Открыть сервис

Локальная политика безопасности

Локальная политика безопасности (ЛПБ) — это набор правил, параметров и настроек операционной системы (ОС) семейства Microsoft Windows, определяющих поведение системы в отношении безопасности на уровне отдельного компьютера. ЛПБ представляет собой часть более широкой концепции групповых политик (Group Policy), но в отличие от них применяется локально, не требуя инфраструктуры домена Active Directory. Она позволяет администратору или пользователю с соответствующими правами задавать параметры аутентификации, контроля учётных записей, аудита, прав пользователей и другие аспекты защиты системы.

История

Локальная политика безопасности впервые появилась в операционной системе Windows NT 4.0, где была реализована как часть оснастки «Локальная политика безопасности» (Local Security Policy). В последующих версиях Windows (2000, XP, Vista, 7, 8, 10, 11) функциональность ЛПБ расширялась, а интерфейс управления эволюционировал. В Windows 2000 и Windows XP ЛПБ стала доступна через консоль управления (MMC), а в Windows Vista и более новых версиях была интегрирована с системой контроля учётных записей (UAC). В современных версиях Windows (10 и 11) локальная политика безопасности остаётся важным инструментом для настройки безопасности на изолированных рабочих станциях и серверах, не входящих в домен.

Основные компоненты

Локальная политика безопасности состоит из нескольких ключевых разделов, каждый из которых отвечает за определённый аспект безопасности:

Политики учётных записей

Этот раздел регулирует правила работы с учётными записями пользователей:

  • Политика паролей: задаёт требования к сложности паролей (минимальная длина, обязательное использование символов разных типов), срок действия пароля, количество запоминаемых паролей (история паролей).
  • Политика блокировки учётных записей: определяет порог блокировки (количество неудачных попыток входа), продолжительность блокировки и время сброса счётчика неудачных попыток.

Локальные политики

Этот раздел включает три подраздела:

  • Политика аудита: определяет, какие события (успешные или неудачные попытки входа, доступ к объектам, изменение политик) будут регистрироваться в журнале безопасности Windows.
  • Назначение прав пользователя: задаёт, какие пользователи или группы имеют право выполнять определённые действия (например, вход в систему локально, завершение работы системы, изменение системного времени, доступ к компьютеру из сети).
  • Параметры безопасности: содержит множество настроек, влияющих на безопасность системы, включая:
  • Контроль учётных записей (UAC): поведение запросов на повышение привилегий.
  • Сетевой доступ: модели безопасности для гостевых учётных записей, разрешения для анонимного доступа.
  • Криптография: настройки алгоритмов шифрования и подписей.
  • Завершение работы: требование очистки файла подкачки при завершении работы.
  • Интерактивный вход: сообщения для пользователей до входа, требование нажатия Ctrl+Alt+Del.

Политики ограниченного использования программ

Этот раздел (доступен в некоторых версиях Windows, например, в редакциях Enterprise) позволяет задать правила, определяющие, какие приложения могут запускаться на компьютере. Политики могут быть основаны на хешах файлов, путях, цифровых подписях или зонах интернета.

Политики управления приложениями (AppLocker)

В Windows 7 и более новых версиях (в редакциях Professional, Enterprise, Education) AppLocker предоставляет более гибкий и современный механизм управления запуском приложений, чем политики ограниченного использования. AppLocker позволяет создавать правила на основе издателя, имени файла, пути или хеша.

Управление локальной политикой безопасности

Доступ к настройкам ЛПБ осуществляется через оснастку secpol.msc (Local Security Policy), которая запускается из командной строки (Win+R, ввести secpol.msc) или через Панель управления → Администрирование. Интерфейс представляет собой консоль MMC с деревом разделов и областью настроек.

Для изменения параметров требуется наличие прав администратора. После внесения изменений политики обычно вступают в силу немедленно или после перезагрузки системы, в зависимости от конкретного параметра.

Применение

Локальная политика безопасности используется в следующих сценариях:

  • Настройка безопасности на изолированных компьютерах: на рабочих станциях, не входящих в домен, ЛПБ является основным инструментом для задания единых правил безопасности.
  • Серверы в рабочей группе: на серверах, не подключённых к Active Directory, ЛПБ позволяет управлять доступом, аудитом и политиками паролей.
  • Тестирование и разработка: в средах разработки и тестирования ЛПБ используется для моделирования политик безопасности, которые затем будут применены через групповые политики в домене.
  • Восстановление системы: при сбоях или заражении вредоносным ПО сброс или изменение ЛПБ может помочь восстановить нормальную работу системы.

Ограничения

Локальная политика безопасности имеет ряд ограничений:

  • Не распространяется на домен: она действует только на одном компьютере. Для централизованного управления множеством компьютеров требуется Active Directory и групповые политики.
  • Не все параметры доступны: некоторые политики (например, связанные с развёртыванием программного обеспечения, перенаправлением папок) доступны только через групповые политики домена.
  • Требует прав администратора: для изменения настроек необходимы привилегии администратора, что может быть проблемой в средах с ограниченными правами пользователей.
  • Сложность для неопытных пользователей: неправильная настройка ЛПБ может привести к блокировке доступа к системе, невозможности входа или другим проблемам.

Примеры настройки

Усиление политики паролей

Для повышения безопасности можно задать:

  • Минимальная длина пароля: 8 символов.
  • Максимальный срок действия пароля: 90 дней.
  • Минимальный срок действия пароля: 1 день.
  • Пароль должен отвечать требованиям сложности: включено.
  • Хранить историю паролей: 10 паролей.

Включение аудита входа

Для отслеживания попыток входа в систему:

  • Аудит входа в систему: успех, отказ.
  • Аудит входа в учётную запись: успех, отказ.

Ограничение интерактивного входа

Чтобы разрешить вход только определённым пользователям:

  • В разделе «Назначение прав пользователя» → «Вход в систему локально» удалить группу «Пользователи» и добавить только необходимых пользователей или группы.

Интересные факты

  • Локальная политика безопасности может быть экспортирована в файл с расширением .inf или .pol для резервного копирования или переноса на другой компьютер.
  • В Windows 10 и 11 некоторые параметры безопасности, ранее доступные только через ЛПБ, были перенесены в новое приложение «Безопасность Windows» (Windows Security), но оснастка secpol.msc по-прежнему доступна.
  • Сброс локальной политики безопасности до значений по умолчанию может быть выполнен с помощью команды secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose.

Источники

  • Microsoft Docs. «Local Security Policy». Windows Server documentation.
  • Microsoft Docs. «Group Policy Overview». Windows Client documentation.
  • Русскоязычная документация Microsoft. «Локальная политика безопасности». TechNet.
  • Книга: «Windows Internals» (7th edition) by Mark Russinovich, David A. Solomon, Alex Ionescu.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →