Расположение локальной политики безопасности в Windows 10

Каждый пользователь должен заботиться о безопасности своего компьютера. Многие прибегают к включению брандмауэра Windows, устанавливают антивирус и другие защитные инструменты, но этого не всегда хватает. Встроенное средство операционной системы «Локальная политика безопасности» позволит каждому вручную оптимизировать работу учетных записей, сетей, редактировать открытые ключи и производить другие действия, связанные с наладкой защищенного функционирования ПК.

Открываем «Локальную политику безопасности» в Windows 10

Сегодня мы бы хотели обсудить процедуру запуска упомянутой выше оснастки на примере ОС Windows 10. Существуют разные методы запуска, которые станут наиболее подходящими при возникновении определенных ситуаций, поэтому целесообразным будет детальное рассмотрения каждого из них. Начнем с самого простого.

Для запуска этой оснастки версия Windows 10 должна быть Профессиональная (Professional) или Корпоративная (Enterprise)! В версии Домашняя (Home), установленной преимущественно на множестве ноутбуков, ее нет.

Способ 1: Меню «Пуск»

Меню «Пуск» активно задействует каждый пользователь на протяжении всего взаимодействия с ПК. Этот инструмент позволяет осуществлять переход в различные директории, находить файлы и программы. Придет на помощь он и при необходимости запуска сегодняшнего инструмента. Вам достаточно просто открыть само меню, ввести в поиске «Локальная политика безопасности» и запустить классическое приложение.

Как видите, отображается сразу несколько кнопок, например «Запуск от имени администратора» или «Перейти к расположению файла». Обратите внимание и на эти функции, ведь они однажды могут пригодиться. Вам также доступно закрепление значка политики на начальном экране или на панели задач, что значительно ускорит процесс ее открытия в дальнейшем.

Способ 2: Утилита «Выполнить»

Стандартная утилита ОС Виндовс под названием «Выполнить» предназначена для быстрого перехода к определенным параметрам, директориям или приложениям путем указания соответствующей ссылки или установленного кода. У каждого объекта имеется уникальная команда, в том числе и у «Локальной политики безопасности». Ее запуск происходит так:

Откройте «Выполнить», зажав комбинацию клавиш Win + R. В поле пропишите secpol.msc , после чего нажмите на клавишу Enter или щелкните на «ОК».

Буквально через секунду откроется окно управления политикой.

Способ 3: «Панель управления»

Хоть разработчики операционной системы Виндовс постепенно и отказываются от «Панели управления», перемещая или добавляя многие функции только в меню «Параметры», это классическое приложение все еще нормально работает. Через него тоже доступен переход к «Локальной политике безопасности», однако для этого понадобится выполнить такие шаги:

Откройте меню «Пуск», найдите через поиск «Панель управления» и запустите ее.

В списке отыщите пункт «Локальная политика безопасности» и дважды щелкните по нему ЛКМ.

Дожидайтесь запуска нового окна для начала работы с оснасткой.

Способ 4: Консоль управления Microsoft

В Консоли управления Майкрософт происходит взаимодействие со всеми возможными в системе оснастками. Каждая из них предназначена для максимально детальной настройки компьютера и применения дополнительных параметров, связанных с ограничениями доступа к папкам, добавлением или удалением определенных элементов рабочего стола и многим другим. Среди всех политик присутствует и «Локальная политика безопасности», но ее еще нужно отдельно добавить.

В меню «Пуск» найдите mmc и перейдите к этой программе.

Через всплывающее окно «Файл» приступайте к добавлению новой оснастки, нажав на соответствующую кнопку.

В разделе «Доступные оснастки» отыщите «Редактор объектов», выделите его и щелкните на «Добавить».

Поместите параметр в объект «Локальный компьютер» и щелкните на «Готово».

Осталось только перейти к политике безопасности, чтобы убедиться в ее нормальном функционировании. Для этого откройте корень «Конфигурация компьютера» — «Конфигурация Windows» и выделите «Параметры безопасности». Справа отобразятся все присутствующие настройки. Перед закрытием меню не забудьте сохранить изменения, чтобы добавленная конфигурация осталась в корне.

Приведенный выше способ будет максимально полезен тем юзерам, кто активно использует редактор групповых политик, настраивая там необходимые ему параметры. Если вас интересуют другие оснастки и политики, советуем перейти к отдельной нашей статье по этой теме, воспользовавшись указанной ниже ссылкой. Там вы ознакомитесь с основными моментами взаимодействия с упомянутым инструментом.

Что же касается настройки «Локальной политики безопасности», производится она каждым пользователем индивидуально — им подбираются оптимальные значения всех параметров, но при этом существуют и главные аспекты конфигурации. Детальнее о выполнении этой процедуры читайте далее.

Теперь вы знакомы с четырьмя различными методами открытия рассмотренной оснастки. Вам осталось только подобрать подходящий и воспользоваться им.

Блокировка экрана компьютера при простое с помощью групповой политики

В этой статье мы рассмотрим, как настроить автоматическую блокировку экрана/сессий на компьютерах и серверах домена с помощью GPO. Блокировка экрана компьютера при бездействии — это важный элемент информационной безопасности. Пользователь, отходя ненадолго от своего рабочего места, может забыть заблокировать свой компьютер (сочетание клавиш Win+L ). В этом случае доступ к его данным может получить любой другой сотрудник или клиент, находящийся поблизости. Политика автоматической блокировки экрана позволят исправить этот недостаток. Рабочий стол пользователя через некоторое время простоя (неактивности) будет автоматически заблокирован, и, чтобы вернуться в свою сессию, пользователю нужно будет заново ввести свой доменный пароль.

Создадим и настроим доменную политику управления параметрами блокировки экрана:

1. 1. Откройте консоль управления доменными политиками Group Policy Management console ( gpmc.msc ), создайте новый объект GPO (LockScreenPolicy) и назначьте его на корень домена (или на OU с пользователями);
   2. Перейдите в режим редактирования политики и выберите секцию User Configuration ->Policies ->Administrative Templates ->Control Panel ->Personalization (Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация);
   3. В этом разделе GPO есть несколько параметров для управления экранной заставкой и настройками блокировки экрана:
      • Enable screen saver — включить экранную заставку;
      • Password protect the screen saver — требовать пароль для разблокировки компьютера;
      • Screen saver timeout – через сколько секунд неактивности нужно включить экранную заставку и заблокировать компьютер;
      • Force specific screen saver – можно указать файл скринсейвера, которые нужно использовать. Чаще всего это scrnsave.scr (с помощью GPO можно сделать скринсейвер в виде слайдшоу);
      • Prevent changing screen saver – запретить пользователям менять настройки экранной заставки.

• Включите все политики и задайте необходимое время неактивности компьютера в политики Screen saver timeout. Я указал 300 . Это значит, что сессии пользователей будет автоматически блокироваться через 5 минут;
• Дождитесь обновления настроек групповых политики на клиентах или обновите их вручную командой ( gpupdate /force ). После применение GPO в интерфейсе Windows настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя автоматически блокироваться после 5 минут неактивности (для диагностики применения gpo можно использовать утилиту gpresult и статью по ссылке).

В некоторых случаях вам может понадобится настроить различные политики блокировки для разных групп пользователей. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда. Для реализации такой стратегии вы можете использовать GPO Security Filtering (см. пример с групповыми политиками ограничением доступа к USB устройствам) или возможности Item Level Targeting в GPP. Рассмотрим второй вариант подробнее.

Вы можете настроить параметры блокировки компьютеров не с помощью отдельных параметров GPO, а через реестр. Вместо рассмотренной выше политики вы можете через GPO распространить на компьютеры пользователей параметры реестра. Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop:

• Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1;
• Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300;
• Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr.

Создайте в домене группу пользователей ( SPB-not-lock-desktop ), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра и с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop).

Способы отключения экрана блокировки в Windows

В числе методов, используемых для ограничения несанкционированного доступа к ПК, разработчики ОС Windows предусмотрели такое интересное решение, как экран блокировки. Суть его заключается в том, что если пользователь некоторое заданное в настройках время не пользовался компьютером, то для того, чтобы продолжить работать, необходимо ввести пароль.

