Skip to main content
Version: Privileged Access Manager 2.9

Политики безопасности сервера доступа

Набор стандартных групповых политик домена Active Directory, рекомендуемых к применению на сервер, который выполняет роль Indeed PAM Gateway, для обеспечения безопасности.

Назначение прав пользователя

Путь: Конфигурация компьютераПолитики → Конфигурация Windows → Параметры безопасностиЛокальные политикиНазначение прав пользователя

(англ. — Computer ConfigurationPoliciesWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment)

Описание политик
ПолитикаОписаниеЗначения
Access Credential Manager as a trusted caller (Доступ к диспетчеру учетных данных от имени доверенного вызывающего)Этот параметр используется диспетчером учетных данных в ходе архивации и восстановления. Эта привилегия не должна предоставляться учетным записям, поскольку она предоставляется только Winlogon. Сохраненные пользователями учетные данные могут быть скомпрометированы, если эта привилегия предоставляется другим субъектам.Не определено
Act as part of the operating system (Работа в режиме операционной системы)Это право пользователя позволяет процессу олицетворять любого пользователя без проверки подлинности. Процесс, таким образом, может получать доступ к тем же локальным ресурсам, что и пользователь. Процессы, для которых требуется такая привилегия, должны использовать уже содержащую эту привилегию учетную запись LocalSystem, а не отдельную учетную запись пользователя с этой привилегией. Если в организации используются только серверы с операционными системами семейства Windows Server 2003, нет необходимости назначать эту привилегию пользователям. Однако если в организации используются серверы под управлением операционных систем Windows 2000 или Windows NT 4.0, назначение этой привилегии может потребоваться для использования приложений, обменивающихся паролями в обычном текстовом формате. Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Назначайте такие права только доверенным пользователям.Не определено
Adjust memory quotas for a process (Настройка квот памяти для процесса)Эта привилегия определяет, кто может изменять максимальный объем памяти, используемый процессом. Это право пользователя определено в объекте групповой политики (GPO) контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. Примечание. Эта привилегия полезна при настройке системы, но его использование может нанести вред, например, в случае атак типа "отказ в обслуживании".NT AUTHORITY\NETWORK SERVICE, NT AUTHORITY\LOCAL SERVICE, BUILTIN\Administrators
Allow log on locally (Локальный вход в систему)Этот параметр определяет пользователей, которые могут входить в систему на компьютере.BUILTIN\Administrators
Allow log on through Remote Desktop Services (Разрешать вход в систему через службы удаленных рабочих столов)Этот параметр безопасности определяет, у каких пользователей или групп есть разрешение на вход в систему в качестве клиента служб удаленных рабочих столов.BUILTIN\Administrators, группа пользователей PAM
Back up files and directories (Архивация файлов и каталогов)Это право пользователя определяет, какие пользователи могут игнорировать разрешения для файлов, каталогов, реестра и других постоянных объектов с целью архивации системы. В частности, это право пользователя подобно предоставлению следующих разрешений пользователю или группе для всех папок и файлов в системе: Обзор папок/Выполнение файлов Содержимое папки/Чтение данных Чтение атрибутов Чтение расширенных атрибутов Чтение разрешений Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Поскольку невозможно точно знать, что именно пользователь делает с данными - создает архив, крадет или копирует с целью распространения - назначайте это право только доверенным пользователям.BUILTIN\Administrators
Bypass traverse checking (Обход перекрестной проверки)Это право пользователя определяет, какие пользователи могут производить обзор деревьев каталога, даже если у этих пользователей отсутствуют разрешения на каталог. Эта привилегия не позволяет пользователям просматривать содержимое каталога, а позволяет только выполнять обзор.BUILTIN\Administrators, NT AUTHORITY\Authenticated Users, NT AUTHORITY\LOCAL SERVICE, NT AUTHORITY\NETWORK SERVICE
Change the system time (Изменение системного времени)Это право пользователя определяет, какие пользователи и группы могут изменять время и дату внутренних часов компьютера. Пользователи с данным правом могут влиять на вид журналов событий. Если системное время было изменено, записи отслеженных событий отразят новое время, а не действительное время совершения событий.BUILTIN\Administrators, NT AUTHORITY\LOCAL SERVICE
Change the time zone (Изменение часового пояса)Это пользовательское право определяет, какие пользователи и группы могут изменять часовой пояс, используемый компьютером для отображения местного времени, которое представляет собой сумму системного времени компьютера и смещения часового пояса. Само по себе системное время является абсолютным и не изменяется при изменении часового пояса.BUILTIN\Administrators, NT AUTHORITY\LOCAL SERVICE
Create a token object (Создание маркерного объекта)Этот параметр безопасности определяет, какие учетные записи могут быть использованы процессами для создания маркеров, которые затем могут быть использованы для получения доступа к любым локальным ресурсам, если для создания маркера доступа процесс использует внутренний интерфейс (API). Данное право используется операционной системой для внутренних целей. Если нет необходимости, не предоставляйте это право никаким пользователям, группам или процессам кроме пользователя "Локальная система". Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Не назначайте это право пользователю, группе или процессу, которым нежелательно позволять управлять системой.Не определено
Create global objects (Создание глобальных объектов)Этот параметр безопасности определяет, могут ли пользователи создавать глобальные объекты, доступные для всех сеансов. Пользователи по-прежнему могут создавать отдельные объекты для их сеансов, не имея данного права. Создание глобальных объектов может влиять на процессы, выполняемые в сеансах других пользователей, ведя к ошибкам приложений и повреждению данных. Внимание! Назначение этого права пользователя может представлять угрозу безопасности. Назначайте его только доверенным пользователям.BUILTIN\Administrators, NT AUTHORITY\SERVICE
Create permanent shared objects (Создание постоянных общих объектов)Это право пользователя определяет, какие учетные записи могут использоваться процессами для создания объекта каталога при помощи диспетчера объектов. Это право пользователя используется внутри операционной системы и полезно для компонентов в режиме ядра, расширяющих пространство имен объекта. Поскольку это право уже назначено компонентам, выполняющимся в режиме ядра, его не нужно специально назначать.Не определено
Create symbolic links (Создание символических ссылок)Эта привилегия определяет для пользователя возможность создавать символьные ссылки с компьютера, на который он вошел. Внимание! Эту привилегию следует предоставлять только доверенным пользователям. Символические ссылки могут обнажить уязвимые места в приложениях, которые не рассчитаны на их обработку.BUILTIN\Administrators
Debug programs (Отладка программ)Это право пользователя определяет, какие пользователи могут подключать отладчик к любому процессу или ядру. Это право не нужно назначать разработчикам, выполняющим отладку собственных приложений. Оно потребуется разработчикам для отладки новых системных компонентов. Это право пользователя обеспечивает полный доступ к важным компонентам операционной системы. Внимание! Назначение этого права пользователя может представлять угрозу безопасности. Назначайте его только доверенным пользователям.BUILTIN\Administrators
Deny access to this computer from the network (Отказать в доступе к этому компьютеру из сети)Этот параметр безопасности определяет, каким пользователям будет отказано в доступе к компьютеру из сети. Этот параметр заменяет параметр политики "Разрешить доступ к компьютеру из сети", если к учетной записи пользователя применяются обе политики.BUILTIN\Guests
Deny log on as a batch job (Отказать во входе в качестве пакетного задания)Этот параметр безопасности определяет, каким учетным записям будет отказано во входе в систему в виде пакетного задания. Данный параметр замещает параметр "Разрешить вход в систему как пакетному заданию", если к учетной записи пользователя применяются оба параметра.BUILTIN\Guests
Deny log on as a service (Отказать во входе в качестве службы)Этот параметр безопасности определяет, каким учетным записям служб будет отказано в регистрации процесса как службы. Этот параметр политики заменяет параметр "Разрешить вход в систему как службе", если к учетной записи применяются об политики. Примечание. Этот параметр безопасности не применяется к учетным записям "Система", "Локальная служба" или "Сетевая служба".BUILTIN\Guests
Deny log on locally (Запретить локальный вход)Этот параметр безопасности определяет, каким пользователям будет отказано во входе в систему. Этот параметр политики заменяет параметр "Разрешить локальный вход в систему", если к учетной записи применяются обе политики. Внимание! Если этот параметр безопасности применяется к группе "Все", никто не сможет войти в систему локально.BUILTIN\Guests
Deny log on through Terminal Services (Запретить вход в систему через службу удаленных рабочих столов)Этот параметр безопасности определяет, каким пользователям и группам будет запрещено входить в систему как клиенту служб удаленных рабочих столов.BUILTIN\Guests
Enable computer and user accounts to be trusted for delegation (Разрешение доверия к учетным записям компьютеров и пользователей при делегировании)Этот параметр безопасности определяет, какие пользователи могут устанавливать параметр "Делегирование разрешено" для пользователя или объекта-компьютера. Пользователь или объект, получившие эту привилегию, должны иметь доступ на запись к управляющим флагам учетной записи пользователя или объекта-компьютера. Серверный процесс, выполняемый на компьютере (или в пользовательском контексте), которому разрешено делегирование, может получить доступ к ресурсам другого компьютера, используя делегированные учетные данные клиента, пока в учетной записи клиента не будет установлен управляющий флаг "Учетная запись не может быть делегирована". Это право пользователя определено в объекте групповой политики (GPO) контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. Внимание! Неправильное применение этого права пользователя или параметра "Делегирование разрешено" может сделать сеть уязвимой к изощренным атакам с помощью вредоносных программ типа "Троянский конь", которые имитируют входящих клиентов и используют их учетные данные для получения доступа к сетевым ресурсам.BUILTIN\Administrators
Force shutdown from a remote system (Принудительное удаленное завершение работы)Этот параметр безопасности определяет, каким пользователям разрешено удаленное завершение работы компьютера. Неправильное применение этого права пользователя может стать причиной отказа в обслуживании. Это право пользователя определено в объекте групповой политики (GPO) контроллеров домена по умолчанию и в локальной политике безопасности рабочих станций и серверов.BUILTIN\Administrators
Generate security audits (Создание аудитов безопасности)Этот параметр безопасности определяет, какие учетные записи могут быть использованы процессом для добавления записей в журнал безопасности. Журнал безопасности используется для отслеживания несанкционированного доступа в систему. Неправильное применение этого права пользователя может стать причиной формирования множества событий аудита, которые могут скрыть свидетельства атаки или вызвать отказ в обслуживании, если включен параметр безопасности "Аудит: немедленно завершить работу системы при невозможности протоколирования аудита безопасности". Дополнительные сведения см. в разделе "Аудит: немедленно завершить работу системы при невозможности протоколирования аудита безопасности"NT AUTHORITY\LOCAL SERVICE, NT AUTHORITY\NETWORK SERVICE
Impersonate a client after authentication (Имитация клиента после проверки подлинности)Выдача пользователю этой привилегии позволяет программам, выполняемым от имени этого пользователя, олицетворять клиента. Требование этого права для подобного олицетворения не позволяет неавторизованному пользователю убедить клиента подключиться (например, через вызов удаленной процедуры (RPC) или именованные каналы) к созданной им службе, а затем олицетворить клиента, что даст возможность повысить его полномочия до административного или системного уровня. Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Назначайте такие права только доверенным пользователям. Примечание. По умолчанию к токенам доступа служб, запущенных диспетчером управления службами, добавляется встроенная группа "Служба". Встроенная группа "Служба" также добавляется к токенам доступа COM-серверов, запущенных COM-инфраструктурой и настроенных на выполнение под определенной учетной записью. Поэтому данные службы получают это пользовательское право при запуске. Кроме того, пользователь может олицетворять токен доступа и при выполнении любого из следующих условий. Олицетворяемый токен доступа назначен данному пользователю. В данном сеансе входа пользователь создал токен доступа, явно указав учетные данные при входе. Запрошенный уровень ниже, чем "Олицетворять", например:"Анонимный" или "Идентифицировать". Поэтому пользователям обычно не требуется это пользовательское право. Дополнительные сведения можно найти поиском SeImpersonatePrivilege в Microsoft Platform SDK. Внимание! Включение этого параметра может привести к потере привилегии "Олицетворять" программами, имеющим эту привилегию, и заблокировать их выполнение.BUILTIN\Administrators, NT AUTHORITY\SERVICE
Increase scheduling priority (Увеличение приоритета выполнения)Этот параметр безопасности определяет, какие учетные записи могут использовать процесс, имеющий право доступа "Запись свойства" для другого процесса, для повышения приоритета выполнения, назначенного другому процессу. Пользователь, имеющий данную привилегию, может изменять приоритет выполнения процесса через пользовательский интерфейс диспетчера задач.BUILTIN\Administrators
Load and unload device drivers (Загрузка и выгрузка драйверов устройств)Это право пользователя определяет, какие пользователи могут динамически загружать и выгружать драйверы устройств или другой код в режиме ядра. Это право пользователя не применяется к драйверам устройств Plug and Play. Не рекомендуется назначать эту привилегию другим пользователям. Внимание! Назначение этого права пользователю может представлять угрозу безопасности. Не назначайте это право пользователю, группе или процессу, которым нежелательно позволять управлять системой.BUILTIN\Administrators
Lock pages in memory (Блокировка страниц в памяти)Этот параметр безопасности определяет, какие учетные записи могут использовать процессы для сохранения данных в физической памяти для предотвращения сброса этих данных в виртуальную память на диске. Применение этой привилегии может существенно повлиять на производительность системы, снижая объем доступной оперативной памяти (RAM).Не определено
Log on as a batch job (Вход в качестве пакетного задания)Этот параметр безопасности позволяет пользователю входить в систему при помощи средства, использующего очередь пакетных заданий, и предоставляется только для совместимости с предыдущими версиями Windows. Например, если пользователь передает задание при помощи планировщика заданий, последний регистрирует этого пользователя в системе как пользователя с пакетным входом, а не как интерактивного пользователя.BUILTIN\Administrators
Manage auditing and security log (Управлять аудитом и журналом безопасности)Этот параметр безопасности определяет, какие пользователи могут указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. Данный параметр безопасности не разрешает пользователю включить аудит доступа к файлам и объектам в целом. Для включения такого аудита нужно настроить параметр доступа к объекту "Аудит" в пути "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политики аудита". События аудита можно просмотреть в журнале безопасности средства просмотра событий. Пользователь с данной привилегией может также просматривать и очищать журнал безопасности.BUILTIN\Administrators
Modify an object label (Изменение метки объекта)Эта привилегия определяет, каким учетным записям пользователей разрешается изменять метки целостности объектов, таких как файлы, разделы реестра или процессы, владельцами которых являются другие пользователи. Процессы, выполняющиеся под учетной записью пользователя, без этой привилегии могут понижать уровень метки объекта, владельцем которого является данный пользователь.Не определено
Modify firmware environment values (Изменение параметров среды изготовителя)Этот параметр безопасности определяет, кто может изменять значения параметров аппаратной среды. Переменные аппаратной среды - это параметры, сохраняемые в энергонезависимой памяти компьютеров, архитектура которых отлична от x86. Действие параметра зависит от процессора. На компьютерах архитектуры x86 единственное значение аппаратной среды, которое можно изменить назначением данного права пользователя, - это параметр "Последняя удачная конфигурация", который должен изменяться только системой. В компьютерах на базе процессоров Itanium загрузочные данные хранятся в энергонезависимой памяти. Данное право пользователя должно назначаться пользователям для выполнения программы bootcfg.exe и изменения параметра "Операционная система по умолчанию" компонента "Загрузка и восстановление" диалогового окна свойств системы. На всех компьютерах это право пользователя требуется для установки и обновления Windows. Примечание. Этот параметр безопасности не влияет на пользователей, которые могут изменять системные и пользовательские переменные среды, отображаемые на вкладке "Дополнительно" диалогового окна свойств системы. Сведения о том, как изменять эти переменные, см. в разделе "Добавление или изменение значения переменных среды".BUILTIN\Administrators
Perform volume maintenance tasks (Выполнение задач по обслуживанию томов)Этот параметр безопасности определяет пользователей и группы, которые могут выполнять задачи по обслуживанию томов, например, удаленную дефрагментацию. При назначении этого права пользователя следует соблюдать осторожность. Пользователи, имеющие данное право, могут просматривать диски и добавлять файлы в память, занятую другими данными. После открытия дополнительных файлов пользователь может читать изменять запрошенные данные.BUILTIN\Administrators
Profile single process (Профилирование одного процесса)Этот параметр безопасности определяет пользователей, которые могут использовать средства мониторинга производительности для отслеживания производительности несистемных процессов.BUILTIN\Administrators
Profile system performance (Профилирование производительности системы)Этот параметр безопасности определяет пользователей, которые могут использовать средства мониторинга производительности для отслеживания производительности системных процессов.BUILTIN\Administrators
Replace a process level token (Замена маркеров уровня процесса)Этот параметр безопасности определяет учетные записи пользователей, которые могут вызывать процедуру API-интерфейса CreateProcessAsUser() для того, чтобы одна служба могла запускать другую. Планировщик заданий - это пример процесса, использующего данное право пользователя. Сведения о планировщике заданий см. в обзоре "Планировщик заданий".NT AUTHORITY\LOCAL SERVICE, NT AUTHORITY\NETWORK SERVICE
Restore files and directories (Восстановление файлов и каталогов)Этот параметр безопасности определяет пользователей, которые могут обойти разрешения на файлы, каталоги, реестр и другие постоянные объекты при восстановлении архивных копий файлов и каталогов, а также пользователей, которые могут назначить любого действительного субъекта безопасности владельцем объекта. В частности, это право пользователя подобно предоставлению следующих разрешений пользователю или группе для всех папок и файлов в системе: Обзор папок/Выполнение файлов Запись Внимание! Назначение этого права пользователя может представлять угрозу безопасности. Так как оно дает возможность перезаписывать параметры реестра, скрывать данные и получать во владение системные объекты, назначать его следует только доверенным пользователям.BUILTIN\Administrators
Shut down the system (Завершение работы системы)Этот параметр безопасности определяет пользователей, которые после локального входа в систему могут завершить работу операционной системы при помощи команды "Завершить работу". Неправильное применение этого права пользователя может стать причиной отказа в обслуживании.BUILTIN\Administrators
Take ownership of files or other objects (Смена владельцев файлов и других объектов)Этот параметр безопасности определяет пользователей, которые могут стать владельцем любого защищаемого объекта системы, в том числе: объектов Active Directory, файлов и папок, принтеров, разделов реестра, процессов и потоков. Внимание! Назначение этого права пользователя может представлять угрозу безопасности. Так как объекты полностью контролируются их владельцами, назначать данное право следует только доверенным пользователям.BUILTIN\Administrators

Параметры безопасности

Путь: Конфигурация компьютераПолитики → Конфигурация Windows → Параметры безопасностиЛокальные политикиПараметры безопасности

(англ. — Computer ConfigurationPoliciesWindows SettingsSecurity SettingsLocal PoliciesSecurity Options)

Учетные записи

(англ. — Accounts)

Описание политик
ПолитикаОписаниеЗначение
Accounts: Administrator account status (Учетные записи: Состояние учетной записи 'Администратор')Этот параметр безопасности определяет, включена или отключена учетная запись локального администратора. Примечания При несоответствии пароля текущего администратора требованиям к паролю повторно включить учетную запись администратора, если ранее она была отключена, будет нельзя. В этом случае, пароль учетной записи администратора должен быть сброшен другим членом группы администраторов. Сведения о том, как сбросить пароль, см. в разделе "Сброс пароля". Отключение учетной записи администратора при некоторых обстоятельствах может затруднить обслуживание. При перезагрузке в безопасном режиме отключенную учетную запись администратора можно включить только в том случае, если компьютер не присоединен к домену и отсутствуют другие активные учетные записи локального администратора. Если компьютер присоединен к домену, отключенная учетная запись администратора не может быть включена.Enabled (Включен)
Accounts: Guest account status (Учетные записи: Cостояние учетной записи 'Гость')Этот параметр безопасности определяет, включена или отключена учетная запись гостя. Примечание. Если учетная запись гостя отключена, а для параметра безопасности "Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей" установлено значение "Только гости", попытки входа в сеть, выполняемые, например, сервером сетей Майкрософт (служба SMB), завершатся неудачно.Disabled (Отключен)
Accounts: Limit local account use of blank passwords to console logon only (Учетные записи: разрешить использование пустых паролей только при консольным входе)Этот параметр безопасности определяет, могут ли локальные учетные записи, не защищенные паролем, использоваться для входа в систему из местоположений, отличных от физической консоли компьютера. Если параметр включен, то для локальных учетных записей, не защищенных паролем, вход в систему возможен только с клавиатуры компьютера. Внимание! К компьютерам, находящимся в физически незащищенных местах, всегда должны принудительно применяться параметры надежных паролей для всех локальных учетных записей пользователей. В противном случае любой пользователь, имеющий физический доступ к компьютеру, может войти в систему при помощи пользовательской учетной записи, не имеющей пароля. Это особенно важно для портативных компьютеров. Если этот параметр безопасности применяется к группе "Все", никто не сможет войти в систему через службы удаленных рабочих столов. Примечания Данный параметр не оказывает влияния, если при входе в систему используются учетные записи домена. Приложения, использующие удаленный интерактивный вход в систему, могут обойти этот параметр.Enabled (Включен)

Аудит

(англ. — Audit)

Описание политик
ПолитикаОписаниеЗначение
Audit: Audit the use of Backup and Restore privilege (Аудит: аудит использования привилегии на архивацию и восстановление)Этот параметр безопасности определяет, будет ли выполняться аудит использования всех привилегий пользователя, в том числе на архивацию и восстановление, если действует политика "Выполнять аудит использования привилегий". Если эта политика действует, включение данного параметра создает событие аудита для каждого файла, с которым выполняются операции архивации или восстановления. Если эта политика отключена, аудит использования привилегии на архивацию и восстановление не выполняется даже при включенном параметре "Выполнять аудит использования привилегий". Примечание. В версиях Windows, предшествующих Vista, изменения в результате настройки этого параметра безопасности вступят в силу только после перезагрузки Windows. Включение этого параметра может вызвать очень много событий (иногда несколько сот в секунду) во время архивации.Enabled (Включен)

Устройства

(англ. — Devices)

Описание политик
ПолитикаОписаниеЗначение
Devices: Allowed to format and eject removable media (Устройства: разрешить форматирование и извлечение съемных носителей)Этот параметр безопасности определяет, кому разрешено форматирование и извлечение съемных NTFS-носителей.Administrators (Администраторы)
Devices: Prevent users from installing printer drivers (Устройства: запретить пользователям установку драйверов принтера)Чтобы локальный компьютер мог использовать общий принтер, на нем должен быть установлен драйвер этого общего принтера. Этот параметр безопасности определяет, кому разрешено устанавливать драйвер принтера при добавлении общего принтера. Если этот параметр включен, при добавлении общего принтера драйвер принтера могут устанавливать только администраторы. Если параметр отключен, устанавливать драйвер принтера при добавлении общего принтера может любой пользователь. Примечания Этот параметр не влияет на возможность добавления локального принтера. Параметр не затрагивает администраторов.Enabled (Включен)
Devices: Restrict CD-ROM access to locally logged-on user only (Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям)Этот параметр безопасности определяет, будет ли дисковод компакт-дисков доступен одновременно и локальным, и удаленным пользователям. Если данный параметр включен, доступ к компакт-дискам разрешен только пользователям, вошедшим в систему интерактивно. Если данный параметр включен, но никто не вошел в систему интерактивно, дисковод компакт-дисков будет доступен через сеть.Enabled (Включен)
Devices: Restrict floppy access to locally logged-on user only (Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям)Этот параметр безопасности определяет, будет ли съемный дисковод гибких дисков доступен одновременно и локальным, и удаленным пользователям. Если данный параметр включен, доступ к съемным дисководам гибких дисков разрешен только пользователям, вошедшим в систему интерактивно. Если данный параметр включен, но никто не вошел в систему интерактивно, дисковод гибких дисков будет доступен через сеть.Enabled (Включен)

Интерактивный вход в систему

(англ. — Interactive Logon)

Описание политик
ПолитикаОписаниеЗначение
Interactive logon: Do not display last user name (Интерактивный вход в систему: не отображать последнее имя пользователя при входе в систему Интерактивный вход в систему: не отображать учетные данные последнего пользователя)Этот параметр безопасности определяет, будет ли на экране входа в Windows отображаться имя последнего пользователя, выполнившего вход на этом компьютере. Если эта политика включена, имя пользователя не будет отображаться.Enabled (Включен)
Interactive logon: Do not require CTRL+ALT+DEL (Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL)Этот параметр безопасности определяет, требуется ли нажатие клавиш CTRL+ALT+DEL перед входом в систему. Если эта политика включена, нажатие клавиш CTRL+ALT+DEL перед входом в систему не требуется. Отсутствие необходимости нажимать клавиши CTRL+ALT+DEL перед входом в систему делает пользователей уязвимыми для атак с попыткой перехвата паролей. Обязательное нажатие клавиш CTRL+ALT+DEL перед входом в систему гарантирует передачу данных по доверенному каналу при вводе паролей пользователями. Если эта политика отключена, нажатие клавиш CTRL+ALT+DEL обязательно для любого пользователя перед входом в Windows.Disabled (Отключен)
Interactive logon: Number of previous logons to cache (in case domain controller is not available) (Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена))Сведения о входе в систему каждого уникального пользователя кэшируются локально, чтобы обеспечить возможность входа в систему в случае отсутствия доступа к контроллеру домена во время последующих попыток входа. Хранятся кэшированные сведения о входе в систему из предыдущего сеанса. Если доступ к контроллеру домена отсутствует, а сведения о входе в систему для данного пользователя не кэшированы, выводится сообщение: В настоящее время нет доступных серверов входа для обслуживания запроса входа в систему. В этом параметре политики значение 0 отключает кэширование входа в систему. При любом значении выше 50 кэшируется только 50 попыток входа в систему. Windows поддерживает не более 50 записей кэша, при этом число потребляемых записей на пользователя зависит от учетных данных. Например, в системе Windows может быть кэшировано до 50 уникальных учетных записей пользователя с паролями, но не более 25 учетных записей пользователя со смарт-картой, так как сохраняются сведения как о пароле, так и о смарт-карте. При повторном входе в систему пользователя с кэшированными сведениями о входе сведения данного пользователя в кэше заменяются.0 logons (0 входов в систему)
Interactive logon: Require Domain Controller authentication to unlock workstation (Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера)Для разблокировки блокированного компьютера необходимо предоставить данные входа. Для учетных записей доменов этот параметр безопасности определяет, необходимо ли установить связь с контроллером домена для разблокировки компьютера. Если этот параметр отключен, пользователь может разблокировать компьютер с помощью кэшированных учетных данных. Если этот параметр включен, используемая для разблокировки компьютера учетная запись домена должна быть проверена контроллером домена на подлинность.Enabled (Включен)

Клиент сети Microsoft

(англ. — Microsoft Network Client)

Описание политик
ПолитикаОписаниеЗначение
Microsoft network client: Send unencrypted password to third-party SMB servers (Клиент сети Microsoft: отправлять незашифрованный пароль сторонним SMB-серверам)Если этот параметр безопасности включен, перенаправителю блока сообщений сервера (SMB) разрешено отправлять пароли открытым текстом на серверы SMB, не принадлежащие Майкрософт, которые не поддерживают шифрование паролей во время проверки подлинности. Отправка незашифрованных паролей представляет риск для безопасности.Disabled (Отключен)

Доступ к сети / Сетевой доступ

(англ. — Network Access)

Описание политик
ПолитикаОписаниеЗначение
Network access: Allow anonymous SID/Name translation (Доступ к сети: разрешить трансляцию анонимного SID в имя)Этот параметр политики определяет, может ли анонимный пользователь запрашивать атрибуты идентификатора безопасности (SID) другого пользователя. Если эта политика включена, то анонимный пользователь может запросить идентификатор безопасности любого другого пользователя. Например, анонимный пользователь, знающий идентификатор безопасности администратора, может подключиться к компьютеру, на котором включена эта политика, и получить имя администратора. Данный параметр влияет как на преобразование идентификатора безопасности в имя, так и на обратное преобразование (имя в идентификатор безопасности). Если этот параметр политики отключен, анонимный пользователь не может запрашивать идентификатор безопасности другого пользователя.Disabled (Отключен)
Network access: Do not allow anonymous enumeration of SAM accounts (Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями.)Этот параметр безопасности определяет, какие дополнительные разрешения будут даны анонимным подключениям к этому компьютеру. Windows разрешает анонимным пользователям совершать определенные действия, такие как перечисление имен учетных записей домена и общих сетевых ресурсов. Это удобно, например, когда администратору требуется предоставить доступ пользователям в доверенном домене, не поддерживающем взаимное доверие. Этот параметр безопасности позволяет накладывать дополнительные ограничения на анонимные подключения. Включен: не разрешать перечисление учетных записей SAM. Этот параметр заменяет параметр "Все" на параметр "Прошедшие проверку" в разрешениях безопасности для ресурсов. Отключен: нет дополнительных ограничений. Используются разрешения по умолчанию.Enabled (Включен)
Network access: Do not allow anonymous enumeration of SAM accounts and shares (Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями)Этот параметр безопасности определяет, разрешено ли перечисление учетных записей SAM и общих ресурсов анонимными пользователями. Windows разрешает анонимным пользователям совершать некоторые действия (например, перечисление имен учетных записей домена и общих папок). Это удобно в случае, если администратор хочет предоставить доступ пользователям в доверенном домене, не поддерживающем взаимное доверие. Чтобы запретить перечисление учетных записей SAM и общих ресурсов анонимными пользователями, включите этот параметр.Enabled (Включен)
Network access: Do not allow storage of passwords and credentials for network authentication (Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности)Этот параметр безопасности определяет, сохраняются ли диспетчером учетных данных пароли и учетные данные при проверке подлинности доменом (для последующего использования). Если данный параметр включен, то сохранение паролей и учетных данных диспетчером учетных данных на данном компьютере не производится. Если данный параметр политики выключен или значение для него не задано, то диспетчер учетных данных будет сохранять пароли и учетные данные на этом компьютере (для использования в будущем при проверке подлинности доменом). Примечание. Изменения в конфигурации этого параметра безопасности вступят в силу только после перезагрузки Windows.Enabled (Включен)
Network access: Let Everyone permissions apply to anonymous users (Сетевой доступ: разрешать применение разрешений "Для всех" к анонимным пользователям)Этот параметр безопасности определяет, какие дополнительные разрешения будут даны анонимным подключениям к компьютеру. Windows разрешает анонимным пользователям совершать некоторые действия (например, перечисление имен учетных записей домена и общих папок). Это удобно в случае, если администратор хочет предоставить доступ пользователям в доверенном домене, не поддерживающем взаимное доверие. По умолчанию идентификатор безопасности "Для всех" удаляется из токена, созданного для анонимных соединений. Таким образом, разрешения группы "Для всех" не затрагивают анонимных пользователей. Если этот параметр установлен, анонимные пользователи имеют доступ только к тем ресурсам, доступ к которым им разрешен явным образом. Если этот параметр включен, идентификатор безопасности "Для всех" добавляется к токену, созданному для анонимных соединений. В этом случае анонимные пользователи имеют доступ к любому ресурсу, разрешенному для группы "Для всех".Disabled (Отключен)
Network access: Named Pipes that can be accessed anonymously (Сетевой доступ: разрешать анонимный доступ к именованным каналам)Этот параметр безопасности определяет, какие сеансы связи (каналы) будут иметь атрибуты и разрешения, дающие право анонимного доступа.Не определено
Network access: Remotely accessible registry paths (Сетевой доступ: удаленно доступные пути реестра)Этот параметр безопасности определяет, какие пути реестра могут быть доступны через сеть вне зависимости от пользователей или групп пользователей, указанных в списке управления доступом (ACL) раздела реестра winreg.Не определено
Network access: Remotely accessible registry paths and sub-paths (Сетевой доступ: удаленно доступные пути и вложенные пути реестра.)Этот параметр безопасности определяет, какие пути и вложенные пути реестра могут быть доступны через сеть вне зависимости от пользователей или групп пользователей, указанных в списке управления доступом (ACL) раздела реестра winreg.Не определено
Network access: Restrict anonymous access to Named Pipes and Shares (Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам)Если этот параметр безопасности включен, он ограничивает анонимный доступ к общим ресурсам и именованным каналам в соответствии со значениями следующих параметров: Сетевой доступ: разрешать анонимный доступ к именованным каналам Сетевой доступ: разрешать анонимный доступ к общим ресурсамEnabled (Включен)
Network access: Shares that can be accessed anonymously (Сетевой доступ: разрешать анонимный доступ к общим ресурсам)Этот параметр безопасности определяет, к каким общим ресурсам могут получать доступ анонимные пользователи.Не определено
Network access: Sharing and security model for local accounts (Сетевой доступ: модель общего доступа и безопасности для локальных учетных записей.)Этот параметр безопасности определяет, каким образом проверяется подлинность при входе в сеть с использованием локальных учетных записей. Если данный параметр имеет значение "Обычная", при входе в сеть с учетными данными локальной учетной записи выполняется проверка подлинности по этим учетным данным. Обычная модель позволяет более гибко управлять доступом к ресурсам. С ее помощью можно предоставить разным пользователям разные типы доступа к одному и тому же ресурсу. Если этот параметр имеет значение "Гостевая", операции входа в сеть с учетными данными локальных учетных записей автоматически сопоставляются с учетной записью гостя. При использовании гостевой модели между пользователями нет различий. Все пользователи проходят проверку подлинности с учетной записью гостя и получают одинаковый уровень доступа к данному ресурсу — "Только чтение" или "Изменение". По умолчанию на компьютерах домена: Обычная. По умолчанию на автономных компьютерах: Гостевая. Внимание! Если используется гостевая модель, любой пользователь, имеющий доступ к компьютеру по сети (включая анонимных пользователей Интернета), может получить доступ к общим ресурсам. Для защиты компьютера от несанкционированного доступа необходимо использовать брандмауэр Windows или другую аналогичную программу. Кроме того, при использовании обычной модели локальные учетные записи должны быть защищены паролем, чтобы их невозможно было использовать для доступа к общим ресурсам системы. Примечание Этот параметр не влияет на операции интерактивного входа в систему, которые выполняются удаленно с помощью таких служб, как Telnet или служб удаленных рабочих столов.Classic - local users authenticate as themselves (Обычная - локальные пользователи удостоверяются как они сами)

Сетевая безопасность

(англ. — Network Security)

Описание политик
ПолитикаОписаниеЗначение
Network security: Do not store LAN Manager hash value on next password change (Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля)Этот параметр безопасности определяет, нужно ли при следующей смене пароля сохранять хэш-значение диспетчера LAN (LM) для нового пароля. Хэш LM является относительно слабым и уязвимым для атак по сравнению с более криптостойким хэшем Windows NT. Поскольку хэш LM хранится в базе данных безопасности на локальном компьютере, в случае атаки на базу данных безопасности пароли могут быть расшифрованы.Enabled (Включен)
Network security: Force logoff when logon hours expire (Сетевая безопасность: Принудительный вывод из сеанса по истечении допустимых часов работы)Этот параметр безопасности определяет, будут ли отключаться пользователи при подключении к локальному компьютеру вне времени входа, заданного для их учетной записи. Этот параметр влияет на компонент блока сообщений сервера (SMB). Если эта политика включена, после истечения времени входа клиента сеансы клиента с сервером SMB принудительно разрываются. Если эта политика отключена, после истечения времени входа клиента его сеанс сохраняется. Примечание. Этот параметр безопасности применяется так же, как политика учетной записи. Для учетных записей домена может существовать только одна политика учетных записей. Политика учетной записи должна быть определена в политике домена по умолчанию; она применяется контроллерами данного домена. Контроллер домена всегда получает политику учетной записи из объекта групповой политики (GPO) политики домена по умолчанию, даже если существует другая политика учетной записи, которая применяется к подразделению, содержащему этот контроллер домена. По умолчанию рабочие станции и серверы, входящие в домен, получают ту же политику учетной записи для своих локальных учетных записей. Однако политики локальных учетных записей таких компьютеров могут отличаться от политики учетной записи домена, если определена политика учетной записи для подразделения, в которое входят эти компьютеры. Параметры Kerberos не применяются к таким компьютерам.Enabled (Включен)
Network security: LAN Manager authentication level (Сетевая безопасность: уровень проверки подлинности LAN Manager)Этот параметр безопасности определяет, какие протоколы проверки подлинности с запросом и ответом используются для сетевого входа в систему. Значение этого параметра влияет на уровень протокола проверки подлинности, который используют клиенты, на уровень согласованной безопасности сеанса, а также на уровень проверки подлинности, принимаемой серверами, следующим образом. Отправлять ответы LM и NTLM: клиенты используют проверку подлинности LM и NTLM и никогда не используют сеансовую безопасность NTLMv2; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Отправлять LM и NTLM - использовать сеансовую безопасность NTLMv2 при согласовании: клиенты используют проверку подлинности LM и NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Отправлять только NTLM-ответ: клиенты используют только проверку подлинности NTLM, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Отправлять только NTLMv2-ответ: клиенты используют только проверку подлинности NTLMv2, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает; контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Отправлять только NTLMv2-ответ и отказывать LM: клиенты используют только проверку подлинности NTLMv2, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает; контроллеры домена отклоняют LM (принимая только проверку подлинности NTLM и NTLMv2). Отправлять только NTLMv2-ответ и отказывать LM и NTLM: клиенты используют только проверку подлинности NTLMv2, а также сеансовую безопасность NTLMv2, если сервер ее поддерживает; контроллеры домена отклоняют LM и NTLM (принимая только проверку подлинности NTLMv2).Send NTLMv2 response only. Refuse LM & NTLM (Отправлять только NTLMv2-ответ. Отказывать LM и NTLM)
Network security: Minimum session security for NTLM SSP based (including secure RPC) clients (Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC).)Этот параметр безопасности позволяет клиенту требовать согласования 128-разрядного шифрования и (или) сеансовой безопасности NTLMv2. Эти значения зависят от значения параметра безопасности "Уровень проверки подлинности LAN Manager". Доступны следующие варианты. Требовать сеансовую безопасность NTLMv2. Если протокол NTLMv2 не согласован, подключение не будет установлено. Требовать 128-разрядное шифрование. Если стойкое (128-разрядное) шифрование не согласовано, подключение не будет установлено.Require NTLMv2 session security: Enabled Require 128-bit encryption: Enabled (Требовать сеансовую безопасность NTLMv2: Включен Требовать 128-битное шифрование: Включен)
Network security: Minimum session security for NTLM SSP based (including secure RPC) servers (Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLM SSP (включая безопасный RPC).)Этот параметр безопасности позволяет серверу требовать согласования 128-разрядного шифрования и (или) сеансовой безопасности NTLMv2. Эти значения зависят от значения параметра безопасности "Уровень проверки подлинности LAN Manager". Доступны следующие варианты. Требовать сеансовую безопасность NTLMv2. Если целостность сообщений не согласована, подключение не будет установлено. Требовать 128-битное шифрование. Если стойкое (128-разрядное) шифрование не согласовано, подключение не будет установлено.Require NTLMv2 session security: Enabled Require 128-bit encryption: Enabled (Требовать сеансовую безопасность NTLMv2: Включен Требовать 128-битное шифрование: Включен)

Завершение работы

(англ. — Shutdown)

Описание политик
ПолитикаОписаниеЗначение
Shutdown: Allow system to be shut down without having to log on (Завершение работы: разрешить завершение работы системы без выполнения входа в систему.)Этот параметр безопасности определяет, можно ли завершить работу компьютера, не выполняя вход в систему Windows. Если эта политика включена, команду "Завершение работы" можно выбрать на экране входа в Windows. Если эта политика отключена, команда "Завершение работы" не отображается на экране входа в Windows. В этом случае, чтобы завершить работу системы, пользователю необходимо успешно выполнить вход в систему и он должен иметь право на завершение работы системы.Disabled (Отключен)
Shutdown: Clear virtual memory pagefile (Завершение работы: очистка файла подкачки виртуальной памяти)Этот параметр безопасности определяет, будет ли выполняться очистка файла подкачки виртуальной памяти при завершении работы системы. Поддержка виртуальной памяти использует файл подкачки системы для выгрузки страниц памяти на диск, когда они не используются. Во время работы системы файл подкачки открыт операционной системой в монопольном режиме и хорошо защищен. Однако если система настроена так, что допускает загрузку других операционных систем, необходимо убедиться, что при завершении работы системы выполняется очистка ее файла подкачки. Это гарантирует, что уязвимые сведения из памяти процессов, которые могли попасть в файл подкачки, не станут доступны пользователям, получившим прямой несанкционированный доступ к этому файлу. Если эта политика включена, при корректном завершении работы системы выполняется очистка файла подкачки системы. Если этот параметр безопасности включен, также выполняется обнуление файла режима гибернации (hiberfil.sys), когда этот режим отключен.Enabled (Включен)

Параметры системы

(англ. — System Settings)

Описание политик
ПолитикаОписаниеЗначение
System settings: Optional subsystems (Параметры системы: необязательные подсистемы)Этот параметр безопасности определяет, какие дополнительные подсистемы могут быть запущены для поддержки приложений. С помощью этого параметра можно указать все подсистемы, которые необходимы для поддержки приложений в соответствии с требованиями среды.Не определено
System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies (Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ)Этот параметр безопасности определяет, выполняется ли обработка цифровых сертификатов, когда пользователь или процесс пытается запустить программу с расширением имени файла EXE. Он позволяет включить или отключить правила сертификатов — тип правил политик ограниченного использования программ. С помощью таких политик вы можете создать правило сертификатов, которое разрешает или запрещает запуск программы, подписанной с помощью Authenticode, в зависимости от того, какой цифровой сертификат ей соответствует. Чтобы применить правила сертификатов, необходимо включить данный параметр безопасности. Если правила сертификатов включены, политики ограниченного использования программ проверяют список отзыва сертификатов (CRL), чтобы убедиться, что сертификат и подпись программы действительны. Это может привести к снижению производительности при запуске подписанных программ. Вы можете отключить эту функцию. В окне свойств доверенного издателя снимите флажки "Издатель" и "Отметка времени". Дополнительные сведения см. в разделе "Задание параметров доверенного издателя".Enabled (Включен)

Контроль учетных записей

(англ. — User Account Control)

