционной системы, используя аутентифицированную перезагрузку из recoveryOS. При перезагрузке на внутреннем диске создается файл LocalPolicy, который используется для выполнения надежной загрузки из операционной системы, хранящейся на внешнем носителе. Это означает, что конфигурация загрузки с внешнего носителя всегда явным образом включается для конкретной операционной системы и уже требует авторизации пользователя, поэтому дополнительная безопасная конфигурация не нужна.

Как включить или отключить права администратора на Samsung Galaxy

Некоторые приложения не могут ограничиться стандартными разрешениями — для нормальной работы им требуются расширенные права.

Один из примеров таких приложений — «Удаленное управление Android» от Google. Помимо стандартных разрешений приложению требуются расширенные.

Если не включить права администратора для какого-либо приложения, оно не сможет полноценно работать.

Кроме обычных приложений, права администратора используют и вирусы. Обычно в разрешениях вирусов указаны блокировка экрана или запрет на удаление.

• Как правильно устанавливать приложения и что такое разрешения
• Как использовать удаленное управление Андроид
• Как опознать и удалить вирус на Андроид

Права администратора — это не рут, а стандартная функция операционной системы Android.

Как включить или выключить права администратора

Шаг 1. Откройте Настройки и вкладку Приложения.

Шаг 2. Нажмите 3 точки (опции).

Шаг 3. Выберите Особые права доступа.

Шаг 4. Откройте Администраторы устройства.

Шаг 5. Появится список расширенных действий, которые сможет выполнять приложение на устройстве. Нажмите Включить/Выключить.

Процедура для изменения политики безопасности на компьютерах Mac с Apple Silicon

Процедура после запуска компьютера в режиме восстановления macOS описана здесь.
По этой причине вы не сможете использовать веб-браузер на Mac во время выполнения данной процедуры. Рекомендуется отобразить эту процедуру на смартфоне или аналогичном устройстве и обращаться к ней в процессе выполнения.
Вы можете открыть данную страницу на смартфоне, считав двумерный штрих-код ниже.

• Процедура для изменения политики безопасности
• Процедура для восстановления политики безопасности до «Высший уровень безопасности»

Процедура для изменения политики безопасности

1. В меню Apple выберите [Выключить] для выключения Mac.
2. После выключения системы подождите 10 секунд, а затем нажмите и удерживайте кнопку питания на Mac.
3. Щелкните [Параметры], затем щелкните [Продолжить].
   
4. Щелкните [Утилиты], затем выберите [Утилита безопасной загрузки].
   
5. Выберите из отображенных загрузочный диск, который вы хотите использовать, затем щелкните [Политика безопасности].
   
6. После выбора «Сниженный уровень безопасности» выберите «Разрешить пользователям управлять расширениями ядра от подтвержденных разработчиков» и щелкните [ОК].
   (Мы рекомендуем взять на заметку настройки перед выполнением изменений, так чтобы вы могли восстановить предыдущую политику безопасности по окончании использования приложения.)
   
7. Введите имя администратора и пароль, затем щелкните [ОК].
   
8. Когда настройка политики безопасности будет завершена, отобразится следующее окно.
   
9. В меню Apple выберите [Перезагрузить] для перезапуска Mac.
   
10. После перезапуска вернитесь на начальную страницу и продолжите операцию.

Процедура для восстановления политики безопасности до «Высший уровень безопасности»

1. В меню Apple выберите [Выключить] для выключения Mac.
2. После выключения системы подождите 10 секунд, а затем нажмите и удерживайте кнопку питания на Mac.
3. Щелкните [Параметры], затем щелкните [Продолжить].
   
4. Щелкните [Утилиты], затем выберите [Утилита безопасной загрузки].
   
5. Выберите из отображенных загрузочный диск, который вы хотите использовать, затем щелкните [Политика безопасности].
   
6. После выбора «Высший уровень безопасности» щелкните [ОК].
   
7. Введите имя администратора и пароль, затем щелкните [ОК].
   
8. Когда настройка политики безопасности будет завершена, отобразится следующее окно.
   
9. В меню Apple выберите [Перезагрузить] для перезапуска Mac.