Управление подключениями к службам Майкрософт из компонентов операционной системы Windows 10 и Windows 11

Применяется к

  • Windows 11 Корпоративная
  • Windows 10 Корпоративная версии 1607 и более поздней версии
  • Windows Server 2016
  • Windows Server 2019

В этой статье описаны сетевые подключения к службам Майкрософт, которые осуществляют компоненты Windows 10 и Windows 11, а также параметры Windows, групповые политики и параметры реестра, доступные ИТ-специалистам для управления предоставляемыми Майкрософт данными. Если вы хотите сократить количество подключений из Windows к службам Майкрософт или настроить параметры конфиденциальности, вы можете рассмотреть несколько параметров. Например вы можете настроить диагностические данные на самом низком уровне для своего выпуска Windows, а также оценить, какие еще подключения из Windows к службам Майкрософт требуется отключить, с помощью инструкций, приведенных в этой статье. Несмотря на то, что вы можете сократить количество сетевых подключения к службам Майкрософт, существует множество причин, по которым они включены по умолчанию, включая обновление определений вредоносных программ и ведение списков отзыва сертификатов. Эти данные помогают нам обеспечить надежную работу, обновление и защиту.

Майкрософт предоставляет Базовый план ограниченной функциональности трафика Windows, позволяющий вашей организации быстро настраивать параметры, описанные в этом документе для ограничения подключений из Windows 10 и Windows 11 к службам Майкрософт. Базовый план ограниченной функциональности трафика Windows основан на функциях административного шаблона групповых политик, а загружаемый пакет содержит дополнительные инструкции по развертыванию на устройствах в вашей организации. Поскольку некоторые параметры могут ограничивать функциональность и конфигурацию безопасности вашего устройства, перед развертыванием базового плана ограниченной функциональности трафика Windows убедитесь в том, что вы выбрали подходящую конфигурацию параметров для вашей среды, а Windows и антивирусная программа в Microsoft Defender полностью обновлены. В противном случае могут возникнуть ошибки или неожиданные последствия. Не следует извлекать этот пакет в папку windows\system32, так как он не будет применен правильно.

Важно!

  • Доступные для скачивания сценарии и параметры Windows 10 версии 1903 можно использовать на устройствах с Windows 10 версии 1909.
  • Разрешенные конечные точки трафика перечислены здесь: Разрешенный трафик
    • Сетевой трафик списка отзыва сертификатов (CRL) и протокола Online Certificate Status Protocol (OCSP) не могут быть отключены и по-прежнему будут отображаться в сетевых журналах. Проверки CRL и OCSP проводятся в отношении центров сертификации. Майкрософт является одним из таких центров. Существует множество других центров, таких как DigiCert, Thawte, Google, Symantec и VeriSign.
  • Из соображений безопасности важно принять решение о том, какие параметры следует настроить, так как настройка некоторых из них может привести к снижению безопасности устройства. Параметры, которые могут привести к снижению безопасности конфигурации устройства, включают: Центр обновления Windows, Автоматическое обновление корневых сертификатов и антивирусная программа в Microsoft Defender. Поэтому мы не рекомендуем отключить ни одну из этих функций.
  • После изменения конфигурации рекомендуется перезапустить устройство.
  • После применения базового плана ограниченной функциональности трафика Windows ссылки Техническая поддержка и Отправить отзыв работать не будут.

Предупреждение

  • Если пользователь выполняет команду Вернуть компьютер в исходное состояние ("Параметры" -> "Обновление и безопасность" -> "Восстановление") с параметром Сохранить мои файлы (или параметром Удалить все), потребуется повторно применить базовые параметры функциональности ограничения трафика Windows, чтобы повторно ограничить устройство. Исходящий трафик может возникать перед повторным применением базовых параметров функциональности ограничения трафика.
  • Чтобы эффективно ограничить устройство (в первый раз или позже), рекомендуется установить пакет базовых параметров функциональности ограничения трафика в автономном режиме.
  • В процессе обновления Windows возможен исходящий трафик.

Сведения об использовании облачной службы управления устройствами Microsoft Intune для ограничения трафика см. в статье Управление подключениями, идущими от компонентов операционной системы Windows 10 и Windows 11 к службам Майкрософт, с помощью Microsoft Intune MDM Server.

Мы всегда стремимся повысить качество нашей документации и приветствуем ваши отзывы. Вы можете оставить свой отзыв, обратившись в службу telmhelp@microsoft.com.

Возможности управления для каждого параметра

В следующих разделах перечислены компоненты, которые устанавливают сетевые подключения к службам Майкрософт по умолчанию. Вы можете настроить эти параметры для управления данными, которые отправляются в Майкрософт. Чтобы запретить Windows отправку любых данных в Майкрософт, настройте диагностические данные на уровне «Безопасность», отключите диагностические данные антивирусной программы в Microsoft Defender и создание отчетов MSRT, а также отключите все эти соединения.

Параметры для Windows 10 и Windows 11 Корпоративная

В следующей таблице перечислены возможности управления для каждого параметра в Windows 10 (начиная с Windows 10 Корпоративная версии 1607) и Windows 11.

Параметр Пользовательский интерфейс Групповая политика Реестр
1. Автоматическое обновление корневых сертификатов Галочка. Галочка.
2. Кортана и поиск Галочка. Галочка.
3. Дата и время Галочка. Галочка. Галочка.
4. Получение метаданных устройств Галочка. Галочка.
5. Поиск устройства Галочка. Галочка. Галочка.
6. Потоковая передача шрифтов Галочка. Галочка.
7. Сборки Insider Preview Галочка. Галочка. Галочка.
8. Internet Explorer Галочка. Галочка.
9. Диспетчер лицензирования Галочка.
10. Живые плитки Галочка. Галочка.
11. Синхронизация почты Галочка. Галочка.
12. Учетная запись Майкрософт Галочка.
13. Microsoft Edge Галочка. Галочка
14. Индикатор работоспособности сетевых подключений Галочка. Галочка
15. Автономные карты Галочка. Галочка. Галочка
16. OneDrive Галочка. Галочка
17. Предустановленные приложения Галочка
18. Параметры > Конфиденциальность и безопасность
    18.1 Общие Галочка. Галочка. Галочка
    18.2 Расположение Галочка. Галочка. Галочка
    18.3 Камера Галочка. Галочка. Галочка
    18.4 Микрофон Галочка. Галочка. Галочка
    18.5 Уведомления Галочка. Галочка. Галочка
    18.6 Голосовые функции Галочка. Галочка. Галочка
    18.7 Сведения об учетной записи Галочка. Галочка. Галочка
    18.8 Контакты Галочка. Галочка. Галочка
    18.9 Календарь Галочка. Галочка. Галочка
    18.10 Журнал вызовов Галочка. Галочка. Галочка
    18.11 Электронная почта Галочка. Галочка. Галочка
    18.12 Сообщения Галочка. Галочка. Галочка
    18.13 Телефонные звонки Галочка. Галочка. Галочка
    18.14 Радиомодули Галочка. Галочка. Галочка
    18.15 Другие устройства Галочка. Галочка. Галочка
    18.16 Отзывы и диагностика Галочка. Галочка. Галочка
    18.17 Фоновые приложения Галочка. Галочка. Галочка
    18.18 Перемещение Галочка. Галочка. Галочка
    18.19 Задачи Галочка. Галочка Галочка
    18.20 Диагностика приложений Галочка. Галочка Галочка
    18.21 Рукописный ввод и ввод с клавиатуры Галочка. Галочка
    18.22 Журнал действий Галочка. Галочка Галочка
    18.23 Голосовая активация Галочка. Галочка Галочка
19. Платформа защиты программного обеспечения Галочка. Галочка
20. Работоспособность хранилища Галочка. Галочка
21. Синхронизация параметров Галочка. Галочка. Галочка
22. Teredo Галочка. Галочка
23. Контроль Wi-Fi Галочка. Галочка. Галочка
24. Антивирусная программа в Microsoft Defender Галочка. Галочка
25. Windows: интересное Галочка. Галочка. Галочка
26. Microsoft Store Галочка. Галочка
27. Приложения для веб-сайтов Галочка. Галочка
28. Оптимизация доставки Галочка. Галочка. Галочка
29. Центр обновления Windows Галочка. Галочка
30. Облачный буфер обмена Галочка
31. Конфигурация служб Галочка. Галочка

Параметры для Windows Server 2016 с возможностями рабочего стола

В таблице ниже приводится сводка по параметрам управления для Windows Server 2016 с возможностями рабочего стола.

Параметр Пользовательский интерфейс Групповая политика Реестр
1. Автоматическое обновление корневых сертификатов Галочка. Галочка
2. Кортана и поиск Галочка. Галочка
3. Дата и время Галочка. Галочка. Галочка
4. Получение метаданных устройств Галочка. Галочка
6. Потоковая передача шрифтов Галочка. Галочка
7. Сборки Insider Preview Галочка. Галочка. Галочка
8. Internet Explorer Галочка. Галочка
10. Живые плитки Галочка. Галочка
12. Учетная запись Майкрософт Галочка
14. Индикатор работоспособности сетевых подключений Галочка. Галочка
16. OneDrive Галочка. Галочка
18. Параметры > Конфиденциальность и безопасность
19. Платформа защиты программного обеспечения Галочка. Галочка
22. Teredo Галочка. Галочка
24. Антивирусная программа в Microsoft Defender Галочка Галочка
26. Microsoft Store Галочка Галочка
27. Приложения для веб-сайтов Галочка Галочка
29. Центр обновления Windows Галочка Галочка

Параметры для Windows Server 2016 Server Core

В таблице ниже приводится сводка по параметрам управления для Windows Server 2016 Server Core.

Параметр Групповая политика Реестр
1. Автоматическое обновление корневых сертификатов Галочка Галочка
3. Дата и время Галочка Галочка
6. Потоковая передача шрифтов Галочка Галочка
14. Индикатор работоспособности сетевых подключений Галочка Галочка
19. Платформа защиты программного обеспечения Галочка Галочка
22. Teredo Галочка Галочка
24. Антивирусная программа в Microsoft Defender Галочка Галочка
29. Центр обновления Windows Галочка Галочка

Параметры для Windows Server 2016 Nano Server

В таблице ниже приводится сводка по параметрам управления для Windows Server 2016 Nano Server.

Параметр Реестр
1. Автоматическое обновление корневых сертификатов Галочка
3. Дата и время Галочка
22. Teredo Галочка
29. Центр обновления Windows Галочка

Параметры для Windows Server 2019

В таблице ниже приведены общие сведения о параметрах управления для Windows Server 2019.

