Как воспроизвести ограничения Windows Steady State на компьютерах с Windows 7 средствами GPO. Часть 1

Введение

Относительно недавно я рассказывал о замечательном продукте Windows SteadyState от корпорации Microsoft, который позволяет устанавливать ограничения для компьютеров и пользователей, расположенных в школьных компьютерных классах и библиотеках. Также я в этой статье указывал, что данный продукт поддерживает только операционные системы Windows XP и Windows Vista, то есть, если в вашем компьютерном классе на ученических компьютерах развернуты операционные системы Windows 7, то для управления конфигурацией компьютеров и пользовательских учетных записей Вам нужно будет воспользоваться функционалом групповых политик. В этой статья я расскажу о том, как можно выполнять идентичные ограничения для компьютеров под управлением операционной системы Windows 7, то есть будет рассмотрено множество параметров политик, которые выполняют такие же действия, как и действия, выполняемые средствами продукта Windows SteadyState. Помимо этого, так как предыдущая статья имела обзорный характер, в данной статье будут подробно рассмотрены параметры продукта Windows SteadyState и, соответственно, параметры групповых политик. Также, в связи с тем, что параметров конфигурации пользователей и конфигурации компьютера в продукте Windows SteadyState довольно много, данная статья будет разбита на две части. В первой части я расскажу о параметрах групповых политик, которые относятся к глобальным параметрам компьютера, то есть изменения, которые вносятся в раздел HKEY_LOCAL_MACHINE системного реестра. Во второй части статьи мы с вами рассмотрим параметры групповой политики, при помощи которых вы сможете управлять настройками пользователей, то есть изменения, которые вносятся в раздел HKEY_CURRENT_USER.

Установка ограничений компьютера

Как я уже говорил в предыдущей статье, в состав "Установки ограничений компьютера" входят параметры конфиденциальности, параметры безопасности и прочие параметры. Параметры конфиденциальности предназначены для защиты конфиденциальности всех пользователей общего компьютера, параметры безопасности защищают компьютер от изменений или повреждений, связанных с действиями пользователей, а прочие параметры предназначены для отображения списка имен пользователей на экране приветствия при каждом запуске операционной системы Windows XP. Прежде всего, мы с вами рассмотрим параметры конфиденциальности. В эту группу входят следующие три параметра:

• Не отображать имена пользователей в диалоговом окне "Вход в систему Windows". Так как в учебных заведениях одним компьютером могут пользоваться десятки учеников, хорошим ходом будет отключение отображения имени последнего пользователя, выполнившего вход на экране входа в систему. В операционной системе Windows 7 за этот параметр отвечает политика "Интерактивный вход в систему: не отображать последнее имя пользователя", которую вы можете найти в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности, что можно увидеть на следующей иллюстрации:





Рис. 1. Отключение отображения имен пользователей на экране входа в систему

Для того чтобы имя последнего пользователя, выполнявшего вход в систему не отображалось, следует включить данную политику безопасности;

• Запретить вход в систему заблокированных или перемещаемых профилей, которые могут быть найдены на компьютере. Как вы все знаете, после выполнения входа в систему, в операционной системе создается профиль для этого пользователя. Этот параметр предназначен для того чтобы запрещать вход в систему пользователей, у которых не существует профиля;
• Не кэшировать копии заблокированных или перемещаемых профилей пользователей, ранее вошедших в систему. Используя текущий параметр ограничений компьютера, вы можете существенно повысить конфиденциальность перемещаемых профилей ваших пользователей, тем самым запретив кэшировать данные тех пользователей, которые уже заблокированы. В принципе, в самой оснастке "Редактор локальных объектов групповой политики" вы не сможете найти отдельные параметры, позволяющие обеспечить данную функцию. В этом случае, вам необходимо настроить перемещаемые профили (управление перемещаемыми профилями было рассмотрено в статье "Пользовательские профили и их управление. Часть 2"), а также воспользоваться параметрами политик, которые расположены в узле Конфигурация компьютера\Административные шаблоны\Система\Профили пользователей. Например, используя параметр "Запретить передачу на сервер изменений в перемещаемом профиле", вы можете предотвратить внесение изменений, сделанных в перемещаемом профиле на конкретном компьютере, в копию компьютера на сервере. То есть, включив этот параметр политики, при входе пользователь получит свой перемещаемый профиль, но все изменения сделанные пользователем в своем профиле, не будут внесены в его перемещаемый профиль при выходе из системы.

Как я уже упомянул, параметры безопасности продукта Windows SteadyState предназначены для защиты компьютера от изменений и повреждений. Здесь вы можете найти следующие семь параметров:

• Удалить администраторов с экрана приветствия. До появления операционной системы Windows Vista на экране входа в систему можно было с легкостью найти учетную запись администратора. В таких операционных системах, как Windows Vista и Windows 7 экран входа в систему сделан так, что по умолчанию на нем не отображена учетная запись администратора и, соответственно, нет смысла рассматривать отдельный параметр групповой политики, который отвечал бы за данную опцию;
• Удалить варианты выключения с экрана приветствия и диалогового окна "Вход в Windows". Эту опцию имеет смысл использовать для того, чтобы ваши пользователи случайно не выключили компьютер из экрана входа в систему. Для того чтобы исключить эти кнопки у пользователей Windows 7, вам нужно в редакторе объектов групповой политики, в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности, выбрать параметр политики "Завершение работы: разрешить завершение работы системы без выполнения входа в систему" и установить переключатель на опцию "Отключить". Теперь, для того чтобы выключить компьютер, пользователю необходимо успешно выполнить вход в систему и этот пользователь должен обладать правами на завершение работы системы;
• Запретить Windows вычислять и сохранять пароли с помощью хэш-значений LAN Manager. При указании этой опции в продукте Windows SteadyState, вы тем самым существенно повышаете безопасность хранения паролей в связи с отключением хэшированной формы механизма шифрования LanMan для всех паролей. Для того чтобы воспользоваться этой опцией на компьютере, с установленной операционной системой Windows 7, вам нужно в диалоговом окне параметра политики "Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля" установить переключатель на опцию "Включен". Этот параметр политики вы можете найти в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности, что можно увидеть ниже:





Рис. 2. Запрещаем ОС вычислять и сохранять пароли с помощью хэш-значений LAN Manager

Начиная с операционной системы Windows Vista, текущий параметр по умолчанию включен;

• Не сохранять имена пользователей и пароли, применявшиеся для входа в Windows Live ID или домен. Я думаю, что ни для кого не окажется новостью, что злонамеренными пользователями могут даже посредственные школьники, причем не только в столичных учебных заведениях. И, как многие из вас знают, в операционных системах Windows, диспетчер учетных данных позволяет сохранять локально учетные данные и пароли аккаунтов Windows Live, а также учетные данные доменных пользователей. При помощи этого параметра вы можете запретить локальное сохранение паролей. Для того чтобы запретить диспетчеру учетных данных сохранять пароли пользователей в операционной системе Windows 7 при помощи функционала групповых политик, вам нужно следовать следующим инструкциям. Откройте параметр политики "Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности", который расположен в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности и установите переключатель на опцию "Включить";
• Запретить пользователям создавать папки и файлы на диске С:\. Во многих учебных программах выделяется по меньшей мере один урок для того, чтобы дети учились создавать файлы и папки и во время проведения урока могут быть созданы десятки папок только одним учеником. Удалять после них весь мусор может быть крайне неудобно, так как компьютеров в классе может быть много, а время на перемену не такое уж и большое, да и помимо чистки компьютеров у учителей есть еще другие обязанности. Этот параметр изменяет список контроля доступа (ACL) в корне системного диска и запрещает пользователям создавать файлы и папки. Для того чтобы установить этот параметр в Windows 7, вам нужно будет вручную изменить список ACL для ваших пользователей;
• Запретить пользователям открывать документы Microsoft Office из обозревателя Internet Explorer. В целях безопасности, при помощи текущего параметра вы можете запретить своим пользователям открывать файлы Microsoft Office из браузера Internet Explorer. К сожалению, штатными средствами групповых политик вы не можете указать такие настройки, так что для этого вам нужно будет изменить несколько параметров системного реестра, а затем вы можете эти параметры указать в ADMX файле. Для этого, вам нужно в созданном вами ADMX файле, указать для DWORD-параметров BrowserFlags разделов реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.5], [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.8] и [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.12] значение 8. В этом случае я указал разделы реестра, значения которых нужно изменить только для запрета открытия файлов электронных таблиц Microsoft Office Excel в браузере Internet Explorer;
• Запретить запись на USB-накопители. Практически на каждом уроке, каждый ученик норовит вставить в компьютер свой USB-накопитель, чтобы записать себе какие-либо файлы для последующей работы над ними. В некоторых случаях на это можно закрыть глаза, но иногда данную возможность необходимо пресекать сразу и для этого вы можете воспользоваться текущим параметром. Чтобы внести такое же изменение в операционную систему Windows 7, вам нужно в оснастке редактора объектов групповых политик открыть узел Конфигурация компьютера\Административные шаблоны\Система\Доступ к съемным запоминающим устройствам, а затем открыть свойства параметра политики "Съемные диски: запретить запись". В отобразившемся диалоговом окне установите опцию на команду "Включить".

Так как группа другие параметры содержит изменения, связанные с экраном приветствия для операционной системы Windows XP, в данной статье не рассматривается текущий параметр.

Планирование обновлений

Если у вас в вашем учебном заведении развернут WSUS-сервер, а все клиентские компьютеры входят в домен Active Directory, то можете считать, что у вас отлично спроектирована инфраструктура ваших рабочих мест. В этом случае вам нужно настроить клиентские компьютеры на автоматическую загрузку и установку обновлений непосредственно с сервера обновлений, который у вас развернут на базу WSUS-сервера. В этом случае, вы можете следовать инструкциям, которые я описывал в статье "Настройка клиентских компьютеров WSUS". Если же у вас не развернут WSUS-сервер, то вам следует настроить некоторые параметры групповой политики в оснастке "Редактор управления групповыми политиками", которые расположены в узле Конфигурация компьютера\Политики\Административные шаблоны\Конфигурация Windows\Центр обновления Windows. В этом случае вам следует выполнить следующие действия:

Увеличить рисунок

Рис. 3. Параметры политики, отвечающие за настройку обновлений операционной системы

1. Откройте политику "Настройка автоматического обновления", установите переключатель на опцию "Включить", в раскрывающемся списке выберите опцию "4 - Автоматическая загрузка и установка по расписанию" и установите в соответствующих полях дни недели и время для установки обновлений по расписанию. Например, ежедневно в 11 часов дня;
2. Откройте политику "Не отображать параметр "Установить обновления и завершить работу" в диалоговом окне "Завершение работы Windows"" и установите переключатель опции "Включить". Нажмите на кнопку "ОК";
3. Откройте политику "Включить уведомления о наличии программ" и установите переключатель на опции "Включить". Нажмите на кнопку "ОК";
4. Откройте политику "Включить рекомендуемые обновления через автоматическое обновление" и установите переключатель на опции "Включить". Нажмите на кнопку "ОК";
5. Откройте политику "Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи" и установите переключатель на опции "Включить". Нажмите на кнопку "ОК".

Продолжение следует.