Описание политик
ПолитикаОписаниеЗначение
User Account Control: Admin Approval Mode for the Built-in Administrator account (Контроль учетных записей: режим одобрения администратором для встроенной учетной записи администратора)Этот параметр политики определяет характеристики режима одобрения администратором для встроенной учетной записи администратора. Возможные значения Включено. Для встроенной учетной записи администратора используется режим одобрения администратором. По умолчанию любая операция, требующая повышения привилегий, предлагает пользователю подтвердить операцию. Отключено (по умолчанию). Встроенная учетная запись администратора выполняет все приложения с полными привилегиями администратора.Enabled (Включен)
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop (Контроль учетных записей: разрешать UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол.)Этот параметр политики определяет, могут ли UIAccess-приложения (UIA-программы) автоматически отключать безопасный рабочий стол для запросов на повышение, используемых обычным пользователем. Включено. UIA-программы, в том числе удаленный помощник Windows, автоматически отключают безопасный рабочий стол для запросов на повышение прав. Если не отключен параметр политики "Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав", приглашение появится на интерактивном рабочем столе пользователя, а не на безопасном рабочем столе. Отключено (по умолчанию). Безопасный рабочий стол может быть отключен только пользователем интерактивного рабочего стола или путем отключения параметра политики "Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав".Disabled (Отключен)
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode (Контроль учетных записей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором)Этот параметр политики определяет поведение запроса на повышение привилегий для администраторов. Возможные значения Повышение без запроса. Позволяет привилегированным учетным записям выполнить операцию, требующую повышения привилегий, без подтверждения согласия или ввода учетных данных. Примечание. Этот вариант должен использоваться только в средах с максимальными ограничениями. Запрос учетных данных на безопасном рабочем столе. Для любой операции, требующей повышения привилегий, на безопасном рабочем столе выводится приглашение ввести имя и пароль привилегированного пользователя. Если вводятся привилегированные учетные данные, операция продолжается продолжена с максимальными доступными привилегиями пользователя. Запрос согласия на безопасном рабочем столе. Для любой операции, требующей повышения привилегий, на безопасном рабочем столе выводится приглашение выбрать: "Разрешить" или "Запретить". Если пользователь выбирает "Разрешить", операция продолжается с максимальными доступными привилегиями пользователя. Запрос учетных данных. Для любой операции, требующей повышения привилегий, выводится приглашение ввести имя пользователя и пароль учетной записи администратора. Если вводятся допустимые учетные данные, операция продолжается с соответствующими привилегиями. Запрос согласия. Для любой операции, требующей повышения привилегий, пользователю предлагается выбрать: "Разрешить" или "Запретить". Если пользователь выбирает "Разрешить", операция продолжается с максимальными доступными привилегиями пользователя. Запрос согласия для сторонних двоичных файлов (не Windows) (по умолчанию). Когда операция для приложения стороннего (не Майкрософт) производителя требует повышения привилегий, на безопасном рабочем столе выводится приглашение выбрать: "Разрешить" или "Запретить". Если пользователь выбирает "Разрешить", операция продолжается с максимальными доступными привилегиями пользователя.Prompt for consent for non-Windows binaries (Запрос согласия для исполняемых файлов, отличных от Windows)
User Account Control: Behavior of the elevation prompt for standard users (Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей)Этот параметр политики определяет поведение запроса на повышение привилегий для обычных пользователей. Возможные значения Запрос учетных данных (по умолчанию). Когда операция требует повышения привилегий, выводится приглашение ввести имя пользователя и пароль учетной записи пользователя с привилегиями администратора. Если пользователь вводит действительные учетные данные, операция продолжается с соответствующими привилегиями. Автоматическое отклонение запросов на повышение привилегий. Когда операция требует повышения привилегий, отображается сообщение об ошибке отказа в доступе. Организации, настольные компьютеры которых используются обычными пользователями, могут выбрать этот параметр политики для уменьшения числа обращений в службу поддержки. Запрос учетных данных на безопасном рабочем столе. Когда операция требует повышения привилегий, на безопасном рабочем столе выводится приглашение ввести имя и пароль другого пользователя. Если пользователь вводит допустимые учетные данные, операция продолжается с соответствующими привилегиями.Prompt for credentials on the secure desktop (Запрос учетных данных на безопасном рабочем столе)
User Account Control: Only elevate UIAccess applications that are installed in secure locations (Контроль учетных записей: повышать права для UIAccess-приложений, только при установке в безопасных местах)Контроль учетных записей: повышать права только для UIAccess-приложений, установленных в безопасном местоположении Этот параметр политики управляет тем, должны ли приложения, запрашивающие выполнение на уровне целостности UIAccess, находиться в безопасной папке файловой системы. Безопасными считаются только следующие папки: …\Program Files\, включая вложенные папки …\Windows\system32\ …\Program Files (x86)\, включая вложенные папки для 64-разрядных версий Windows Примечание. Windows принудительно проводит обязательную проверку подписей PKI для любого интерактивного приложения, запрашивающего выполнение на уровне целостности UIAccess, вне зависимости от состояния данного параметра безопасности. Возможные значения. Включено (по умолчанию). Приложение будет запускаться с уровнем целостности UIAccess только в том случае, если оно находится в безопасной папке файловой системы. Отключено. Приложение будет запускаться с уровнем целостности UIAccess, даже если оно не находится в безопасной папке файловой системы.Enabled (Включен)
User Account Control: Run all administrators in Admin Approval Mode (Контроль учетных записей: все администраторы работают в режиме одобрения администратором)Этот параметр политики определяет характеристики всех политик контроля учетных записей для компьютера. При изменении этого параметра политики необходимо перезагрузить компьютер. Возможные значения Включено (по умолчанию). Режим одобрения администратором включен. Чтобы разрешить встроенной учетной записи администратора и всем остальным пользователям, являющимся участниками группы "Администраторы", работать в режиме одобрения администратором, эта политика должна быть включена, а все связанные политики управления учетными записями также должны быть установлены соответствующим образом. Отключено. Режим одобрения администратором и все соответствующие параметры политики контроля учетных записей будут отключены. Примечание. Если этот параметр политики отключен, центр обеспечения безопасности выдаст уведомление, что общая безопасность операционной системы снизилась.Enabled (Включен)
User Account Control: Switch to the secure desktop when prompting for elevation (Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав)Этот параметр политики определяет, будут ли запросы на повышение прав выводиться на интерактивный рабочий стол пользователя или на безопасный рабочий стол. Возможные значения. Включено (по умолчанию). Все запросы на повышение прав выводятся на безопасный рабочий стол независимо от параметров политики поведения приглашения для администраторов и обычных пользователей. Отключено: все запросы на повышение прав выводятся на интерактивный рабочий стол пользователя. Используются параметры политики поведения приглашения для администраторов и обычных пользователей.Enabled (Включен)
User Account Control: Virtualize file and registry write failures to per-user locations (Контроль учетных записей: при сбоях записи в файл или реестр виртуализация в размещение пользователя)Этот параметр политики управляет перенаправлением сбоев записи приложений в определенные расположения в реестре и файловой системе. Этот параметр политики позволяет уменьшить опасность приложений, которые выполняются от имени администратора и во время выполнения записывают данные в папку %ProgramFiles%, %Windir%; %Windir%\system32 или HKLM\Software... Возможные значения. Включено (по умолчанию). Сбои записи приложений перенаправляются во время выполнения в определенные пользователем расположения в файловой системе и реестре. Отключено. Выполнение приложений, записывающих данные в безопасные расположения, заканчивается ошибкой.Enabled (Включен)

Прочие

(англ. — Other)

Описание политик
ПолитикаОписаниеЗначение
Accounts: Block Microsoft accounts (Учетные записи: блокировать учетные записи Майкрософт)Этот параметр политики не позволяет пользователям добавлять новые учетные записи Майкрософт на данном компьютере. Если выбрать вариант "Пользователи не могут добавлять учетные записи Майкрософт", пользователи не смогут создавать новые учетные записи Майкрософт на этом компьютере, преобразовывать локальные учетные записи в учетные записи Майкрософт, а также подключать учетные записи домена к учетным записям Майкрософт. Этот вариант предпочтителен, если требуется ограничить число используемых учетных записей Майкрософт в организации. Если выбрать вариант "Пользователи не могут добавлять учетные записи Майкрософт и использовать их для входа", существующие пользователи учетных записей Майкрософт не смогут войти в систему Windows. Выбор этого параметра может сделать вход в систему и управление ею недоступным для существующего администратора на данном компьютере. Если эта политика отключена или не настроена (рекомендуется), пользователи смогут использовать учетные записи Майкрософт в Windows.Users can't add Microsoft accounts (Пользователи не могут добавлять учетные записи Майкрософт)
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings (Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (ОС Windows Vista или более поздние версии).)ОС Windows Vista и более поздние версии Windows позволяют точнее управлять политикой аудита при помощи подкатегорий политики аудита. Установка политики аудита на уровне категории переопределит новую функцию политики аудита подкатегории. Чтобы обеспечить управление политикой аудита при помощи подкатегорий без необходимости изменения групповой политики, в Windows Vista и более поздних версиях предусмотрено новое значение реестра (SCENoApplyLegacyAuditPolicy), запрещающее применение политики аудита уровня категории из групповой политики и из средства администрирования "Локальная политика безопасности". Если установленная здесь политика аудита уровня категории не согласуется с формируемыми событиями, то причина может быть в том, что установлен этот раздел реестра.Enabled (Включен)
Domain member: Disable machine account password changes (Член домена: отключить изменение пароля учетных записей компьютера)Определяет, производится ли периодическое изменение пароля учетной записи компьютера члена домена. При включении этого параметра член домена не пытается изменить пароль учетной записи компьютера. Если этот параметр отключен, член домена пытается изменить пароль учетной записи компьютера согласно значению параметра "Член домена: максимальный срок действия пароля учетной записи компьютера", имеющего по умолчанию значение "каждые 30 дней". По умолчанию: Отключено. Примечания Не следует включать этот параметр безопасности. Пароли учетных записей используются для установления безопасных каналов связи между членами домена и контроллерами домена, а также между самими контроллерами внутри домена. После установления связи безопасный канал используется для передачи конфиденциальных данных, необходимых для выполнения проверки подлинности и авторизации. Этот параметр не следует использовать для поддержки сценариев двойной загрузки, использующих одну и ту же учетную запись компьютера. Для двойной загрузки двух установок, объединенных в одном домене, присвойте этим установкам разные имена компьютеров.Disabled (Отключен)
Domain member: Maximum machine account password age (Член домена: максимальный срок действия пароля учетных записей компьютера)Этот параметр безопасности определяет, как часто член домена будет пытаться изменить пароль учетной записи компьютера.30 дней
Domain member: Require strong (Windows 2000 or later) session key (Член домена: требовать стойкий сеансовый ключ (Windows 2000 или выше))Этот параметр безопасности определяет, требуется ли для зашифрованных данных безопасного канала 128-разрядный ключ. При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске системы для создания безопасного канала с контроллером домена используется пароль учетной записи компьютера. Этот безопасный канал используется для совершения таких операций, как сквозная проверка подлинности NTLM, поиск имени или ИД безопасности LSA и т. д. В зависимости от версии Windows, используемой на контроллере домена, с которым осуществляется соединение, а также от значений параметров: Член домена: всегда требуется цифровая подпись или шифрование данных безопасного канала Член домена: шифровать данные безопасного канала, когда это возможно Будут зашифрованы все или некоторые данные, передаваемые по безопасному каналу. Этот параметр политики определяет, требуется ли для зашифрованных данных безопасного канала 128-разрядный ключ. Если этот параметр включен, безопасное соединение будет установлено только в том случае, если возможно 128-разрядное шифрование. Если этот параметр отключен, стойкость ключа согласуется с контроллером домена.Enabled (Включен)
Interactive logon: Display user information when the session is locked (Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован.)Этот параметр определяет, будут ли такие дополнительные сведения, как адрес электронной почты или домен/имя пользователя, отображаться вместе с именем пользователя на экране входа в систему. У клиентов, использующих Windows 10 версий 1511 и 1507 (RTM), этот параметр работает так же, как и в предыдущих версиях Windows. Ввиду добавления нового параметра конфиденциальности в Windows 10 версии 1607 этот параметр применяется к таким клиентам иначе. Изменения в Windows 10 версии 1607 Начиная с версии 1607 в Windows 10 имеется новая функциональная возможность, благодаря которой можно по умолчанию скрывать такие сведения пользователя, как адрес электронной почты, и изменять стандартные настройки, чтобы эти сведения отображались. Настроить данную функциональную возможность можно с помощью нового параметра конфиденциальности в разделе «Параметры» > «Учетные записи» > «Параметры входа». По умолчанию параметр конфиденциальности выключен, а дополнительные сведения пользователя скрыты. Данный параметр групповой политики определяет эту же функциональную возможность. Данному параметру можно присваивать следующие значения: Выводимое имя пользователя, имена домена и пользователя: в случае осуществления локального входа отображается полное имя пользователя. Если пользователь входит через учетную запись Майкрософт, отображается адрес электронной почты пользователя. В случае входа в домен отображается домен/имя_пользователя. Только имя пользователя: отображается полное имя пользователя, заблокировавшего сеанс. Не отображать сведения о пользователе: никакие имена не отображаются, однако во всех версиях Windows старше Windows 10 на экране смены пользователя будут отображаться полные имена пользователей. Начиная с версии 1607 Windows 10, эта функция не поддерживается. Если выбрано данное значение, на экране будет отображаться полное имя пользователя, заблокировавшего сеанс. Данное изменение обеспечивает соответствие этого параметра новому параметру конфиденциальности. Чтобы на экране не отображалось никакой информации о пользователе, включите параметр групповой политики "Интерактивный вход": не отображать данные пользователя, последним входившим в систему. Пусто: стандартное значение. Означает «Не определено», однако на экране будет отображаться полное имя пользователя точно так же, как и при выборе значения «Только имя пользователя». Исправление для Windows 10 версии 1607 В случае использования Windows 10 версии 1607 данные пользователя не будут отображаться на экране входа в систему, даже если выбрано значение «Выводимое имя пользователя, имена домена и пользователя», поскольку отключен параметр конфиденциальности. Если включить этот параметр, данные появятся на экране. Групповое изменение настроек параметра конфиденциальности невозможно. Вместо этого можно применить KB4013429 к клиентам с Windows 10 версии 1607, чтобы система действовала аналогично предыдущим версиям Windows. Взаимодействие с командой «Запретить пользователю отображать данные учетной записи на экране входа» Во всех версиях Windows 10 по умолчанию отображается только имя пользователя. Если задано значение «Запретить пользователю отображать данные учетной записи на экране входа», на экране входа будет отображаться только выводимое имя пользователя независимо от настроек групповой политики. Пользователи не смогут выводить на экран свои сведения. Если значение «Запретить пользователю отображать данные учетной записи на экране входа» не задано, можно задать для параметра «Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован» значение «Выводимое имя пользователя, имена домена и пользователя », чтобы на экране входа в систему отображались такие дополнительные сведения пользователя, как домен\имя пользователя. В этом случае на клиентских компьютерах с Windows 10 версии 1607 необходимо применить KB4013429. Пользователи не смогут скрыть дополнительные сведения. Рекомендации Возможности применения этой политики зависят от ваших требований безопасности в отношении отображаемых учетных данных для входа. Если вы работаете с компьютерами, на которых хранится конфиденциальная информация, а мониторы находятся в незащищенных местах, либо если к вашим компьютерам с конфиденциальной информацией имеется удаленный доступ, то отображение полных имен вошедших в систему пользователей или имен учетной записи домена может противоречить вашей общей политике безопасности. С учетом вашей политики безопасности может быть целесообразным установление значения «Интерактивный вход в систему: не отображать учетные данные последнего пользователя».User display name only (Только имя пользователя)
Interactive logon: Machine account lockout threshold (Интерактивный вход в систему: пороговое число неудачных попыток входа)Этот параметр безопасности определяет количество неудачных попыток входа в систему, после которого компьютер перезагружается. Компьютеры, на которых для защиты томов ОС включена функция Bitlocker, будут заблокированы. Для снятия блокировки необходимо указать в консоли ключ восстановления. Убедитесь, что включены соответствующие политики восстановления доступа. Количество неудачных попыток доступа может быть задано числом от 1 до 999. Если установить это значение равным 0, компьютер никогда не будет блокироваться. Значения от 1 до 3 будут интерпретированы как 4. Неудачные попытки ввода паролей на рабочих станциях или рядовых серверах, заблокированных с помощью клавиш CTRL+ALT+DEL или с помощью защищенных паролем заставок, считаются неудачными попытками входа в систему.5 invalid logon attempts (5 до блокировки учетной записи компьютера)
Microsoft network server: Amount of idle time required before suspending session (Сервер сети Microsoft: время бездействия до приостановки сеанса)Этот параметр безопасности определяет продолжительность отрезка времени SMB-сеанса до его приостановки по причине неактивности. Администраторы могут использовать этот параметр для управления временем приостановки неактивного SMB-сеанса компьютером. Если клиентская активность возобновляется, сеанс автоматически устанавливается заново. Для этого параметра значение "0" означает отсоединение сеанса сразу, как только это представится возможным. Максимальное значение - 99999, что составляет 208 дней; в действительности такое значение отключает этот параметр. По умолчанию: параметр не определен; это означает, что система рассматривает параметр как имеющий значение "15" для серверов и неопределенное значение для рабочих станций.15 минут
Microsoft network server: Attempt S4U2Self to obtain claim information (Сетевой сервер (Майкрософт): попытка S4U2Self получить информацию об утверждении)Этот параметр безопасности предназначен для поддержки клиентов с системами, выпущенными до Windows 8, которые пытаются получить доступ к общему файловому ресурсу, требующему заявку пользователя. Он определяет, будет ли локальный файловый сервер пытаться использовать функцию Kerberos Service-For-User-To-Self (S4U2Self) для получения заявок субъекта клиента сети из домена учетной записи клиента. Этот параметр необходимо включать только в том случае, если файловый сервер использует заявки пользователей для управления доступом к файлам и если он будет поддерживать субъекты клиентов, учетные записи которых находятся в домене с клиентскими компьютерами и контроллерами домена под управлением операционной системы, выпущенной до Windows 8. Для этого параметра нужно задать значение "Автоматически" (используется по умолчанию), чтобы файловый сервер мог автоматически определять, требуется ли для пользователя заявка. Для этого параметра нужно явно задавать значение "Включено" только в том случае, если есть политики доступа к локальным файлам, включающие заявки пользователей на доступ. Если этот параметр безопасности включен, файловый сервер Windows будет анализировать маркер доступа субъекта сетевого клиента, прошедшего проверку подлинности, и определять, присутствует ли информация о заявке. Если заявок нет, файловый сервер будет использовать функцию Kerberos S4U2Self для связи с контроллером домена Windows Server 2012 в домене учетной записи клиента и получения маркера доступа, поддерживающего заявки, для субъекта клиента. Маркер, поддерживающий заявки на доступ, может потребоваться для доступа к файлам и папкам, к которым применена политика управления доступом на основе заявок. Если этот параметр отключен, файловый сервер Windows не будет пытаться получить маркер доступа на основе заявок для субъекта клиента.Disabled (Отключено)
Microsoft network server: Disconnect clients when logon hours expire (Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа)Этот параметр безопасности определяет, будут ли отключаться пользователи, подключенные к локальному компьютеру, по истечении разрешенного времени входа, заданного для их учетной записи. Этот параметр влияет на компонент протокола SMB. Если этот параметр включен, по истечении разрешенного времени входа клиента сеансы клиента со службой SMB принудительно разрываются. Если этот параметр отключен, по истечении разрешенного времени входа клиента его сеанс сохраняется.Enabled (Включен)
Microsoft network server: Server SPN target name validation level (Сетевой сервер (Майкрософт): уровень проверки сервером имени участника-службы конечного объекта)Этот параметр политики управляет уровнем проверки, выполняемой компьютером с общими папками или принтерами (сервером) над именем субъекта-службы, предоставляемым клиентским компьютером при установлении последним сеанса с помощью протокола SMB. Протокол SMB предоставляет основу для совместного доступа к файлам и принтерам, а также для других сетевых операций, например для удаленного администрирования Windows. Протокол SMB поддерживает проверку имени субъекта-службы SMB-сервера в большом двоичном объекте, предоставляемом SMB-клиентом, для предотвращения класса атак против SMB-серверов, называемых атаками с перехватами. Этот параметр влияет на SMB1 и SMB2. Этот параметр безопасности определяет уровень проверки, выполняемой SMB-сервером над именем субъекта-службы, предоставляемым SMB-клиентом при установлении последним сеанса с SMB-сервером. Параметры: Откл. - имя субъекта-службы SMB-клиента не требуется (не проверяется) SMB-сервером. Принимать, если предоставлено клиентом - SMB-сервер принимает и проверяет имя субъекта-службы, предоставляемое SMB-клиентом, и разрешает сеанс, если оно совпадает со списком имен субъектов-служб SMB-сервера. Если имя НЕ совпадает, то сеанс для SMB-клиента отклоняется. Требовать от клиента - SMB-клиент ДОЛЖЕН отправить имя субъекта-службы при настройке сеанса, а указанное имя ДОЛЖНО совпадать с SMB-сервером, на который отправлен запрос на подключение. Если имя субъекта-службы не указано клиентом или оно не совпадает, сеанс отклоняется.Off (Откл.)
Recovery console: Allow automatic administrative logon (Консоль восстановления: разрешить автоматический вход администратора)Этот параметр безопасности определяет, нужно ли указывать пароль учетной записи "Администратор" для получения доступа к системе. Если этот параметр включен, консоль восстановления не требует ввода пароля, позволяя выполнять вход в систему автоматически.Disabled (Отключен)
Recovery console: Allow floppy copy and access to all drives and all folders (Консоль восстановления: разрешить копирование дискет и доступ ко всем дискам и папкам.)При включении этого параметра безопасности становится доступной команда SET консоли восстановления, которая позволяет задать следующие переменные среды консоли восстановления. AllowWildCards: позволяет использовать подстановочные знаки для некоторых команд (например, для команды DEL). AllowAllPaths: разрешает доступ к любым файлам и папкам компьютера. AllowRemovableMedia: позволяет копировать файлы на съемные носители, например на дискеты. NoCopyPrompt: отменяет выдачу предупреждения при перезаписи существующих файлов.Disabled (Отключен)

Журнал событий

Путь: Конфигурация компьютераПолитики → Конфигурация Windows → Параметры безопасностиЖурнал событий

(англ. — Computer ConfigurationPoliciesWindows SettingsSecurity SettingsEvent Log)

Описание политик
ПолитикаОписаниеЗначение
Maximum application log size (Максимальный размер журнала приложений)Этот параметр безопасности определяет максимальный размер журнала событий приложений (не более 4 ГБ). На практике используется более низкое ограничение (примерно, 300 МБ). Примечания Размеры файлов журнала должны быть кратны 64 КБ. Если введено значение не кратное 64 КБ, средство просмотра событий установит размер файла журнала, кратный 64 КБ. Этот параметр отсутствует в объекте локальной политики компьютера. Размер файла и способ перезаписи событий в журнале необходимо указывать в соответствии с бизнес-требованиями и требованиями безопасности, определенными при разработке плана безопасности предприятия. Можно реализовать эти параметры журнала событий на уровне сайта, домена или подразделения, чтобы использовать преимущества параметров групповой политики.100032 КБ
Maximum security log size (Максимальный размер журнала безопасности)Этот параметр безопасности определяет максимальный размер журнала событий безопасности (не более 4 ГБ). На практике используется более низкое ограничение (примерно, 300 МБ).100032 КБ
Maximum system log size (Максимальный размер системного журнала)Этот параметр безопасности определяет максимальный размер журнала событий системы (не более 4 ГБ). На практике используется более низкое ограничение (примерно, 300 МБ).100032 КБ
Prevent local guests group from accessing application log (Запретить доступ локальной группы гостей к журналу приложений)Этот параметр безопасности определяет, запрещен ли гостям доступ к журналу событий приложений. Примечания Этот параметр отсутствует в объекте локальной политики компьютера.Enabled (Включен)
Prevent local guests group from accessing security log (Запретить доступ локальной группы гостей к журналу безопасности)Этот параметр безопасности определяет, запрещен ли гостям доступ к журналу событий безопасности. Примечания Этот параметр отсутствует в объекте локальной политики компьютерEnabled (Включен)
Prevent local guests group from accessing system log (Запретить доступ локальной группы гостей к журналу системы)Этот параметр безопасности определяет, запрещен ли гостям доступ к журналу событий системы. Примечания Этот параметр отсутствует в объекте локальной политики компьютера.Enabled (Включен)
Retention method for application log (Метод сохранения событий в журнале приложений)Этот параметр безопасности определяет способ перезаписи журнала приложений. Если архивирование журнала приложений не выполняется, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите значение "Переписывать события при необходимости". Если архивирование журнала выполняется через заданные промежутки времени, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите значение "Затирать старые события по дням" и укажите нужное число дней с помощью параметра "Сохранение событий в журнале приложений". Убедитесь в том, что максимальный размер журнала приложений достаточно велик, чтобы он не был достигнут в течение этого промежутка времени. Если необходимо сохранять в журнале все события, установите в диалоговом окне "Свойства" этой политики флажок "Определить этот параметр политики", а затем выберите значение "Не переписывать события (очистить журнал вручную)". При выборе этого варианта журнал необходимо очищать вручную. В этом случае после достижения максимального размера журнала новые события отклоняются. Примечание. Этот параметр отсутствует в объекте локальной политики компьютера.As needed (Затирать старые события по необходимости)
Retention method for security log (Метод сохранения событий в журнале безопасности)Этот параметр безопасности определяет способ перезаписи журнала безопасности. Примечания. Этот параметр отсутствует в объекте локальной политики компьютера. Чтобы получить доступ к журналу безопасности, пользователь должен обладать правом "Управление аудитом и журналом безопасности".As needed (Затирать старые события по необходимости)
Retention method for system log (Метод сохранение событий в системном журнале)Этот параметр безопасности определяет способ перезаписи журнала системы. Примечание. Этот параметр отсутствует в объекте локальной политики компьютера.As needed (Затирать старые события по необходимости)

Системные службы

Путь: Конфигурация компьютераПолитики → Конфигурация Windows → Параметры безопасностиСистемные службы

(англ. — Computer ConfigurationPoliciesWindows SettingsSecurity SettingsSystem Services)

Описание политик
Имя службы (Режим запуска службы)РазрешенияАудит
Routing and Remote Access (Startup Mode: Disabled) Маршрутизация и удаленный доступ (Режим запуска: запрещен)Не определеныНе определен
Special Administration Console Helper (Startup Mode: Disabled) Модуль поддержки специальной консоли администрирования (Режим запуска: запрещен)Не определеныНе определен
SNMP Trap (Startup Mode: Disabled) Ловушка SNMP (Режим запуска: запрещен)Не определеныНе определен
Telephony (Startup Mode: Disabled) Телефония (Режим запуска: запрещен)Не определеныНе определен
Windows Error Reporting Service (Startup Mode: Disabled) Служба регистрации ошибок Windows (Режим запуска: запрещен)Не определеныНе определен
WinHTTP Web Proxy Auto-Discovery Service (Startup Mode: Disabled) Служба автоматического обнаружения веб-прокси WinHTTP (Режим запуска: запрещен)Не определеныНе определен

Файловая система

Путь: Конфигурация компьютераПолитики → Конфигурация Windows → Параметры безопасностиФайловая система

(англ. — Computer ConfigurationPoliciesWindows SettingsSecurity SettingsFile System)

%SystemRoot%\System32\config

Описание настроек

Configure this file or folder then: Propagate inheritable permissions to all subfolders and files (Настроить разрешения для этого файла или папки, а затем: Распространить наследуемые разрешения на все подпапки и файлы)

Permissions (Разрешения)

Type (Тип)ЗначениеAccess (Доступ)Applies To (Применяется к)
Allow (Разрешить)ALL APPLICATION PACKAGES (ВСЕ ПАКЕТЫ ПРИЛОЖЕНИЙ)Read and Execute (Чтение и выполнение)This folder, subfolders and files (Для этой папки, вложенных папок и файлов)
Allow (Разрешить)CREATOR OWNER (СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ)Full Control (Полный доступ)Subfolders and files only (Только для вложенных папок и файлов)
Allow (Разрешить)NT AUTHORITY\SYSTEM (СИСТЕМА)Full Control (Полный доступ)This folder, subfolders and files (Для этой папки, вложенных папок и файлов)
Allow (Разрешить)BUILTIN\Administrators (Builtin\Администраторы)Full Control (Полный доступ)This folder, subfolders and files (Для этой папки, вложенных папок и файлов)

Inheritance disabled (Наследование отключено)

Auditing (Аудит)

Type (Тип)Principal (Субъект)Access (Доступ)Applies To (Применяется к)
Fail (Отказ)Everyone (Все)Traverse Folder/Execute File, List folder / Read data, Read attributes, Read extended attributes (Обзор папок/Выполнение файлов, Содержание папки / Чтение данных, Чтение атрибутов, Чтение дополнительных атрибутов)This folder, subfolders and files (Для этой папки, вложенных папок и файлов)
All (Все)Everyone (Все)Create files / Write data, Create folders / Append data, Write attributes, Write extended attributes, Delete subfolders and files, Delete, Change permissions, Take ownership (Создание файлов / Запись данных, Создание папок / Дозапись данных, Запись атрибутов, Запись дополнительных атрибутов, Удаление вложенных папок и файлов, Удаление, Смена разрешений, Смена владельца)This folder, subfolders and files (Для этой папки, вложенных папок и файлов)

Inheritance enabled (Наследование включено)

%SystemRoot%\System32\config\RegBack

Описание настроек

Configure this file or folder then: Propagate inheritable permissions to all subfolders and files (Настроить разрешения для этого файла или папки, а затем: Распространить наследуемые разрешения на все подпапки и файлы)

Permissions (Разрешения)

Type (Тип)Principal (Субъект)Access (Доступ)Applies To (Применяется к)
Allow (Разрешить)ALL APPLICATION PACKAGES (ВСЕ ПАКЕТЫ ПРИЛОЖЕНИЙ)Read and Execute (Чтение и выполнение)This folder, subfolders and files (Для этой папки, вложенных папок и файлов)
Allow (Разрешить)CREATOR OWNER (СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ)Full Control (Полный доступ)Subfolders and files only (Только для вложенных папок и файлов)
Allow (Разрешить)NT AUTHORITY\SYSTEM (СИСТЕМА)Full Control (Полный доступ)Subfolders and files only (Только для вложенных папок и файлов)
Allow (Разрешить)BUILTIN\Administrators (Builtin\Администраторы)Full Control (Полный доступ)Subfolders and files only (Только для вложенных папок и файлов)

Inheritance disabled (Наследование отключено)

Auditing (Аудит)

Type (Тип)Principal (Субъект)Access (Доступ)Applies To (Применяется к)
Fail (Отказ)Everyone (Все)Traverse Folder/Execute File, List folder / Read data, Read attributes, Read extended attributes (Обзор папок/Выполнение файлов, Содержание папки / Чтение данных, Чтение атрибутов, Чтение дополнительных атрибутов)This folder, subfolders and files (Для этой папки, вложенных папок и файлов)
All (Все)Everyone (Все)Create files / Write data, Create folders / Append data, Write attributes, Write extended attributes, Delete subfolders and files, Delete, Change permissions, Take ownership (Создание файлов / Запись данных, Создание папок / Дозапись данных, Запись атрибутов, Запись дополнительных атрибутов, Удаление вложенных папок и файлов, Удаление, Смена разрешений, Смена владельца)This folder, subfolders and files (Для этой папки, вложенных папок и файлов)

Inheritance enabled (Наследование включено)

Реестр

Путь: Конфигурация компьютераПолитики → Конфигурация Windows → Параметры безопасностиРеестр

(англ. — Computer ConfigurationPoliciesWindows SettingsSecurity SettingsRegistry)

MACHINE\SOFTWARE

Описание настроек

Configure this key then: Propagate inheritable permissions to all subkeys (Настроить этот раздел: Распространить наследуемые разрешения на все подразделы)

Permissions (Разрешения)

Type (Тип)Principal (Субъект)Access (Доступ)Applies To (Применяется к)
Allow (Разрешить)BUILTIN\Administrators (Builtin\Администраторы)Full Control (Полный доступ)This key and subkeys (Этот раздел и его подразделы)
Allow (Разрешить)CREATOR OWNER (СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ)Full Control (Полный доступ)Subkeys only (Только подразделы)
Allow (Разрешить)NT AUTHORITY\SYSTEM (СИСТЕМА)Full Control (Полный доступ)This key and subkeys (Этот раздел и его подразделы)
Allow (Разрешить)BUILTIN\Users (Builtin\Пользователи)Read (Чтение)This key and subkeys (Этот раздел и его подразделы)
Allow (Разрешить)ALL APPLICATION PACKAGES (ВСЕ ПАКЕТЫ ПРИЛОЖЕНИЙ)Read (Чтение)This key and subkeys (Этот раздел и его подразделы)

Inheritance disabled (Наследование отключено)

Auditing (Аудит)

Type (Тип)Principal (Субъект)Access (Доступ)Applies To (Применяется к)
All (Все)Everyone (Все)Create Subkey, Create Link, Delete, Read permissions, Change permissions (Создание подраздела, Создание связи, Удаление, Чтение разрешений, Смена разрешений)This key and subkeys (Этот раздел и его подразделы)
Success (Успех)Everyone (Все)Set Value (Задание значения)This key and subkeys (Этот раздел и его подразделы)

Inheritance enabled (Наследование включено)

MACHINE\SYSTEM

Описание настроек

Configure this key then: Propagate inheritable permissions to all subkeys (Настроить этот раздел: Распространить наследуемые разрешения на все подразделы)

Permissions (Разрешения)

Type (Тип)Principal (Субъект)Access (Доступ)Applies To (Применяется к)
Allow (Разрешить)BUILTIN\Administrators (Builtin\Администраторы)Full Control (Полный доступ)This key and subkeys (Этот раздел и его подразделы)
Allow (Разрешить)CREATOR OWNER (СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ)Full Control (Полный доступ)Subkeys only (Только подразделы)
Allow (Разрешить)NT AUTHORITY\SYSTEM (СИСТЕМА)Full Control (Полный доступ)This key and subkeys (Этот раздел и его подразделы)
Allow (Разрешить)BUILTIN\Users (Builtin\Пользователи)Read (Чтение)This key and subkeys (Этот раздел и его подразделы)
Allow (Разрешить)ALL APPLICATION PACKAGES (ВСЕ ПАКЕТЫ ПРИЛОЖЕНИЙ)Read (Чтение)This key and subkeys (Этот раздел и его подразделы)

Inheritance disabled (Наследование отключено)

Auditing (Аудит)

Type (Тип)Principal (Субъект)Access (Доступ)Applies To (Применяется к)
All (Все)Everyone (Все)Create Subkey, Create Link, Delete, Read permissions, Change permissions (Создание подраздела, Создание связи, Удаление, Чтение разрешений, Смена разрешений)This key and subkeys (Этот раздел и его подразделы)
Success (Успех)Everyone (Все)Set Value (Задание значения)This key and subkeys (Этот раздел и его подразделы)

Inheritance enabled (Наследование включено)

MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

Описание настроек

Configure this key then: Propagate inheritable permissions to all subkeys (Настроить этот раздел: Распространить наследуемые разрешения на все подразделы)

Permissions (Разрешения)

Type (Тип)Principal (Субъект)Access (Доступ)Applies To (Применяется к)
Allow (Разрешить)BUILTIN\Administrators (Builtin\Администраторы)Full Control (Полный доступ)This key and subkeys (Этот раздел и его подразделы)
Allow (Разрешить)CREATOR OWNER (СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ)Full Control (Полный доступ)Subkeys only (Только подразделы)
Allow (Разрешить)NT AUTHORITY\SYSTEM (СИСТЕМА)Full Control (Полный доступ)This key and subkeys (Этот раздел и его подразделы)
Allow (Разрешить)BUILTIN\Users (Builtin\Пользователи)Read (Чтение)This key and subkeys (Этот раздел и его подразделы)
Allow (Разрешить)ALL APPLICATION PACKAGES (ВСЕ ПАКЕТЫ ПРИЛОЖЕНИЙ)Read (Чтение)This key and subkeys (Этот раздел и его подразделы)

Inheritance disabled (Наследование отключено)

Auditing (Аудит)

No auditing specified (Не задан)

Конфигурация расширенной политики аудита

Путь: Конфигурация компьютераПолитики → Конфигурация Windows → Параметры безопасностиКонфигурация расширенной политики аудита

(англ. — Computer ConfigurationPoliciesWindows SettingsSecurity SettingsAdvanced Audit Configuration)

Вход учетной записи

(англ. — Account Logon)

Описание политик
ПолитикаОписаниеЗначение
Audit Credential Validation (Аудит проверки учетных данных)Этот параметр политики позволяет вести аудит событий, возникающих при проверке учетных данных для входа учетной записи пользователя. События этой подкатегории возникают только на компьютерах, заслуживающих доверия для этих учетных данных. Для учетных данных домена соответствующими полномочиями обладает контроллер домена. Для локальных учетных записей соответствующими полномочиями обладает локальный компьютер.Success, Failure (Успех, Отказ)
Audit Other Account Logon Events (Аудит других событий входа учетных записей)Другие события входа учетных записей Этот параметр политики позволяет вести аудит событий, возникающих при получении ответов на запросы о входе учетной записи пользователя в систему, не относящиеся к проверке учетных данных и не являющиеся билетами Kerberos.Success, Failure (Успех, Отказ)

Управление учетными записями

(англ. — Account Management)

Описание политик
ПолитикаОписаниеЗначение
Audit Application Group Management (Аудит управления группами приложений)Этот параметр политики позволяет вести аудит событий, возникающих при выполнении следующих изменений групп приложений: Создание, изменение или удаление группы приложений. Добавление или удаление члена в группе приложений.Success, Failure (Успех, Отказ)
Audit Computer Account Management (Аудит управления учетными записями компьютеров)Этот параметр политики позволяет вести аудит событий, возникающих при изменении учетных записей компьютеров, например, при их создании, изменении или удалении.Success, Failure (Успех, Отказ)
Audit Distribution Group Management (Аудит управления группами распространения)Этот параметр политики позволяет вести аудит событий, возникающих при выполнении следующих изменений групп распространения: Создание, изменение или удаление группы распространения. Добавление участника в группу распространения или удаление из нее. Изменение типа группы распространения. Примечание. События этой подкатегории регистрируются только на контроллерах домена.Success, Failure (Успех, Отказ)
Audit Other Account Management Events (Аудит других событий управления учетными записями)Этот параметр политики позволяет вести аудит событий, возникающих при выполнении других изменений учетных записей пользователя, не указанных в этой категории: Обращение к хэшу пароля для учетной записи пользователя. Эта операция обычно выполняется при миграции паролей с использованием средства управления Active Directory. Вызов API проверки политики паролей. Вызов этой функции может выполняться при атаках в тех случаях, когда вредоносное приложение проверяет политику, чтобы уменьшить число попыток во время словарной атаки. Изменения групповой политики домена по умолчанию по следующим путям групповой политики: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политики паролей Конфигурация компьютера\Параметры Windows\Параметры безопасности\Параметры учетных записей\Политика блокировки учетных записей Примечание. Событие аудита безопасности регистрируется в случае применения параметра политики. Во время изменения параметров события не регистрируются.Success, Failure (Успех, Отказ)
Audit Security Group Management (Аудит управления группами безопасности)Этот параметр политики позволяет вести аудит событий, возникающих при выполнении следующих изменений групп безопасности: Создание, изменение или удаление группы безопасности. Добавление участника в группу безопасности или удаление из нее. Изменение типа группы.Success, Failure (Успех, Отказ)
Audit User Account Management (Аудит управления учетными записями пользователей)Этот параметр политики позволяет вести аудит изменений, вносимых в учетные записи пользователей. Отслеживаются следующие события: Создание, изменение, удаление, переименование, отключение, включение, блокировка и снятие блокировки учетных записей. Установка или изменение пароля учетной записи пользователя. Добавление идентификатора безопасности (SID) к журналу SID учетной записи пользователя. Установка пароля для режима восстановления служб каталогов. Изменение разрешений для учетных записей администраторов. Архивация или восстановление учетных данных диспетчера учетных данных.Success, Failure (Успех, Отказ)

Вход / Выход

(англ. — Logon / Logoff)

Описание политик
ПолитикаОписаниеЗначение
Audit Account Lockout (Аудит блокировки учетных записей)Этот параметр политики позволяет выполнять аудит событий, созданных при неудачной попытке входа в блокированную учетную запись. Если этот параметр политики настроен, то в случае, когда вход в компьютер с учетной записью невозможен из-за блокировки этой учетной записи, создается событие аудита. Успешные и неудачные события аудита регистрируются в соответствующих записях. События входа в систему важны для понимания действий пользователя и обнаружения возможных атак.Success, Failure (Успех, Отказ)
Audit Logoff (Аудит выхода из системы)Этот параметр политики позволяет вести аудит событий, возникающих при закрытии сеанса входа в систему. Эти события возникают на компьютере, к которому осуществлялся доступ. При интерактивном выходе из системы событие аудита безопасности возникает на компьютере, на который выполнен вход с использованием учетной записи пользователя. Если этот параметр политики настроен, событие аудита возникает при закрытии сеанса входа в систему. Успешные и неудачные попытки закрытия сеансов регистрируются в соответствующих записях. Если этот параметр политики не настроен, при закрытии сеанса входа в систему никакие события аудита не возникают.Success, Failure (Успех, Отказ)
Audit Logon (Аудит входа в систему)Этот параметр политики позволяет вести аудит событий, возникающих при попытке входа в систему с использованием учетной записи пользователя. События этой подкатегории связаны с созданием сеансов входа в систему и возникают на компьютере, к которому осуществляется доступ. При интерактивном входе в систему событие аудита безопасности возникает на компьютере, на котором выполнен вход с использованием учетной записи. При входе в сеть, например при обращении к общей папке в сети, событие аудита безопасности возникает на компьютере, на котором размещается ресурс. Отслеживаются следующие события: Успешные попытки входа в систему. Неудачные попытки входа в систему. Попытки входа в систему с использованием явно указанных учетных данных. Это событие возникает при попытке входа процесса в учетную запись с явным указанием соответствующих учетных данных. Обычно это событие возникает в конфигурациях пакетного входа в систему, например при выполнении запланированных задач или команд RUNAS. Запрет на вход в систему в результате фильтрации идентификаторов безопасности (SID).Success, Failure (Успех, Отказ)
Audit Network Policy Server (Аудит сервера политики сети)Этот параметр политики позволяет вести аудит событий, возникающих при выполнении запросов на доступ пользователей по протоколам RADIUS (IAS) и защиты доступа к сети (NAP). Отслеживаются запросы на предоставление, отказ, отзыв, помещение в карантин, блокировку и разблокировку. Если этот параметр политики настроен, событие аудита возникает для каждого запроса на доступ пользователей по протоколу IAS или NAP. Успешные и неудачные запросы на доступ пользователей регистрируются в соответствующих записях.Success, Failure (Успех, Отказ)
Audit Other Logon/Logoff Events (Аудит других событий входа и выхода)Этот параметр политики позволяет вести аудит других событий входа и выхода, которые не регулируются параметром политики "Вход/выход", например: Завершение сеансов служб терминалов. Создание новых сеансов служб терминалов. Блокировка и отмена блокировки рабочей станции. Вызов заставки. Отключение заставки. Обнаружение атаки Kerberos с повторением пакетов, при которой дважды отправляется запрос Kerberos с одинаковыми данными. Это состояние может быть связано с неправильными настройками сети. Предоставление доступа к беспроводной сети учетной записи пользователя или компьютера. Предоставление доступа к проводной сети 802.1x учетной записи пользователя или компьютера.Success, Failure (Успех, Отказ)
Audit Special Logon (Аудит специального входа)Этот параметр политики позволяет вести аудит событий, возникающих при выполнении таких операций специального входа, как следующие: Использование специального входа, то есть входа в систему с правами, аналогичными правам администратора, который может использоваться для повышения уровня процесса. Вход в систему участника специальной группы. При использовании специальных групп обеспечивается возникновение событий аудита при входе в сеть участника конкретной группы. В реестре можно настроить список идентификаторов безопасности (SID) группы. Событие регистрируется в том случае, если к токену добавлен один из заданных идентификаторов SID и включена эта подкатегория.Success, Failure (Успех, Отказ)

Доступ к объектам

(англ. — Object Access)

Описание политик
ПолитикаОписаниеЗначение
Audit Application Generated (Аудит событий, создаваемых приложениями)Этот параметр политики обеспечивает аудит приложений, которые вызывают события с использованием программных интерфейсов аудита Windows. Эта подкатегория используется для регистрации событий аудита, которые связаны с работой приложений, использующих программные интерфейсы аудита Windows. Отслеживаются следующие события этой подкатегории: Создание контекста клиента приложения. Удаление контекста клиента приложения. Инициализация контекста клиента приложения. Другие операции приложений с использованием программных интерфейсов аудита Windows.Success, Failure (Успех, Отказ)
Audit Certification Services (Аудит служб сертификации)Этот параметр политики обеспечивает аудит операций служб сертификации Active Directory (AD CS). К операциям AD CS относятся следующие: Запуск, завершение работы, резервное копирование и восстановление служб AD CS. Изменение списка отзыва сертификатов (CRL). Запросы новых сертификатов. Выдача сертификата. Отзыв сертификата. Изменение параметров диспетчера сертификатов для служб AD CS. Изменение конфигурации служб AD CS. Изменение шаблона служб сертификации. Импорт сертификата. Публикация сертификата центра сертификации в доменных службах Active Directory. Изменение разрешений безопасности для служб AD CS. Архивация ключа. Импорт ключа. Извлечение ключа. Запуск службы ответов OCSP. Остановка службы ответов OCSP.Success, Failure (Успех, Отказ)
Audit Detailed File Share (Аудит сведений об общем файловом ресурсе)Этот параметр политики позволяет вести аудит попыток доступа к файлам и папкам в общих папках. Параметр позволяет протоколировать события при любой попытке обращения к файлу или папке, в то время как параметр "Общие папки" записывает только одно событие для любого подключения, установленного между клиентом и общей папкой. В события аудита этого параметра включаются подробные сведения о разрешениях или других критериях предоставления или запрета доступа. Если этот параметр настроен, при попытке обращения к файлу или папке в общей папке возникает событие аудита. Администратор может включить выполнение аудита для успешного выполнения, отказа или того и другого. Примечание: Для общих папок не предусмотрены системные списки управления доступом (SACL). Если этот параметр политики включен, выполняется аудит доступа ко всем общим файлам и папкам системы.Failure (Отказ)
Audit File Share (Аудит общего файлового ресурса)Этот параметр политики позволяет вести аудит попыток доступа к общим папкам. Если этот параметр настроен, при попытке доступа к общей папке возникает событие аудита. Если этот параметр задан, администратор может указывать выполнение аудита только успешных выполнений, отказов или того и другого. Примечание. Для общих папок не предусмотрены системные списки управления доступом (SACL). Если этот параметр политики включен, осуществляется аудит доступа ко всем общим папкам в системе.Success, Failure (Успех, Отказ)
Audit File System (Аудит файловой системы)Этот параметр политики обеспечивает аудит попыток доступа к объектам файловой системы со стороны пользователей. События аудита безопасности возникают только для тех объектов, для которых заданы системные списки управления доступом (SACL), и только в том случае, если запрашивается тип доступа на запись, чтение или изменение и запрашивающая учетная запись соответствует параметрам, установленным в списке SACL. Примечание. Чтобы задать список SACL для объекта файловой системы, воспользуйтесь вкладкой "Безопасность" диалогового окна "Свойства" объекта.Success, Failure (Успех, Отказ)
Audit Kernel Object (Аудит объектов ядра)Этот параметр политики обеспечивает аудит попыток доступа к ядру с использованием мьютексов и семафоров. События аудита безопасности возникают только для объектов ядра с соответствующим системным списком управления доступом (SACL). Примечание. Аудит: установленные по умолчанию списки SACL для объектов ядра управляются параметром аудита доступа глобальных системных объектов.Success, Failure (Успех, Отказ)
Audit Registry (Аудит реестра)Этот параметр политики обеспечивает аудит попыток доступа к объектам реестра. События аудита безопасности возникают только для тех объектов, для которых заданы системные списки управления доступом (SACL), и только в том случае, если запрашивается тип доступа на чтение, запись или изменение и запрашивающая учетная запись соответствует параметрам, установленным в списке SACL. Примечание. Чтобы задать список SACL для объекта реестра, воспользуйтесь диалоговым окном "Разрешения".Success, Failure (Успех, Отказ)
Audit Removable Storage (Аудит съемного носителя)Этот параметр политики позволяет проводить аудит попыток доступа пользователей к объектам файловой системы на съемном запоминающем устройстве. Событие аудита системы безопасности генерируется только для всех объектов и всех запрошенных типов доступа.Success (Успех)
Audit SAM (Аудит диспетчера учетных записей безопасности)Этот параметр политики обеспечивает аудит событий, возникающих при попытке доступа к объектам диспетчера учетных записей безопасности (SAM). К объектам SAM относятся следующие: SAM_ALIAS - локальная группа. SAM_GROUP - группа, не являющаяся локальной. SAM_USER – учетная запись пользователя. SAM_DOMAIN – домен. SAM_SERVER – учетная запись компьютера. Примечание. Изменять можно только системный список управления доступом (SACL) для объекта SAM_SERVER.Success, Failure (Успех, Отказ)

Изменение политики

(англ. — Policy Change)

Описание политик
ПолитикаОписаниеЗначение
Audit Audit Policy Change (Аудит изменения политики аудита)Этот параметр политики позволяет вести аудит изменений параметров политики аудита безопасности, таких как следующие: Установка разрешений и параметров аудита для объекта политики аудита. Изменения в политике аудита системы. Регистрация источников событий безопасности. Отмена регистрации источников событий безопасности. Изменения параметров аудита для отдельных пользователей. Изменения значения параметра CrashOnAuditFail. Изменения системного списка управления доступом для объекта файловой системы или реестра. Изменения списка специальных групп. Примечание. Аудит изменений в системном списке управления доступом (SACL) выполняется при изменении списка SACL для объекта, если при этом включена категория изменений политики. Аудит изменений в списке управления доступом на уровне пользователей (DACL) и изменений владения осуществляется в том случае, если включен аудит доступа к объектам и для списка SACL объекта настроен аудит изменений списка DACL или владения.Success, Failure (Успех, Отказ)
Audit Authentication Policy Change (Аудит изменения политики проверки подлинности)Этот параметр политики позволяет вести аудит событий, возникающих при выполнении изменений групп безопасности, таких как следующие: Создание отношений доверия для леса или домена. Изменение отношений доверия для леса или домена. Удаление отношений доверия для леса или домена. Изменения политики Kerberos по следующему пути: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика Kerberos. Предоставление пользователю или группе следующих прав: Доступ к компьютеру из сети. Локальный вход. Вход с использованием служб терминалов. Вход с использованием пакетного задания. Вход в службу. Конфликт пространств имен (например, если имя нового отношения доверия совпадает с именем существующего пространства имен). Примечание. Событие аудита безопасности регистрируется в случае применения параметра политики. Во время изменения параметров события не регистрируются.Success, Failure (Успех, Отказ)
Audit Authorization Policy Change (Аудит изменения политики авторизации)Этот параметр политики позволяет вести аудит событий, возникающих при выполнении изменений политики авторизации, таких как следующие: Назначение прав (привилегий) пользователей, например, SeCreateTokenPrivilege, которые не проходят аудит в подкатегории "Изменение политики проверки подлинности". Удаление прав (привилегий) пользователей, например, SeCreateTokenPrivilege, которые не проходят аудит в подкатегории "Изменение политики проверки подлинности". Изменения политики шифрованной файловой системы (EFS). Изменения атрибутов ресурса объекта. Изменения централизованной политики доступа (CAP), примененной к объекту.Success, Failure (Успех, Отказ)
Audit Filtering Platform Policy Change (Аудит изменения политики платформы фильтрации)Этот параметр политики позволяет вести аудит событий, возникающих при выполнении изменений платформы фильтрации Windows (WFP), таких как следующие: Состояние служб IPsec. Изменения параметров политики IPsec. Изменения параметров политики брандмауэра Windows. Изменения поставщиков и модуля WFP.Success, Failure (Успех, Отказ)
Audit MPSSVC Rule-Level Policy Change (Аудит изменения политики на уровне правил MPSSVC)Этот параметр политики позволяет вести аудит событий, возникающих при изменении правил политики, используемых службой защиты Майкрософт (MPSSVC). Эта служба используется брандмауэром Windows. Отслеживаются следующие события: Сообщения от активных политик при запуске службы брандмауэра Windows. Изменения правил брандмауэра Windows. Изменения в списке исключений брандмауэра Windows. Изменения параметров брандмауэра Windows. Пропуск или неприменение правил службой брандмауэра Windows. Изменения параметров групповой политики брандмауэра Windows.Success, Failure (Успех, Отказ)

Использование привилегий

(англ. — Privilege Use)

Описание политик
ПолитикаОписаниеЗначение
Audit Non Sensitive Privilege Use (Аудит использования привилегий, не затрагивающих конфиденциальные данные)Этот параметр политики обеспечивает аудит событий, возникающих при использовании привилегий, не затрагивающих конфиденциальные данные (права пользователя). Использование следующих привилегий не затрагивает конфиденциальные данные: Доступ к диспетчеру учетных данных от имени доверенного вызывающего. Доступ к компьютеру из сети. Добавление рабочих станций к домену. Настройка квот памяти для процесса. Локальный вход в систему. Вход в систему через службу терминалов. Обход перекрестной проверки. Изменение системного времени. Создание файла подкачки. Создание глобальных объектов. Создание постоянных общих объектов. Создание символических ссылок. Запрет на доступ к компьютеру из сети. Отказ во входе в качестве пакетного задания. Отказ во входе в качестве службы. Запрет на локальный вход. Запрет на вход в систему через службу терминалов. Принудительное удаленное завершение работы. Увеличение рабочего набора процесса. Увеличение приоритета выполнения. Блокировка страниц в памяти. Вход в качестве пакетного задания. Вход в качестве службы. Изменение метки объекта. Выполнение задач по обслуживанию томов. Профилирование одного процесса. Профилирование производительности системы. Отключение компьютера от стыковочного узла. Завершение работы системы. Синхронизация данных службы каталогов.Success, Failure (Успех, Отказ)
Audit Sensitive Privilege Use (Аудит использования привилегий, затрагивающих конфиденциальные данные)Этот параметр политики обеспечивает аудит событий, возникающих при использовании прав, затрагивающем конфиденциальные данные (пользовательских прав), следующим образом: Вызов привилегированной службы. Вызов одной из следующих привилегий: Действие от имени компонента операционной системы. Архивация файлов и каталогов. Создание объекта-токена. Отладка программ. Включение учетных записей компьютеров и пользователей, которым разрешено делегирование. Создание аудита безопасности. Олицетворение клиента после проверки подлинности. Загрузка и выгрузка драйверов устройств. Управление журналом аудита и безопасности. Изменение значения параметров аппаратной среды. Замена токена на уровне процесса. Восстановление файлов и каталогов. Смена владельца файла или другого объекта.Failure (Отказ)

Система

(англ. — System)

Описание политик
ПолитикаОписаниеЗначение
Audit Other System Events (Аудит других системных событий)Этот параметр политики позволяет вести аудит следующих событий: Запуск и завершение работы службы и драйвера брандмауэра Windows. Обработка политики безопасности службой брандмауэра Windows. Операции с файлами ключей шифрования и операции миграции.Success, Failure (Успех, Отказ)
Audit Security State Change (Аудит изменения состояния безопасности)Этот параметр политики позволяет вести аудит событий, возникающих при выполнении изменений состояния безопасности компьютера, таких как следующие: Запуск и завершение работы компьютера. Изменение системного времени. Восстановление системы при событии CrashOnAuditFail, которое регистрируется после перезапуска системы в том случае, если журнал событий заполнен и настроена запись реестра CrashOnAuditFail.Success, Failure (Успех, Отказ)
Audit Security System Extension (Аудит расширения системы безопасности)Этот параметр политики позволяет вести аудит событий, связанных с расширением системы безопасности, таких как следующие: Загрузка расширения системы безопасности, например, пакета проверки подлинности, уведомления или безопасности, и его регистрация в системе администратора локальной безопасности (LSA). Оно используется для проверки подлинности при попытке входа, отправки запросов на вход в систему, а также при любых изменениях учетных записей или паролей. Примерами расширений системы безопасности являются Kerberos и NTLM. Установка и регистрация службы в диспетчере управления службами. В журнале аудита регистрируются сведения об имени, двоичных файлах, типе, типе запуска и учетной записи службы.Success, Failure (Успех, Отказ)
Audit System Integrity (Аудит целостности системы)Этот параметр политики позволяет вести аудит событий, связанных с нарушениями целостности подсистемы безопасности, такими как следующие: События, которые не удается записать в журнал событий из-за ошибок системы аудита. Процессы, использующие недопустимый порт локального вызова процедур (LPC) для олицетворения клиента посредством ответа, чтения или записи в адресном пространстве клиента. Обнаружение удаленного вызова процедур (RPC), нарушающего целостность системы. Обнаружение недопустимого значения хэша исполняемого файла средством проверки целостности кода. Операции шифрования, нарушающие целостность системы.Success, Failure (Успех, Отказ)

Административные шаблоны

Путь: Конфигурация компьютераПолитики → Административные шаблоны

(англ. — Computer ConfigurationPoliciesAdministrative Templates)

Подключения

Раздел Компоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовПодключения

(англ. — Windows ComponentsRemote Desktop ServicesRemote Desktop Session HostConnections)

Описание политик
ПолитикаОписаниеЗначение
Automatic reconnection (Автоматическое переподключение)Определяет, разрешено ли клиентам подключений к удаленному рабочему столу автоматически восстанавливать подключение к сеансам на сервере узла сеансов удаленных рабочих столов при временной недоступности сетевого подключения. По умолчанию разрешается выполнить не более 20 попыток повторного подключения с интервалом в 5 секунд. Если установлено состояние «Включен», все клиенты, на которых выполняется подключение к удаленному рабочему столу, при недоступности сетевого подключения предпринимают попытки автоматического переподключения. Если установлено состояние «Отключен», автоматические переподключения клиентов запрещены. Если установлено состояние «Не задано», автоматическое переподключение на уровне групповой политики не определено. Тем не менее пользователи могут настроить автоматическое переподключение, установив флажок «Восстановить подключение при разрыве» на вкладке «Взаимодействие» в диалоговом окне «Подключение к удаленному рабочему столу».Disabled (Отключено)
Configure keep-alive connection interval (Настроить интервал проверяемых на активность подключений)Этот параметр политики позволяет ввести интервал проверки активности для подтверждения того, что состояние сеанса на сервере узла сеансов удаленных рабочих столов соответствует состоянию клиента. После того как клиент сервера узла сеансов удаленных рабочих столов теряет подключение к серверу узла сеансов удаленных рабочих столов, сеанс на этом сервере может оставаться активным, а не переходить в отключенное состояние, даже если клиент физически отключен от сервера узла сеансов удаленных рабочих столов. Если клиент вновь выполняет вход на тот же сервер узла сеансов удаленных рабочих столов, то может быть установлен новый сеанс (если сервер узла сеансов удаленных рабочих столов настроен так, что допускаются множественные сеансы) и первоначальный сеанс может все еще оставаться активным. Если этот параметр политики включен, то должен быть введен интервал проверки активности. Интервал проверки активности определяет, как часто (в минутах) сервер проверяет состояние сеанса. Диапазон допустимых значений — от 1 до 999 999. Если этот параметр политики отключен или не задан, то интервал проверки активности не установлен и сервер не проверяет состояние сеанса.Enabled Keep-Alive interval: 1 (Включено Интервал проверки активности: 1)
Set rules for remote control of Remote Desktop Services user sessions (Устанавливает правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов)Если вы включаете этот параметр политики, администраторы могут взаимодействовать с сеансом служб удаленных рабочих столов пользователя в соответствии с выбранным вариантом. Выберите желаемый уровень контроля и разрешений из списка вариантов: Удаленное управление не разрешено: запрещает администратору использовать удаленное управление или просматривать сеансы удаленных пользователей. Полный контроль с разрешения пользователя: разрешает администратору взаимодействовать с сеансом при условии согласия пользователя. Полный контроль без разрешения пользователя: разрешает администратору взаимодействовать с сеансом даже без согласия пользователя. Наблюдение за сеансом с разрешения пользователя: позволяет администратору просматривать сеанс удаленного пользователя с согласия пользователя. Наблюдение за сеансом без разрешения пользователя: позволяет администратору просматривать сеанс удаленного пользователя без согласия пользователя. Если вы отключаете этот параметр политики, администраторы могут взаимодействовать с сеансом служб удаленных рабочих столов пользователя, если пользователь даст на это согласие.Enabled Options: Full Control without user's permission (Включено Параметры: Полный контроль без разрешения пользователя)

Перенаправление устройств и ресурсов

Путь: Компоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовПеренаправление устройств и ресурсов

(англ. — Windows ComponentsRemote Desktop ServicesRemote Desktop Session HostDevice and Resource Redirection)

Описание политик
ПолитикаОписаниеЗначение
Do not allow COM port redirection (Не разрешать перенаправление COM-портов)Определяет, следует ли отключать перенаправление данных с удаленного компьютера на клиентские COM-порты в сеансах служб удаленных рабочих столов. Этот параметр политики можно использовать для того, чтобы запретить пользователям перенаправление данных на периферийные устройства, подключенные к COM-портам, или сопоставление локальных COM-портов при подключении к сеансу служб удаленных рабочих столов. По умолчанию службы удаленных рабочих столов разрешают перенаправление данных на COM-порты. Если вы включаете этот параметр политики, пользователи не могут перенаправлять данные сервера на COM-порты локальных компьютеров. Если вы отключаете этот параметр политики, перенаправление на COM-порты всегда разрешается службами удаленных рабочих столов. Если вы не настраиваете этот параметр политики, перенаправление на COM-порты на уровне групповой политики не определено.Enabled (Включено)
Do not allow LPT port redirection (Не разрешать перенаправление LPT-портов)Этот параметр политики определяет, требуется ли отключать перенаправление данных на клиентские LPT-порты в сеансах служб удаленных рабочих столов. Данный параметр политики можно использовать, чтобы запретить пользователям сопоставление локальных LPT-портов и перенаправление данных с удаленного компьютера на локальные периферийные устройства, подключенные к LPT-портам. По умолчанию службы удаленных рабочих столов разрешают перенаправление LPT-портов. Если вы включаете этот параметр политики, пользователи во время сеанса служб удаленных рабочих столов не могут перенаправлять данные сервера на локальные LPT-порты. Если вы отключаете этот параметр политики, перенаправление на LPT-порты всегда разрешено. Если вы не настраиваете этот параметр политики, перенаправление на LPT-порты на уровне групповой политики не определено.Enabled (Включено)
Do not allow supported Plug and Play device redirection (Не разрешать перенаправление поддерживаемых самонастраиваемых устройств)Этот параметр политики позволяет управлять перенаправлением поддерживаемых самонастраиваемых устройств, таких как устройства Windows Portable Device, на удаленный компьютер во время сеанса служб удаленных рабочих столов. По умолчанию службы удаленных рабочих столов разрешают перенаправление поддерживаемых самонастраиваемых устройств. Пользователи могут использовать настройку «Дополнительно» на вкладке «Локальные ресурсы» диалогового окна «Подключение к удаленному рабочему столу», чтобы выбрать поддерживаемые самонастраиваемые устройства для перенаправления на удаленный компьютер. Если вы включаете этот параметр политики, пользователи не могут перенаправлять поддерживаемые самонастраиваемые устройства на удаленный компьютер. Если вы отключаете или не настраиваете этот параметр политики, пользователи могут перенаправлять поддерживаемые самонастраиваемые устройства на удаленный компьютер. Примечание. При помощи параметров политики в папке «Конфигурация компьютера\Административные шаблоны\Система\Установка устройств\Ограничения на установку устройств» можно запретить перенаправление определенных типов поддерживаемых самонастраиваемых устройств.Enabled (Включено)

Среда удаленных сеансов

Путь: Компоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовСреда удаленных сеансов

(англ. — Windows ComponentsRemote Desktop ServicesRemote Desktop Session HostRemote Session Environment)

Описание политик
ПолитикаОписаниеЗначение
Remove "Disconnect" option from Shut Down dialog (Удалить элемент "Отключение сеанса" из диалога завершения работы)Этот параметр политики позволяет удалить элемент «Отключение сеанса» из диалогового окна «Завершение работы Windows» в сеансах служб удаленных рабочих столов. С помощью этого параметра политики можно запретить пользователям применять этот знакомый способ отключения клиентского компьютера от сервера узла сеансов удаленных рабочих столов. Если этот параметр политики включен, вариант «Отключение сеанса» не отображается в раскрывающемся списке в диалоговом окне «Завершение работы Windows». Если этот параметр политики отключен или не настроен, элемент «Отключение сеанса» не удаляется из списка в диалоговом окне «Завершение работы Windows». Примечание. Этот параметр политики влияет только на диалоговое окно «Завершение работы Windows». Он не запрещает пользователям применять другие методы для отключения от сеанса служб удаленных рабочих столов. Этот параметр политики также не запрещает отключение сеансов на сервере. Можно задать период времени, в течение которого отключенный сеанс будет оставаться активным на сервере, с помощью настройки параметра политики «Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Ограничения сеансов по времени\Задать ограничение по времени для отключенных сеансов».Enabled (Включено)
Remove Windows Security item from Start menu (Удалить элемент "Безопасность Windows" из меню "Пуск")Определяет, следует ли удалить элемент «Безопасность Windows» из меню «Параметры» на клиентах служб удаленных рабочих столов. Этот параметр политики можно использовать, чтобы не допустить отключения недостаточно опытных пользователей из служб удаленных рабочих столов по недосмотру. Если установлено состояние «Включено», то пункт «Безопасность Windows» не отображается в меню «Пуск». В результате для того, чтобы открыть диалоговое окно «Безопасность Windows» на клиентском компьютере, пользователь должен использовать специальное сочетание клавиш (CTRL+ALT+END). Если установлено состояние «Отключено» или «Не задано», то пункт «Безопасность Windows» остается в меню «Пуск».Enabled (Включено)

Безопасность

Путь: Компоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовБезопасность

(англ. — Windows ComponentsRemote Desktop ServicesRemote Desktop Session HostSecurity)

Описание политик
ПолитикаОписаниеЗначение
Require secure RPC communication (Требовать безопасное RPC-подключение)Указывает, требует ли сервер узла сеансов удаленных рабочих столов безопасные RPC-подключения от всех клиентов либо допускает небезопасные подключения. Этот параметр можно использовать для повышения безопасности клиентских RPC-подключений, разрешая только проверенные и зашифрованные запросы. Если состояние имеет значение «Включен», то службы удаленных рабочих столов принимают запросы только от RPC-клиентов, поддерживающих безопасные запросы, и не допускают небезопасные подключения недоверенных клиентов. Если состояние имеет значение «Отключен», то службы удаленных рабочих столов всегда запрашивают безопасную передачу всего RPC-трафика. Однако RPC-клиентам, не отвечающим на запрос, разрешается небезопасное подключение. Если состояние имеет значение «Не задан», допускаются небезопасные подключения. Примечание. Интерфейс RPC используется для администрирования и настройки служб удаленных рабочих столов.Enabled (Включено)
Set client connection encryption level (Установить уровень шифрования для клиентских подключений)тот параметр политики определяет, требуется ли особый уровень шифрования для безопасного взаимодействия между клиентскими компьютерами и серверами узла сеансов удаленных рабочих столов во время удаленных подключений по протоколу RDP. Если вы включаете этот параметр политики, все взаимодействия между клиентами и серверами узлов сеансов удаленных рабочих столов во время удаленных подключений должны использовать метод шифрования, заданный в этом параметре. По умолчанию задано значение уровня шифрования «Высокий». Поддерживаются следующие методы шифрования. Высокий. Значение «Высокий» означает, что данные, которыми обмениваются клиент и сервер, шифруются на основе стойкого 128-битного шифрования. Используйте этот уровень в средах, которые содержат только 128-битные клиенты (например, клиенты, использующие службу «Подключение к удаленному рабочему столу»). Клиенты, которые не поддерживают этот уровень шифрования, не могут подключиться к серверам узла сеансов удаленных рабочих столов. Совместимый с клиентским. Значение «Совместимый с клиентским» означает, что данные, которыми обмениваются клиент и сервер, шифруются с использованием ключа максимальной стойкости, поддерживаемой клиентом. Используйте этот уровень шифрования в средах с не поддерживающими 128-битное шифрование клиентами. Низкий. При значении «Низкий» с помощью 56-битного шифрования шифруются только данные, пересылаемые от клиента к серверу. Если параметр отключен или не задан, групповая политика не регламентирует уровень шифрования, используемый для удаленных подключений к серверам узла сеансов удаленных рабочих столов. Важно! Соответствие стандарту FIPS можно настроить через «Системные средства шифрования». Используйте FIPS-совместимые алгоритмы для параметров шифрования, хэширования и цифровой подписи в групповой политике (Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности). Параметр «FIPS-совместимый» обеспечивает шифрование и расшифровку данных, отправляемых от клиента к серверу и обратно, с помощью алгоритмов шифрования FIPS 140-1 (Federal Information Processing Standard), используя модули шифрования корпорации Майкрософт. Используйте этот уровень шифрования при взаимодействии между клиентами и серверами узла сеансов удаленных рабочих столов, которое требует наивысшего уровня шифрования.Enabled Encryption Level: High Level (Включено Уровень шифрования: Высокий уровень)

Ограничение сеансов по времени

Путь: Компоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовОграничение сеансов по времени

(англ. — Windows ComponentsRemote Desktop ServicesRemote Desktop Session HostSession Time Limits)

Описание политик
ПолитикаОписаниеЗначение
End session when time limits are reached (Завершать сеанс при достижении ограничения по времени)Этот параметр политики определяет, завершается ли сеанс служб удаленных рабочих столов по тайм-ауту вместо отключения. Вы можете использовать этот параметр для принудительного завершения сеанса служб удаленных рабочих столов (в этом случае осуществляется принудительный выход пользователя, а сведения о сеансе удаляются с сервера) по достижении предела ограничения активного или бездействующего сеанса. По умолчанию службы удаленных рабочих столов отключают сеансы по истечении указанного для них времени сеанса. Ограничения по времени устанавливаются администратором сервера локально или с помощью групповой политики. См. параметры политики «Задать ограничение по времени для активных сеансов служб удаленных рабочих столов» и «Задать ограничение по времени для активных, но бездействующих сеансов служб удаленных рабочих столов». Если вы включаете этот параметр политики, службы удаленных рабочих столов завершают все сеансы с истекшим временем ожидания. Если вы отключаете этот параметр политики, службы удаленных рабочих столов всегда отключают сеансы, прекращенные по тайм-ауту, даже если администратором сервера определено иное поведение для этого параметра политики. Если вы не настраиваете этот параметр политики, службы удаленных рабочих столов отключают сеансы, прекращенные по тайм-ауту, если иное не определено в локальных параметрах. Примечание. Этот параметр политики применяется только к явно определенным администратором ограничениям по времени ожидания. Этот параметр политики не применяется к событиям времени ожидания, которые определяются условиями сетевых подключений. Этот параметр доступен в папках «Конфигурация компьютера» и «Конфигурация пользователя». Если настроены оба параметра, то приоритет имеет параметр в папке «Конфигурация компьютера».Enabled (Включено)
Set time limit for disconnected sessions (Задать ограничение по времени для отключенных сеансов)Этот параметр политики позволяет настроить ограничение по времени для отключенных сеансов служб удаленных рабочих столов. С помощью этого параметра политики можно определить максимальный период времени, в течение которого отключенный сеанс остается активным на сервере. По умолчанию службы удаленных рабочих столов разрешают пользователям отключаться от сеанса служб удаленных рабочих столов без завершения этого сеанса и выхода из него. Когда сеанс находится в отключенном состоянии, выполнение запущенных программ продолжается, хотя пользователь не подключен. По умолчанию такие отключенные сеансы остаются открытыми на сервере неограниченное время. Если вы включаете этот параметр политики, отключенные сеансы удаляются с сервера по истечении указанного времени. Чтобы обеспечить поведение по умолчанию, согласно которому отключенные сеансы обслуживаются без ограничения времени, выберите «Никогда». Для консольного сеанса ограничения по времени к отключенным сеансам не применяются. Если вы отключаете или не настраиваете этот параметр политики, на уровне групповой политики он не определен. По умолчанию отключенные сеансы служб удаленных рабочих столов остаются незавершенными без ограничений по времени. Примечание. Этот параметр присутствует в папках «Конфигурация компьютера» и «Конфигурация пользователя». Если параметры политики заданы в обеих папках, то приоритет имеет параметр в папке «Конфигурация компьютера».Enabled End a disconnected session: 1 minute (Включено Завершение отключенного сеанса: 1 минута)

Временные папки

Путь: Компоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовВременные папки

(англ. — Windows ComponentsRemote Desktop ServicesRemote Desktop Session HostTemporary folders)

Описание политик
ПолитикаОписаниеЗначение
Do not delete temp folders upon exit (Не удалять временные папки при выходе)Этот параметр политики определяет, сохраняются ли временные папки служб удаленных рабочих столов после завершения сеансов. Этот параметр политики позволяет сохранять временные папки сеансов пользователей на удаленном компьютере даже после завершения сеанса. По умолчанию службы удаленных рабочих столов удаляют временные папки пользователей при выходе пользователя. Если вы включаете этот параметр политики, временные папки сеансов пользователей не удаляются после завершения сеансов. Если вы отключаете этот параметр политики, временные папки удаляются при завершении сеанса, даже если администратор сервера указал иначе. Если вы не настраиваете этот параметр политики, службы удаленных рабочих столов удаляют временные папки с удаленного компьютера при выходе из системы, если администратором сервера не определен другой режим. Примечание. Этот параметр имеет значение, только если на сервере используются временные папки сеансов. Если включен параметр политики «Не использовать временные папки для сеанса», то данный параметр ни на что не влияет.Disabled (Отключено)
Do not use temporary folders per session (Не использовать временные папки для сеанса)Данный параметр политики не позволяет службам удаленных рабочих столов создавать временные папки сеансов. С помощью этого параметра политики можно запретить создание на удаленном компьютере отдельных временных папок для каждого сеанса. По умолчанию службы удаленных рабочих столов создают отдельную временную папку для каждого активного сеанса пользователя на удаленном компьютере. Такие временные папки создаются на удаленном компьютере в папке Temp папки профиля пользователя и получают имя по коду сеанса. Если вы включаете этот параметр политики, временные папки сеансов не создаются. Вместо этого временные файлы пользователя для всех сеансов на удаленном компьютере хранятся в общей папке Temp папки профиля пользователя на удаленном компьютере. Если вы отключаете этот параметр политики, отдельные временные папки всегда создаются для каждого сеанса, даже если администратором сервера определен другой режим. Если вы не настраиваете этот параметр политики, отдельные временные папки для каждого сеанса создаются в том случае, если администратором сервера не определен другой режим.Disabled (Отключено)

Порядок импорта политик

  1. На контроллере домена создайте новый объект групповой политики, например "Indeed PAM RDS Server".
  2. Настройте фильтры безопасности объекта групповой политики для применения только к объекту сервера Indeed PAM Gateway.
  3. Скачайте архив с набором политик для русской или английской версии сервера и распакуйте во временную папку.
  4. Нажмите правой кнопкой мыши по созданному объекту групповой политики и выберите в контекстном меню пункт "Импорт параметров...".
  5. Укажите путь к папке с распакованным архивом.
  6. В окне "Перенос ссылок" выберите флажок "точно копировать их из источника".
  7. После успешного импорта откройте объект групповой политики и исправьте политику Разрешать вход в систему через службы удаленных рабочих столов (англ. — Allow log on through Remote Desktop Services), добавив в нее группу безопасности пользователей, которым необходим удаленный доступ.
  8. Выполните привязку объекта групповой политики к организационному подразделению, которому принадлежит сервер Indeed PAM Gateway.
  9. Примените политики, выполнив команду gpupdate /force на сервере Indeed PAM Gateway.