Параметр Пользовательский интерфейс Групповая политика Реестр
1. Автоматическое обновление корневых сертификатов Галочка Галочка
2. Кортана и поиск Галочка Галочка
3. Дата и время Галочка. Галочка Галочка
4. Получение метаданных устройств Галочка Галочка
5. Поиск устройства Галочка. Галочка Галочка
6. Потоковая передача шрифтов Галочка Галочка
7. Сборки Insider Preview Галочка. Галочка Галочка
8. Internet Explorer Галочка Галочка
10. Живые плитки Галочка Галочка
11. Синхронизация почты Галочка. Галочка
12. Учетная запись Майкрософт Галочка
13. Microsoft Edge Галочка Галочка
14. Индикатор работоспособности сетевых подключений Галочка Галочка
15. Автономные карты Галочка. Галочка Галочка
16. OneDrive Галочка Галочка
17. Предустановленные приложения Галочка
18. Параметры > Конфиденциальность и безопасность
    18.1 Общие Галочка. Галочка Галочка
    18.2 Расположение Галочка. Галочка Галочка
    18.3 Камера Галочка. Галочка Галочка
    18.4 Микрофон Галочка. Галочка Галочка
    18.5 Уведомления Галочка. Галочка Галочка
    18.6 Голосовые функции Галочка. Галочка Галочка
    18.7 Сведения об учетной записи Галочка. Галочка Галочка
    18.8 Контакты Галочка. Галочка Галочка
    18.9 Календарь Галочка. Галочка Галочка
    18.10 Журнал вызовов Галочка. Галочка Галочка
    18.11 Электронная почта Галочка. Галочка Галочка
    18.12 Сообщения Галочка. Галочка Галочка
    18.13 Телефонные звонки Галочка. Галочка Галочка
    18.14 Радиомодули Галочка. Галочка Галочка
    18.15 Другие устройства Галочка. Галочка Галочка
    18.16 Отзывы и диагностика Галочка. Галочка Галочка
    18.17 Фоновые приложения Галочка. Галочка Галочка
    18.18 Перемещение Галочка. Галочка Галочка
    18.19 Задачи Галочка. Галочка Галочка
    18.20 Диагностика приложений Галочка. Галочка Галочка
    18.21 Рукописный ввод и ввод с клавиатуры Галочка. Галочка
    18.22 Журнал действий Галочка. Галочка Галочка
    18.23 Голосовая активация Галочка. Галочка Галочка
19. Платформа защиты программного обеспечения Галочка Галочка
20. Работоспособность хранилища Галочка Галочка
21. Синхронизация параметров Галочка. Галочка Галочка
22. Teredo Галочка Галочка
23. Контроль Wi-Fi Галочка. Галочка Галочка
24. Антивирусная программа в Microsoft Defender Галочка Галочка
25. Windows: интересное Галочка. Галочка Галочка
26. Microsoft Store Галочка Галочка
27. Приложения для веб-сайтов Галочка. Галочка
28. Оптимизация доставки Галочка. Галочка Галочка
29. Центр обновления Windows Галочка Галочка
30. Облачный буфер обмена Галочка
31. Конфигурация служб Галочка Галочка

Настройка каждого параметра

Дополнительные сведения о настройке всех параметров можно найти в следующих разделах.

1. Автоматическое обновление корневых сертификатов

Компонент "Автоматическое обновление корневых сертификатов" предназначен для автоматической проверки списка доверенных центров сертификации в Центре обновления Windows и поиска доступных обновлений. Дополнительные сведения см. в разделе Настройка автоматического обновления корневых сертификатов. Вы можете отключить автоматическое обновление корневых сертификатов, однако, делать это не рекомендуется. При этом также будет отключено обновление списка запрещенных сертификатов и списка правил для PIN-кодов.

Внимание!

Без автоматической загрузки корневых сертификатов устройство не сможет подключаться к некоторым веб-сайтам.

Для Windows 10, Windows Server 2016 с возможностями рабочего стола и Windows Server 2016 Server Core и Windows 11.

  • Примените групповую политику: Конфигурация компьютера > Административные шаблоны > Система > Управление связью через Интернет > Параметры связи через Интернет > Отключить автоматические обновления корневых сертификатов

    -и-

  1. Перейдите в раздел Конфигурация компьютера > Параметры Windows > Параметры безопасности > Политики открытого ключа.
  2. Дважды щелкните Параметры подтверждения пути сертификата.
  3. На вкладке Получение по сети установите флажок Определить параметры политики.
  4. Снимите флажок Автоматически обновлять сертификаты в программе корневых сертификатов Microsoft (рекомендуется), а затем нажмите ОК.

-или-

  • Создайте путь реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot и добавьте параметр реестра REG_DWORD с именем DisableRootAutoUpdate со значением 1.

    -и-

  1. Перейдите в раздел Конфигурация компьютера > Параметры Windows > Параметры безопасности > Политики открытого ключа.
  2. Дважды щелкните Параметры подтверждения пути сертификата.
  3. На вкладке Получение по сети установите флажок Определить параметры политики.
  4. Снимите флажок Автоматически обновлять сертификаты в программе корневых сертификатов Microsoft (рекомендуется), а затем нажмите ОК.

В Windows Server 2016 Nano Server.

  • Создайте путь реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot и добавьте параметр реестра REG_DWORD с именем DisableRootAutoUpdate со значением 1.

Примечание

Сетевой трафик CRL и OCSP в настоящее время разрешен и по-прежнему будет отображаться в сетевых журналах. Проверки CRL и OCSP проводятся в отношении центров сертификации. Корпорация Майкрософт — один из них, но существует множество других, например DigiCert, Thawte, Google, Symantec и VeriSign.

2. Кортана и поиск

Чтобы управлять параметрами Кортаны, используйте групповые политики. Дополнительные сведения см. на веб-странице Кортана, Поиск и конфиденциальность: вопросы и ответы.

2.1 Кортана и групповые политики поиска

Чтобы найти объекты групповой политики Кортаны, выберите элементы Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Поиск.

Политика Описание
Включение Кортаны Выберите, следует ли разрешить установку и запуск Кортаны на устройстве.

Отключите эту политику для отключения Кортаны.
Разрешить средствам поиска и Кортане использовать информацию о местоположении Выберите, могут ли Кортана и средство поиска предоставлять результаты поиска с учетом местоположения.

Отключите эту политику, чтобы заблокировать Кортане доступ к сведениям о расположении.
Запретить поиск в Интернете Выберите, можно ли выполнять поиск в Интернете с панели поиска Windows.

Примените эту политику, чтобы отключить возможность поиска в Интернете с помощью Кортаны.
Не выполнять поиск в Интернете и не отображать результаты из Интернета в поиске Выберите, следует ли выполнять поиск в Интернете при помощи Кортаны.

Включите эту политику, чтобы прекратить отображение веб-запросов и результатов в средстве поиска.

Можно также применить групповые политики с помощью приведенных ниже разделов реестра.

Политика Путь реестра
Включение Кортаны HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search
REG_DWORD: AllowCortana
Значение: 0
Разрешить средствам поиска и Кортане использовать информацию о местоположении HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search
REG_DWORD: AllowSearchToUseLocation
Значение: 0
Запретить поиск в Интернете HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search
REG_DWORD: DisableWebSearch
Значение: 1
Не выполнять поиск в Интернете и не отображать результаты из Интернета в поиске HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search
REG_DWORD: ConnectedSearchUseWeb
Значение: 0

Важно!

При использовании редактора групповых политик эти действия являются обязательными для всех поддерживаемых версий Windows 10 и Windows 11, но не являются обязательными для устройств под управлением Windows 10 версии 1607 или Windows Server 2016.

  1. Разверните узел Конфигурация компьютера > Параметры Windows > Параметры безопасности > Монитор брандмауэра Защитника Windows в режиме повышенной безопасности > Монитор брандмауэра Защитника Windows в режиме повышенной безопасности — <имя LDAP>, а затем выберите Правила для исходящего подключения.

  2. Щелкните правой кнопкой мыши пункт Правила исходящих и выберите команду Новое правило. Запустится мастер создания правила для нового исходящего подключения .

  3. На странице Тип правила щелкните Программа, а затем Далее.

  4. На странице Программа щелкните Путь к этой программе, введите %windir%\systemapps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe, затем нажмите Далее.

  5. На странице Действие щелкните Блокировать подключение, а затем нажмите Далее.

  6. На странице Профиль убедитесь, что установлены флажки Домен, Закрытыйи Открытый , а затем нажмите Далее.

  7. На странице Имя введите имя правила, например Конфигурация брандмауэра для Кортаны, а затем нажмите Готово.

  8. Щелкните правой кнопкой мыши новое правило, выберите Свойства, а затем нажмите Протоколы и порты.

  9. Настройте страницу Протоколы и порты , используя следующую информацию, а затем нажмите ОК.

    • В разделе Тип протоколавыберите TCP.

    • В разделе Локальный порт выберите Все порты.

    • В разделе Удаленный портвыберите Все порты.

-или-

  • Создайте новый параметр реестра REG_SZ под названием {0DE40C8E-C126-4A27-9371-A27DAB1039F7} в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules и установите для него значения v2.25|Action=Block|Active=TRUE|Dir=Out|Protocol=6|App=%windir%\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\searchUI.exe|Name=Block outbound Cortana|

Если ваша организация проверяет сетевой трафик, не следует использовать сетевой прокси-сервер, поскольку брандмауэр Windows не блокирует трафик прокси-сервера. Вместо этого следует воспользоваться средством анализа сетевого трафика. В зависимости от ваших потребностей существует много бесплатных средств анализа сетевого трафика.

3. Дата и время

Вы можете запретить Windows установку времени в автоматическом режиме.

  • Отключение функции в пользовательском интерфейсе: Параметры > Время и язык > Дата и время > Установить время автоматически

    -или-

  • Создайте параметр реестра REG_SZ в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type со значением NoSync.

Затем настройте следующие параметры.

  • Отключите групповую политику: Конфигурация компьютера > Административные шаблоны > Система > Служба времени Windows > Поставщики времени > Включить NTP-клиент Windows

    -или-

  • Создайте новый параметр реестра REG_DWORD с именем Enabled в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32time\TimeProviders\NtpClient и установите для него значение 0 (ноль).

4. Получение метаданных устройств

Чтобы запретить Windows получать метаданные устройств из Интернета, выполните указанные ниже действия.

  • Примените групповую политику: Конфигурация компьютера > Административные шаблоны > Система > Установка устройств > Запретить получение метаданных устройств из Интернета.

    -или-

  • Создайте новый параметр реестра REG_DWORD с именем PreventDeviceMetadataFromNetwork в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Device Metadata и установите для него значение 1 (один).

5. Поиск устройства

Чтобы выключить функцию поиска устройства, выполните следующее.

  • Отключите эту функцию в пользовательском интерфейсе, перейдя в меню Параметры > Обновления и безопасность > Поиск устройства, нажав кнопку "Изменить" и установив значение Отключено.

    -или-

  • Отключите групповую политику: Конфигурация компьютера > Административный шаблон > Компоненты Windows > Поиск устройства > Включить/выключить поиск устройства

    -или-

  • Вы также можете создать новый параметр реестра REG_DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FindMyDevice\AllowFindMyDevice со значением 0 (ноль).

6. Потоковая передача шрифтов

Шрифты, входящие в комплект поставки Windows, но отсутствующие на локальном устройстве, можно загружать по мере необходимости.

Если вы используете Windows 10 версии 1607, Windows Server 2016 или более поздней версии, выполните следующее.

  • Отключите групповую политику: Конфигурация компьютера > Административные шаблоны > Сеть > Шрифты > Включить поставщиков шрифтов.

    -или-

  • Создайте новый параметр реестра REG_DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\EnableFontProviders со значением 0 (ноль).

Примечание

После применения этой политики необходимо перезапустить устройство, чтобы она вступила в силу.

7. Сборки Insider Preview

Программа Windows Insider Preview позволяет вам влиять на будущее Windows, быть частью сообщества и получать ранний доступ к выпускам Windows 10 и Windows 11. Этот параметр прекращает связь со службой Windows Insider Preview, которая проверяет наличие новых сборок. Сборки Windows Insider Preview применимы только к Windows 10 и Windows 11, и недоступны для Windows Server 2016.

Примечание

При обновлении устройства, настроенного на минимальное количество подключений Windows к службам Майкрософт (то есть устройства, настроенного на ограниченный трафик), до сборки Windows Insider Preview, параметру "Диагностика и отзывы" будет автоматически присвоено значение Необязательные (полные). Хотя изначально уровень диагностических данных может отображаться как Обязательный (базовый), через несколько часов после обновления пользовательского интерфейса или перезагрузки компьютера этому параметру будет присвоено значение Необязательные (полные).

Чтобы отключить сборки Insider Preview для выпущенной версии Windows 10 и Windows 11, выполните следующие действия.

  • Отключите групповую политику: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Сбор данных и предварительные сборки > Переключение пользовательских элементов управления сборками для предварительной оценки.

Отключение сборок Insider Preview для Windows 10 и Windows 11.

Примечание

При работе с предварительной версией Windows 10 и Windows 11 необходимо выполнить возврат до выпущенной версии. Только после этого можно будет отключить сборки Insider Preview.

  • Отключите данную функцию в пользовательском интерфейсе: Параметры > Обновление и безопасность > Программа предварительной оценки Windows > Остановить сборки Insider Preview.

    -или-

  • Примените групповую политику Переключение пользовательских элементов управления сборками для предварительной оценки в разделе Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Сбор данных и предварительные сборки

    -или-

  • Создайте новый параметр реестра REG_DWORD с именем AllowBuildPreview в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PreviewBuilds со значением 0 (ноль) .

8. Internet Explorer

Примечание

При попытке использовать Internet Explorer в любом выпуске Windows Server необходимо учитывать ограничения, примененные конфигурацией усиленной безопасности (ESC). Следующие групповые политики и разделы реестра предназначены для интерактивных пользовательских сценариев, а не для типичного сценария бездействия трафика. Найдите объекты групповой политики Internet Explorer в разделе Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Internet Explorer и настройте следующие параметры:

Политика Описание
Включить функцию "Рекомендуемые сайты" Выберите, может ли сотрудник настраивать рекомендуемые сайты.
Установите значение Disabled (отключено)
Эту функцию также можно отключить в пользовательском интерфейсе, сняв флажок Свойства обозревателя > Дополнительно > Включить рекомендуемые сайты.
Разрешить службам Майкрософт предоставлять расширенные предложения, когда пользователь вводит текст в адресной строке Выберите, может ли сотрудник задавать расширенные предложения, которые отображаются, когда он вводит текст в адресной строке.
Установите значение Disabled (отключено)
Отключить функцию автозаполнения для веб-адресов Укажите, может ли функция автозаполнения предлагать возможные варианты, когда сотрудники вводят веб-адреса в адресной строке.
Установите значение Enabled (включено)
Кроме того, эту функцию можно отключить в пользовательском интерфейсе, сняв флажок Свойства обозревателя > Дополнительно > Использовать встроенное автозаполнение в адресной строке и диалоговом окне "Открыть" Internet Explorer.
Отключить функцию географического положения браузера Выбор того, могут ли веб-сайты запрашивать у Internet Explorer данные расположения.
Установите значение Enabled (включено)
Запретите управление фильтром SmartScreen в Microsoft Defender Укажите, могут ли сотрудники управлять фильтром SmartScreen в Microsoft Defender в Internet Explorer.
Установите значение Enabled (включено), а затем для параметра Выберите режим SmartScreen Защитника Windows значение Отключено.
Раздел реестра Путь к разделу реестра
Включить функцию "Рекомендуемые сайты" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Suggested Sites
REG_DWORD: Enabled
Задайте значение 0
Разрешить службам Майкрософт предоставлять расширенные предложения, когда пользователь вводит текст в адресной строке HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer
REG_DWORD: AllowServicePoweredQSA
Задайте значение 0
Отключить функцию автозаполнения для веб-адресов HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete
REG_SZ: AutoSuggest
Задайте значение No
Отключить функцию географического положения браузера HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Geolocation
REG_DWORD: PolicyDisableGeolocation
Задайте значение 1
Запретите управление фильтром SmartScreen в Microsoft Defender HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\PhishingFilter
REG_DWORD: EnabledV9
Задайте значение 0

Существует и другие объекты групповой политики, которые используются Internet Explorer.

Путь Политика Описание
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Internet Explorer > **Просмотр в режиме совместимости ** > Выключить просмотр в режиме совместимости Отключить просмотр в режиме совместимости Укажите, может ли сотрудник устранять ошибки отображения веб-сайтов, которые могут возникать при просмотре.
Выберите значение "Включено"
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Internet Explorer > Панель управления браузером > Страница «Дополнительно» Отключить пролистывание вперед с прогнозированием страниц Выберите, может ли сотрудник проводить пальцем по экрану или нажимать кнопку «Вперед», чтобы перейти на следующую предварительно загруженную страницу веб-сайта.
Выберите значение "Включено"
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > RSS-каналы Выключить синхронизацию в фоновом режиме для веб-каналов и веб-фрагментов Выберите, следует ли использовать фоновую синхронизацию для веб-каналов и веб-фрагментов.
Выберите значение "Включено"
Конфигурация компьютера > Административные шаблоны > Панель управления > Разрешить подсказки в сети Разрешить онлайн-подсказки Включает или выключает получение онлайн-подсказок и справки для приложения "Параметры".
Установите значение "Отключено"

Для настройки этих политик также можно использовать разделы реестра.

Раздел реестра Путь к разделу реестра
Укажите, могут ли сотрудники настраивать просмотр в режиме совместимости. HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\BrowserEmulation
REG_DWORD: DisableSiteListEditing
Задайте значение 1
Отключить пролистывание вперед с прогнозированием страниц HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\FlipAhead
REG_DWORD: Enabled
Задайте значение 0
Выключить синхронизацию в фоновом режиме для веб-каналов и веб-фрагментов HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds
REG_DWORD: BackgroundSyncStatus
Задайте значение 0
Разрешить онлайн-подсказки HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
REG_DWORD: AllowOnlineTips
Задайте значение 0

Чтобы отключить домашнюю страницу, выполните указанные ниже действия.

  • Примените групповую политику: Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Internet Explorer > Отключить изменение параметров домашней страницы и установите для нее значение about:blank

    -или-

  • Создайте новый параметр реестра REG_SZ с именем Start Page в разделе HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Main со значением about:blank.

    -и-

  • Создайте новый параметр реестра REG_DWORD с именем HomePage в разделе HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel со значением 1 (один)

Чтобы настроить мастер первого запуска, выполните указанные ниже действия.

  • Примените групповую политику Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Internet Explorer > Не выполнять мастер первого запуска и установите значение Перейти сразу на домашнюю страницу.

    -или-

  • Создайте новый параметр реестра REG_DWORD с именем DisableFirstRunCustomize в разделе HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Main со значением 1 (один)

Чтобы настроить поведение для новой вкладки, выполните указанные ниже действия.

  • Примените групповую политику: Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Internet Explorer > Задать действие по умолчанию для новой вкладки и установите значение about:blank

    -или-

  • Создайте новый параметр реестра REG_DWORD NewTabPageShow в разделе HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\TabbedBrowsing со значением 0 (ноль)

8.1 Блокировка элементов ActiveX

Функция блокировки элементов управления ActiveX периодически скачивает новый список устаревших элементов управления ActiveX, которые следует блокировать.

Это действие можно отключить.

  • Примените групповую политику Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Internet Explorer > Средства безопасности > Управление надстройками > Отключить автоматическую загрузку ActiveX VersionList

    -или-

  • Измените значение параметра реестра REG_DWORD HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\VersionManager\DownloadVersionList на 0 (ноль).

Дополнительные сведения см. в разделе Блокирование устаревших элементов управления ActiveX.

9. Диспетчер лицензирования

Трафик, связанный с диспетчером лицензирования, можно отключить, добавив в реестр следующую запись:

  • Добавьте значение REG_DWORD с именем Start в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LicenseManager и установите значение 4

  • Значение 4 — отключение службы. Ниже приведены доступные параметры для настройки реестра.

    • 0x00000000 = Загрузка

    • 0x00000001 = Система

    • 0x00000002 = Авто

    • 0x00000003 = Вручную

    • 0x00000004 = Отключено

10. Живые плитки

Отключение живых плиток:

  • Примените групповую политику: Конфигурация компьютера > Административные шаблоны > Меню "Пуск" и панель задач > Уведомления > Отключить уведомления на плитках

    -или-

  • Создайте параметр реестра REG_DWORD с именем NoCloudApplicationNotification в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications со значение 1 (один)

В Windows 10 и Windows 11 для мобильных устройств необходимо также открепить все плитки, закрепленные на начальном экране.

11. Синхронизация почты

Чтобы отключить синхронизацию почты для учетных записей Майкрософт, которые настроены на устройстве, сделайте следующее.

  • В разделе Параметры > Учетные записи > Электронная почта и учетные записи удалите все подключенные учетные записи Майкрософт.

    -или-

  • Удалите все учетные записи Майкрософт из приложения «Почта».

Отключение приложения Почта Windows

  • Создайте параметр реестра REG_DWORD с именем ManualLaunchAllowed в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Mail со значением 0 (ноль).

12. Учетная запись Майкрософт

Чтобы предотвратить обмен данными с облачной службой проверки подлинности учетной записи Майкрософт, используйте следующий параметр. (Работа многих приложений и системных компонентов, которые зависят от проверки подлинности учетной записи Майкрософт, может быть нарушена. Некоторые из них могут демонстрировать неожиданное поведение.) Например, на устройствах под управлением Windows 10 версии 1709 или более новой и Windows 11 больше не будут предлагаться обновления компонентов в Центре обновления Windows. Ознакомьтесь со статьей Обновления компонентов не предлагаются, в то время как другие обновления продолжают предлагаться.

Чтобы отключить помощник по входу в учетную запись Майкрософт, выполните следующее.

  • Установите для параметра реестра REG_DWORD Start в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wlidsvc значение 4.

13. Microsoft Edge

Чтобы управлять параметрами Microsoft Edge, используйте групповые политики. Дополнительную информацию см. в статьях Microsoft Edge и конфиденциальность: вопросы и ответы и Настройка параметров политик Microsoft Edge в Windows.

Полный список политик Microsoft Edge см. в статье Настройки групповой политики и управления мобильными устройствами (MDM) для Microsoft Edge.

13.1 Групповые политики Microsoft Edge

Чтобы найти, объекты групповой политики Microsoft Edge, выберите Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Microsoft Edge.

Политика Описание
Разрешить предлагать варианты поиска в раскрывающемся списке адресной строки Укажите, нужно ли отображать раскрывающийся список адресной строки
Установите значение "Отключено"
Разрешить обновления конфигурации для библиотеки книг Выберите, выполняются ли обновления конфигурации для библиотеки книг.
Установите значение "Отключено"
Настройка автозаполнения Укажите, могут ли сотрудники использовать автозаполнение на веб-сайтах.
Установите значение "Отключено"
Настройка запрета на отслеживание Выбор того, могут ли сотрудники отправлять заголовки Do Not Track.
Установите значение "Включено"
Настроить диспетчер паролей Выбор того, могут ли сотрудники сохранять пароли локально на своих устройствах.
Установите значение "Отключено"
Настройка вариантов поиска в адресной строке Укажите, будут ли отображаться варианты поиска в адресной строке.
Установите значение "Отключено"
Настройка фильтра SmartScreen Защитника Windows (Windows 10 версии 1703) Укажите, следует ли включить фильтр SmartScreen в Microsoft Defender.
Установите значение "Отключено"
Разрешить веб-содержимое на странице "Новая вкладка" Выбор того, будет ли открываться страница новой вкладки.
Установите значение "Отключено"
Настройка начальных страниц Выберите начальную страницу для присоединенных к домену устройств.
Установите значения Включено и <about:blank>
Запрет открытия веб-страницы первого запуска в Microsoft Edge Выберите, должны ли сотрудники видеть веб-страницу "Первый запуск".
Установите значение "Включено"
Разрешить список совместимости Майкрософт Укажите, следует ли использовать список совместимости Майкрософт в Microsoft Edge.
Установите значение "Отключено"

Кроме того, вы можете настроить указанные ниже разделы реестра, как описано ниже.

Раздел реестра Путь к разделу реестра
Разрешить предлагать варианты поиска в раскрывающемся списке адресной строки HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\ServiceUI
Имя REG_DWORD: ShowOneBox
Установите значение 0
Разрешить обновления конфигурации для библиотеки книг HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\BooksLibrary
Имя REG_DWORD: AllowConfigurationUpdateForBooksLibrary
Установите значение 0
Настройка автозаполнения HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main
Имя REG_SZ: Use FormSuggest
Значение: Нет
Настройка запрета на отслеживание HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main
Имя REG_DWORD: DoNotTrack
REG_DWORD: 1
Настроить диспетчер паролей HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main
Имя REG_SZ: FormSuggest Passwords
REG_SZ: Нет
Настройка вариантов поиска в адресной строке HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\SearchScopes
Имя REG_DWORD: ShowSearchSuggestionsGlobal
Значение: 0
Настройка фильтра SmartScreen Защитника Windows (Windows 10 версии 1703) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\PhishingFilter
Имя REG_DWORD: EnabledV9
Значение: 0
Разрешить веб-содержимое на странице "Новая вкладка" HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\ServiceUI
Имя REG_DWORD: AllowWebContentOnNewTabPage
Значение: 0
Настроить корпоративные домашние страницы HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Internet Settings
Имя REG_SZ: ProvisionedHomePages
Значение: <about:blank>
Запрет открытия веб-страницы первого запуска в Microsoft Edge HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main
Имя REG_DWORD: PreventFirstRunPage
Значение: 1
Укажите, могут ли сотрудники настраивать просмотр в режиме совместимости. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\BrowserEmulation
REG_DWORD: MSCompatibilityMode
Значение: 0

13.2. Microsoft Edge Enterprise

Полный список политик Microsoft Edge см. в статье Настройки групповой политики и управления мобильными устройствами (MDM) для Microsoft Edge.

Важно!

Политика Путь к групповой политике Путь реестра
SearchSuggestEnabled Конфигурация компьютера/административные шаблоны/Компонент Windows/Microsoft Edge — включить варианты поиска
Установите значение "Отключено"
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD: SearchSuggestEnabled Установите значение 0
AutofillAddressEnabled Конфигурации компьютера/Административные шаблоны/Компонент Windows/Microsoft Edge — включить автозаполнение для адресов
Установите значение "Отключено"
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD: AutofillAddressEnabled Установите значение 0
AutofillCreditCardEnabled Конфигурации компьютера/Административные шаблоны/Компонент Windows/Microsoft Edge — включить автозаполнение для кредитных карт
Установите значение "Отключено"
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD: AutofillCreditCardEnabled Установите значение 0
ConfigureDoNotTrack Конфигурации компьютера/Административные шаблоны/Компонент Windows/Microsoft Edge — настроить режим "Не отслеживать"
Установите значение "Включено"
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD: ConfigureDoNotTrack Установите значение 1
PasswordManagerEnabled Конфигурации компьютера/Административные шаблоны/Компонент Windows/Microsoft Edge/Диспетчер паролей и защита — включить сохранение паролей в диспетчере паролей
Установите значение "Отключено"
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD: PasswordManagerEnabled Установите значение 0
DefaultSearchProviderEnabled Конфигурации компьютера/Административные шаблоны/Компонент Windows/Microsoft Edge/Служба поиска по умолчанию — включить службу поиска по умолчанию
Установите значение "Отключено"
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD: Значение DefaultSearchProviderEnabled Установите значение 0
HideFirstRunExperience Конфигурации компьютера/Административные шаблоны/Компонент Windows/Microsoft Edge/Скрыть первый запуск и экран-заставку
Установите значение "Включено"
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD: HideFirstRunExperience Установите значение 1
SmartScreenEnabled Конфигурации компьютера/Административные шаблоны/Компонент Windows/Microsoft Edge/Параметры SmartScreen — настройка SmartScreen в Microsoft Defender
Установите значение "Отключено"
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD: SmartScreenEnabled Установите значение 0
NewTabPageLocation Конфигурации компьютера/Административные шаблоны/Компонент Windows/Microsoft Edge/Запуск, домашняя страница и страница новой вкладки — настройка URL-адреса страницы новой вкладки
Установите значение "Включено" для Value "about:blank"
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_SZ: NewTabPageLocation Установите значение about:blank
RestoreOnStartup Конфигурации компьютера/Административные шаблоны/Компонент Windows/Microsoft Edge/Запуск, домашняя страница и страница новой вкладки — действие, необходимое для запуска
Установите значение "Отключено"
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD: RestoreOnStartup Установите значение 5
RestoreOnStartupURLs Конфигурации компьютера/Административные шаблоны/Компонент Windows/Microsoft Edge/Запуск, домашняя страница и страница новой вкладки — сайты, которые открываются при запуске браузера
Установите значение "Отключено"
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\RestoreOnStartupURLs
REG_SZ: 1 Установите значение about:blank
UpdateDefault Конфигурации компьютера/Административные шаблоны/Компонент Windows/Центр обновления Microsoft Edge/Приложения — переопределение политики обновления по умолчанию
Установите значение "Включено" — "Обновления отключены"
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate
REG_DWORD: UpdateDefault Установите значение 0
AutoUpdateCheckPeriodMinutes Конфигурации компьютера/Административные шаблоны/Компонент Windows/Центр обновления Microsoft Edge/Параметры — переопределение периода автоматической проверки обновлений
Установите значение "Включено" — установите значение в минутах между проверками обновления до 0
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate
REG_DWORD: AutoUpdateCheckPeriodMinutes Установите значение 0
Служба экспериментов и конфигурации Конфигурации компьютера/Административные шаблоны/Компонент Windows/Центр обновления Microsoft Edge/Параметры — переопределение периода автоматической проверки обновлений
Установите режим RestrictedMode
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate
REG_DWORD: ExperimentationAndConfigurationServiceControl Установите значение 0

14. Индикатор работоспособности сетевых подключений

Индикатор работоспособности сетевых подключений (NCSI) определяет состояние подключения к Интернету и корпоративной сети. NCSI отправляет запросы DNS и HTTP на адрес http://www.msftconnecttest.com/connecttest.txt, чтобы определить, может ли устройство обмениваться данными с Интернетом. Дополнительные сведения см. блоге о сетевых технологиях Microsoft .

В версиях Windows 10, предшествующих версии 1607 и Windows Server 2016, указан URL-адрес http://www.msftncsi.com/ncsi.txt.

Вы можете выключить NCSI, выполнив одно из следующих действий.

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Система > Управление связью через Интернет > Параметры связи через Интернет > Отключить активные проверки индикатора работоспособности сетевых подключений

    Примечание

    После применения этой политики необходимо перезапустить устройство, чтобы новые настройки политики вступили в силу.

-или-

  • Создайте параметр реестра REG_DWORD с именем NoActiveProbe in HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicator и значением 1 (один).

15. Автономные карты

Вы можете отключить возможность загружать и обновлять автономные карты.

  • Выключите эту функцию в пользовательском интерфейсе: перейдите в раздел Настройки -> Приложения -> Автономные карты -> Обновления карты и переведите переключатель Автоматически обновлять карты в положение Выкл.

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Карты > Отключить автоматическое скачивание и обновление данных карт

    -или-

  • Создайте параметр реестра REG_DWORD с именем AutoDownloadAndUpdateMapData в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Maps со значением 0 (ноль).

    -и-

  • В Windows 10 версии 1607 и более поздних версиях и Windows 11 примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Карты > Отключить незапрошенный сетевой трафик на странице параметров "Автономные карты"

    -или-

  • Создайте параметр реестра REG_DWORD с именем AllowUntriggeredNetworkTrafficOnSettingsPage в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Maps со значением 0 (ноль).

16. OneDrive

Чтобы выключить OneDrive в организации, выполните следующие действия.

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > OneDrive > Запретить использование OneDrive для хранения файлов

    -или-

  • Создайте параметр реестра REG_DWORD с именем DisableFileSyncNGSC в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\OneDrive со значением 1 (один).

    -и-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Windows Components > OneDrive > Запретить OneDrive создавать сетевой трафик, пока пользователь не войдет в OneDrive (включить)

    -или-

  • Создайте параметр реестра REG_DWORD с именем PreventNetworkTrafficPreUserSignIn в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OneDrive со значением 1 (один)

17. Предустановленные приложения

Некоторые предустановленные приложения получают содержимое до их открытия в целях обеспечения более четкого взаимодействия. Можно удалить эти приложения с помощью действий, описанных в этом разделе.

Удаление приложения "Новости".

  • Щелкните приложение в меню «Пуск» правой кнопкой мыши и выберите Удалить.

    -или-

    Важно!

    Если у вас возникли проблемы со следующими командами, перезагрузите систему и запустите сценарии повторно.

  • Удалите приложение для новых учетных записей пользователей. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingNews"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -и-

  • Удалите приложение для текущего пользователя. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxPackage Microsoft.BingNews | Remove-AppxPackage.

Удаление приложения "Погода".

  • Удалите приложение для новых учетных записей пользователей. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingWeather"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -и-

  • Удалите приложение для текущего пользователя. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxPackage Microsoft.BingWeather | Remove-AppxPackage

Удаление приложения «Финансы»

  • Щелкните приложение в меню «Пуск» правой кнопкой мыши и выберите Удалить.

    -или-

  • Удалите приложение для новых учетных записей пользователей. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingFinance"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -и-

  • Удалите приложение для текущего пользователя. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxPackage Microsoft.BingFinance | Remove-AppxPackage

Удаление приложения «Спорт»

  • Щелкните приложение в меню «Пуск» правой кнопкой мыши и выберите Удалить.

    -или-

  • Удалите приложение для новых учетных записей пользователей. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingSports"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -и-

  • Удалите приложение для текущего пользователя. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxPackage Microsoft.BingSports | Remove-AppxPackage

Удаление приложения Twitter

  • Щелкните приложение в меню «Пуск» правой кнопкой мыши и выберите Удалить.

    -или-

  • Удалите приложение для новых учетных записей пользователей. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "*.Twitter"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -и-

  • Удалите приложение для текущего пользователя. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxPackage *.Twitter | Remove-AppxPackage

Удаление приложения Xbox

  • Удалите приложение для новых учетных записей пользователей. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.XboxApp"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -и-

  • Удалите приложение для текущего пользователя. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxPackage Microsoft.XboxApp | Remove-AppxPackage

Удаление приложения Sway

  • Щелкните приложение в меню «Пуск» правой кнопкой мыши и выберите Удалить.

    -или-

  • Удалите приложение для новых учетных записей пользователей. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.Office.Sway"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -и-

  • Удалите приложение для текущего пользователя. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxPackage Microsoft.Office.Sway | Remove-AppxPackage

Удаление приложения OneNote

  • Удалите приложение для новых учетных записей пользователей. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.Office.OneNote"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -и-

  • Удалите приложение для текущего пользователя. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxPackage Microsoft.Office.OneNote | Remove-AppxPackage

Удаление приложения Get Office

  • Щелкните приложение в меню «Пуск» правой кнопкой мыши и выберите Удалить.

    -или-

  • Удалите приложение для новых учетных записей пользователей. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.MicrosoftOfficeHub"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -и-

  • Удалите приложение для текущего пользователя. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxPackage Microsoft.MicrosoftOfficeHub | Remove-AppxPackage

Удаление приложения Get Skype

  • Щелкните приложение «Спорт» на начальном экране правой кнопкой мыши и выберите Удалить.

    -или-

  • Удалите приложение для новых учетных записей пользователей. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.SkypeApp"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -и-

  • Удалите приложение для текущего пользователя. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxPackage Microsoft.SkypeApp | Remove-AppxPackage

Чтобы удалить приложение "Записки", выполните следующее.

  • Удалите приложение для новых учетных записей пользователей. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.MicrosoftStickyNotes"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    -и-

  • Удалите приложение для текущего пользователя. В командной строке с повышенными привилегиями запустите следующую команду Windows PowerShell: Get-AppxPackage Microsoft.MicrosoftStickyNotes | Remove-AppxPackage

18. Параметры > Конфиденциальность и безопасность

В разделе "Параметры" > "Конфиденциальность и безопасность" можно настроить некоторые параметры, которые могут быть важны для вашей организации. Все эти параметры, за исключением представленных на странице "Отзывы и диагностика", необходимо настраивать для каждой учетной записи пользователя, с помощью которой осуществляется вход на компьютер.

18.1 Общие

Раздел Общие содержит параметры, не относящиеся к другим категориям.

Возможности Windows 10 версии 1703

Чтобы выключить параметр Разрешить приложениям использовать идентификатор рекламы, чтобы подбирать интересные для вас рекламные объявления на основе информации об использовании приложения (при выключении параметра идентификатор сбрасывается), выполните следующее.

  • Отключите эту функцию в пользовательском интерфейсе.

    Примечание

    При отключении этой функции в пользовательском интерфейсе идентификатор получателя рекламы не только сбрасывается, но и отключается.

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Система > Профили пользователей > Отключить идентификатор получателя рекламы.

    -или-

  • Создайте параметр реестра REG_DWORD с именем Enabled в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo со значением 0 (ноль).

    -и-

  • Создайте параметр реестра REG_DWORD с именем DisabledByGroupPolicy в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfo со значением 1 (один).

Чтобы отключить параметр Позволить веб-сайтам предоставлять местную информацию за счет доступа к моему списку языков, выполните следующие действия.

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Создайте новый параметр реестра REG_DWORD с именем HttpAcceptLanguageOptOut в разделе HKEY_CURRENT_USER\Control Panel\International\User Profile со значением 1.

Чтобы выключить параметр Разрешить Windows отслеживать запуски приложений для улучшения меню "Пуск" и результатов поиска, выполните следующие действия.

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Создайте параметр реестра REG_DWORD с именем Start_TrackProgs в разделе HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced со значением 0 (ноль).

Windows Server 2016, Windows 10 версии 1607 и более ранние параметры

Чтобы отключить параметр Позволить приложениям использовать мой идентификатор получателя рекламы (если отключить этот параметр, идентификатор будет сброшен):

  • Отключите эту функцию в пользовательском интерфейсе.

    Примечание

    При отключении этой функции в пользовательском интерфейсе идентификатор получателя рекламы не только сбрасывается, но и отключается.

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Система > Профили пользователей > Отключить идентификатор получателя рекламы.

-или-

  • Создайте параметр реестра REG_DWORD с именем Enabled в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo со значением 0 (ноль).

    -или-

  • Создайте параметр реестра REG_DWORD с именем DisabledByGroupPolicy в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfo со значением 1 (один).

Чтобы отключить функцию Включить фильтр SmartScreen в Microsoft Defender для проверки веб-содержимого (URL-адресов), которое могут использовать приложения Microsoft Store, выполните указанные ниже действия.

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Создайте параметр реестра REG_DWORD с именем EnableWebContentEvaluation в разделе HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHost со значением 0 (ноль).

Чтобы отключить параметр Отправлять в Майкрософт мои сведения о написании, чтобы помочь в усовершенствовании функций печатного и рукописного ввода, выполните следующие действия.

Примечание

Если для диагностических данных выбран вариант Базовый или Безопасность, этот параметр отключается автоматически.

  • Отключите эту функцию в пользовательском интерфейсе.

Чтобы отключить параметр Позволить веб-сайтам предоставлять местную информацию за счет доступа к моему списку языков, выполните следующие действия.

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Создайте новый параметр реестра REG_DWORD с именем HttpAcceptLanguageOptOut в разделе HKEY_CURRENT_USER\Control Panel\International\User Profile со значением 1.

Чтобы отключить функцию Разрешить приложениям на других устройствах открывать приложения и продолжать работу с ними на этом устройстве выполните следующие действия.

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Отключите групповую политику: Конфигурация компьютера > Административные шаблоны > Система > Групповая политика > Продолжить использование на этом устройстве.

    -или-

  • Создайте параметр реестра REG_DWORD с именемEnableCdp в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System со значением 0 (ноль).

Чтобы отключить параметр Позволять приложениям на других моих устройствах использовать Bluetooth для открытия приложений и использования взаимодействия, аналогичного этому устройству:

  • Отключите эту функцию в пользовательском интерфейсе.

18.2. Расположение

В разделе Местоположение нужно выбрать, могут ли устройства получать доступ к датчикам, которые используют данные о местоположении, и определить, у каких приложений есть доступ к данным о местоположении устройства.

Чтобы отключить параметр Определение местоположения для этого устройства:

  • Нажмите кнопку Изменить в пользовательском интерфейсе.

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Расположение и датчики > Отключить расположение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем DisableLocation в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LocationAndSensors со значением 1 (один).

Чтобы отключить параметр Разрешить приложениям доступ к вашему местоположению:

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям Windows доступ к данным о местоположении и выберите в поле Выберите параметр вариант Принудительное отклонение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsAccessLocation в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два).

Чтобы отключить параметр Журнал местоположений:

  • Очистите журнал с помощью кнопки Очистить в пользовательском интерфейсе.

Чтобы отключить параметр Выберите приложения, которым будет разрешено использовать данные о вашем местоположении:

  • Отключите каждое приложение с помощью пользовательского интерфейса.

18.3. Камера

В разделе Камера вы можете выбрать, какие приложения могут получать доступ к камере устройства.

Чтобы отключить параметр Разрешить приложениям использовать камеру:

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям Windows доступ к камере.

    • В поле Выберите параметр выберите Принудительное отклонение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsAccessCamera в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два).

Чтобы отключить параметр Выбор приложений, которые могут использовать камеру:

  • Отключите эту функцию в пользовательском интерфейсе каждого приложения.

18.4. Микрофон

В разделе Микрофон вы можете выбрать, какие приложения могут получать доступ к микрофону устройства.

Чтобы отключить параметр Разрешить приложениям использовать микрофон:

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям Windows доступ к микрофону.

    • В поле Выберите параметр выберите Принудительное отклонение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsAccessMicrophone в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два)

Чтобы отключить параметр Выбор приложений, которые могут использовать микрофон:

  • Отключите эту функцию в пользовательском интерфейсе каждого приложения.

18.5 Уведомления

Отключение использования уведомлениями сети

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Меню "Пуск" и панель задач > Уведомления > Отключить использование уведомлениями сети

    -или-

  • Создайте параметр реестра REG_DWORD с именем NoCloudApplicationNotification в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications со значением 1 (один)

В разделе Уведомления можно также выбрать, какие приложения будут иметь доступ к уведомлениям.

Чтобы отключить параметр Разрешить приложениям доступ к уведомлениям, выполните следующие действия.

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям для Windows доступ к уведомлениям

    • В поле Выберите параметр выберите Принудительное отклонение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsAccessNotifications в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два)

18.6 Голосовые функции

В разделе Голосовые функции вы можете настроить следующие функциональные возможности:

Чтобы отключить режим диктовки, разговоры с Кортаной и другими приложениями, а затем запретить отправку голосового ввода в голосовых служб Майкрософт, выполните следующие действия.

  • Переведите переключатель Параметры -> Конфиденциальность -> Голосовые функции -> Распознавание речи в сети в положение Выключено

    -или-

  • Отключите групповую политику Конфигурация компьютера > Административные шаблоны > Панель управления > Региональные и языковые параметры > Разрешить пользователям включать веб-службы распознавания речи

    -или-

  • Создайте параметр реестра REG_DWORD с именем HasAccepted в разделе HKEY_CURRENT_USER\Software\Microsoft\Speech_OneCore\Settings\OnlineSpeechPrivacy со значением 0 (ноль)

Если вы используете операционную систему Windows 10 версии 1703 и выше, включая Windows 10 версии 1803, вы можете отключить обновления моделей распознавания речи и синтеза речи.

  • Отключите групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Голосовые функции > Разрешить автоматическое обновление данных речи

    -или-

  • Создайте параметр реестра REG_DWORD с именем AllowSpeechModelUpdate в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Speech со значением 0 (ноль)

18.7 Сведения об учетной записи

В разделе Сведения об учетной записи вы можете выбрать, какие приложения могут получать доступ к имени, аватару и другим сведениям об учетной записи.

Чтобы отключить параметр Разрешить приложениям получать доступ к моему имени, аватару и другим сведения об учетной записи:

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям Windows доступ к данным учетной записи.

    • В поле Выберите параметр выберите Принудительное отклонение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsAccessAccountInfo в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два).

Чтобы отключить параметр Выберите приложения, которые могут получить доступ к сведениям об учетной записи:

  • Отключите эту функцию в пользовательском интерфейсе каждого приложения.

18.8. Контакты

В разделе Контакты вы можете выбрать, какие приложения могут получать доступ к списку контактов сотрудника.

Чтобы отключить параметр Выберите приложения, которые могут получить доступ к контактам:

  • Отключите эту функцию в пользовательском интерфейсе каждого приложения.

    -или-

  • Примените групповую политику: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям для Windows доступ к контактам.

    • В поле Выберите параметр выберите Принудительное отклонение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsAccessContacts в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два).

18.9 Календарь

В разделе Календарь вы можете выбрать, какие приложения получают доступ к календарю сотрудника.

Чтобы отключить параметр Разрешить приложениям доступ к календарю:

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям для Windows доступ к календарю. В поле Выберите параметр выберите Принудительное отклонение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsAccessCalendar в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два).

Чтобы отключить параметр Выберите приложения, которые могут получить доступ к календарю:

  • Отключите эту функцию в пользовательском интерфейсе каждого приложения.

18.10. Журнал вызовов

В разделе Журнал вызовов вы можете выбрать, какие приложения могут получать доступ к журналу вызовов сотрудника.

Чтобы отключить параметр Разрешить приложениям доступ к журналу вызовов:

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям для Windows доступ к журналу вызовов.

    • В поле Выберите параметр выберите Принудительное отклонение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsAccessCallHistory в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два).

18.11 Электронная почта

В разделе Электронная почта вы можете выбрать, какие приложения могут получать доступ к электронной почте и отправлять сообщения.

Чтобы отключить параметр Разрешить приложениям получать доступ к электронной почте и отправке сообщений:

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям для Windows доступ к электронной почте.

    • В поле Выберите параметр выберите Принудительное отклонение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsAccessEmail в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два).

18.12 Сообщения

В разделе Обмен сообщениями вы можете выбрать, какие приложения могут читать или отправлять сообщения.

Чтобы отключить параметр Разрешить приложениям читать или отправлять сообщения (текстовые или MMS):

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям Windows доступ к сообщениям.

    • В поле Выберите параметр выберите Принудительное отклонение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsAccessMessaging в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два).

Чтобы отключить параметр Выберите приложения, которые могут читать или отправлять сообщения:

  • Отключите эту функцию в пользовательском интерфейсе каждого приложения.

Отключение синхронизации сообщений

  • Создайте параметр реестра REG_DWORD с именем AllowMessageSync в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Messaging и установите значение 0 (ноль).

    -или-

  • Примените групповую политику: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Сообщения

    • Установите для параметра Разрешить синхронизацию службы обмена сообщениями через облако значение Отключить.

18.13 Телефонные звонки

В разделе Телефонные звонки вы можете выбрать, какие приложения могут совершать телефонные звонки.

Чтобы отключить параметр Разрешить приложениям совершать телефонные звонки, выполните следующее.

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям для Windows совершать телефонные звонки и выберите в поле Выберите параметр значение Принудительное отклонение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsAccessPhone в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два).

Чтобы отключить параметр Выберите приложения, которые могут совершать телефонные звонки, выполните следующее.

  • Отключите эту функцию в пользовательском интерфейсе каждого приложения.

18.14 Радиомодули

В разделе Радиомодули вы можете выбрать, какие приложения могут включать или отключать радиомодуль устройства.

Чтобы отключить параметр Разрешить приложениям управлять радиомодулями:

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям для Windows управлять радиомодулями и выберите в поле Выберите параметр значение Принудительное отклонение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsAccessRadios в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два).

Чтобы отключить параметр Выберите приложения, которые могут управлять радиомодулями:

  • Отключите эту функцию в пользовательском интерфейсе каждого приложения.

18.15. Другие устройства

В разделе Другие устройства вы можете выбрать, могут ли устройства, не связанные с компьютерами, например Xbox One, делиться информацией и синхронизировать ее.

Чтобы отключить параметр Разрешить приложениям автоматически делиться информацией и синхронизировать ее с беспроводными устройствами, которые не связаны явным образом с вашим компьютером, планшетом или телефоном:

  • Отключите эту возможность в пользовательском интерфейсе, перейдя в меню "Параметры > Конфиденциальность и безопасность > Другие устройства > Обмен данными с несвязанными устройствами" "Разрешить приложениям автоматически делиться информацией и синхронизировать ее с беспроводными устройствами, которые не связаны явным образом с вашим компьютером, планшетом или телефоном" и отключите этот параметр.

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям для Windows обмениваться данными с несвязанными устройствами и выберите в поле Выберите параметр значение Принудительное отклонение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsSyncWithDevices в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два).

Чтобы отключить параметр Разрешить приложениям использовать надежные устройства (оборудование, которое вы уже подключили к компьютеру, планшету или телефону или которое поставляется с ними):

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям для Windows доступ к доверенным устройствам и выберите в поле Выберите параметр значение Принудительное отклонение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsAccessTrustedDevices в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два).

18.16 Отзывы и диагностика

В разделе Отзывы и диагностика вы можете выбрать, насколько часто у вас следует запрашивать отзывы, и задать объем диагностических сведений и сведений об использовании, отправляемых в Microsoft. Если вы ищете информацию о том, что означает каждый уровень диагностических данных, и о способах его настройки в вашей организации, прочитайте статью Настройка диагностических данных Windows в организации.

Примечание

Частота формирования отзывов относится только к отзывам пользователя и не связана с частотой отправки диагностических сведений и данных об использовании с устройства.

Чтобы изменить периодичность, с которой система Windows должна запрашивать мои отзывы:

  • Чтобы изменить вариант Автоматически (рекомендуется) на другой, используйте раскрывающийся список в пользовательском интерфейсе.

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Сбор данных и предварительные сборки > Не показывать уведомления об отзывах

    -или-

  • Создайте параметр реестра REG_DWORD с именем DoNotShowFeedbackNotifications в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection со значением 1 (один).

    -или-

  • Создайте разделы реестра (типа REG_DWORD):

    • HKEY_CURRENT_USER\Software\Microsoft\Siuf\Rules\PeriodInNanoSeconds

    • HKEY_CURRENT_USER\Software\Microsoft\Siuf\Rules\NumberOfSIUFInPeriod

      На основе этих параметров:

      Параметр PeriodInNanoSeconds NumberOfSIUFInPeriod
      Автоматически Удалите параметр реестра Удалите параметр реестра
      Никогда 0 0
      Всегда 100000000 Удалите параметр реестра
      Один раз в день 864000000000 1
      Один раз в неделю 6048000000000 1

Чтобы изменить уровень отправляемых диагностических сведений и сведений об использовании при использовании функции Отправка данных об устройстве корпорации Майкрософт:

  • Щелкните вариант Обязательные (базовые) или Необязательные (полные).

    -или-

  • Примените групповую политику Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Сбор данных и предварительные сборки\Разрешить телеметрию и установите для нее значение 0.

    -или-

  • Создайте параметр реестра REG_DWORD в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection\AllowTelemetry со значением 0.

Примечание

Если параметр Безопасность настроен с помощью групповой политики или реестра, значение не будет отображаться в пользовательском интерфейсе. Параметр Безопасность доступен только в выпуске Windows 10 и Windows 11 Корпоративная.

Чтобы выключить специализированные возможности с соответствующими советами и рекомендациями, для которых используются данные диагностики, выполните следующее.

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Содержимое облака > Выключить возможности потребителя Майкрософт

    -или-

  • Создайте параметр реестра REG_DWORD с именем DisableWindowsConsumerFeatures в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CloudContent со значением 1

    -и-

  • Примените групповую политику Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Содержимое облака > Не использовать данные диагностики для настроенных возможностей

    -или-

  • Создайте параметр реестра REG_DWORD с именем DisableTailoredExperiencesWithDiagnosticData в разделе HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CloudContent со значением 1 (один)

18.17 Фоновые приложения

В разделе Фоновые приложения вы можете выбрать, какие приложения могут работать в фоновом режиме.

Чтобы отключить параметр Разрешить приложениям работать в фоновом режиме:

  • На странице параметров Приложения в фоновом режиме выберите для параметра Разрешить приложениям работать в фоновом режиме значение Выкл..

    -или-

  • На странице параметров фоновых приложений отключите функцию для каждого приложения.

-или-

  • Примените групповую политику (применимо только в Windows 10 версии 1703 и более поздней и Windows 11) Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям для Windows работать в фоновом режиме и установите в поле Выберите параметр значение Принудительное отклонение.

    -или-

  • Создайте параметр REG_DWORD с именем LetAppsRunInBackground в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два)

Примечание

Некоторые приложения, в том числе Кортана и Поиск, могут работать не так, как ожидалось, если выбрать для параметра Разрешить приложениям работать в фоновом режиме значение Принудительное отклонение.

18.18 Перемещение

В разделе Перемещение можно выбрать, какие приложения будут иметь доступ к данным о движении.

Отключение параметра Позволить Windows и приложениям использовать данные о перемещении и собирать историю перемещений.

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям для Windows доступ к данным о перемещении и установите для параметра По умолчанию для всех приложений значение Принудительное отклонение

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsAccessMotion в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два).

18.19. Задачи

В разделе Задачи можно выбрать, какие приложения будут иметь доступ к вашим задачам.

Чтобы выключить этот параметр, выполните следующее.

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям для Windows доступ к задачам. В поле Выберите параметр выберите Принудительное отклонение.

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsAccessTasks в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два).

18.20. Диагностика приложений

В разделе Диагностика приложений можно выбрать, какие приложения будут иметь доступ к данным диагностики.

Чтобы выключить этот параметр, выполните следующее.

  • Отключите эту функцию в пользовательском интерфейсе.

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложений > Разрешить приложениям для Windows доступ к диагностическим сведениям о других приложениях

    -или-

  • Создайте параметр реестра REG_DWORD с именем LetAppsGetDiagnosticInfo в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два).

18.21 Рукописный ввод и ввод с клавиатуры

В разделе Рукописный ввод и ввод с клавиатуры можно настроить следующие функциональные возможности.

Отключение сбора данных рукописного ввода и ввода с клавиатуры:

  • В пользовательском интерфейсе перейдите в раздел Параметры -> Конфиденциальность -> Отзывы и диагностика -> Улучшение рукописного ввода и ввода с клавиатуры и установите для этого параметра значение Откл.

    -ИЛИ-

    Отключите групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Ввод текста > Улучшение распознавания рукописного ввода и ввода с клавиатуры

    -и-

    Отключите групповую политику: Конфигурация компьютера > Административные шаблоны > Панель управления > Язык и региональные стандарты > Персонализация рукописного текста > Отключить автоматическое обучение

    -ИЛИ-

  • Установите для параметра реестра REG_DWORD RestrictImplicitTextCollection в разделе HKEY_CURRENT_USER\Software\Microsoft\InputPersonalization значение 1 (один)

    -и-

  • Установите для параметра реестра REG_DWORD RestrictImplicitInkCollection в разделе HKEY_CURRENT_USER\Software\Microsoft\InputPersonalization значение 1 (один)

18.22 Журнал действий

В разделе Журнал действий можно отключить ведение журнала действий.

Чтобы отключить этот параметр в пользовательском интерфейсе, выполните указанные ниже действия.

  • Отключите эту функцию в пользовательском интерфейсе, перейдя в меню "Параметры" -> "Конфиденциальность" -> "Журнал действий" и снимите флажки Сохранить мой журнал активности на этом устройстве И**** Отправить мой журнал активности в Microsoft

-ИЛИ-

  • Отключите групповую политику Конфигурация компьютера > Административные шаблоны > Система > Политики ОС под названием Включить ленту действий

    -и-

  • Отключите групповую политику Конфигурация компьютера > Административные шаблоны > Система > Политики ОС под названием Разрешить публикацию действий пользователя

    -и-

  • Отключите групповую политику Конфигурация компьютера > Административные шаблоны > Система > Политики ОС > Разрешить загрузку действий пользователя

-ИЛИ-

  • Создайте параметр реестра REG_DWORD с именем EnableActivityFeed в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System со значением 0 (ноль)

    -и-

  • Создайте параметр реестра REG_DWORD с именем PublishUserActivities в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System со значением 0 (ноль)

    -и-

  • Создайте параметр реестра REG_DWORD с именем UploadUserActivities в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System со значением 0 (ноль)

18.23 Голосовая активация

В разделе Голосовая активация можно запретить приложениям прослушивать ключевое слово голосовой команды.

Чтобы отключить этот параметр в пользовательском интерфейсе, выполните указанные ниже действия.

  • Отключите эту функцию в пользовательском интерфейсе, перейдя в меню Параметры -> Конфиденциальность -> Голосовая активация и отключив параметр Разрешить приложениям использовать голосовую активацию И**** параметр Разрешить приложениям использовать голосовую активацию, когда это устройство заблокировано

-ИЛИ-

  • Включите групповую политику: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложения > Разрешить голосовую активацию приложений для Windows и в поле Выберите параметр установите значение Принудительное отклонение

    -и-

  • Включите групповую политику: в поле Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложения > Разрешить голосовую активацию приложений для Windows при заблокированной системе установите значение Принудительное отклонение

-ИЛИ-

  • Создайте параметр реестра REG_DWORD с именем LetAppsActivateWithVoice в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два)

    -и-

  • Создайте параметр реестра REG_DWORD с именем LetAppsActivateWithVoiceAboveLock в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy со значением 2 (два)

19. Платформа защиты программного обеспечения

Корпоративные клиенты могут управлять состоянием активации Windows с корпоративным лицензированием, используя локальный сервер управления ключами (KMS). Вы можете отказаться от автоматической отправки данных об активации клиента с помощью KMS в Microsoft, выполнив одно из следующих действий.

В Windows10 и Windows11:

  • Включите групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Платформа защиты программного обеспечения > Отключить проверку клиента с автоматической синхронизацией версий по Интернету, осуществляемую с помощью сервера управления ключами

    -или-

  • Создайте параметр реестра REG_DWORD с именем NoGenTicket в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection Platform со значением 1 (один).

Для Windows Server 2019 или более поздней версии:

  • Включите групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Платформа защиты программного обеспечения > Отключить проверку клиента с автоматической синхронизацией версий по Интернету, осуществляемую с помощью сервера управления ключами

    -или-

  • Создайте параметр реестра REG_DWORD с именем NoGenTicket в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection Platform со значением 1 (один).

Для Windows Server 2016

  • Создайте параметр реестра REG_DWORD с именем NoAcquireGT в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection Platform со значением 1 (один).

Примечание

В связи с известной проблемой групповая политика Отключить проверку клиента с автоматической синхронизацией версий по Интернету, осуществляемую с помощью сервера управления ключами не работает должным образом в Windows Server 2016. Вместо этого необходимо установить значение NoAcquireGT. Состояние активации Windows действительно в течение периода обработки продолжительностью 180 дней, а результаты еженедельных проверок состояния активации отправляются на сервер KMS.

20. Работоспособность хранилища

Корпоративные клиенты могут управлять обновлениями модели прогнозирования сбоев дисков.

В Windows10 и Windows11:

  • Отключите групповую политику Конфигурация компьютера > Административные шаблоны > Система > Работоспособность хранилища > Разрешить скачивать обновления в модель прогнозирования сбоев диска

    -или-

  • Создайте параметр реестра REG_DWORD с именем AllowDiskHealthModelUpdates в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\StorageHealth со значением 0.

21. Синхронизация параметров

Вы можете выбирать, будут ли синхронизироваться параметры.

  • В пользовательском интерфейсе: Параметры > Учетные записи > Синхронизация параметров

    -или-

  • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Синхронизация параметров > Не синхронизировать. Не устанавливайте флажок "Разрешить пользователям включать синхронизацию".

    -или-

  • Создайте параметр реестра REG_DWORD с именем DisableSettingSync в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SettingSync со значением 2 (два) и еще один параметр с именем DisableSettingSyncUserOverride в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SettingSync со значением 1 (один).

Выключение синхронизации сообщений с облаком:

  • Создайте параметр реестра REG_DWORD с именем CloudServiceSyncEnabled в разделе HKEY_CURRENT_USER\SOFTWARE\Microsoft\Messaging и установите значение 0 (ноль).

    Примечание

    Групповая политика, соответствующая этому разделу реестра, отсутствует.

22. Teredo

Вы можете отключить Teredo с помощью групповой политики или с помощью команды netsh.exe. Дополнительные сведения о Teredo см. в разделе Протокол Интернета версии 6, Teredo и связанные технологии.

Примечание

Если вы отключите Teredo, некоторые возможности игр для XBOX и оптимизация доставки (с помощью группы или интернет-пиринга) не будут работать.

  • Примените групповую политику Конфигурация компьютера > Административные шаблон > Сеть > Параметры TCP/IP > Технологии туннелирования IPv6 > Установить состояние Teredo и присвойте параметру значение Отключенное состояние.

    -или-

  • Создайте новый параметр реестра REG_SZ с именем Teredo_State в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\TCPIP\v6Transition со значением Отключено.

23. Контроль Wi-Fi

Важно!

Начиная с Windows 10 версии 1803 функция "Контроль Wi-Fi" больше не доступна. Следующий раздел относится только к Windows 10 версии 1709 и более ранних версий. Дополнительные сведения см. в разделе Подключение к открытым хот-спотам Wi-Fi в Windows 10 .

Контроль Wi-Fi автоматически подключает устройства к известным хот-спотам и беспроводным сетям, к которым пользователю предоставили доступ его контакты.

Чтобы отключить параметры Подключаться к предлагаемым открытым хот-спотам и Подключаться к сетям, доступ к которым предоставили мои контакты:

  • Отключите функцию в пользовательском интерфейсе в меню "Параметры" > "Сеть и Интернет" > Wi-Fi

    -или-

  • Отключите групповую политику Конфигурация компьютера > Административные шаблоны > Сеть > Служба WLAN > Параметры WLAN > Разрешить Windows автоматически подключаться к предложенным открытым хот-спотам, к сетям, доступ к которым предоставили контакты, и к хот-спотам, предлагающим платные услуги.

    -или-

  • Создайте новый параметр реестра REG_DWORD с именем AutoConnectAllowedOEM в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WcmSvc\wifinetworkmanager\config со значением 0 (ноль).

Если параметры Контроля Wi-Fi отключены, они все равно будут отображаться на экране "Параметры Wi-Fi", но будут неактивны и сотрудник не сможет управлять ими.

24. Антивирусная программа в Microsoft Defender

Вы можете отключиться от службы защиты Microsoft Antimalware.

Важно!

Действия, которые необходимо выполнить ПЕРЕД настройкой групповой политики антивирусной программы в Microsoft Defender или раздела реестра в Windows 10 версии 1903

  1. Убедитесь, что Windows и антивирусная программа в Microsoft Defender полностью обновлены.
  2. Выполните поиск в меню "Пуск" по запросу "Защита подделки", щелкнув значок поиска рядом с кнопкой "Пуск". Затем прокрутите список вниз до переключателя "Защита от подделок и переключите его в положение "Выкл.". Это позволит вам изменить раздел реестра и задать параметр групповой политики. Кроме того, вы можете перейти в раздел Параметры безопасности Windows -> Защита от вирусов и угроз, щелкните ссылку "Управление параметрами", а затем прокрутите список вниз до переключателя "Защита от подделок" и установите его в положение Выкл.
  • Включите групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа в Microsoft Defender > MAPS > Присоединиться к Microsoft MAPS, а затем выберите Отключено из раскрывающегося списка Присоединение к Microsoft MAPS

-ИЛИ-

  • В реестре установите значение параметра REG_DWORD HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet\SpyNetReporting равным 0 (нулю).

    -и-

  • Удалите параметр реестра, указанный в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Updates.

Вы можете перестать отправлять образцы файлов обратно в Майкрософт.

  • Включите групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа в Microsoft Defender > MAPS > Отправлять образцы файлов, если требуется дальнейший анализ и задайте для нее значение Никогда не отправлять.

    -или-

  • В реестре установите для параметра REG_DWORD HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet\SubmitSamplesConsent значение 2 (Никогда не отправлять).

Вы можете перестать скачивать обновления определений.

Примечание

Путь к групповой политике для сборки 1809 и более ранних сборок: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа в Microsoft Defender > Обновления подписи.

  • Включите групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа в Microsoft Defender > Обновления механизма обнаружения угроз > Определить порядок источников для загрузки обновлений определений и задайте для нее значение FileShares.

    -и-

  • Отключите групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа в Microsoft Defender > Обновления механизма обнаружения угроз > Определить файловые ресурсы для загрузки обновлений определений и задайте для нее значение Отсутствует.

    -или-

  • Создайте новый параметр реестра REG_SZ с именем FallbackOrder в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates со значением FileShares.

    -и-

  • Удалите параметр реестра DefinitionUpdateFileSharesSources (если он существует) в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates

Вы можете отключить Диагностические данные, собираемые с помощью средства сообщения о вредоносных программах.

  • Задайте для параметра REG_DWORD HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MRT\DontReportInfectionInformation значение 1.

    Примечание

    Групповая политика для отключения диагностических данных, собираемых с помощью средства сообщения о вредоносных программах, отсутствует.

Вы можете отключить Расширенные уведомления следующим образом.

  • В пользовательском интерфейсе перейдите в раздел "Параметры" -> "Обновление и безопасность" -> "Безопасность Windows" -> "Защита от вирусов и угроз" -> "Управление параметрами", прокрутите вниз до пункта "Уведомления", щелкните "Изменить параметры уведомлений" -> "Уведомления" -> "Управление уведомлениями" -> "Отключить общие уведомления".

    -или-

  • Включите групповую политику Отключить расширенные уведомления в разделе Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа в Microsoft Defender > Отчеты.

    -или-

  • Создайте новый параметр реестра REG_DWORD с именем DisableEnhancedNotifications в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Reporting и введите десятичное значение 1.

24.1 Фильтр SmartScreen в Microsoft Defender

Отключение фильтра SmartScreen в Microsoft Defender:

В групповой политике настройте следующие параметры:

  • Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Фильтр SmartScreen Защитника Windows > Explorer > Настройка фильтра SmartScreen Защитника WindowsОтключено.

    -и-

  • Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Проводник > Настройка фильтра SmartScreen Защитника WindowsОтключено

    -и-

  • Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Фильтр SmartScreen Защитника windows > Explorer > Настройка управления установкой приложенийВключено и выберите пункт Отключить рекомендации приложений

-ИЛИ-

  • Создайте параметр реестра REG_DWORD с именем EnableSmartScreen в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System со значением 0 (ноль).

    -и-

  • Создайте параметр реестра REG_DWORD с именем ConfigureAppInstallControlEnabled в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SmartScreen со значением 1.

    -и-

  • Создайте параметр реестра SZ с именем ConfigureAppInstallControl в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SmartScreen со значением Anywhere.

25. Windows: интересное

Параметр "Windows: интересное" обеспечивает такие возможности, как разные фоновые изображения и текст на экране блокировки, рекомендации приложений, уведомления учетной записи Майкрософт, советы Windows. Вы можете управлять их отображением с помощью пользовательского интерфейса либо через групповую политику.

Если вы используете Windows 10 версии 1607 или более поздней и Windows 11, вам необходимо выполнить следующие действия:

  • Примените следующую групповую политику: Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Содержимое облака > Отключение всех функций "Windows: интересное"

    Примечание

    Это необходимо сделать в течение 15 минут после установки Windows 10 или Windows 11. Кроме того, можно создать образ с этим параметром.

    -или-

  • Создайте новый параметр реестра REG_DWORD с именем DisableWindowsSpotlightFeatures в разделе HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CloudContent со значением 1 (один).

-И-

  • Примените следующую групповую политику: Конфигурация компьютера > Административные шаблоны > Панель управления > Персонализация > Запрет отображения экрана блокировки

    -или-

  • Создайте новый параметр реестра REG_DWORD NoLockScreen в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization со значением 1 (один)

-И-

  • Настройте в пользовательском интерфейсе раздела Параметры следующее:

    • Персонализация > Экран блокировки > Фон > Windows: интересное. Выберите другой фон и отключите Отображать забавные факты, шутки, подсказки и другую информацию на экране блокировки

    • Персонализация > Пуск > Иногда показывать рекомендации в меню "Пуск"

    • Система > Уведомления и действия > Отображать советы по работе с Windows

    -или-

  • Примените групповые политики:

    • Примените групповую политику Конфигурация компьютера > Административные шаблоны > Панель управления > Персонализация > Применить конкретное изображение экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию.
      • Добавьте расположение C:\windows\web\screen\lockscreen.jpg в поле Путь к локальному изображению экрана блокировки.

      • Установите флажок Не показывать забавные факты, советы, подсказки и другую информацию на экране блокировки.

        Примечание

        Это изменение вступит в силу, только если политика была применена перед первым входом в систему. Если перед первым входом в устройство не удается применить политику Применение определенного изображения для экрана блокировки по умолчанию, можно Применить политику Запрет отображения экрана блокировки в разделе Конфигурация компьютера > Административные шаблоны > Панель управления > Персонализация

        Кроме того, вы можете создать новый параметр реестра REG_SZ с именем LockScreenImage в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization со значением C:\windows\web\screen\lockscreen.jpg и создать новый параметр реестра REG_DWORD с именем LockScreenOverlaysDisabled в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization со значением 1 (один).

        Групповая политика для раздела LockScreenOverlaysDisabledПрименить конкретное изображение экрана блокировки и экрана входа в систему, которое будет использоваться по умолчанию, которая находится в разделе Панель управления Персонализация.

    -И-

    • Установите для групповой политики Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Содержимое облака > Не показывать советы по использованию Windows параметр Включено

      -или-

    • Создайте новый параметр реестра REG_DWORD с именем DisableSoftLanding в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CloudContent со значением 1 (один)

    -И-

    • Задайте для групповой политики Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Содержимое облака > Выключение возможностей потребителя Microsoft параметр Включено

      -или-

    • Создайте новый параметр реестра REG_DWORD с именем DisableWindowsConsumerFeatures в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CloudContent со значением 1 (один)

Этот параметр политики определяет, отображается ли экран блокировки для пользователей. Чтобы отключить экран блокировки для групповой политики "Запрет отображения экрана блокировки" должен быть задан параметр "Включено". Групповая политика "Конфигурация компьютера\Административные шаблоны\Панель управления\Персонализация\Запрет отображения экрана блокировки.

Если включить этот параметр политики, пользователи, которым не требуется нажимать клавиши CTRL + ALT + DEL для выполнения входа в систему, увидят выбранную плитку после блокировки компьютера.

Если этот параметр политики отключен или не настроен, пользователи, которым не требуется нажимать клавиши CTR +ALT+DEL для выполнения входа в систему, будут видеть экран блокировки после блокировки своего компьютера. Они могут убрать экран блокировки, используя сенсорный ввод, клавиатуру или перетаскивание мышью.

Дополнительные сведения см. в статье «Windows: интересное» на экране блокировки.

26. Microsoft Store

Вы можете отключить возможность запуска приложений из Microsoft Store, которые были предустановлены или скачаны. При этом также будут отключены автоматические обновления приложений и Microsoft Store. Кроме того, невозможно создать новые учетные записи электронной почты в меню Параметры > Учетные записи > Учетные записи электронной почты и приложений > Добавить учетную запись. В Windows Server 2016 это будет блокировать вызовы Microsoft Store из универсальных приложений для Windows.

  • Отключите групповую политику Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Store > Отключить все приложения из Microsoft Store.

    -или-

  • Создайте новый параметр реестра REG_DWORD с именем DisableStoreApps в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore со значением 1 (один).

-И-

  • Примените групповую политику: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Store > Отключить автоматическое скачивание и установку обновлений.

    -или-

  • Создайте новый параметр реестра REG_DWORD с именем AutoDownload в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore со значением 2 (два).

27. Приложения для веб-сайтов

Можно отключить приложения для веб-сайтов, что пользователи, которые посещают веб-сайты, зарегистрированные с помощью связанного приложения, не могли напрямую запустить это приложение.

  • Отключите групповую политику: Конфигурация компьютера > Административные шаблоны > Система > Групповая политика > Настроить привязку приложений к Интернету с помощью обработчиков URI

    -или-

  • Создайте новый параметр реестра REG_DWORD с именем EnableAppUriHandlers в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System со значением 0 (ноль).

28. Оптимизация доставки

Оптимизация доставки — это загрузчик обновлений Windows, приложений Microsoft Store, Office и другого контента от корпорации Майкрософт. Оптимизация доставки также может выполнять скачивание не только от Майкрософт, но и из других источников. Таким образом устраняется зависимость от ограниченного или ненадежного подключения к Интернету, а также сокращается потребление полосы пропускания для поддержания всех компьютеров организации в актуальном состоянии. Если включен одноранговый параметр оптимизации доставки, компьютеры в сети могут отправлять обновления и приложения на другие компьютеры в локальной сети (если вы выберите этот вариант) или Интернете, а также получать с них то же самое.

По умолчанию на компьютерах под управлением Windows 10 или Windows 11 оптимизация доставки используется только для скачивания и получения обновлений для компьютеров и приложений в локальной сети.

Чтобы настроить оптимизацию доставки, используйте пользовательский интерфейс, групповую политику или разделы реестра.

В Windows 10 версии 1607 и более поздних версий и Windows 11 вы можете остановить сетевой трафик, связанный с облачной службой оптимизации доставки, установив для параметра Режим скачивания значение Простой режим (99) в соответствии с приведенным ниже описанием.

28.1 "Параметры" > "Обновление и безопасность"

Вы можете настроить одноранговую оптимизацию доставки с помощью пользовательского интерфейса Параметры.

  • Выберите элементы Параметры > Обновление и безопасность > Центр обновления Windows > Дополнительные параметры > Выберите, как и когда получать обновления.

28.2 Групповые политики оптимизации доставки

Чтобы найти объекты групповой политики оптимизации доставки, выберите элементы Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Оптимизация доставки.

Политика Описание
Режим скачивания Позволяет выбрать, откуда при оптимизации доставки скачиваются обновления и приложения, а также куда они отправляются. Допустимые значения:
  • Нет. Отключает оптимизацию доставки.

  • Группа. Получает обновления и приложения с компьютеров в том же локальном сетевом домене и отправляет обновления и приложения на эти компьютеры.

  • Интернет. Получает обновления и приложения с компьютеров в Интернете и отправляет обновления и приложения на эти компьютеры.

  • Локальная сеть. Получает обновления и приложения с компьютеров, подключенных к тому же устройству с функцией преобразования сетевых адресов (NAT), и отправляет обновления и приложения на эти компьютеры.

  • Простой. Простой режим загрузки без использования одноранговых клиентов.

  • Обход. Использование BITS вместо оптимизации доставки из Центра обновления Windows. Установите режим "Обход" для ограничения трафика.

Идентификатор группы Позволяет указать идентификатор группы, который ограничивает компьютеры, способные распространять приложения и обновления.
Примечание. В качестве идентификатора необходимо использовать GUID.
Максимальный срок хранения в кэше Позволяет указать максимальный промежуток времени (в секундах), в течение которого файл хранится в кэше оптимизации доставки.
Значение по умолчанию: 259 200 секунд (3 дня).
Максимальный размер кэша Позволяет указать максимальный размер кэша в процентах от размера диска.
Значение по умолчанию: 20 (т. е. 20 % диска).
Максимальная пропускная способность при выкладывании Позволяет указать максимальную пропускную способность при выкладывании (в КБ/с), используемую устройством для всех параллельных действий по выкладыванию.
Значение по умолчанию — 0, что означает неограниченную возможную пропускную способность.

Полный список политик оптимизации доставки см. в справочнике по оптимизации доставки.

28.3 Оптимизация доставки

  • Примените групповую политику Режим скачивания в разделе Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Оптимизация доставки и установите для параметра Режим скачивания значение Простой режим (99), чтобы запретить передачу трафика между узлами, а также обратную отправку трафика в облачную службу оптимизации доставки.

-или-

  • Создайте новый параметр реестра REG_DWORD с именем DODownloadMode в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization со значением 99 (девяносто девять).

Общие дополнительные сведения об оптимизации доставки см. в статье Оптимизация доставки из Центра обновления Windows: вопросы и ответы.

Сведения для ИТ-специалистов об оптимизации доставки см. в разделе Оптимизация доставки для устройств с Windows 10.

29. Центр обновления Windows

Вы можете отключить клиентский компонент Центра обновления Windows, добавив в реестр следующие записи:

  • Добавьте параметр REG_DWORD с именем DoNotConnectToWindowsUpdateInternetLocations в раздел HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate со значением 1.

    -и-

  • Добавьте параметр REG_DWORD с именем DisableWindowsUpdateAccess в раздел HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate и установите значение 1.

    -и-

  • Добавьте параметр REG_SZ с именем WUServer в раздел HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate и оставьте его пустым с символом пробела: " ".

    -и-

  • Добавьте параметр REG_SZ с именем WUStatusServer в раздел HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate и оставьте его пустым с символом пробела: " ".

    -и-

  • Добавьте параметр REG_SZ с именем UpdateServiceUrlAlternate в раздел HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate и оставьте его пустым с символом пробела " ".

    -и-

  • Добавьте параметр REG_DWORD с именем UseWUServer в раздел HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU и задайте для него значение 1 (один).

-ИЛИ-

  • Установите для групповой политики Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Не подключаться к расположениям Центра обновления Windows в Интернете значение Включено

    -и-

  • Установите для групповой политики Конфигурация компьютера > Административные шаблоны > Система > Управление связью через Интернет > Параметры связи через Интерне > Отключить доступ ко всем возможностям Центра обновления Windows значение Включено

    -и-

  • Установите для групповой политики Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Указать размещение службы обновлений Майкрософт в интрасети значение Включено и убедитесь, что для всех параметров (Служба обновлений в интрасети, Сервер статистики в интрасети, Альтернативный сервер скачивания) установлено значение " "

    -и-

  • Задайте для групповой политики Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Запретить доступ для использования любых средств Центра обновления Windows значение Включено, а затем установите для параметра Конфигурации компьютера значение 0 (ноль).

Вы можете отключить автоматическое обновление, выполнив указанные ниже действия. Делать это не рекомендуется.

  • Добавьте параметр REG_DWORD с именем AutoDownload а раздел HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate и установите значение 5.

Для китайских выпусков Windows 10 имеется дополнительный раздел реестра, который необходимо настроить для предотвращения передачи трафика:

  • Добавьте параметр REG_DWORD с именем HapDownloadEnabled в раздел HKEY_LOCAL_MACHINE\Software\Microsoft\LexiconUpdate\loc_0804 и установите значение 0 (ноль).

30. Облачный буфер обмена

Указывает, перемещаются ли элементы буфера обмена между устройствами. Если это разрешено, элемент, скопированный в буфер обмена, передается в облако, чтобы другие устройства могли получить к нему доступ. Элементы буфера обмена в облаке можно скачать и вставить на устройства с Windows 10 и Windows 11.

Самое ограниченное значение — 0.

Информация ADMX:

  • Имя групповой политики на русском: Разрешить синхронизацию буфера обмена между устройствами
  • Имя групповой политики: AllowCrossDeviceClipboard
  • Путь групповой политики: Системные/ОС политики
  • Имя файла групповой политики ADMX: OSPolicy.admx

В следующем списке показаны поддерживаемые значения:

  • 0 — не разрешено
  • 1 (по умолчанию) — разрешено

31. Конфигурация служб

Конфигурация служб используется компонентами и приложениями Windows, такими как служба телеметрии, для динамического обновления их конфигурации. Если отключить эту службу, приложения, использующие ее, могут перестать работать.

Вы можете отключить конфигурацию служб, установив следующие записи реестра:

Добавьте параметр REG_DWORD с именем DisableOneSettingsDownloads в раздел HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection и установите значение 1.

Список разрешенных видов трафиков для Базового плана ограниченной функциональности трафика Windows

Разрешенные конечные точки трафика
activation-v2.sls.microsoft.com/*
crl.microsoft.com/pki/crl/*
ocsp.digicert.com/*
www.microsoft.com/pkiops/*

Дополнительные сведения см. в разделах Управление обновлением устройств и Настройка автоматического обновления с помощью групповой политики.