Group Policy
У керівництва виникла ідея встановити на всіх ПК організації однаковий скрінсейвер (зберігач екрану), що представляє собою слайд-шоу із зображеннями. Як зображень планується використання картинок, виконаних в корпоративному стилі компанії, на яких вказуються основні правила інформаційної безпеки, корисні поради для користувачів і інша довідкова інформація. В результаті, у мене вийшло рішення поширення файлів з картинками і управління екранної заставкою за допомогою можливостей GPO (групових політик).
Відразу зазначу, що в компанії в якості клієнтських ОС використовуються всі підтримувані версії Windows: Windows 7, Windows 8.1 і Windows 10, тому рішення по управлінню корпоративної заставкою має бути універсальним і працювати на будь-якій версії ОС.
Спочатку розглядався варіант зі створення власного скринсейвера в форматі * .scr, але така методика вимагає додаткового софта і не досить гнучка і проста в управлінні.
В ОС Windows, починаючи з Windows 7 на екрані блокування в якості скрінсейвера можна відображати слайд шоу із зображень у зазначеній папці, але управляти цими настройками за допомогою GPO можна. Довелося шукати обхідні рішення.
Загальний мережевий каталог з зображеннями для слайд шоу
В першу чергу на будь-якому сервері мережі створимо загальний мережевий каталог, в якому будуть зберігатися оригінали файлів із зображеннями для слайдшоу. Необхідно надати всім користувачам домену (групі Domain Users) права на читання файлів в цій папці. Наприклад, в нашому випадку файли зберігаються за наступним UNС шляху: \\ srv1 \ Install \ Img. Скопіюємо в неї файли зображень.
Перейдіть в розділ User Configuration> Preferences> Control Panel Settings> Scheduled Tasks і створіть нове завдання (New-> Scheduled Task at Least Windows 7) з наступними параметрами:
Запускати завдання з-під. % LogonDomain% \% LogonUser%
На вкладці Triggers. додамо нову умову New Trigger -> On a Schedule -> One TimeЗбережіть зміни в завданні і призначте політику на OU з користувачами.
Налаштування параметра скінсейвера на еталонному ПК
Тепер на еталонному комп'ютері потрібно налаштувати срінсейвер, щоб він брав зображення для слайд-шоу з папки C: \ Screen. Налаштування відповідних гілок реєстру цього комп'ютера в подальшому поширимо на все ПК за допомогою GPO.
Примітка. На еталонному комп'ютері каталог C: \ Screen повинен існувати.
Вкажіть шлях до папки C: \ Screen, включіть опцію Tick Shuffle Pictures і збережіть зміни.Тепер нам потрібно експортувати гілку реєстру HKEY_CURRENT_USER> Software> Microsoft> WindowsPhotoViewer> Slideshow> Screensaver в reg файл і імпортувати її на контролері домену (або іншому комп'ютері, з якого виконується редагування GPO).
Важливо. Шлях до каталогу з зображеннями зберігається в ключі EncryptedPIDL в зашифрованому вигляді (Base64), тому змінити його вручну не вийде. Але, тому що Windows некоректно розставляє переноси рядки в значенні цього ключа, доведеться вручну відредагувати reg файл (за допомогою блокнота) і зробити так, щоб значення ключа EncryptedPIDL містилося в одному рядку.
Збережіть reg файл і імпортуйте його на комп'ютер, з якого ви редагуєте GPO.
Групова політика управління екранної заставкою
Відкрийте GPO і перейдіть в гілку GPP: User Configuration -> Preferences -> Windows Settings -> Registry. Створіть новий параметр New> Registry Wizard> Next
Перейдіть до гілки HKEY_CURRENT_USER -> Software -> Microsoft -> Windows Photo Viewer -> Slideshow -> Screensaver. Відзначте наступні ключі і натисніть Finish: Потім перейдіть в розділ GPO User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization. Увімкніть політику Force specific screen saver. в якості значення вкажіть PhotoScreensaver.scr. (За замовчуванням Photoscreensaver.scr використовує в якості джерела зображень для слайд-шоу каталог C: \ Users \ Public \ Pictures \ Sample Pictures).Порада. Крім того можна включити такі політики в розділі Personalization
- Enable Screen Saver
- Password Protect Screen - захист екрану блокування паролем
- ScreenSavertimeout - час простою комп'ютера в секундах, після якого пристрій автоматично скрінсейвер
На цьому все, закрийте консоль Group Policy Management і обновіть політики на клієнтах (gpupdate / force). На всіх комп'ютерах, після зазначеного часу простою повинен включатися єдиний корпоративний скрінсейвер у вигляді слайд-шоу із зображень в папці c: \ Screen.
Читайте далі в розділі Group Policy
Навіть якщо він перепризначив каталог з зображеннями, через якийсь час, вона все равне повернеться на ту, яка задається через політику.
Або, якщо вже дуже хочеться - заблокувати користувачеві запис в гілку реєстру HKEY_CURRENT_USER> Software> Microsoft> Windows Photo Viewer> Slideshow> Screensaver (але имхо це вже зайве)
А можна вас попросити поділитися картинками з правилами ІБ які ви використовуєте?
Поділитися, на жаль, не можу - на слайдах міститься комерційна інфа.
Можу текстом пару написати, але мені здається все це легко шукається в интеренете:
1. Блокуйте комп'ютер, коли залишаєте робоче місце (WIN + L)
2. Не повідомляйте свій пароль кому б то не було і не пишіть його на видному місці на робочому столі (особливо на монітор)
3. Не запускайте незнайомі файли і подозрітелний вкладення
4. Про випадки незаконного використання обладнання компанії, корупції повідомляйте на гарячу лінію
і т.д.