Настройка безопасности предприятия виртуальные IP уровня 3

Область применения

  • Windows 10

Уровень 3 — это параметры безопасности, рекомендуется использовать в качестве стандартной для организаций с большими и сложных безопасности организации, или для отдельных пользователей и групп, которым однозначно целевые злоумышленники следы. Такие организации как правило, предназначены, хорошо поддержке или сложных злоумышленники следы и как такой достоинствах дополнительные ограничения и элементы управления описанных здесь. Уровень 3 конфигурации следует включать все конфигурации на уровне 4 и 5 и добавьте следующие политики безопасности, элементы управления и организационных поведений.

Политики

Политики, применяемые на уровне 3 реализации элементов управления и настройка строгой безопасности. Они могут иметь потенциально сказаться пользователям или приложениям, применять более уровень безопасности сопряжено с риски к целевой организации. Корпорация Microsoft рекомендует дисциплинарном порядке, тестирования и развертывания с помощью методологию кругов.

Шаблон политики безопасности

Функция Параметр политики Значение политики Описание
Блокировки учетной записи Продолжительность блокировки учетной записи 15 Прежде чем будет автоматически разблокирована количество минут, который остается заблокированной учетной записи заблокирована.
Блокировки учетной записи Порог блокировки учетной записи 10 Число неудачных попыток входа, учетная запись пользователя будет заблокирован.
Блокировки учетной записи Время до сброса счетчика блокировки 15 Количество минут, которые должны пройти после попытки Сбой входа в систему, прежде чем счетчик неудачных попыток сбрасывается в 0 ошибок при подключении.
Политика паролей Максимальный срок действия пароля 60 Количество дней, которые можно использовать пароль, прежде чем система потребует ее изменить.
Политика паролей Минимальный срок действия пароля 1 Количество дней, которые необходимо использовать пароль, прежде чем пользователь может изменить его.
Параметры безопасности Учетные записи: состояние учетной записи «Администратор» Отключено Этот параметр безопасности определяет, включена ли учетной записи локального администратора.
Параметры безопасности Учетные записи: разрешить использование пустых паролей только при консольном входе Включено Этот параметр безопасности определяет, могут ли использоваться локальные учетные записи, которые не защищены паролем войти в систему из мест, отличных от физической консоли компьютера. Если параметр включен, локальные учетные записи, которые не защищены паролем только не смогут выполнить вход в клавиатурой.
Параметры безопасности Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии) Включено Windows Vista и более поздних версиях Windows позволяют политики аудита можно управлять в более точно при помощи подкатегорий политики аудита. Установка политики аудита на уровне категории переопределит новую функцию политики аудита подкатегории. Только с помощью групповой политики политики аудита для задания на уровне категорий, и существующие групповой политики может переопределить параметры подкатегорию новых компьютеров, когда они присоединены к домену или обновить. Чтобы разрешить политики аудита с помощью подкатегорий без необходимости изменения групповой политики, существует новое значение реестра в Windows Vista и более поздних версиях SCENoApplyLegacyAuditPolicy, который запрещает применение политики аудита на уровне категории из Групповая политика и из программы администрирования Локальная политика безопасности.
Параметры безопасности Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала Включено Этот параметр безопасности определяет, является ли весь трафик безопасного канала, инициируемого членом домена должен быть подписанных или зашифрованных. Этот параметр определяет, будет ли весь трафик безопасного канала, инициируемого членом домена удовлетворяет минимальным требованиям безопасности. В частности он определяет, является ли весь трафик безопасного канала, инициируемого членом домена должен быть подписанных или зашифрованных. Если эта политика включена, затем безопасного канала будет не удается установить Если согласовывается подпись или шифрование всего трафика безопасного канала. Если эта политика будет отключен, а затем шифрование и подписывание всего трафика безопасного канала согласовывается с контроллером домена в этом случае уровень подписи и шифрования зависит от версии контроллера домена и параметры из следующих двух политики:
-Член домена: шифрование данных безопасного канала (если возможно)
-Член домена: цифровая подпись данных безопасного канала (если возможно)
Параметры безопасности Член домена: шифрование данных безопасного канала, когда это возможно Включено Этот параметр безопасности определяет, пытается ли согласовать шифрование всего трафика безопасного канала, инициируемого членом домена. Если параметр включен, член домена будет запрашивать шифрование всего трафика безопасного канала. Если контроллер домена поддерживает шифрование всего трафика безопасного канала, будут зашифрованы всего трафика безопасного канала. В противном случае будут зашифрованы только учетные данные, передаваемые по безопасного канала. Если этот параметр отключен, затем член домена не будет пытаться согласовывать шифрование безопасного канала.
Параметры безопасности Член домена: цифровая подпись данных безопасного канала, когда это возможно Включено Этот параметр безопасности определяет, пытается ли согласование подписывания для всего трафика безопасного канала, инициируемого членом домена. Если параметр включен, член домена будет запрашивать подписи всего трафика безопасного канала. Если контроллер домена поддерживает подписывание всего трафика безопасного канала, то весь трафик безопасного канала будет входить в систему, который гарантирует, что он не может подвергнуться несанкционированному изменению во время передачи.
Параметры безопасности Интерактивный вход в систему: поведение при извлечении смарт-карты Блокировка Этот параметр безопасности определяет, что происходит, когда смарт-карты для пользователя, вошедшего в систему удаляется из устройства чтения смарт-карт. Если щелкнуть Блокировка в свойств для этой политики, рабочая станция заблокирована при удалении смарт-карты, позволяя пользователям выйти из области, выполнить их смарт-карты с ними и по-прежнему поддерживать защищать сеансов. Для этого параметра для работы, начиная с Windows Vista, должна быть запущена служба политик удаления смарт-карты.
Параметры безопасности Клиент сети Microsoft: использовать цифровую подпись (всегда) Включено Этот параметр безопасности определяет, необходима ли подписывание пакетов SMB-компоненты клиента.
Параметры безопасности Сервер сети Microsoft: использовать цифровую подпись (всегда) Включено Этот параметр безопасности определяет, необходима ли подписывание пакетов SMB-компоненты сервера.
Параметры безопасности Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями Включено Этот параметр безопасности определяет, какие дополнительные разрешения будут предоставлены анонимные подключения к компьютеру. Windows позволяет анонимным пользователям выполнять определенные действия, такие как перечисление имена учетных записей домена и сетевых папок. Это удобно, например, если администратор хочет предоставить доступ пользователям в доверенном домене, не поддерживают обратную доверия. Это правило безопасности позволяет дополнительные ограничения, чтобы разместить на анонимные подключения следующим образом: включено: не разрешать перечисление SAM учетных записей. Этот параметр заменяет все прошедшие проверку в разрешениях безопасности для ресурсов.
Параметры безопасности Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями Включено Этот параметр безопасности определяет, разрешено ли перечисление учетных записей SAM и общих ресурсов. Windows позволяет анонимным пользователям выполнять определенные действия, такие как перечисление имена учетных записей домена и сетевых папок. Это удобно, например, если администратор хочет предоставить доступ пользователям в доверенном домене, не поддерживают обратную доверия. Если вы не хотите разрешать перечисление SAM анонимными пользователями учетных записей и общих ресурсов, затем включите эту политику.
Параметры безопасности Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам Включено При включении этого параметра безопасности ограничивает анонимный доступ к общими ресурсами и каналы параметров для:
-Доступ к сети: именованные каналы анонимный доступ к общим ресурсам
-Сетевой доступ: общие ресурсы, которые могут быть анонимный доступ к
Параметры безопасности Сетевая безопасность: разрешить проверки подлинности pku2u к этому компьютеру использование сетевых удостоверений. Отключено Эта политика будет отключена по умолчанию на компьютерах присоединение к домену. Это предотвращает сетевых удостоверений с проверкой подлинности к домену компьютере.
Параметры безопасности Сетевая безопасность: требование цифровой подписи для LDAP-клиента Согласование подписывания Этот параметр безопасности определяет уровень подписи данных, запрашивается от имени клиентов запросы LDAP BIND, следующим образом: согласование подписывания: Если транспорта уровень безопасности/Secure Sockets Layer (TLS\SSL) не была запущена, ПРИВЯЗКА LDAP запрос инициируется с помощью параметра в дополнение к этому с параметрами, указанными вызывающим подписывания данных LDAP. Если TLS\SSL был запущен, запрос LDAP BIND инициируется с параметрами, указанными вызывающей стороной.
Параметры безопасности Системные объекты: усилить разрешения по умолчанию для внутренних системных объектов (например, символических ссылок) Включено Этот параметр безопасности определяет интенсивность списка управления доступом (DACL) по умолчанию для объектов. Active Directory поддерживает глобальный список общих системных ресурсов, таких как имена устройств DOS, мьютексы и семафоры. Таким образом объекты могут расположенных и общими для нескольких процессов. Каждый тип объекта создается DACL, который определяет, кто имеет доступ к объектам и какие разрешения предоставлены по умолчанию. Если эта политика включена, по умолчанию DACL надежнее, позволяя пользователям, не являющимся администраторами, доступ к объектам, но не позволяет эти изменения общих объектов, которые они не создали.
Параметры безопасности Контроль учетных записей пользователей: поведение запроса на повышение прав для обычных пользователей Автоматически отклонять запросы на повышение прав Этот параметр политики определяет поведение запроса на повышение прав для обычных пользователей. Автоматически отклонять запросы на повышение прав: Если операция требует привилегий, отказано в доступе отображается сообщение об ошибке. Организации, на котором выполняется настольные компьютеры, как обычный пользователь может выбрать этот параметр, чтобы уменьшить звонков в службу поддержки.

Политики компьютера

Функция Параметр политики Значение политики Описание
На панели управления или персонализации Запрет включения камеры экран блокировки Включено Отключает переключатель блокировки экрана камеры в параметрах компьютера и запрещает камеры вызываемого на экране блокировки. По умолчанию пользователи могут включить вызов доступные камеры на экране блокировки. Если вы включите этот параметр, пользователи не смогут включить или отключить доступ к камере экрана блокировки в параметрах компьютера и не могут быть вызваны камеры на экране блокировки.
На панели управления или персонализации Запретить включение слайд-шоу с экрана блокировки Enabled Отключает параметры слайд-шоу экрана блокировки в параметрах компьютера и запрещает слайд-шоу воспроизведение на экране блокировки. По умолчанию пользователи могут включить слайд-шоу, которая будет выполняться после их для блокировки компьютера. Если вы включите этот параметр, пользователи не смогут изменить параметры слайд-шоу в параметрах компьютера и не слайд-шоу стало начнется.
Фильтр SmartScreen Защитника Windows / Explorer Настройка управления установкой приложений Разрешить только для приложений из магазина Управления установкой приложений — это функция SmartScreen Защитника Windows, которая помогает защитить компьютеры, позволяя пользователям устанавливать приложения только из магазина. Фильтр SmartScreen должен быть включен для правильной работы этого средства.
Система / Установка устройств и ограничения на установку устройств Запретить установку устройств, которые соответствуют какие-либо из этих кодов устройств Включено Этот параметр политики позволяет указать список кодов оборудования Plug and Play и совместимых кодов для устройств, что Windows запрещен установки. Этот параметр политики имеет приоритет над другими параметр политики позволяет Windows для установки устройства. Если вы включите этот параметр политики, Windows запрещен установки устройства, код устройства или совместимый код отображается в списке, который вы создаете. Если вы включите этот параметр политики на сервере удаленного рабочего стола, этот параметр политики влияет на перенаправление определенных устройств с клиента удаленного рабочего стола на сервере удаленного рабочего стола. Если вы отключите или не настроите этот параметр политики, устройства могут устанавливаться и обновляться по мере разрешенных или запрещено другими параметрами политики.
Система / Установка устройств и ограничения на установку устройств Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств Включено Этот параметр политики позволяет задать список устройства установки класс глобальных уникальных идентификаторов (GUID) для драйверов устройств, что Windows запрещена установка. Этот параметр политики имеет приоритет над другими параметр политики позволяет Windows для установки устройства. Если вы включите этот параметр политики, Windows запрещена установка или обновление драйверов устройств — класс настройки устройства идентификаторы GUID отображаются в списке создании. Если вы включите этот параметр политики на сервере удаленного рабочего стола, этот параметр политики влияет на перенаправление определенных устройств с клиента удаленного рабочего стола на сервере удаленного рабочего стола. Если вы отключите или не настроите этот параметр политики, можно установить Windows и обновление устройств, как это разрешено или запрещено другими параметрами политики.
Система / Управление связью через Интернет / параметры связи через Интернет Отключить загрузку драйверов принтера по протоколу HTTP Включено Этот параметр политики определяет, следует ли разрешить этому клиенту загрузку драйверов принтера по протоколу HTTP. Настройка HTTP печати специальные драйверы необходимо загрузить по протоколу HTTP. Примечание: Этот параметр политики запрещает клиент печати на принтерах в интрасети или в Интернете по протоколу HTTP. Оно только запрещает загрузку драйверов, которые еще не установлены локально. Если вы включите этот параметр политики, драйверы печати не удается загрузить по протоколу HTTP. Если вы отключите или не настроите этот параметр политики, пользователи смогут скачать драйверы печати по протоколу HTTP.
Система / Управление связью через Интернет / параметры связи через Интернет Отключить печать по протоколу HTTP Включено Этот параметр политики определяет, следует ли разрешить выполнение печати по протоколу HTTP из этого клиента. Печать по протоколу HTTP позволяет клиенту печатать на принтерах в интрасети, а также Интернет. Примечание: Этот параметр влияет на стороне клиента Internet только печати. Она не запрещает этому компьютеру выступать в качестве сервера печати через Интернет и делать подключенные к нему общие принтеры через HTTP. Если вы включите этот параметр политики, он запрещает этот клиент печати на сетевых принтерах по протоколу HTTP. Если вы отключите или не настроите этот параметр политики, пользователи могут выбрать печати на сетевых принтерах по протоколу HTTP. Также см. в разделе «веб-печать» параметр политики в конфигурации/административные шаблоны/принтерах.
Система / входа в систему Перечисление локальных пользователей на компьютерах, входящих в домен Отключено Этот параметр политики позволяет локальные пользователи для перечисления на компьютерах, входящих в домен. Если вы включите этот параметр политики, пользовательский Интерфейс входа в систему будут перечислить все локальные пользователи на компьютерах, входящих в домен. Если вы отключите или не настроите этот параметр политики, пользовательский Интерфейс входа в систему не будет перечислить локальных пользователей на компьютерах, входящих в домен.
Система / Управление питанием / параметры спящего режима Разрешить различные режимы сна (S1-S3) при простое компьютера (питание от батареи) Отключено Этот параметр политики определяет, будет ли Windows может использовать режимы ожидания при переходе компьютера в спящем. Если вы включите или не настраивать этот параметр политики использует для перевода компьютера в спящем режиме ожидания состояния. При отключении этой политики параметр режимы ожидания (S1-S3) не допускаются.
Система / Управление питанием / параметры спящего режима Разрешить различные режимы сна (S1-S3) при простое компьютера (питание от сети) Отключено Этот параметр политики определяет, будет ли Windows может использовать режимы ожидания при переходе компьютера в спящем. Если вы включите или не настраивать этот параметр политики использует для перевода компьютера в спящем режиме ожидания состояния. При отключении этой политики параметр режимы ожидания (S1-S3) не допускаются.
Компоненты Windows / шифрование диска BitLocker / диски операционной системы Установить минимальную длину ПИН-кода для запуска Включен: 7 Этот параметр политики позволяет настроить минимальную длину ПИН-кода запуска доверенного платформенного модуля (TPM). Этот параметр политики применяется при включении BitLocker. PIN-код запуска должны иметь минимальную длину 4 цифр и может иметь максимальную длину 20 цифр. Если вы включите этот параметр политики, может потребоваться минимальное число цифр для использования при запуске PIN-код. Если вы отключите или не настроите этот параметр политики, пользователи могут настроить ПИН-кода любой длины от 4 до 20 цифр запуска. Значение по умолчанию — 6 цифр. Примечание: Если минимальная длина ПИН-кода ниже 6 цифр, Windows будет пытаться обновить период блокировки TPM 2.0 будет больше, чем значение по умолчанию, когда ПИН-кода меняется. Если успешно, Windows будет только сброс блокировки доверенного платформенного МОДУЛЯ периода в по умолчанию при сбросе доверенного платформенного МОДУЛЯ.
Компоненты Windows / шифрование диска BitLocker / диски съемных данных Запретить запись на съемные диски, не защищенные BitLocker Включено Этот параметр политики определяет, следует ли необходима защита BitLocker для компьютера, чтобы иметь возможность записи данных на съемном носителе с данными. Если вы включите этот параметр политики, все съемные диски с данными, не защищенные BitLocker будет подключен только для чтения. Если диск защищен BitLocker, он будет устанавливаться с чтение и запись. Если выбран параметр «Запретить доступ к записи устройства, настроенные в другой организацией», только носители, с помощью поля идентификации, соответствующие поля идентификации компьютера получит доступ на запись. При доступе к съемного носителя с данными, он будет установлен для поля допустимым идентификации и разрешенные поля идентификации. Эти поля определяются параметра политики «Указать уникальные идентификаторы для организации». Если вы отключите или не настроите этот параметр политики, все съемные диски с данными на компьютере будет подключен с чтение и запись. Примечание: Этот параметр можно переопределить с использованием параметров политики, Конфигурация пользователя\административные шаблоны\системы\доступ к съемным запоминающим. Если «съемные диски: Запретить запись» параметр политики включен, этот параметр политики будут игнорироваться.
Компоненты Windows / содержимое облака Выключить возможности потребителя Майкрософт Включена Этот параметр политики отключает взаимодействия, которые помогают потребителей максимально эффективное использование своих устройств и учетной записи Майкрософт. Если вы включите этот параметр политики, пользователи больше не будут видеть персонализированные рекомендации от корпорации Майкрософт, а также уведомлений о своей учетной записи Майкрософт. Если вы отключите или не настроите этот параметр политики, пользователи могут видеть варианты от корпорации Майкрософт, а также уведомлений о своей учетной записи Майкрософт. Примечание: Этот параметр применим только к Корпоративная и для образовательных учреждений SKU.
Компоненты Windows / учетных данных пользовательского интерфейса Перечисление учетных записей администраторов на повышение прав Отключено Этот параметр политики определяет учетных записей администратора отображаются, когда пользователь пытается полномочия запущенного приложения. По умолчанию учетные записи администратора не отображаются, когда пользователь пытается повышать запущенного приложения. Если вы включите этот параметр политики, все учетные записи локального администратора на Компьютере появится, чтобы пользователь мог выбрать нужную и ввести пароль. Если вы отключите этот параметр политики пользователей будет всегда необходимо ввести имя пользователя и пароль, чтобы повысить уровень.
Компоненты Windows / Microsoft Edge Настройка диспетчера паролей Отключено Этого параметра политики вы можете разрешить или запретить сотрудникам сохранять пароли локально с помощью диспетчера паролей. По умолчанию диспетчер паролей включен. Если вы включите этот параметр, сотрудники могут использовать диспетчер паролей для локального сохранения паролей. Если вы отключите этот параметр сотрудникам не разрешено использовать диспетчер паролей для локального сохранения паролей. Если вы не настроите этот параметр сотрудники могут указывать, следует ли использовать диспетчер паролей для локального сохранения паролей.
Компоненты Windows / службы удаленных рабочих столов / удаленного рабочего стола Не разрешать перенаправление дисков Включено Этот параметр политики определяет, следует ли отключать сопоставление клиентских дисков в сеансе служб удаленных рабочих столов (перенаправление дисков). По умолчанию на сервере узла сеансов удаленных рабочих Столов сопоставляют клиентские диски автоматически при установке подключения. Сопоставленные диски отображаются в дереве папок сеанса в проводнике или компьютер в формате <driveletter> на <computername>. Этот параметр политики позволяет переопределить это поведение. Если вы включите этот параметр политики, перенаправление клиентских дисков не допускается в сеансов удаленных рабочих столов и перенаправление копию файла буфера обмена недопустим на компьютерах под управлением Windows Server 2003 Windows 8 и Windows XP. Если вы отключите этот параметр политики перенаправление клиентских дисков всегда разрешено. Кроме того перенаправление копию файла буфера обмена всегда разрешено, если разрешено перенаправление буфера обмена. Если вы не настроите этот параметр политики перенаправление клиентских дисков и перенаправление копию файла буфера обмена не указываются на уровне групповой политики.
Компоненты Windows / RSS-каналы Запретить загрузку вложений Включено Этот параметр политики запрещает пользователю необходимости вложений (вложенных файлов), загружаются с веб-канал на компьютере пользователя. Если вы включите этот параметр политики, пользователь не может задать в модуле синхронизации каналов загрузку вложений на странице свойств канала. Разработчик не может изменять настройки загрузки через API каналов. Если вы отключите или не настроите этот параметр политики, пользователь может задать в модуле синхронизации каналов загрузку вложений на странице свойств канала. Разработчик может изменять настройки загрузки через API каналов.
Компоненты Windows / поиска Разрешить индексацию зашифрованных файлов Отключено Этот параметр политики позволяет индексировать зашифрованные элементов. Если вы включите этот параметр политики, индексирования попытается расшифровать и индексировать содержимое (доступа, который по-прежнему будет применяться ограничения). Если вы отключите этот параметр политики компоненты службы поиска (включая компоненты сторонних разработчиков) должны не индексировать зашифрованные хранилища или зашифрованных элементов. Этот параметр политики не настроен по умолчанию. Если вы не настроите этот параметр политики будет использоваться локальный параметр, настроить с помощью панели управления. По умолчанию панель управления задать не индексировать зашифрованные данные. Если этот параметр включен или выключен полностью перестроения индекса. Полное шифрование тома (например, шифрование диска BitLocker или стороннее решение) необходимо использовать для расположения индекса для обеспечения безопасности для зашифрованных файлов.
Компоненты Windows / рабочей области рукописного ввода Windows Разрешить Windows Ink Workspace Но запретить доступ выше блокировки Разрешить Windows Ink Workspace

Политики компьютера IE

Функция Параметр политики Значение политики Описание
Компоненты Windows / Internet Explorer Запретить установку каждого пользователя элементов ActiveX Включено Этот параметр политики позволяет предотвратить установку элементов ActiveX на уровне пользователя. Если вы включите этот параметр политики, элементы ActiveX не устанавливается отдельно для каждого пользователя.
Компоненты Windows / Internet Explorer Зоны безопасности: Не разрешать пользователям добавлять или удалять сайты Включено Запрещает пользователям добавлять или удалять сайты из зон безопасности. Зоны безопасности — это группа веб-сайты с тем же уровнем безопасности. Если эта политика включена, параметры управления узлами для зон безопасности будут отключены.
Компоненты Windows / Internet Explorer Зоны безопасности: Не разрешать пользователям изменять политики Включено Запрещает пользователям изменять параметры зоны безопасности. Зоны безопасности — это группа веб-сайты с тем же уровнем безопасности. Если вы включите эту политику, кнопка "другой" и ползунок уровня безопасности на вкладке "Безопасность" в диалоговом окне Свойства обозревателя будут отключены.
Компоненты Windows / Internet Explorer Зоны безопасности: Использовать только параметры компьютера Включено Сведения о зоны безопасности применяются ко всем пользователям этого компьютера. Зоны безопасности — это группа веб-сайты с тем же уровнем безопасности. Если вы включите эту политику, изменения, которые пользователь вносит в зоны безопасности применяются ко всем пользователям этого компьютера.
Компоненты Windows / Internet Explorer Отключение аварийных обнаружения Включено Этот параметр политики позволяет управлять функцию обнаружения сбоев для управления надстройками. Если вы включите этот параметр политики, сбой в Internet Explorer будет вести себя поведению в Windows XP с пакетом обновления 1 и более ранних версий, а именно, вызывать эти отчеты об ошибках Windows. Все параметры политики отчета об ошибках Windows продолжают действовать.
Компоненты Windows / Internet Explorer Отключение функции Проверьте параметры безопасности Отключено Этот параметр политики отключает функцию Проверьте параметры безопасности, которая проверяет параметры безопасности Internet Explorer, чтобы определить, когда параметры Internet Explorer поставить под угрозу.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница «Дополнительно» Не разрешать элементы ActiveX для работы в защищенном режиме, когда расширенный защищенный режим включен Включено Этот параметр политики запрещает элементов ActiveX работает в защищенном режиме, когда включен расширенный защищенный режим. При наличии установить элемент ActiveX, не совместим с расширенным защищенным режимом и веб-сайт пытается загрузить элемент управления, Internet Explorer уведомляет пользователя и дает возможность запускать веб-сайта в обычном режиме, защищены. Этот параметр политики отключает уведомления и заставляет все веб-сайты в расширенном защищенном режиме.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница «Дополнительно» Включить 64-разрядные процессы вкладок при выполнении в расширенном защищенном режиме в 64-разрядных версиях Windows Включено Этот параметр политики определяет, будет ли Internet Explorer 11 использует 64-разрядные процессы (для большей безопасности) или 32-разрядные процессы (для большей совместимости) во время работы с расширенном защищенном режиме в 64-разрядных версиях Windows.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница «Дополнительно» Включение расширенного защищенного режима Включено Расширенный защищенный режим обеспечивает дополнительную защиту от вредоносных веб-сайтов с помощью 64-разрядные процессы на 64-разрядных версиях Windows. Для компьютеров под управлением Windows 8, расширенный защищенный режим также ограничивает проникновений Internet Explorer из расположения в реестре и файловой системе.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности Сайты интрасети: Включить все сетевые пути (UNC) Отключено Этот параметр политики определяет, будут ли URL-адреса, представляющий UNC в зоне безопасности локальной интрасети.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Разрешить перетаскивание или копирование и вставка файлов Включен: отключить Этот параметр политики позволяет управлять ли пользователи могут перетаскивать или копировать и вставлять файлы из источников в зоне.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Разрешить загрузку файлов XAML Включен: отключить Этот параметр политики позволяет управлять загрузку файлов разметки языка XAML (Extensible Application). XAML — это XML-based декларативный язык разметки обычно используется для создания интерфейсов многофункциональном пользовательском и графики, которая воспользоваться преимуществами Windows Presentation Foundation.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Разрешить только утвержденным доменам с помощью элементов управления ActiveX без предупреждения Включен: Включение Этот параметр политики определяет, будет ли пользователю будет предложено разрешить элементы ActiveX для работы на веб-сайтах, отличных от веб-сайта, установить элемент ActiveX.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Разрешить использовать элемент управления ActiveX TDC только утвержденным доменам Включен: Включение Этот параметр политики определяет, ли пользователь могут запускать элемент управления TDC ActiveX на веб-сайтах.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Разрешить сценарии элементов управления Internet Explorer WebBrowser Включен: отключить Этот параметр политики определяет, ли страницы можно управлять встроенные элементы управления WebBrowser через скрипт.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Разрешить запущенные сценарием окна без ограничений на размер или положение Включен: отключить Этот параметр политики позволяет управлять ограничениями запускаемых сценариями всплывающих окон и окон со строками заголовка и состояния.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Разрешить сценарии Включен: отключить Этот параметр политики позволяет управлять ли пользователь может выполнять сценарии.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Разрешить обновления для строки состояния посредством сценария Включен: отключить Этот параметр политики позволяет управлять ли сценария можно обновлять строку состояния в зоне.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Разрешение выполнения VBScript в Internet Explorer Включен: отключить Этот параметр политики позволяет управлять ли выполняться VBScript на страницах в указанной зоне в Internet Explorer.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Загрузка подписанных элементов ActiveX Включен: отключить Этот параметр политики позволяет управлять ли пользователи могут загружать подписанные элементы управления ActiveX со страницы в зоне.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Включите локальный путь пользователя Отправка файлов на сервер Включен: отключить Этот параметр политики определяет сведения о локальном пути отправляется, когда пользователь является отправка файла через HTML-формы. Если в локальный путь отправляется информация, некоторые сведения могут случайно раскрыты на сервер. Например файлы, отправляемые с рабочего стола пользователя может содержать имя пользователя как часть пути.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Навигацию по разным доменам windows и кадры Включен: отключить Этот параметр политики позволяет управлять открытием windows и кадров и доступом к приложениям разных доменов.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Веб-сайты в меньшими правами зоны Интернета могут переходить в этой зоне Включен: отключить Этот параметр политики позволяет управлять переходом в эту зону веб-узлов зон с меньшими правами, например ограниченных сайтов.

Политики пользователей IE

Функция Параметр политики Значение политики Описание
Компоненты Windows / Internet Explorer Включите функцию автозаполнения для имена пользователей и пароли в формах Отключено Эта функция автозаполнения запоминает и предлагает имена пользователей и пароли в формах. Если вы отключите этот параметр, пользователь не может изменить «имя пользователя и пароли в формах» или «Запрашивать сохранение паролей». Функцию автоматически полные имена пользователей и пароли в формах отключена. Пользователь также не может настроить будет предложено сохранять пароли.

Элементы управления

Элементы управления, применяемым в уровень 3 реализации элементов управления и настройка сложных безопасности. Они, скорее всего влияние на уровень выше пользователям или приложениям, применять более уровень безопасности сопряжено с риски к наиболее целевых организации. Корпорация Майкрософт рекомендует использовать методологию аудит или принудительное применение элементов управления с помощью режима аудита и методологию кругов для тех, которые не рекомендуется.

Набор функций Возможность Описание
Защита от эксплойтов Включение защиты от эксплойтов Защита от эксплойтов помогает защитить устройства от вредоносных программ, использующих эксплойты для распространения и заражения на других устройствах. Она состоит из нескольких мер, которые можно применять на уровне отдельного приложения.
Windows Defender приложения управления (WDAC) или AppLocker Настройка устройств для использования добавления приложения с помощью одного из следующих подходов:
AaronLocker (для записи области администратора) при распространения программного обеспечения — это не всегда централизован
или
Управляемый установщик при передаче программное обеспечение через распространения программного обеспечения
или
Явное управление при статических и тесно управляемого программного обеспечения на устройстве
Управление приложениями является важнейшим линию защиты для защиты предприятий, учитывая современными угрозами, и поддерживает случай преимуществом по сравнению с традиционными антивирусных решений. В частности функции управления приложениями покидает модели доверия традиционные приложения где во всех приложениях считается, что заслуживающих доверия по умолчанию к одному где приложений необходимо заработать доверия для запуска. Функции управления приложениями, чтобы снизить эти типы угроз безопасности путем ограничения доступа приложения, которые пользователи могут запускать, а также к коду, выполняющемуся в системы System Core (ядро). Политики WDAC также блокировать неподписанных сценарии и MSI-файлы, и Windows PowerShell запускается в Режиме ограниченного языка.

Поведение

Поведение, рекомендуется использовать на уровне 3 представляют наиболее сложных конфигурацию безопасности. Удаление правами администратора может быть сложно, но очень важно для достижения уровня безопасности сопряжено с риски к наиболее целевых организации.

Набор функций Возможность Описание
Удалить права администратора Удаление количества пользователей максимально из в группу локальных администраторов, предназначенных для 0. Корпорация Майкрософт рекомендует удалить права администрирования ролей по роли. Некоторые роли являются более сложной задачей, в том числе:
-Разработчиков, которые часто устанавливают быстро элементов любых программное обеспечение, которое сложно пакета с помощью текущего системы распространения программного обеспечения
-Ученые / врачи, которые часто необходимо установить и использовать особые аппаратные устройства
-Удаленно с помощью медленно веб-ссылок, где делегированного администрирования
Обычно проще решить эти роли позже в процессе.
Корпорация Майкрософт рекомендует Определение зависимости на права администрирования и систематического их решения.
-Законным использование прав администратора: crowdsourced администратора, где требуется новый процесс для выполнения этого рабочего процесса
-Неподходящих использование прав администратора: зависимостей совместимости приложений, где исправления приложения — это лучший путь. С этими проблемами приложения могут помочь программе Возможность создания запланированных приложения рабочего стола
Запуск как без прав администратора ограничивает риск. Если вы являетесь администратором, каждая программа запускается имеет неограниченный доступ к компьютеру. Если вредоносный код сможет проникнуть в одной из этих программ, он получит такой же неограниченный доступ. Если эксплойта выполняется с правами администратора, возможность взлома системы гораздо большее, возможности этого без обнаружения намного больше, и возможности уменьшения другим пользователям в вашей сети больше, чем было бы с только привилегии пользователя. Если вы работаете в качестве администратора, можно воспользоваться:
-Установка программ rootkit в режиме ядра и/или средства
-Установка и запуск служб
-установки элементов ActiveX, включая IE и надстроек оболочки
-доступ к данным, принадлежащих другим пользователям
-При использовании кода для запуска при любой другой входе (в том числе захватив пароли, указанные в диалоговом окне входа в систему Ctrl-Alt-Del)
-Замените троянский конь операционной системы и другие файлы программ
-Отключите/удаления антивирусной программы
-охватывают его записи в журнале событий
-отрисовки компьютер загружается