Групповые политики Windows: 10 GPO-настроек, которые закрывают типовые дыры в безопасности офиса

Каждый месяц мы приходим к новому клиенту — юристы, стоматология, небольшой торговый дом — и первое, что я вижу: Windows без единой настройки безопасности. Пароль «12345», USB от подрядчиков вставляют без разбора, RDP торчит наружу с дефолтным портом. Это не злой умысел — просто никто не объяснил, что за полдня можно закрыть 80% типовых дыр штатными инструментами Windows, без покупки дорогого ПО и без вызова интегратора.

Групповые политики — это не только для больших компаний

Многие думают: GPO — это для корпораций с Active Directory, для предприятий на сотни машин. Неправда. На любом Windows 10 или 11 Pro есть редактор локальной групповой политики — gpedit.msc. Запускаете через Win+R, и перед вами полноценный инструмент настройки системы. Он не синхронизируется с другими машинами автоматически, но для одного-двух ключевых компьютеров — сервера, бухгалтерской машины, директорского ПК — этого более чем достаточно. Без домена. Без сервера. Бесплатно.

На Windows Home gpedit.msc нет. Честная правда. Если у вас Home, придётся либо обновить лицензию — Windows 11 Pro в официальном магазине Microsoft стоит около 9 000 рублей — либо править реестр вручную. Реестр сложнее и опаснее: одна опечатка, и система может не загрузиться. Мой совет простой: на рабочих машинах всегда берите Pro. Сэкономили пять тысяч на лицензии — потеряете потом гораздо больше на восстановлении после инцидента. Проверено на практике не раз.

Отдельный разговор про домен. Если у вас есть Active Directory — все настройки из этой статьи применяются через консоль GPMC и сразу распространяются на все машины в сети. Без домена — каждый компьютер отдельно, или пишете PowerShell-скрипт с командой secedit. Больно, но реально. У нас есть клиент — юридическая фирма на 12 человек, работают без домена уже четыре года. Каждое обновление политик я прогоняю у них скриптом за двадцать минут. Работает нормально.

Настройки 1 и 2: политика паролей и блокировка учётной записи

Начнём с самого очевидного — паролей. Путь в редакторе: Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики учётных записей → Политика паролей. Включаете «Пароль должен отвечать требованиям сложности» и ставите минимальную длину — 12 символов. Не восемь, как по умолчанию. Двенадцать. В 2025 году восемь символов подбираются за несколько часов на обычном потребительском железе с помощью hashcat и словарей, которые лежат в открытом доступе. Это не теория — это будни.

Но сложный пароль — это только половина дела. Настройка номер два: политика блокировки учётной записи. Тот же раздел, вкладка «Политика блокировки учётной записи». Устанавливаете порог блокировки — 5 неудачных попыток, продолжительность блокировки — 30 минут. Это полностью убивает перебор паролей. Без этой настройки скрипт снаружи может методично перебирать пароли круглосуточно, и вы об этом даже не узнаете. С ней — после пяти попыток учётка замолкает на полчаса, а в журнале событий появляется запись, которую можно отследить.

У нас был клиент — небольшая бухгалтерская контора в Подмосковье. Держали RDP открытым наружу, никакой политики блокировки, пароль у одной из пользователей — «Бухгалтер2022». За неделю боты из интернета постучались в 3389 порт несколько миллионов раз. Угадали. Итог: зашифрованные архивы за три года, шифровальщик из семейства LockBit. Восстановление обошлось примерно в 180 000 рублей — резервные копии были, но старые, трёхнедельной давности. Включите политику блокировки. Прямо сейчас. Это пять минут работы.

Настройки 3 и 4: USB и автозапуск — самая недооценённая дыра

Вот где большинство владельцев малого бизнеса машут рукой: «ну флешки, ну и что». А вот что. Сотрудник принёс флешку из дома — скопировать фотографии с корпоратива. На флешке живёт Lumma Stealer. Через десять минут украдены все сохранённые пароли из Chrome, включая доступ к системам интернет-банкинга и корпоративной почте. Никакого взлома сети, никаких следов снаружи — просто человек вставил флешку. Реальная история от нашего клиента — медицинская клиника, апрель 2025 года.

Настройка 3 — запрет записи на съёмные носители. Путь: Конфигурация компьютера → Административные шаблоны → Система → Доступ к съёмным запоминающим устройствам. Параметр «Съёмные диски: запретить запись» — включить. С этого момента на флешку с данного компьютера ничего записать нельзя. Читать — можно, копировать данные С флешки — можно, писать НА флешку — нет. Для большинства офисных сценариев этого достаточно. Сотрудник хочет унести документы домой? Пусть пользуется корпоративной почтой или облачным хранилищем — там хотя бы есть журнал действий.

Настройка 4 — отключение автозапуска. Кажется, что это про 2010 год и вирусы на дискетах. Но нет. Раздел: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Политики автозапуска. Параметр «Отключить автозапуск» — включить для всех типов дисков. Некоторые семейства вредоносного ПО до сих пор используют autorun.inf для автоматического запуска при подключении носителя. Закрыть этот вектор — дело буквально одной минуты. Не пренебрегайте.

Настройки 5 и 6: ограничиваем запуск посторонних программ

Большинство заражений происходит по одной и той же схеме: пользователь скачал что-то из браузера, запустил из папки «Загрузки». Или открыл вложение из письма, файл сохранился во временной папке, оттуда и запустился. Настройка 5 — блокировка запуска исполняемых файлов из заведомо опасных папок через Software Restriction Policies (SRP). Путь: Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики ограниченного использования программ. Правой кнопкой создаёте новые политики, затем добавляете дополнительные правила пути.

Правила, которые я ставлю в первую очередь: запрет для путей %USERPROFILE%\Downloads, %TEMP%, %APPDATA%\Local\Temp. Уровень безопасности — «Запрещено». Да, пользователи сразу начинают жаловаться, что «ничего не устанавливается». Именно это и является целью. Пусть обращаются к администратору. Установку легитимных программ проводит ИТ-специалист — из проверенных источников, в системные папки. Это не неудобство, это порядок.

Настройка 6 — AppLocker. Это более мощный и гибкий инструмент, доступен на Windows 10/11 Pro и Enterprise. Путь: Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политики управления приложениями → AppLocker. Здесь можно задать правило белого списка: разрешить запуск исполняемых файлов только из C:\Windows и C:\Program Files, всё остальное — запрещено по умолчанию. Мощно. Но аккуратно: прежде чем включать принудительное применение, обязательно запустите AppLocker в режиме «Только аудит» на несколько дней. Посмотрите, что именно планируется блокировать — и только потом включайте ограничения. Иначе рискуете заблокировать и нужные программы вместе с лишними.

Настройки 7 и 8: RDP — удобный, но опасный без правильных настроек

RDP я использую каждый день. Удобно: сидишь дома, подключаешься к офисному серверу, работаешь как будто на месте. Но если протокол не настроить должным образом — это буквально открытые ворота в вашу сеть. Настройка 7: требование сетевой аутентификации NLA. Путь: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удалённых рабочих столов → Узел сеанса удалённого рабочего стола → Безопасность. Параметр «Требовать проверку подлинности пользователя для удалённых подключений с использованием NLA» — включить.

Что это даёт на практике. Без NLA злоумышленник, дотянувшийся до вашего порта 3389, сразу видит экран входа в Windows — и может методично пробовать пароли, пока не угадает или пока вы не закроете соединение. С NLA система требует аутентификацию на уровне сети ещё до того, как показать хоть что-то. Плюс — известная критическая уязвимость BlueKeep (CVE-2019-0708), которая позволяла выполнять произвольный код без авторизации, работала только при выключенном NLA. Включаете NLA — этот целый класс атак просто исчезает.

Настройка 8 — тайм-аут бездействующей сессии. Раздел: та же ветка политик, подраздел «Ограничения по времени сеанса». Параметр «Задать ограничение по времени для активных бездействующих сеансов служб удалённых рабочих столов» — выставляете 30 минут. Сотрудник подключился, отошёл обедать, бросил сессию. Через полчаса она завершится автоматически. Без этого параметра удалённые сессии могут висеть часами — это лишняя нагрузка на сервер, занятые лицензии RDP и реальный риск, если кто-то окажется рядом с незаблокированным монитором в офисе.

Настройка 9: аудит событий — знаете ли вы, что происходит в вашей сети прямо сейчас

Большинство небольших компаний не включают аудит вообще. Потом, когда что-то случается, расследовать нечего — логов нет, картина не восстанавливается. Настройка 9: расширенная политика аудита. Путь: Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита. Включаете как минимум три категории: «Аудит входа в систему» — фиксировать успех и отказ, «Аудит управления учётными записями» — успех и отказ, «Аудит доступа к объектам» — хотя бы отказ. Это базовый минимум.

Не бойтесь, что аудит замедлит систему. Windows просто пишет события в системный журнал, который лежит локально на диске. Смотреть его можно в Просмотре событий — eventvwr.msc, раздел «Безопасность». Если хотите централизованный сбор со всех машин — поставьте бесплатный Wazuh на отдельный сервер или виртуальную машину, он умеет собирать журналы Windows и строить по ним алерты. Но даже без всякого SIEM — просто включённый аудит — это принципиальная разница между «мы понятия не имеем, что произошло» и «вот, в 14:23 пользователь petrov_ii залогинился с IP-адреса 10.0.0.45 и открыл папку с договорами подряд».

В 2024 году один из наших клиентов — небольшой торговый дом — столкнулся с тем, что менеджер, уходя «по собственному желанию», накануне скопировал всю клиентскую базу на личный ноутбук. Уход был некрасивый — человек ушёл к прямому конкуренту. Доказать в суде не смогли: логов доступа к файлам не было, отследить точные даты и время обращений к базе не получилось. Теперь у них аудит включён, папки с критичными данными настроены для отслеживания доступа. Поздновато. Но хотя бы следующий инцидент будет задокументирован.

Настройка 10: автоматические обновления — та вещь, которую все отключают зря

Последняя настройка — и одна из самых важных. Путь: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Центр обновления Windows. Параметр «Настройка автоматического обновления» — включить, выбрать вариант «4 — автоматически загружать и устанавливать по расписанию». Расписание ставите на ночь: например, 3:00 в пятницу. Компьютеры обновляются, пока никто не работает, перезагружаются сами, к понедельнику стоят свежие. Идеально.

WannaCry в 2017 году заразил больше 200 000 машин по всему миру за несколько дней. Патч MS17-010, который закрывал уязвимость EternalBlue, которой пользовался червь, был выпущен Microsoft за два месяца до начала эпидемии. Два полных месяца. Большинство жертв просто не обновили Windows вовремя. В 2025 году ситуация не изменилась: подавляющее большинство успешных взломов — это не экзотические нулевые дни, это хорошо известные уязвимости с давно выпущенными патчами, которые никто не поставил.

Знаю, знаю — кто-то скажет, что обновления в прошлом году «сломали 1С» или «после апдейта принтер перестал печатать». Такое бывает. Именно поэтому, если у вас 30 и более машин, имеет смысл настроить WSUS — собственный локальный сервер обновлений Windows, который позволяет сначала протестировать обновление на одной машине, убедиться, что всё работает, и только потом раскатывать на остальные. Это отдельная большая тема, разберём её в следующей статье. Для малого офиса до 15-20 компьютеров — просто включите автообновления и не отключайте их по первой просьбе бухгалтера «потому что завтра квартальный отчёт».

Частые вопросы

Работают ли эти настройки на Windows Home?
Нет. Редактор локальной групповой политики gpedit.msc доступен только на Windows 10/11 Pro, Enterprise и Education. На Home-версии его нет совсем. Часть параметров технически можно настроить напрямую через реестр, но это требует точного знания конкретных ключей и значений, и цена ошибки высока. Проще и надёжнее один раз обновить лицензию до Pro — около 9 000 рублей, и вы получаете полный набор инструментов управления безопасностью системы.

Нужен ли домен Active Directory для применения этих политик?
Нет, домен не нужен. Все десять настроек из этой статьи работают через локальную групповую политику — gpedit.msc — без каких-либо серверов и инфраструктуры. Разница только в масштабировании: с доменом политики автоматически применяются ко всем компьютерам в сети через механизм репликации. Без домена настраиваете каждый компьютер отдельно или автоматизируете это PowerShell-скриптом с secedit и lgpo.exe.

Что делать, если сотрудник всё равно пытается обойти ограничения?
Ни одна политика не защитит от человека с правами локального администратора на своей машине — он просто отключит всё, что ему мешает. Поэтому главное организационное правило: рядовые сотрудники должны работать под обычными учётными записями без прав локального администратора. Тогда обойти GPO они физически не смогут — для этого нужен пароль администратора. Если сотрудник по роли является системным администратором, здесь уже вопрос доверия, контроля и трудового договора, а не только технических настроек.

Как применить эти политики сразу на несколько компьютеров без домена?
Самый практичный способ: настраиваете одну машину через gpedit.msc, экспортируете параметры безопасности командой secedit /export в ini-файл, затем импортируете на остальные через secedit /configure. Для раздела «Административные шаблоны» используйте утилиту lgpo.exe от Microsoft — она умеет применять заранее подготовленные файлы политик в пакетном режиме. Всё это можно завернуть в один PowerShell-скрипт и запускать через Psexec или Task Scheduler по расписанию.