Локальные политики

Локальные политики

Раздел Локальные политики содержит три политики: Политика аудита, Назначение прав пользователя и Параметры безопасности.

? Политика аудита — позволяет определить события, факты происхождения которых будут записываться в журнал Безопасность оснастки Просмотр событий. Можно указать запись в журнал Безопасность сведений об успешных или неудачных попытках выполнения следующих операций: вход в систему, доступ к объектам, имеющим собственный SACL (например, к принтерам, файлам, папкам), доступ к каталогам Active Directory и других. Для шаблона безопасности Setup security все события аудита, кроме аудита доступа к службе каталога (этот аудит не определен), отключены.

? Назначение прав пользователя — с помощью данной политики можно определить права различных пользователей или групп пользователей на выполнение различных операций с объектами и компонентами операционной системы. Например, с помощью этой политики можно определить пользователей, которым разрешено входить локально в систему, разрешено входить в систему через службу терминалов, разрешено выполнять архивирование файлов и каталогов и т.д.

? Параметры безопасности — с помощью данной политики можно настроить очень многие параметры реестра, относящиеся к безопасности компьютера. Довольно часто в Интернете можно прочитать советы об изменении тех или иных параметров реестра, настраивающих безопасность компьютера. Многие из параметров, указанных в таких советах, можно изменить и с помощью политики Параметры безопасности. Например, к наиболее часто упоминаемым в Интернете способам настройки безопасности с помощью реестра, которые также можно изменить и с помощью политики Параметры безопасности, относятся следующие. 

 • Очистка файла подкачки pagefile.sys при завершении работы компьютера. Для шаблона Setup security данное правило отключено.

 • Сообщение, отображаемое перед входом пользователя в систему. Для шаблона Setup security данное правило не определено.

 • Посылать незашифрованный пароль сторонним SMB-серверам. Для шаблона Setup security данное правило отключено.

 • Запретить изменение паролей учетных записей пользователей. Для шаблона Setup security данное правило не определено.

 • Пути в реестре, доступные через удаленное подключение. Для шаблона Setup security данное правило не определено.

 • Разрешить анонимный доступ к общим ресурсам. Для шаблона Setup security данное правило не определено.

 • Отключение или переименование учетных записей администратора и гостя. Для шаблона Setup security эти правила не определены (кроме отключения учетной записи гостя, по умолчанию эта запись отключена).

При этом большинство правил списка Параметры безопасности хранятся в реестре (то есть вы и сами можете добавить к данному списку свои правила изменения параметров реестра, чтобы изменять их с помощью шаблона безопасности). Для этого предназначена ветвь реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSeCEditReg Values. Она содержит разделы, названия которых соответствуют пути к изменяемому правилом параметру реестра (данный путь должен начинаться не с корневого раздела ветви, а с класса, в котором хранится объект операционной системы (операционная система Windows XP является объектно-ориентированной), например класс Machine определяет корневой раздел HKEY_LOCAL_MACHINE). Эти разделы хранят следующие параметры.

? DisplayChoices — этот параметр строкового типа определяет описание возможного состояния правила (если для установки правила используется список состояний), а также значение, которое будет присваиваться параметру при установке соответствующего состояния правила.

? DisplayName — параметр строкового типа, определяет название правила, отображаемое в списке политики Параметры безопасности.

? DisplayType — этот параметр DWORD-типа определяет способ указания состояния правила. Параметр может принимать следующие значения:

 • 1 — отобразить счетчик для указания состояния правила;

 • 2 — поле для ввода значения;

 • 3 — раскрывающийся список (для выбора возможного состояния из списка);

 • 4 — список для выбора состояния;

 • 6 — два флажка, с помощью которых можно включить или отключить правило.

? ValueType — этот параметр DWORD-типа определяет тип изменяемого данным правилом параметра реестра. Возможные значения:

 • 1 — строковый тип параметра;

 • 3 — тип параметра REG_BINARY;

 • 4 — тип параметра REG_DWORD;

 • 7 — тип параметра REG_MULTI_SZ.

На рис. 11.11 можно видеть пример описания правила в реестре. 

Рис. 11.11. Хранение правил политики Параметры безопасности