Экран блокировки обычно появляется, если ПК находился в спящем режиме, иногда – при загрузке операционной системы. Подобная предосторожность важна для офисных компьютеров или, если домашним ноутбуком или десктопным устройством пользуется несколько человек, а для остальных доступ нежелателен.

Данная опция присутствует в Windows по умолчанию, и многих пользователей необходимость лишнего клика мышкой, а тем более ввода пароля раздражает. Но, к счастью, этот режим является опциональным, при желании его можно отключить, а если в этом опять возникнет необходимость – включить. Сегодня мы поговорим о том, как это делать, поскольку способов отключения/включения имеется немало.

Как выглядит экран блокировки

Этот элемент интерфейса представляет собой экранную заставку с одной или несколькими иконками пользователей данного ПК и предложением (кнопкой) войти в систему с вводом пароля для запаролированных учётных записей. В Windows 10 эту функцию разнообразили добавлением в интерфейс нескольких дополнительных элементов (текущее время/дата, для ноутбуков – уровень заряда батареи) и ротацией экранных заставок. Но суть её осталась прежней – идентификация пользователя для предотвращения несанкционированного доступа после длительного бездействия компьютера, а также при его включении.

Даже если пользовательская учётная запись присутствует в единственном экземпляре и не защищена паролем, экран блокировки всё равно будет появляться.

Как отключить экран блокировки

Обычно ЭБ появляется после определённого периода простоя. Если пользователь решил отлучиться на несколько минут и желает задействовать эту функцию немедленно, существует комбинация горячих клавиш для блокировки экрана Windows (Win+L).

Существует и альтернативный вариант – через меню «Пуск» и далее «Диспетчер задач» (нужно перейти во вкладку «Пользователи», после чего в контекстном меню, вызываемом правым кликом мышки, выбрать пункт «Отключить»). Наконец, можно нажать комбинацию Ctrl+Alt+Del и выбрать пункт «Блокировать компьютер».

А вот способов отключения экрана блокировки намного больше, но и сделать это сложнее, чем принудительную блокировку.

Отключение через персонализацию

Один из самых продвинутых и функциональных способов, как убрать/включить экран блокировки в Windows 10, а также изменить время блокировки и задать другие параметры – использование системного раздела «Персонализация».

Для этого кликаем правой кнопкой мышки на любой области рабочего стола и в появившемся меню выбираем пункт «Персонализация». Затем выбираем вкладку «Экран блокировки» и получаем доступ к окну всевозможных настроек, с помощью которых можно как включать/отключать эту функцию, так и манипулировать её параметрами (выбирать фоновый рисунок, выставлять время ожидания, персонализировать эти параметры для отдельных приложений и т. д.).

Отключение с использованием редактора локальной групповой политики

Один из наиболее быстрых способов, как отключить/убрать экран блокировки в Windows 10, заключается в вызове встроенной службы под названием «Редактор локальной групповой политики».

Вызывается она из строчки поиска программ (Win+R или через меню «Пуск»), в которой вводим команду gpedit.msc.

В открывшемся окошке кликаем на пункте «Конфигурация компьютера», выбираем подпункт «Административные шаблоны», затем переходим в «Панель управления» и выбираем «Персонализация».

Ищем ветку «Запрет отображения экрана блокировки», дважды кликаем на ней, после всплытия окошка настройки блокировки экрана выбираем нужный указатель, подтверждаем изменения и перегружаем компьютер.

Удаление системных файлов, ответственных за работу функции

Удаление блокировки экрана в Виндовс возможно с помощью ещё одного достаточно простого способа – переименовав произвольным образом необходимые для работы встроенной функции системные файлы. С точки зрения операционной системы переименование сродни удалению, но при этом у пользователя сохраняется возможность восстановить прежние имена и тем самым сделать функцию блокировки экрана снова доступной. Если воспользоваться удалением с помощью стандартных средств Windows, то восстановление будет доступно, если нужные файлы ещё находятся в корзине. Ну, или посредством их импорта, но это ещё сложнее, так что лучше переименовать, а не удалять.

Эти файлы расположены в папке SystemApps\Microsoft.LockApp_cw5n1h2txyewy (в каталоге Windows). Вместо переименования всех файлов достаточно переименовать этот каталог, но если у вас нет прав администратора (то есть владельца компьютера), то придётся воспользоваться сторонней утилитой Unlocker.

Отключение экрана блокировки в Windows 10 через реестр

Редактирование реестра – операция опасная, поскольку неправильные действия могут спровоцировать серьёзные неприятности, от нестабильной работы приложений или операционной системы до полного краха последней с необходимостью переустановки Windows. Поэтому наши рекомендации, как настроить экран блокировки посредством правок записей в системном реестре, относятся к подготовленным пользователям. И перед тем как воспользоваться именно этим способом (самым универсальным), следует создать точку восстановления системы. В этом случае при возникновении непредвиденных последствий можно будет вернуться к исходному состоянию, чтобы повторить операцию правильно или воспользоваться любым из альтернативных способов.

Итак, описываем алгоритм действий:

• вызываем редактор реестра (Win+R, набор команды regedit);
• выбираем последовательно маршрут: HKEY_LOCAL_MACHINE, затем последовательно Software\Policies\Microsoft\Windows\Personalization;
• отсутствие в разделе Windows строки «Personalization» не смертельно, её можно создать вручную (кликаем правой кнопкой мышки на надписи Windows, выбираем «Создать Раздел», присваиваем ему имя Personalization);
• в правом окошке опять кликаем ПКМ и выбираем пункт «Создать», в новом меню – пункт «Параметр DWORD», вбиваем его имя – NoLockScreen;
• осталось присвоить этому параметру нужное значение двойным щелчком мыши: значение «1» будет указывать на то, что функция блокировки будет деактивирована и изменения вступят в силу после перезагрузки системы;
• чтобы открыть экран блокировки, потребуется установить значение параметра в «0».

Отключение через bat файл

Те пользователи, которым довелось поработать в первых версиях ОС Windows без графического интерфейса (MS-DOS), хорошо помнят, насколько важными были для этой операционки пакетные файлы с расширением bat. Как ни странно, разработчики оставили эту возможность и во всех последующих поколениях ОС Виндовс, и с помощью неё можно автоматизировать многие процессы при старте системы.

Итак, чтобы воспользоваться возможностью автоматического отключения блокировки экрана в Windows версий 7/8/10, нам необходимо выполнить следующие действия:

• в любом текстовом редакторе создаём новый файл, вставляем в него строку %SystemRoot%\system32\rundllexe USER32.DLL LockWorkStation;
• сохраняем файл, меняем его расширение с txt на bat;
• запускаем его, дважды щёлкнув по наименованию.

Отключение блокировки с помощью стороннего ПО

Избавиться от назойливого экрана можно и с помощью программных приложений, созданных сторонними разработчиками. Для примера приведём достаточно популярную утилиту, распространяемую бесплатно, – Ultimate Windows Tweaker. С её помощью можно менять многие параметры операционной системы, включая функцию блокировки экрана для W7/8/10.

Итак, чтобы выключить блокировку экрана, следуем алгоритму:

• находим программу, скачиваем, устанавливаем, запускаем;
• щёлкаем на пункте главного меню «Customization»;
• переходим во вкладку «Universal UI»;
• ставим галочку напротив «Disable Lock Screen» (расположен в блоке «Lock Screen»);
• подтверждаем изменения (Apply Tweaks).

Через командную строку

Наконец, выполнить блокировку экрана Windows 7–10 можно вводом необходимой команды непосредственно в командную строку (для этого вы должны обладать правами администратора). Эта команда – та же, что мы вставляли в bat-файл, – %SystemRoot%\system32\rundll32.exe USER32.DLL LockWorkStation.

То есть действие её полностью аналогичное, но однократное – блокировщик экрана отключится, но только в текущем сеансе. При перезагрузке нужно будет повторять процедуру или воспользоваться иным способом.

Итак, теперь вы знаете все возможные способы обойти проблему экрана блокировки, причём все они обратимы, позволяя в случае необходимости вернуться к прежним настройкам с целью повышения безопасности пользования компьютером. А какой из способов выбрали вы? Поделитесь комментариями, насколько удачно вы выполнили эту операцию, это будет полезно другим читателям нашего сайта.