Конфигурация высокий уровень безопасности корпоративного уровня 4

Область применения

  • Windows 10

Уровень 4 — это параметры безопасности, рекомендуется использовать в качестве стандарт для устройств, где пользователям доступ к более важной информации. Эти устройства — естественные целевого объекта в организации уже сегодня. При этом предназначенных для высокого уровня безопасности, эти рекомендации, не следует предполагать, больших сотрудников специалисты настоятельно Опытные безопасности и таким образом, должны быть доступны для большинства организаций. Уровень 4 конфигурации следует включать все конфигурации уровня 5 и добавьте следующие политики безопасности, элементы управления и организационных поведений.

Политики

Политики, применяемые на уровне 4 реализовать дополнительные элементы управления и более сложные конфигурации безопасности, чем уровень 5. Несмотря на может немного большее влияние пользователям или приложениям, их применения уровень безопасности более сопряжено с риски к пользователям доступ к конфиденциальной информации. Корпорация Майкрософт рекомендует использовать методологию кругов эти настройки безопасности и элементов управления, с помощью умеренное временной шкалы, которая должна выполняться будет немного больше времени, чем процесс на уровне 5.

Шаблон политики безопасности

Функция Параметр политики Значение политики Описание
Параметры безопасности Клиент сети Microsoft: отправлять незашифрованный пароль третьих лиц Отключено Если этот параметр безопасности включен, перенаправитель блок сообщений сервера (SMB) можно отправлять открытый текст пароли серверам SMB сторонних разработчиков, которые не поддерживают шифрование паролей во время проверки подлинности. Отправка незашифрованных паролей представляет угрозу безопасности.
Параметры безопасности Сетевой доступ: разрешить трансляцию анонимного SID в имя Отключено Этот параметр безопасности определяет, если анонимного пользователя могут запрашивать атрибуты идентификатора безопасности (SID) для другого пользователя. Если эта политика включена, пользователь, зная идентификатор безопасности администратора может связаться с компьютером, имеющего этот параметр включен и используйте идентификатор безопасности, чтобы получить имя администратора.
Параметры безопасности Доступ к сети: ограничение на совершение удаленных вызовов SAM для клиентов Включен: Администраторы (разрешено) Этот параметр политики позволяет ограничить подключения удаленного RPC к SAM. Если не выбран, будет использоваться дескриптор безопасности по умолчанию.
Параметры безопасности Сетевая безопасность: разрешить LocalSystem использовать нулевые сеансы Отключено Разрешить NTLM возвращаться к сеансу NULL при использовании с LocalSystem
Параметры безопасности Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля Включено Этот параметр безопасности определяет, при следующей смене пароля, хранится LAN Manager хэш значение для нового пароля. Хэш LM является относительно слабым и уязвимым к атакам по сравнению с более криптографически надежным хэшем Windows NT. Поскольку хэш LM хранится на локальном компьютере в базе данных безопасности пароли могут быть раскрыты при атаке базы данных безопасности.
Параметры безопасности Сетевая безопасность: уровень проверки подлинности LAN Manager Отправляете только NTLMv2 ответ. Отказ от LM & NTLM Этот параметр безопасности определяет, какие протоколы или ответ на запрос проверки подлинности используется для регистрации в сети. Этот выбор влияет на уровень протокола проверки подлинности, используемых клиентами, уровень безопасности сеанса согласованную и уровень проверки подлинности, принимаемый серверами следующим образом: отправлять только NTLMv2 ответ\отказаться от LM & NTLM: клиенты используют NTLMv2 только для проверки подлинности и использование безопасность сеанса NTLMv2, если она поддерживается сервером; контроллеры домена не LM и NTLM (поддерживают только проверку подлинности NTLMv2).
Параметры безопасности Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLMSSP (включая безопасный RPC) Требуется безопасность сеанса NTLMv2 и требуется 128-битное шифрование Этот параметр безопасности позволяет клиенту требовать согласования 128-разрядного шифрования и/или NTLMv2 сеансовая безопасность. Эти значения зависят от значения параметра безопасности уровень проверки подлинности LAN Manager.
Параметры безопасности Сетевая безопасность: минимальная сеансовая безопасность для серверов на базе NTLMSSP (включая безопасный RPC) Требуется безопасность сеанса NTLMv2 и требуется 128-битное шифрование Этот параметр безопасности позволяет серверу требовать согласования 128-разрядного шифрования и/или NTLMv2 сеансовая безопасность. Эти значения зависят от значения параметра безопасности уровень проверки подлинности LAN Manager.
Параметры безопасности Контроль учетных записей пользователей: повышать права для UIAccess-приложений только при установке в безопасных местах Включено Этот параметр политики определяет приложений, запрос на запуск с уровнем целостности специальных возможностей интерфейса пользователя (UIAccess) должны находиться в безопасном месте в файловой системе. Следующие ограничены безопасных местах:-… \Program Files\, включая вложенные папки - … \Windows\system32\ -… \Program Files (x86)\, включая вложенные папки для 64-разрядных версиях Windows
Назначение прав пользователя Доступ к этому компьютеру из сети Администраторы; Пользователи удаленного рабочего стола Это право пользователя определяет, какие пользователи и группы могут подключиться к компьютеру по сети. Службы удаленных рабочих столов не влияет это право пользователя.
Назначение прав пользователя Разрешение доверия к учетным записям компьютеров и пользователей при делегировании Никто (пусто) Этот параметр безопасности определяет, какие пользователи могут устанавливать доверие для делегирования в объекте пользователя или компьютера.
Назначение прав пользователя Имитация клиента после проверки подлинности Администраторы, служба, локальная служба, сетевая служба Предоставление этой привилегии пользователю позволяет программам пользователю имитация клиента. Требование этого пользователя вправо для этого типа олицетворение предотвращает несанкционированный пользователь в качестве клиента для подключения к службе, созданное (например, путем вызова удаленных процедур (RPC) или именованные каналы) и затем имитировать такого клиента, которого можно полномочия несанкционированный пользователь разрешения для администратора или системного уровня.
Назначение прав пользователя Блокировка страниц в памяти Никто (пусто) Этот параметр безопасности определяет, какие учетные записи могут использовать процесс для хранения данных в физической памяти, что предотвращает сброса данных в виртуальной памяти на диске. Применение этой привилегии может существенно повлиять на производительность системы, уменьшив объема доступных памяти (ОЗУ).
Назначение прав пользователя Выполнение задач по обслуживанию томов Администраторы Этот параметр безопасности определяет, какие пользователи и группы могут выполнять задачи обслуживания на томе, такие как удаленная дефрагментация.
Назначение прав пользователя Профилирование одного процесса Администраторы Этот параметр безопасности определяет, какие пользователи могут использовать средства мониторинга производительности для отслеживания производительности несистемных процессов.

Политики компьютера

Функция Параметр политики Значение политики Описание
Сеть или сетевые подключения Запретить использование подключения к Интернету в сети DNS-домена Включено Определяет, ли администраторы могут включить и настроить функцию общего доступа к Подключению к Интернету для подключения к Интернету, и если служба ICS можно запустить на компьютере.
Сети / сети поставщика Жесткой UNC-пути Включен: \ \ * \SYSVOL и \ \ * \RequireMutualAuthentication входа в сеть = 1, RequireIntegrity = 1 Этот параметр политики позволяет настроить безопасный доступ к UNC-пути. Если вы включите эту политику, Windows только разрешает доступ к указанной UNC-пути после выполнить дополнительные требования к безопасности.
Сети / диспетчера подключений Windows Запретить подключения к сетям недоменных при подключении к доменной проверку подлинности сети Включено Этот параметр политики запрещает компьютеров подключении к доменной сети и не доменной сети, в то же время.
Сеть / служба WLAN / параметры WLAN Разрешить Windows автоматически подключаться к предложенным открытым хот-спотам к которым предоставили контакты и к хот-спотам, предлагающим платные услуги Отключено Этот параметр политики определяет, будет ли пользователи могут включить следующие параметры WLAN: «Подключаться к предложенным открытым хот-спотам» «подключиться к которым предоставили Мои контакты» и «Включить платной службы».
Система / делегирование учетных данных Делегирование учетных данных не экспортируемого позволяет удаленным узлом Включено При использовании делегирование учетных данных, устройства предоставляют экспортируемые версию учетные данные к удаленному узлу. Это предоставляет пользователям риск кражи учетных данных от злоумышленников, удаленным узлом. Если вы включите этот параметр политики, основное приложение поддерживает ограниченный администратор или удаленный Credential Guard в режиме.
Система / охранные устройства Включение виртуализации на основе безопасности Включен: На основе виртуализации защиты целостности кода — включено с блокировкой UEFI Этот параметр позволяет защиты целостность кода режима ядра на основе виртуализации. Когда эта функция включена, применяются средства защиты памяти режима ядра и пути проверки целостности кода — это защищенные с помощью функции обеспечения безопасности на основе виртуализации.
Система / Управление связью через Интернет или связи через Интернет Отключить загрузку из Интернета для веб-публикации и заказа отпечатков Включено Этот параметр политики определяет, нужно ли загружать список поставщиков для веб-публикации и заказа отпечатков. Эти мастера позволяют пользователям выбирать из списка компаний, которые предоставляют службы, например Интернет-хранилище и фотографии печати. По умолчанию Windows отображает поставщиков, как загруженных с веб-сайта Windows, указанных в реестре.
Система / входа в систему Включить вход с помощью удобного ПИН-кода Отключена Этот параметр политики позволяет для управления ли пользователь домена может войти с помощью удобного PIN-код.
Система / удаленный помощник Настройка Запрошенный удаленный помощник Отключено Этот параметр политики позволяет включить или отключить удаленный помощник Solicited (запрашивать) на этом компьютере.
Компоненты Windows / проводник Отключить предотвращение выполнения данных для проводника Отключено Отключение Предотвращение выполнения данных можно разрешить определенные устаревшие подключаемый модуль приложениям работать без завершения работы проводника.
Компоненты Windows / проводник Отключить завершение кучи при повреждении Отключено Отключение завершение кучи при повреждении можно разрешить определенные устаревшие подключаемый модуль приложениям работать без завершения работы проводника, несмотря на то, что Explorer может по-прежнему неожиданно позже.
Компоненты Windows / служб удаленных рабочих столов / удаленный рабочий стол клиента Не разрешать сохранение паролей Включено Элементы управления, можно ли сохранять пароли на этом компьютере из удаленного рабочего стола.
Компоненты Windows / службы удаленных рабочих столов / узла сеансов удаленных рабочих столов и безопасности Всегда запрашивать пароль при подключении Включено Этот параметр политики определяет, будет ли служб удаленных рабочих столов всегда запрашивать пароль при подключении клиента. Этот параметр можно использовать для принудительного применения запроса пароля при входе на службы удаленных рабочих столов, даже если они уже пароль был введен в клиентском к удаленному рабочему столу.
Компоненты Windows / службы удаленных рабочих столов / узла сеансов удаленных рабочих столов и безопасности Требовать безопасного обмена данными RPC Включено Указывает, требуется безопасного обмена данными RPC со всеми клиентами сервера узла сеансов удаленных рабочих столов или допускает небезопасные подключения.
Компоненты Windows / службы удаленных рабочих столов / узла сеансов удаленных рабочих столов и безопасности Установить уровень шифрования подключения клиента Включен: Высокий уровень Указывает, следует ли требовать специальный уровень шифрования для защиты обмена данными между клиентских компьютеров и серверов узлов сеансов удаленных рабочих Столов во время подключения протокола удаленного рабочего стола (RDP). Эта политика применяется только при использовании собственных шифрования протокола удаленного рабочего СТОЛА. Тем не менее собственное шифрование протокола удаленного рабочего СТОЛА (в отличие от SSL-шифрование) не рекомендуется. Эта политика не применяется для SSL-шифрование.
Компоненты Windows / безопасности Windows и приложениями и браузером Запретить пользователям изменять параметры Включено Запретить пользователям вносить изменения в области параметров защиты от эксплойтов в системе безопасности Windows.
Компоненты Windows / записи и трансляции игры для Windows Включает или отключает игры Windows записи и трансляции Отключено Этот параметр включает или отключает записи игры Windows и функций трансляции. Если вы отключите этот параметр, запись игры Windows не будет разрешено.
Компоненты Windows / Windows PowerShell Включение ведения журнала блок сценария PowerShell Включено Этот параметр политики позволяет ведение журнала все входные данные сценария PowerShell в журнал событий Microsoft-Windows-PowerShell/Operational.
Компоненты Windows / удаленного управления Windows (WinRM) и клиент WinRM Разрешить Обычная проверка подлинности Отключено Этот параметр политики позволяет управлять ли клиент удаленного управления Windows (WinRM) использует обычную проверку подлинности.
Компоненты Windows / удаленного управления Windows (WinRM) и клиент WinRM Запрещает дайджест-проверка подлинности Включено Этот параметр политики позволяет управлять ли клиент удаленного управления Windows (WinRM) использует дайджест-проверка подлинности.
Компоненты Windows / удаленного управления Windows (WinRM) и служба удаленного управления Windows Разрешить Обычная проверка подлинности Отключено Этот параметр политики позволяет управлять ли служба удаленного управления Windows (WinRM) принимает обычную проверку подлинности от удаленного клиента.
Компоненты Windows / удаленного управления Windows (WinRM) и служба удаленного управления Windows Запрещает WinRM сохранять учетные данные Запуск от имени Включено Этот параметр политики позволяет управлять ли служба удаленного управления Windows (WinRM) не разрешит Запуск от имени учетных данных для хранения для подключаемых модулей.

Политики антивирусной программы Защитника Windows

Функция Параметр политики Значение политики Описание
Компоненты Windows / Защитник Windows Настройка обнаружения потенциально нежелательных приложений Включен: блокировка Включение или отключение обнаружения потенциально нежелательных приложений. Вы можете заблокировать, аудита или разрешить во время потенциально нежелательных программ, загружается или пытается установиться на компьютере.

Политики компьютера IE

Функция Параметр политики Значение политики Описание
Компоненты Windows / Internet Explorer Запретить обходить предупреждения фильтра SmartScreen Включено Этот параметр политики определяет, может ли пользователь обходить предупреждения фильтра SmartScreen. Фильтр SmartScreen не позволяет пользователю из браузера на или загрузка с сайтов, которые заведомо вредоносное содержимое узла. Фильтр SmartScreen также позволяет предотвратить выполнение файлов, которые определены как вредоносные.
Компоненты Windows / Internet Explorer Запретить обходить предупреждения фильтра SmartScreen о файлах, которые обычно не загружаются из Интернета Включено Этот параметр политики определяет, может ли пользователь обходить предупреждения фильтра SmartScreen. Фильтр SmartScreen предупреждает пользователя о исполняемых файлов, которые пользователи Internet Explorer обычно не загружать из Интернета.
Компоненты Windows / Internet Explorer Укажите способ использования службы установщика ActiveX для установки элементов ActiveX Включено Этот параметр политики позволяет указать, как элементы ActiveX устанавливаются. Если вы включите этот параметр политики, элементы ActiveX устанавливаются только в том случае, если служба установщика ActiveX присутствует и настроен на установку элементов ActiveX.
Компоненты Windows / Internet Explorer / панель управления Интернета Запретить игнорирование ошибок сертификата Включено Этот параметр политики запрещает пользователю пропуска ошибок сертификатов Secure Sockets уровень/протокол TLS (протокол SSL/TLS) прервать браузера (например, «срок действия истек», «отменить» или «имя несоответствия») в Internet Explorer.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница «Дополнительно» Разрешить запуск программного обеспечения для запуска или установки, даже если подпись недопустима Отключено Этот параметр политики позволяет управлять ли программное обеспечение, такие как элементы ActiveX и загружаемых файлов, могут быть установлены или запустить пользователем, даже если подпись недопустима. Как ее подпись недопустима может означать, что подделки файла.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница «Дополнительно» Проверка подписи для загруженных программ Включено Этот параметр политики позволяет управлять проверкой Internet Explorer цифровые подписи (который идентифицирует издателя подписанного программного обеспечения и проверяет его еще не были изменены или несанкционированно) на компьютерах пользователей перед загрузкой исполняемые программы.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница «Дополнительно» Отключить поддержку шифрования Включен: использование Этот параметр политики позволяет отключить поддержку транспортного уровня безопасности TLS 1.0, TLS 1.1, протокола TLS 1.2, Secure Sockets Layer (SSL) 2.0 или SSL 3.0 в браузере. SSL и TLS — это протоколы, которые помогают защитить обмен данными между браузера и на целевом сервере. Когда браузер пытается установить защищенные связь с целевой сервер, браузер и сервер согласуйте какие протоколу и использовать. Браузер и сервер попытаться соответствуют друг друга список поддерживаемых протоколов и версии, а пользователь выбирает наиболее предпочтительное.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности Включите предупреждение о сертификате адрес несоответствия Включено Этот параметр политики позволяет включить предупреждение о сертификате адрес несоответствия безопасности. Если этот параметр политики включен, для пользователя выводится предупреждение при посещении веб-сайты, Secure HTTP (HTTPS), сертификаты, выданные для адреса другой сайт. Это предупреждение помогает предотвратить атаки подмены.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Доступ к источникам данных между доменами Включен: отключить Этот параметр политики позволяет управлять ли Internet Explorer может получать доступ к данным из другой зоны безопасности с помощью средства синтаксического анализа XML Microsoft (MSXML) или объектов данных ActiveX (ADO).
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Разрешить копирование Вырезать или вставьте операций из буфера обмена с помощью сценария Включен: отключить Этот параметр политики позволяет управлять разрешением сценариям выполнять операции с буфером обмена (например, "Вырезать", копирование и вставка) в указанном регионе.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Автоматически запрашивать загрузку файлов Включен: отключить Этот параметр политики определяет, будет ли пользователи получат уведомление для загрузки файлов, не инициированных пользователем. Независимо от того, этот параметр, пользователи будут получать диалоговые окна загрузки файла для загрузки, инициируемых пользователем.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Загрузка неподписанных элементов ActiveX Включен: отключить Этот параметр политики позволяет управлять ли пользователи могут загружать неподписанные элементы ActiveX в зоне. Такой код потенциально опасных, особенно в том случае, когда поступает из ненадежных зоны.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Включите возможность перетаскивания содержимого из разных доменов для windows Включен: отключить Этот параметр политики позволяет задать параметры для перетаскивания содержимого из одного домена в другой домен, когда источника и назначения находятся в разных окнах.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Включите возможность перетаскивания содержимого из разных доменов в окне Включен: отключить Этот параметр политики позволяет задать параметры для перетаскивания содержимого из одного домена в другой домен, когда исходная и конечная находятся в одном окне.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Инициализация и элементов ActiveX, не помеченных как безопасные Включен: отключить Этот параметр политики позволяет управлять элементов ActiveX, не помеченных как безопасные. Если вы включите этот параметр политики, элементы управления ActiveX выполняются, загружаются с параметрами и сценариями не настроенными непроверенных данных или сценарии. Этот параметр не рекомендуется, за исключением зон безопасности и управляемая. Этот параметр вызывает и ненадежные элементы управления инициализируются и сценариями, игнорируя сценарии элементов ActiveX, помеченных как безопасные для выполнения сценариев вариант.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Разрешения на языке Java Включен: Отключить Java Этот параметр политики позволяет управлять разрешениями для приложений Java. Если вы включите этот параметр политики, можно выбрать параметры из раскрывающегося списка. Настройка, управлять параметрами разрешений по отдельности. Отключите Java, чтобы предотвратить запуск всех приложений.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Запуск приложений и файлов в окне IFRAME Включен: отключить Этот параметр политики позволяет управлять ли запускать приложения и загружать файлы с помощью ссылки IFRAME в HTML страниц в этой зоне.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Параметры входа в систему Включен: Запрашивать имя пользователя и пароль Этот параметр политики позволяет управлять параметрами входа. Запрашивать имя пользователя и пароль, чтобы пользователи запрос имени пользователя и пароля. После пользователь запрашивается, эти значения могут использоваться без вмешательства пользователя в течение оставшейся части сеанса.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Запуск всему компонентов, не подписан сертификатом Authenticode. Включен: отключить Этот параметр политики позволяет управлять ли компоненты .NET Framework, которые не выполнили вход с помощью Authenticode может выполняться из Internet Explorer. К этим компонентам относятся управляемые элементы из тега объекта и управляемые исполняемые файлы из ссылки.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Выполнения всему компоненты подписаны сертификатом Authenticode. Включен: отключить Этот параметр политики позволяет управлять ли компоненты .NET Framework, которые должны быть подписаны Authenticode может выполняться из Internet Explorer. К этим компонентам относятся управляемые элементы из тега объекта и управляемые исполняемые файлы из ссылки.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Показывать предупреждение системы безопасности для потенциально опасных файлов Включен: запрос Этот параметр политики определяет появляется сообщение «Открыть файл — предупреждение о безопасности», когда пользователь пытается открыть исполняемых файлов или другие потенциально опасным файлам (из интрасети общего файлового ресурса, используя проводник, например).
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона Интернета Устойчивость Включен: отключить Этот параметр политики позволяет управлять сохранением данных журнала браузера, в "Избранное", в хранилище XML или непосредственно на веб-страницу, на жестком диске. Когда пользователь возвращается на сохраненную страницу, состояние страницы могут быть восстановлены, если этот параметр политики настроен соответствующим образом.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона интрасети Инициализация и элементов ActiveX, не помеченных как безопасные Включен: отключить Этот параметр политики позволяет управлять элементов ActiveX, не помеченных как безопасные. Если вы включите этот параметр политики, элементы управления ActiveX выполняются, загружаются с параметрами и сценариями не настроенными непроверенных данных или сценарии. Этот параметр не рекомендуется, за исключением зон безопасности и управляемая. Этот параметр вызывает и ненадежные элементы управления инициализируются и сценариями, игнорируя сценарии элементов ActiveX, помеченных как безопасные для выполнения сценариев вариант.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / зона локального компьютера Разрешения на языке Java Включен: Отключить Java Этот параметр политики позволяет управлять разрешениями для приложений Java. Если вы включите этот параметр политики, можно выбрать параметры из раскрывающегося списка. Настройка, управлять параметрами разрешений по отдельности. Отключите Java, чтобы предотвратить запуск всех приложений.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / Заблокированная зона интрасети Разрешения на языке Java Включен: Отключить Java Этот параметр политики позволяет управлять разрешениями для приложений Java. Если вы включите этот параметр политики, можно выбрать параметры из раскрывающегося списка. Настройка, управлять параметрами разрешений по отдельности. Отключите Java, чтобы предотвратить запуск всех приложений.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / Заблокированная зона локального компьютера Разрешения на языке Java Включен: Отключить Java Этот параметр политики позволяет управлять разрешениями для приложений Java. Если вы включите этот параметр политики, можно выбрать параметры из раскрывающегося списка. Настройка, управлять параметрами разрешений по отдельности. Отключите Java, чтобы предотвратить запуск всех приложений.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / Заблокированная зона ограниченных сайтов Разрешения на языке Java Включен: Отключить Java Этот параметр политики позволяет управлять разрешениями для приложений Java. Если вы включите этот параметр политики, можно выбрать параметры из раскрывающегося списка. Настройка, управлять параметрами разрешений по отдельности. Отключите Java, чтобы предотвратить запуск всех приложений.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Доступ к источникам данных между доменами Включен: отключить Этот параметр политики позволяет управлять ли Internet Explorer может получать доступ к данным из другой зоны безопасности с помощью средства синтаксического анализа XML Microsoft (MSXML) или объектов данных ActiveX (ADO).
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Разрешить активные сценарии Включен: отключить Этот параметр политики позволяет управлять запуском сценария кода на страницах в зоне.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Разрешить поведение двоичного кода и сценариев Включен: отключить Этот параметр политики позволяет управлять динамическим поведением двоичного кода и сценариев: компонентов, которые инкапсулируют определенные функциональные возможности для элементов HTML, к которым они были присоединены.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Разрешить копирование Вырезать или вставьте операций из буфера обмена с помощью сценария Включен: отключить Этот параметр политики позволяет управлять разрешением сценариям выполнять операции с буфером обмена (например, "Вырезать", копирование и вставка) в указанном регионе.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Разрешить перетаскивание или копирование и вставка файлов Включен: отключить Этот параметр политики позволяет управлять ли пользователи могут перетаскивать или копировать и вставлять файлы из источников в зоне.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Разрешить загрузку файлов Включен: отключить Этот параметр политики позволяет управлять ли загрузка файлов разрешены в зоне. Этот параметр определяется зоне страницы со ссылкой, вызывающей загрузку, не зоны, из которой передаются.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Разрешить загрузку файлов XAML Включен: отключить Этот параметр политики позволяет управлять загрузку файлов разметки языка XAML (Extensible Application). XAML — это XML-based декларативный язык разметки обычно используется для создания интерфейсов многофункциональном пользовательском и графики, которая воспользоваться преимуществами Windows Presentation Foundation.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Разрешить мета-обновление Включен: отключить Этот параметр политики позволяет управлять ли браузер пользователя можно перенаправлены на другой веб-страницы, если автор веб-страницы использует метаобновления (тег) для перенаправления браузеры на другой веб-страницы.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Загрузка подписанных элементов ActiveX Включен: отключить Этот параметр политики позволяет управлять ли пользователи могут загружать подписанные элементы управления ActiveX со страницы в зоне
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Разрешить только утвержденным доменам с помощью элементов управления ActiveX без предупреждения Включен: Включение Этот параметр политики определяет, будет ли пользователю будет предложено разрешить элементы ActiveX для работы на веб-сайтах, отличных от веб-сайта, установить элемент ActiveX.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Разрешить использовать элемент управления ActiveX TDC только утвержденным доменам Включен: Включение Этот параметр политики определяет, ли пользователь могут запускать элемент управления TDC ActiveX на веб-сайтах.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Разрешить сценарии элементов управления Internet Explorer WebBrowser Включен: отключить Этот параметр политики определяет, ли страницы можно управлять встроенные элементы управления WebBrowser через скрипт.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Разрешить запущенные сценарием окна без ограничений на размер или положение Включен: отключить Этот параметр политики позволяет управлять ограничениями запускаемых сценариями всплывающих окон и окон со строками заголовка и состояния.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Разрешить сценарии Включен: отключить Этот параметр политики позволяет управлять ли пользователь может выполнять сценарии.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Разрешить обновления для строки состояния посредством сценария Включен: отключить Этот параметр политики позволяет управлять ли сценария можно обновлять строку состояния в зоне.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Разрешение выполнения VBScript в Internet Explorer Включен: отключить Этот параметр политики позволяет управлять ли выполняться VBScript на страницах в указанной зоне в Internet Explorer.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Автоматически запрашивать загрузку файлов Включен: отключить Этот параметр политики определяет, будет ли пользователи получат уведомление для загрузки файлов, не инициированных пользователем. Независимо от того, этот параметр, пользователи будут получать диалоговые окна загрузки файла для загрузки, инициируемых пользователем.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Загрузка неподписанных элементов ActiveX Включен: отключить Этот параметр политики позволяет управлять ли пользователи могут загружать неподписанные элементы ActiveX в зоне. Такой код потенциально опасных, особенно в том случае, когда поступает из ненадежных зоны.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Включите возможность перетаскивания содержимого из разных доменов для windows Включен: отключить Этот параметр политики позволяет задать параметры для перетаскивания содержимого из одного домена в другой домен, когда источника и назначения находятся в разных окнах.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Включите возможность перетаскивания содержимого из разных доменов в окне Включен: отключить Этот параметр политики позволяет задать параметры для перетаскивания содержимого из одного домена в другой домен, когда исходная и конечная находятся в одном окне.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Включите локальный путь пользователя Отправка файлов на сервер Включен: отключить Этот параметр политики определяет сведения о локальном пути отправляется, когда пользователь является отправка файла через HTML-формы. Если в локальный путь отправляется информация, некоторые сведения могут случайно раскрыты на сервер. Например файлы, отправляемые с рабочего стола пользователя может содержать имя пользователя как часть пути.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Инициализация и элементов ActiveX, не помеченных как безопасные Включен: отключить Этот параметр политики позволяет управлять элементов ActiveX, не помеченных как безопасные. Если вы включите этот параметр политики, элементы управления ActiveX выполняются, загружаются с параметрами и сценариями не настроенными непроверенных данных или сценарии. Этот параметр не рекомендуется, за исключением зон безопасности и управляемая. Этот параметр вызывает и ненадежные элементы управления инициализируются и сценариями, игнорируя сценарии элементов ActiveX, помеченных как безопасные для выполнения сценариев вариант.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Разрешения на языке Java Включен: Отключить Java Этот параметр политики позволяет управлять разрешениями для приложений Java. Если вы включите этот параметр политики, можно выбрать параметры из раскрывающегося списка. Настройка, управлять параметрами разрешений по отдельности. Отключите Java, чтобы предотвратить запуск всех приложений.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Запуск приложений и файлов в окне IFRAME Включен: отключить Этот параметр политики позволяет управлять ли запускать приложения и загружать файлы с помощью ссылки IFRAME в HTML страниц в этой зоне.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Параметры входа в систему Включен: Анонимный вход Этот параметр политики позволяет управлять параметрами входа. Анонимный вход для отключения проверки подлинности HTTP и использования учетной записи гостя только для протокола распространенных файловая система Интернета (CIFS).
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Навигацию по разным доменам windows и кадры Включен: отключить Этот параметр политики позволяет управлять открытием windows и кадров и доступом к приложениям разных доменов.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Запуск всему компонентов, не подписан сертификатом Authenticode. Включен: отключить Этот параметр политики позволяет управлять ли компоненты .NET Framework, которые не выполнили вход с помощью Authenticode может выполняться из Internet Explorer. К этим компонентам относятся управляемые элементы из тега объекта и управляемые исполняемые файлы из ссылки.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Выполнения всему компоненты подписаны сертификатом Authenticode. Включен: отключить Этот параметр политики позволяет управлять ли компоненты .NET Framework, которые должны быть подписаны Authenticode может выполняться из Internet Explorer. К этим компонентам относятся управляемые элементы из тега объекта и управляемые исполняемые файлы из ссылки.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Запускать элементы ActiveX и подключаемые модули Включен: отключить Этот параметр политики позволяет управлять элементов управления ActiveX и подключаемые модули могут выполняться на страницах в указанной зоне.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Сценарии элементов ActiveX, помеченных как безопасные для выполнения сценариев Включен: отключить Этот параметр политики позволяет управлять ли элемент управления ActiveX, помеченных как безопасные для выполнения сценариев могут взаимодействовать с помощью сценария.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Выполнять сценарии приложений Java Включен: отключить Этот параметр политики позволяет управлять ли приложениям для сценариев в зоне.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Показывать предупреждение системы безопасности для потенциально опасных файлов Включен: отключить Этот параметр политики определяет появляется сообщение «Открыть файл — предупреждение о безопасности», когда пользователь пытается открыть исполняемых файлов или другие потенциально опасным файлам (из интрасети общего файлового ресурса, используя проводник, например). Если вы отключите этот параметр политики, эти файлы не открывайте.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Устойчивость Включен: отключить Этот параметр политики позволяет управлять сохранением данных журнала браузера, в "Избранное", в хранилище XML или непосредственно на веб-страницу, на жестком диске. Когда пользователь возвращается на сохраненную страницу, состояние страницы могут быть восстановлены, если этот параметр политики настроен соответствующим образом.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / ограниченных сайтов Веб-сайты в меньшими правами зоны Интернета могут переходить в этой зоне Включен: отключить Этот параметр политики позволяет управлять переходом в эту зону веб-узлов зон с меньшими правами, таких как веб-сайтах.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / надежных сайтов Инициализация и элементов ActiveX, не помеченных как безопасные Включен: отключить Этот параметр политики позволяет управлять элементов ActiveX, не помеченных как безопасные. Если вы включите этот параметр политики, элементы управления ActiveX выполняются, загружаются с параметрами и сценариями не настроенными непроверенных данных или сценарии. Этот параметр не рекомендуется, за исключением зон безопасности и управляемая. Этот параметр вызывает и ненадежные элементы управления инициализируются и сценариями, игнорируя сценарии элементов ActiveX, помеченных как безопасные для выполнения сценариев вариант.
Компоненты Windows / Internet Explorer / панель управления Интернета / страница безопасности / надежных сайтов Разрешения на языке Java Включен: Высокий уровень безопасности Этот параметр политики позволяет управлять разрешениями для приложений Java. Если вы включите этот параметр политики, можно выбрать параметры из раскрывающегося списка. Настройка, управлять параметрами разрешений по отдельности. Высокая безопасность: разрешить приложениям работать в песочнице.
Компоненты Windows / Internet Explorer / функции безопасности и управление надстройками Удалить кнопку «Выполнить в этот раз» для устаревших элементов ActiveX в Internet Explorer Включено Этот параметр политики позволяет запретить пользователям видеть кнопку «Выполнить в этот раз» и запускать определенные устаревшие элементы ActiveX в Internet Explorer.
Компоненты Windows / Internet Explorer / функции безопасности и управление надстройками Выключение блокирования устаревших элементов ActiveX в Internet Explorer Отключено Этот параметр политики определяет, будет ли Internet Explorer блокирует определенные устаревшие элементы ActiveX. Устаревшие элементы ActiveX не блокируются в зоне интрасети.
Компоненты Windows / Internet Explorer / функции безопасности / при обработке согласованное Mime Процессов Internet Explorer Включено Internet Explorer использует данные Multipurpose Internet Mail расширения (MIME) для определения файлов, обработка процедуры для файлов, полученных через веб-сервера. Этот параметр политики определяет, требуется ли Internet Explorer обеспечить единообразие всех типов файлов сведения, предоставляемые веб-серверы. Например если тип MIME файла текста и обычный, но опознает означает, что файл действительно исполняемый файл, Internet Explorer переименовывает этот файл, сохранив его в кэше Internet Explorer и изменив его расширение. Если вы включите этот параметр политики, Internet Explorer требует соответствия MIME-данных для всех полученных файлов.
Компоненты Windows / Internet Explorer / безопасности функций / возможность пробной проверки Mime Процессов Internet Explorer Включено Этот параметр политики определяет, ли Internet Explorer MIME перехвата предотвращать одного типа файла в более опасный тип файла. Если вы включите этот параметр политики, пробная проверка MIME никогда не будет переводить файл одного типа в более опасный тип файла.
Компоненты Windows / Internet Explorer / функции безопасности / MK протокола ограничения безопасности Процессов Internet Explorer Включено Этот параметр политики безопасности ограничение MK-протокола уменьшает контактную зону атак, запрещая MK-протокола. Ресурсы на основе MK-протокола завершится ошибкой. Если вы включите этот параметр политики, MK-протокол запрещен для проводника и Internet Explorer, а ресурсы на основе MK-протокола завершится ошибкой.
Компоненты Windows / Internet Explorer / функции безопасности и панель уведомлений Процессов Internet Explorer Включено Этот параметр политики позволяет управлять отображением панели уведомлений для процессов Internet Explorer, когда установка файлов или кодов ограничена. По умолчанию панель уведомлений отображается для процессов Internet Explorer. Если вы включите этот параметр политики, панель уведомлений будет отображаться для процессов Internet Explorer.
Компоненты Windows / Internet Explorer / функции безопасности и защиты от повышения уровня зоны Процессов Internet Explorer Включено Internet Explorer накладывает ограничения на каждой веб-страницы, открывается. Ограничения зависят от размещения веб-страницы (Интернет, интрасеть, зона локального компьютера и т. д.). Веб-страницы на локальном компьютере имеют минимальные ограничения безопасности и находятся в зоне локального компьютера главной мишенью для злонамеренных пользователей зоне безопасности локального компьютера. Повышение прав зоны также отключает переход с помощью JavaScript, если нет контекст безопасности отсутствует. Если вы включите этот параметр политики, любой зона может быть защищена от повышения уровня зоны процессами Internet Explorer.
Компоненты Windows / Internet Explorer / безопасности функций / ограничение установки элементов ActiveX Процессов Internet Explorer Включено Этот параметр политики включает блокирование запросов установки элементов управления ActiveX для процессов Internet Explorer. Если вы включите этот параметр политики, запрос на установку элементов управления ActiveX будет заблокирован для процессов Internet Explorer.
Компоненты Windows / Internet Explorer / безопасности функций / ограничение загрузки файлов Процессов Internet Explorer Включено Этот параметр политики включает блокирование запросов загрузки файлов, которые не являются инициирован пользователем. Если вы включите этот параметр политики, запросы загрузки файлов, которые не являются инициирован пользователем будет заблокирован для процессов Internet Explorer.
Компоненты Windows / Internet Explorer / функций безопасности или в сценарий ограничения безопасности для окна Процессов Internet Explorer Включено Internet Explorer позволяет сценариям программным образом открыть, изменение размера и положения окон различных типов. Функции безопасности ограничения для окна ограничивает всплывающие окна и запрещает сценариям отображать windows, в которых заголовок и строка состояния не видны пользователю или закрывают другие окна заголовка и состояния. Если вы включите этот параметр политики, всплывающих окон и другие ограничения применяются для проводника процессов и Internet Explorer.

Пользовательские политики

Функция Параметр политики Значение политики Описание
Руководство по безопасности MS Настройка сервера v1 SMB Отключено Отключить или включить обработки на сервере протокола SMBv1
Руководство по безопасности MS Настройка драйвер клиента v1 SMB Включен: Отключить драйвер Настройте режим запуска для драйвера в режиме ядра, реализующий обработка SMBv1 на стороне клиента (MrxSmb10). Этот параметр включает в себя раскрывающийся список, который активируется, когда переключатель включен и который контролирует значение реестра «"Меню Пуск"» в HKLM\системы\CurrentControlSet\службы\MrxSmb10.
Руководство по безопасности MS Включен перезаписи структурированной обработки исключений (SEHOP) защиты Включено Эта функция предназначена для блокирования вредоносных программ, которые используют структурированной обработки исключений (SEH) перезапись прием. Данный механизм защиты предоставляется во время выполнения. Таким образом он помогает защитить приложения независимо от того, они внедрены ли последние усовершенствования, такие как параметр/SAFESEH. Мы рекомендуем, что пользователи Windows, которые используют какие-либо из вышеуказанных операционных системах включить эту функцию для улучшения профиля безопасности своих систем.
Руководство по безопасности MS Проверка подлинности WDigest Отключено При включении протокол проверки подлинности WDigest обычную проверку сохраняются в локальном безопасности центра сертификации подсистемы службы (LSASS) предоставлять их кражи. WDigest отключено по умолчанию в Windows 10. Этот параметр гарантирует, что это требование.
Руководство по безопасности MS Блокировка Flash активации в документах Office Включено Предотвращает загрузку приложениями Office элемент Adobe Flash ActiveX.
MSS (устаревшие) MSS: Исходный IP-адрес (DisableIPSourceRouting IPv6) Маршрутизация уровень защиты (обеспечивает безопасность от спуфинга пакетов) Самым защиты исходной маршрутизации полностью отключено Позволяя источника Маршрутизация сетевой трафик позволяет злоумышленникам скрывать их удостоверения и расположения.
MSS (устаревшие) MSS: (DisableIPSourceRouting) IP-адрес источника маршрутизации уровень защиты (обеспечивает безопасность от спуфинга пакетов) Самым защиты исходной маршрутизации полностью отключено Позволяя источника Маршрутизация сетевой трафик позволяет злоумышленникам скрывать их удостоверения и расположения.
MSS (устаревшие) MSS: Разрешить ICMP (EnableICMPRedirect) перенаправляет переопределить созданные маршруты Отключено ICMP перенаправить маршрутов что может привести к трафика, не перенаправляются надлежащим образом. При отключении это включает принудительную ICMP сначала перенаправлялись через короткий путь.
MSS (устаревшие) MSS: Разрешить (NoNameReleaseOnDemand) компьютер, чтобы игнорировать запросы выпуска имя NetBIOS за исключением из WINS-серверов Включено Предотвращает атаки типа "отказ в обслуживании" (DoS) с помощью сервера WINS. DoS состоит из отправки NetBIOS запрос на имя выпуска на сервер для каждой записи кэша сервера, причиной задержки ответа в обычных условиях возможность разрешение сервера WINS.

Элементы управления

Элементы управления, применяются на уровне 4 реализовывать дополнительные элементы управления и более сложные конфигурации безопасности, чем уровень 5. Несмотря на может немного большее влияние пользователям или приложениям, их применения уровень безопасности более сопряжено с риски к пользователям доступ к конфиденциальной информации. Корпорация Майкрософт рекомендует использовать методологию аудит или принудительное применение элементов управления с помощью режима аудита и методологию кругов для тех, которые не с помощью умеренное временной шкалы, которая должна выполняться будет немного больше времени, чем процесс на уровне 5.

Набор функций Возможность Описание
Защита от эксплойтов Принудительно включить защиту памяти для операционной системы на уровне элементов управления:
— Защита потока управления (CFG)
-Data предотвращения выполнения (данных DEP)
-Обязательный ASLR
ASLR снизу вверх
-Высокой энтропии ASLR
-Проверка цепочек исключений (SEHOP)
— Проверка целостности кучи
Защита от эксплойтов помогает защитить устройства от вредоносных программ, использующих эксплойты для распространения и заражения на других устройствах. Она состоит из нескольких мер, которые можно применять на уровне операционной системы или на уровне отдельного приложения. Отсутствует опасность для обеспечения совместимости приложений, так как некоторые приложения могут зависят от заблокированных (например динамически созданием кода без отметка памяти как исполняемые). Корпорация Майкрософт рекомендует постепенного развертывания этой конфигурации, с помощью методологию кругов.
Уменьшение уязвимой зоны (ASR) Настройка и применения правил сокращение возможных направлений атаки Уменьшение уязвимой зоны, элементы управления для предотвращения действия и приложения, которые обычно используются вредоносными программами, нацеленными для заражения компьютеров. Отсутствует опасность для обеспечения совместимости приложений, так как некоторые приложения могут зависят от заблокированных (например приложения Office запускающая дочернего процесса). Каждый элемент управления имеет режим аудита, и таким образом, корпорация Майкрософт рекомендует аудит или принудительное применение методологию (повторяется здесь):
1) аудит — Включение элементов управления в режиме аудита и сбора данных аудита в центральном расположении
2) Обзор — просмотра данных аудита, чтобы оценить потенциальное влияние (положительные и отрицательные) и настроить все исключения из меры безопасности, которые необходимо настроить
3) применения — развертывание конфигурации любой от уплаты налогов и преобразовать элемент управления, чтобы применить режим
Защита сети Настройка и принудительно включить защиту сети Обеспечивает защиту сети к запретить сотрудникам использовать любое приложение для доступа к опасным доменам, которые могут быть вложены фишинга, эксплойты и другое вредоносное содержимое в Интернете. Она расширяет область действия фильтр SmartScreen Защитника Windows для блокирования всего исходящего трафика HTTP (s), который пытается подключиться к источникам с (на основе домена или имени узла). Существует опасность для обеспечения совместимости приложений, в результате ложных срабатываний отмеченных сайтов. Майкрософт рекомендует развертывать с помощью аудит или принудительное применение методологии.

Поведение

Поведение, рекомендуется использовать на уровне 4 реализовать более сложный процесс безопасности. Хотя они могут потребовать более сложных организации, их применения уровень безопасности более сопряжено с риски к пользователям доступ к конфиденциальной информации.

Набор функций Возможность Описание
Антивирус Настройка обновлений защиты выполнить отработку отказа для получения от корпорации Майкрософт Источниками обновлений защиты антивирусной программы "Защитник Windows может быть указан в упорядоченного списка. Если вы используете внутреннее распространение, например, SCCM или WSUS, настройте нижнего центра обновления Майкрософт в списке как отработки отказа.
Обновления для безопасности ОС Развертывание исправлений Windows в течение 4 дней Как с момента выпуска участка и эксплойта зависимости от обратного конструирования, исправления по-прежнему сжать, проектирование процесс, который обеспечивает возможность проверять и развертывать качество обновления адресации известные уязвимости системы безопасности — критически аспектом санации безопасности.
Службы поддержки 1:1 администрирования Простой и общие модели для поддержки службы поддержки — добавить группе службы поддержки как постоянные член в группу локальных администраторов каждого устройства. Если любое устройство бесполезны и службы поддержки может подключиться к нему, эти учетные данные можно использовать для получения права администратора на любой / всех других устройствах. Проектирования и реализации стратегии для обеспечения поддержки службы поддержки не предоставлять доступ с правами администратора 1:all — ограничение значение эти учетные данные службы поддержки