Локальная политика безопасности
Локальная политика безопасности (ЛПБ) — это набор правил, параметров и настроек операционной системы (ОС) семейства Microsoft Windows, определяющих поведение системы в отношении безопасности на уровне отдельного компьютера. ЛПБ представляет собой часть более широкой концепции групповых политик (Group Policy), но в отличие от них применяется локально, не требуя инфраструктуры домена Active Directory. Она позволяет администратору или пользователю с соответствующими правами задавать параметры аутентификации, контроля учётных записей, аудита, прав пользователей и другие аспекты защиты системы.
История
Локальная политика безопасности впервые появилась в операционной системе Windows NT 4.0, где была реализована как часть оснастки «Локальная политика безопасности» (Local Security Policy). В последующих версиях Windows (2000, XP, Vista, 7, 8, 10, 11) функциональность ЛПБ расширялась, а интерфейс управления эволюционировал. В Windows 2000 и Windows XP ЛПБ стала доступна через консоль управления (MMC), а в Windows Vista и более новых версиях была интегрирована с системой контроля учётных записей (UAC). В современных версиях Windows (10 и 11) локальная политика безопасности остаётся важным инструментом для настройки безопасности на изолированных рабочих станциях и серверах, не входящих в домен.
Основные компоненты
Локальная политика безопасности состоит из нескольких ключевых разделов, каждый из которых отвечает за определённый аспект безопасности:
Политики учётных записей
Этот раздел регулирует правила работы с учётными записями пользователей:
- Политика паролей: задаёт требования к сложности паролей (минимальная длина, обязательное использование символов разных типов), срок действия пароля, количество запоминаемых паролей (история паролей).
- Политика блокировки учётных записей: определяет порог блокировки (количество неудачных попыток входа), продолжительность блокировки и время сброса счётчика неудачных попыток.
Локальные политики
Этот раздел включает три подраздела:
- Политика аудита: определяет, какие события (успешные или неудачные попытки входа, доступ к объектам, изменение политик) будут регистрироваться в журнале безопасности Windows.
- Назначение прав пользователя: задаёт, какие пользователи или группы имеют право выполнять определённые действия (например, вход в систему локально, завершение работы системы, изменение системного времени, доступ к компьютеру из сети).
- Параметры безопасности: содержит множество настроек, влияющих на безопасность системы, включая:
- Контроль учётных записей (UAC): поведение запросов на повышение привилегий.
- Сетевой доступ: модели безопасности для гостевых учётных записей, разрешения для анонимного доступа.
- Криптография: настройки алгоритмов шифрования и подписей.
- Завершение работы: требование очистки файла подкачки при завершении работы.
- Интерактивный вход: сообщения для пользователей до входа, требование нажатия Ctrl+Alt+Del.
Политики ограниченного использования программ
Этот раздел (доступен в некоторых версиях Windows, например, в редакциях Enterprise) позволяет задать правила, определяющие, какие приложения могут запускаться на компьютере. Политики могут быть основаны на хешах файлов, путях, цифровых подписях или зонах интернета.
Политики управления приложениями (AppLocker)
В Windows 7 и более новых версиях (в редакциях Professional, Enterprise, Education) AppLocker предоставляет более гибкий и современный механизм управления запуском приложений, чем политики ограниченного использования. AppLocker позволяет создавать правила на основе издателя, имени файла, пути или хеша.
Управление локальной политикой безопасности
Доступ к настройкам ЛПБ осуществляется через оснастку secpol.msc (Local Security Policy), которая запускается из командной строки (Win+R, ввести secpol.msc) или через Панель управления → Администрирование. Интерфейс представляет собой консоль MMC с деревом разделов и областью настроек.
Для изменения параметров требуется наличие прав администратора. После внесения изменений политики обычно вступают в силу немедленно или после перезагрузки системы, в зависимости от конкретного параметра.
Применение
Локальная политика безопасности используется в следующих сценариях:
- Настройка безопасности на изолированных компьютерах: на рабочих станциях, не входящих в домен, ЛПБ является основным инструментом для задания единых правил безопасности.
- Серверы в рабочей группе: на серверах, не подключённых к Active Directory, ЛПБ позволяет управлять доступом, аудитом и политиками паролей.
- Тестирование и разработка: в средах разработки и тестирования ЛПБ используется для моделирования политик безопасности, которые затем будут применены через групповые политики в домене.
- Восстановление системы: при сбоях или заражении вредоносным ПО сброс или изменение ЛПБ может помочь восстановить нормальную работу системы.
Ограничения
Локальная политика безопасности имеет ряд ограничений:
- Не распространяется на домен: она действует только на одном компьютере. Для централизованного управления множеством компьютеров требуется Active Directory и групповые политики.
- Не все параметры доступны: некоторые политики (например, связанные с развёртыванием программного обеспечения, перенаправлением папок) доступны только через групповые политики домена.
- Требует прав администратора: для изменения настроек необходимы привилегии администратора, что может быть проблемой в средах с ограниченными правами пользователей.
- Сложность для неопытных пользователей: неправильная настройка ЛПБ может привести к блокировке доступа к системе, невозможности входа или другим проблемам.
Примеры настройки
Усиление политики паролей
Для повышения безопасности можно задать:
- Минимальная длина пароля: 8 символов.
- Максимальный срок действия пароля: 90 дней.
- Минимальный срок действия пароля: 1 день.
- Пароль должен отвечать требованиям сложности: включено.
- Хранить историю паролей: 10 паролей.
Включение аудита входа
Для отслеживания попыток входа в систему:
- Аудит входа в систему: успех, отказ.
- Аудит входа в учётную запись: успех, отказ.
Ограничение интерактивного входа
Чтобы разрешить вход только определённым пользователям:
- В разделе «Назначение прав пользователя» → «Вход в систему локально» удалить группу «Пользователи» и добавить только необходимых пользователей или группы.
Интересные факты
- Локальная политика безопасности может быть экспортирована в файл с расширением
.infили.polдля резервного копирования или переноса на другой компьютер. - В Windows 10 и 11 некоторые параметры безопасности, ранее доступные только через ЛПБ, были перенесены в новое приложение «Безопасность Windows» (Windows Security), но оснастка
secpol.mscпо-прежнему доступна. - Сброс локальной политики безопасности до значений по умолчанию может быть выполнен с помощью команды
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose.
Источники
- Microsoft Docs. «Local Security Policy». Windows Server documentation.
- Microsoft Docs. «Group Policy Overview». Windows Client documentation.
- Русскоязычная документация Microsoft. «Локальная политика безопасности». TechNet.
- Книга: «Windows Internals» (7th edition) by Mark Russinovich, David A. Solomon, Alex Ionescu.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →