Програми за ограничаване на достъпа до файлове и настройки на ОС

Въпреки факта, че Windows включва инструменти за ограничаване на достъпа, на практика се оказва, че те не са много удобни и в най -обикновените ситуации. Достатъчно е да споменем такива прости примерикато задаване на парола за директория или предотвратяване на отварянето на контролния панел.

Може да се отбележи, че родителският контрол е подобрен в Windows 8 в сравнение с предшественика му Windows 7. Сега можете да го видите в секцията „Семейна безопасност“ на контролния панел. Филтърът има следните характеристики:

• Филтрирайте посещенията на уебсайтове
• Срокове
• Ограничения за Windows Store и игри
• Ограничения за приложение
• Преглед на статистиката за активността на потребителите

От горното става ясно, че дори тези функции ще помогнат на администратора на компютъра да реши много лични проблеми. Затова по -нататък ще говорим за малки програмикоито ви позволяват да ограничите достъпа до информация и системни дялове в допълнение към стандартните инструменти за управление на Windows.

Лиценз: Shareware ($ 69)

Програмата Security Administrator прилича на типичен системен туик, но с акцент върху сигурността на системата. Всяка от опциите е отговорна за определено ограничение, затова общото дърво на настройките се нарича „Ограничения“. Той е разделен на 2 раздела: Общи ограничения и Ограничения на потребителите.

Първият раздел съдържа параметри и подраздели, които се отнасят за всички потребители на системата. Те включват зареждане и влизане в системата, мрежата, Explorer, самия Интернет, системата, контролния панел и други. Обикновено те могат да бъдат разделени на ограничения за онлайн и офлайн достъп, но разработчиците не обмислят особено сложна разбивка по раздели. Всъщност е достатъчно всяко „ощипване“ да има описание: какво влияние върху сигурността оказва тази или онази опция.

Във втория раздел, Потребителски ограничения, можете да конфигурирате достъпа за всеки потребител на Windows поотделно. Списъкът с ограничения включва раздели Контролни панели, елементи на интерфейса, бутони, клавишни комбинации, сменяеми носители и др.

Експортирането на настройки в отделен файл е осигурено, така че да може да се приложи например към други системни конфигурации. Програмата има вграден агент за проследяване на активността на потребителите. Дневните файлове ще помогнат на администратора да проследи потенциално опасни действия на потребителя и да вземе подходящи решения. Достъпът до администратора на защитата може да бъде защитен с парола - в програмите, разгледани по -долу, тази опция е налична и де факто.

Сред недостатъците е малък списък с програми, за които могат да се прилагат ограничения: Media Player, MS Office и др. Има много по -популярни и потенциално опасни приложения. Усложняване на работата е липсата на актуална версия за Windows 8 и локализация-това е точно опцията, когато е трудно да се направи без основни познания по английски език.

По този начин програмата е предназначена както за ограничаване на достъпа, така и за гъвкаво конфигуриране на настройките за сигурност на ОС.

Лиценз: пробен софтуер ($ 23.95)

В WinLock няма разпределение на настройки за общи и потребителски, вместо това има раздели "Общи", "Система", "Интернет". Като цяло има по -малко възможности, отколкото предлага администраторът по сигурността, но тази логика прави програмата по -удобна за работа.

Системните настройки включват ограничения за елементи от работния плот, Explorer, менюто "Старт" и други подобни. Можете също така да зададете забрана за определени клавишни комбинации и всякакви менюта. Ако се интересувате само от тези аспекти на ограниченията, вижте програмата Deskman по -долу.

Ограниченията на функциите на Интернет са представени много повърхностно. Те заместват един от компонентите на Семейната безопасност: Блокиране на сайтове. Разбира се, всяка защитна стена в тази област ще бъде най -доброто решение. Липсата на възможност дори за задаване на маска за уеб сайтове прави този раздел на WinLock маловажен за опитен потребител.

В допълнение към посочените раздели, заслужава да се спомене и "Access", където е налично управление на приложения. Всяка програма може лесно да бъде включена в черен списък по име или да бъде добавена ръчно.

В разделите „Файлове“ и „Папки“ можете да поставите данни, които искате да скриете от други потребители. Може би няма достатъчно защита с парола за достъп (за това трябва да се обърнете към помощта на други програми, вижте по -долу).

Лиценз: безплатен

WinGuard може да се използва за заключване на приложения и дялове на Windows и за криптиране на данни. Програмата се разпространява в две издания - безплатно и Разширено. Функционалните разлики между тях са малки - има няколко опции в едноименния раздел „Разширени“. Между тях Прекъсване на интернет Explorer, Explorer, процес на инсталиране, запис на файлове на USB.

Контролът върху стартирането на приложения се осъществява в раздела "Заключване на задачи". Ако желаната програмане е в списъка, можете да го добавите сами, като посочите името в заглавката или като изберете от списъка с отворени в този моментприложения (подобно на WinLock). Ако сравните функцията за заключване с Security Administrator, в случай на WinGuard, можете да деактивирате ограниченията за администраторския акаунт. Не можете обаче да конфигурирате черен списък на приложения за всеки потребител.

Шифроването е достъпно чрез секцията Шифроване. Изпълнено потребителски интерфейснеудобно: не можете да направите списък за обработка, не контекстното меню... Всичко, което трябва да направите, е да посочите директория, която ще бъде както източникът, така и дестинацията. Всички съдържащи се файлове ще бъдат криптирани в 128-битов AES (Advanced Encryption Standard). Дешифрирането се извършва по същия начин.

По този начин функционалността е доста лоша, дори ако вземем предвид платената версия.

Лиценз: shareware ($ 34.95)

Друга програма за криптиране на AES данни и въпреки това разликата от WinGuard е доста забележима.

Първо, изборът на файлове за криптиране е по -бърз. Не е необходимо да избирате всяка папка поотделно, просто направете списък с директории и файлове. При добавяне на Advanced Folder Encryption се изисква задаване на парола за криптиране.

Вие, програмата няма възможност да посочва метода на защита, вместо това ви позволява да изберете нормален, висок или най -висок метод.

Вторият удобен момент е криптиране чрез контекстното меню и декриптиране на файлове с едно щракване. Трябва да разберете, че без да е инсталирано разширено криптиране на папки, данните не могат да се преглеждат дори ако знаете паролата. Това е в контраст с архиваторите, които могат да пакетират файлове в криптиран и достъпен навсякъде exe-архив.

Когато избирате голям брой файлове за криптиране, както беше забелязано, бутонът за отмяна не работи. Затова трябва да внимавате да не получите резултата под формата на счупен файл.

Лиценз: пробен софтуер (€ 39)

Програма за ограничаване на достъпа до елементи на интерфейса и системни секции. Може би тук е подходящо да го сравним с администратора на сигурността, с тази разлика, че Deskman е по -концентриран върху работния плот. Системни опции също присъстват, но това е по -скоро нещо, което не се вписва в други раздели: деактивиране на бутоните за рестартиране, контролни панели и други смесени опции.

В секцията Въвеждане деактивирайте клавишните комбинации, функционалните бутони и функциите на мишката. В допълнение към съществуващия списък, можете сами да дефинирате клавишните комбинации.

Любопитна е опцията за замразяване, която е налична в лентата с инструменти. Чрез натискането му се формира „бял ​​списък“ от изпълняваните в момента приложения. Съответно програмите, които не са включени в белия списък, не са налични, докато функцията Freeze не бъде деактивирана.

Друга възможност, свързана с вече онлайн, е защитеното сърфиране в мрежата. Същността на "защитения" метод е, че ще бъдат достъпни само тези страници, които съдържат определени ключови думи в заглавието. Тази функция може да се нарече само експериментална. Освен това акцентът е върху Internet Explorerкоето със сигурност е стандартният браузър, но очевидно не е единственият.

Трябва да се отбележи удобен контрол на програмата. За да приложите всички установени ограничения, просто натиснете бутона „Secure“ на панела или клавиша на шефа, за да премахнете ограниченията. Вторият момент е, че се поддържа отдалечен достъп до програмата чрез уеб интерфейса. След предварително конфигуриране, той е достъпен на http: // localhost: 2288 / deskman като контролен панел. Това ви позволява да наблюдавате активността на потребителите (преглед на дневници), да стартирате програми, да рестартирате компютъра / да излезете - както на една, така и на няколко машини.

Парола за устройство (Secure NTFS)

Лиценз: shareware ($ 21)

Програмата работи само с файловата система NTFS и използва своите възможности за съхраняване на информация в скрита област.

За да създадете трезор, трябва да стартирате Password for Drive с администраторски права и да изберете устройство, за да създадете трезора. След това файловете могат да бъдат копирани в защитената зона с помощта на виртуалния диск. Не се изискват администраторски права за достъп до данни от друг компютър.

Сменяемият носител може да се използва и като място за съхранение. За да направите това, първо трябва да форматирате диска, например, използвайки стандартни инструменти на Windows, в NTFS и да инсталирате Password for Drive в преносимо издание.

Програмата не се различава по интуитивен и удобен за потребителя интерфейс, всъщност контролът се осъществява чрез минимален набор от бутони - „Отваряне“ / „Изтриване на хранилище“ и „Активиране на диска“. В демонстрационен режим е възможно само да се тества функционалността на програмата, тъй като броят на отворите за съхранение е ограничен до сто.

Лиценз: shareware ($ 19.95)

Програмата е предназначена за инсталиране на паролни данни на сменяеми носители.

За разлика от Secure NTFS, диалоговият прозорец за настройка е много по -интуитивен благодарение на съветника за настройка. Така че, за да приложите защита, трябва да свържете устройството към компютъра, да го изберете в списъка и да следвате съветника за инсталиране. След тази процедура потребителят получава на разположение диск, защитен с парола. За да го отключите, просто стартирайте exe файла в корена на диска и въведете паролата.

Шифрованият диск, когато се отвори, е достъпен като виртуален диск, с които можете да извършвате същите операции като с оригинала. Не забравяйте, че на компютри, където стартирането на програми на трети страни (които не са в „белия“ списък) е забранено, достъпът до съдържанието ще бъде отказан.

Можете също да изтеглите други програми за защита на данни на уебсайта на разработчиците, включително:

• Shared Folder Protector - защита на файлове в мрежата;
• Folder Protector - защитава файлове на сменяеми носители.

Лиценз: безплатен

Малка помощна програма, която ви позволява да контролирате потребителския достъп до регистъра и файловете, да откривате уязвимости в предоставените права. С други думи, програмата ще бъде полезна, ако са зададени правата за достъп Инструменти за Windows.

Удобството на помощната програма се състои във факта, че операционната система просто не предоставя средство за преглед на правата за достъп до директории под формата на подробен списък. В допълнение към файловете можете да проверите и достъпа до клоновете на системния регистър.

За да проверите правата за достъп, трябва да посочите директория или раздел на системния регистър за сканиране и да стартирате процеса на сканиране. Резултатите се показват като колони "Четене" / "Писане" / "Отказ", съответстващи на адресите. Свойствата на всеки от елементите в списъка могат да бъдат достъпни чрез контекстното меню.

Програмата работи под всички операционни системи от семейството на Windows NT.

Резюме

Помощните програми, обсъдени в прегледа, могат да се използват в допълнение към основния набор от инструменти за Windows, в комплекс и в допълнение един към друг. Те не могат да бъдат категоризирани като „родителски контрол“: някои функции са донякъде сходни, но в по -голямата си част не се припокриват.

И-помощни програми-ощипвачи на настройките за сигурност, които също могат да се използват за деактивиране на елементи от работния плот, системни дялове и т.н. WinLock, освен това, има вграден интернет филтър и има възможност за блокиране на файлове и папки.

Функциите включват ограничаване на достъпа до интерфейса (превъзходен в гъвкавостта и), контрол на стартирането на приложения, интернет филтър.

Съчетава функциите на криптиране и ограничител на достъпа до програми и устройства. има смисъл да го разглеждаме като заместител на WinGuard по отношение на криптирането.

И те ограничават достъпа до данни на сменяеми носители.

- безплатна, удобна обвивка за проверка на правата на достъп на потребителите до файлове и регистър.

За ограничаване на потребителските права има Различни видовеакаунти, но с тяхна помощ не можете да конфигурирате всичко както искате, например в Windows XP, въпреки че в Windows 7 вече има повече възможности за конфигуриране на типове акаунти ...

За да намалите правата на потребителите в Windows, има специална услуга „групови политики“, с която можете да конфигурирате системата, така че никой да не „разваля“ операционната ви система :)

Трябва веднага да кажа, че няма такава услуга в Windows XP HOME.

За да стартирате услугата "Групови правила", трябва да изпълните командата "gpedit.msc", без кавички, разбира се. Можете да използвате клавишните комбинации и да натиснете Win + R и да напишете gpedit.msc в прозореца "execute", който се показва, след това натиснете Enter или бутона "Ok". Клавишът „Win“ се намира в долния ляв ъгъл на клавиатурата, той все още има логото на Windows, но и вдясно от интервала. Ако не можете да намерите този ключ, щракнете върху старт и изберете „стартиране“ (Windows XP). За Windows 7 щракнете върху старт, изберете „всички програми“ -> „стандартни“ -> „изпълни“.

Така че сега ще опиша по -нататъшното изпълнение на действието за Windows 7, тъй като няма под ръка Windows XP, но разликите в тази услуга там не са значителни.

След като изпълните командата, трябва да видите „Локален редактор групова политика". Вляво има" компютърна конфигурация "и" потребителска конфигурация ", ние ще работим само в потребителска конфигурация.

Трябва веднага да кажа, че направените промени ще бъдат приложени към всички потребители на системата, дори и към Администратора, тоест ако ограничите достъпа до нещо чрез тази услуга, тогава автоматично ще лишите Администратора от тези права :) То ясно е, че това не е добре, като за това ще използваме трик.

За да ограничите достъпа до всички, освен до администратора, трябва да действате съгласно следния алгоритъм:

1. Променете всички стойности в груповите правила;
2. Излезте от системата;
3. Влезте под всички други потребители;
4. Влезте като администратор;
5. Копирайте някъде файл C: \ Windows \ System32 \ GroupPolicy \ User \ Registry.pol;
6. Променете всички тези стойности, които са били ограничени (променете стойностите на „деактивиране“, вместо оригиналното „не е зададено“);
7. Копирайте файла Registry.pol обратно в C: \ Windows \ System32 \ GroupPolicy \ User \;
8. Влезте като други потребители и се уверете, че всичко е "изсечено" за тях, но администраторът не :)

Всичко основно, така да се каже, е в административните шаблони, така че ще променим всички стойности там. За да ограничите нещо, например достъпа до диспечера на задачите, отидете на „потребителска конфигурация“ -> „Административни шаблони“ -> „Система“ -> „Опции след натискане на CTRL + ALT + DEL“ и изберете „Добавяне на диспечер на задачи“ ", тоест щракваме двукратно или натискаме Кликнете с десния бутони изберете „промяна“ от менюто, ще се отвори прозорец, където ще трябва да изберете „Активиране“, след което „приложи“. Ако всичко е направено правилно, тогава вече няма да можете да стартирате диспечера на задачите :)

По принцип няма смисъл да описвам тук всяко „ограничение“, защото в самата услуга всичко е добре планирано.

Ще ви дам пример за това какви ограничения поставям в училище за обикновени ученици за Windows XP Professional (всичко е в "потребителска конфигурация" -> "Административни шаблони").

Система

• забранете използването на командния ред;
• деактивирайте инструментите за редактиране на системния регистър;
• деактивирайте автоматичното стартиране.
• CTRL + ALT + DEL функции:
  1. премахнете диспечера на задачите;
  2. забранете блокирането на компютъра;
  3. забранете промяната на паролата.
• групова политика:
  1. Предотвратете интерактивните потребители да създават данни за резултатен набор от политики (RSoP).
• Контрол на интернет комуникация -> Параметри на интернет комуникация:
  1. деактивирайте уеб публикуването в списъка със задачи за файлове и папки;
  2. деактивирайте участието в Програмата за подобряване на поддръжката на клиенти на Windows Messenger;
  3. изключете услугата за асоцииране на файлове в Интернет;
  4. деактивирайте автоматичното изтегляне на кодеци за Windows Movie Maker;
  5. деактивирайте уеб връзки в Windows Movie Maker;
  6. деактивирайте запазването на видео на уеб сайтове на доставчици на видео хостинг ...;

Мрежа

• офлайн файлове:
  1. деактивирайте персонализирането на офлайн файлове.
• интернет връзка:
  1. забрана допълнително персонализиране TCP / IP;
  2. откажете достъп до командата "Разширени опции" в менюто "Разширени";
  3. забраняват добавянето и премахването на компоненти за LAN връзки или ...;
  4. отказват достъп до свойствата на връзките от локална мрежа;
  5. забраняват активирането и деактивирането на компоненти на локалните връзки;
  6. откажете достъп до новия съветник за връзка;
  7. откажете достъп до командата „Опции за отдалечен достъп“ в менюто „Разширени“.

Контролен панел

Откажете достъпа до контролния панел.

работен плот

1. премахнете командата "свойства" ... (всичките 3 части);
2. не позволявайте на потребителите да променят пътя на папката „Моите документи“;
3. забранете плъзгането и затварянето на всички ленти с инструменти в лентата на задачите;
4. забранете промяната на подреждането на лентите с инструменти на работния плот;
5. деинсталирайте съветника за почистване на работния плот;
6. премахнете иконата " мрежова среда„от работния плот;

Име на лентата на задачите

1. премахване на връзки и отказ с помощта на windowsАктуализация;
2. премахнете „Мрежови връзки“ от менюто „Старт“;
3. премахнете иконата "Моите мрежови места" от менюто "Старт";
4. забранете промяната на настройките за задачи и менюто "Старт";
5. откажете достъп до контекстното меню за лентата на задачите;
6. изчистване на списъка с наскоро отворени документи при излизане;
7. деактивирайте менютата за бърз достъп;
8. фиксирайте позицията на лентата на задачите;
9. премахнете списъка с често използвани програми от менюто "Старт".

Диригент

1. премахнете командата "свойства на папката" от менюто "услуга";
2. скрийте командата "control" от контекстното меню на изследователя;
3. премахнете раздела "Оборудване";
4. деактивирайте кеширането на миниатюрни изображения.

Но в същото време аз все още ограничих правата за запис на твърд диск C.

© Филимошин В. Ю., 2010

Както показва практиката, колкото по -малко потребители имат достъп до конкретен компютър, толкова по -дълго системата работи на него и е по -вероятно папките и файловете да бъдат безопасни и здрави. Най -добре е компютърът да има само един потребител. Уви, в действителност това не винаги е така: на работното място трябва да разрешите на други служители достъп до вашия компютър, у дома доста често един и същ компютър се използва от всички членове на семейството и на обществени места (по -специално в образователни институции и компютър клубове) броят на потребителите на компютър като цяло може да бъде много голям.

За необходимостта от ограничаване на достъпа

Напълно разбираемо е, че обикновено нито колегите, нито членовете на домакинството искат да навредят на компютъра ви, но ако те принадлежат към категорията начинаещи потребители, тогава проблемите не могат да бъдат избегнати. И по -младото поколение в образователните институции обикновено не си поставя за цел да деактивира компютъра и да унищожи съхраняваната на него информация - то просто активно експериментира, без да мисли за последствията от определени действия.

В резултат на това компютрите неизбежно изпитват определени проблеми при работата на отделни приложения или операционната система. Това не е изненадващо, защото е достатъчно случайно (само по невнимание или по време на експеримент) да изтриете например драйвера на монитора - и изображението на екрана ще стане по -малко привлекателно, премахнете принтера - и ще бъде невъзможно да отпечатайте документи, променете мрежовите настройки - и компютърът ще спре да работи в локалните мрежи и т.н. И това не е най -лошият вариант - случайното изтриване на редица системни папки и файлове може да доведе до пълна неработоспособност на операционната система, така че ще трябва да се преинсталира. И унищожаването на важни работни документи може да има още по -тъжни последици - възможно е да не бъде възможно да бъдат възстановени изцяло и част от работата (или дори цялата) ще трябва да се извърши наново. Освен това не бива да се пренебрегва, че ако вашите лични или корпоративни материали имат някаква търговска стойност, нападателите може да искат да се възползват от тях.

По този начин въпросът за ограничаване на достъпа до компютър, неговите отделни устройства, както и данните, съхранявани на него, в една или друга степен, е актуален за всички потребители на компютри, без изключение. Просто за някои (администратори, учители в компютърни класове с деца на домашни потребители) на преден план излизат задачите за блокиране на достъпа до настройките на операционната система и защита на файлове и папки на операционната система. инсталирани приложения, а за други (това може да включва администратори, специалисти от отделите за компютърна сигурност и учители, които у нас, заедно с преподавателските дейности, често също са принудени да осигурят работоспособността на компютрите, които са под техен контрол), е по -важно да блокират достъпа да се различни устройства(USB, CD / DVD, FireWire и др.). Има три причини за необходимостта от блокиране на достъпа до устройства: първо, именно на такива устройства вътрешните лица често изнасят поверителна информация от компаниите; второ, вируси и троянски коне често влизат в компютъра чрез тези устройства; трето, с сменяеми носителисе инсталират най -различни програми, което е желателно да се предотврати - в противен случай на компютър, например в образователна институция, след седмица ще бъдат инсталирани толкова много играчки, че просто не остава място за други приложения.

Много офис служители се интересуват от пълно блокиране на достъпа до включен компютър при липса на легитимен потребител. Необходимостта от такава защита в офиса е много спешна, защото дори и да имате собствен компютър, потребителят не може да бъде до него през цялото време и често има ситуации, когато включеният компютър е без надзор, което може да се използва от други служители, които се интересуват от вашите материали.

Друга група потребители (това включва всички офис работници и домашни потребители) се занимава със защитата на личните данни, за да предотврати повреда, изтриване или изтичане. Проблемът със защитата на лични папки и файлове неизбежно възниква, когато няколко души работят на компютъра. Това може да бъде у дома, когато трябва да защитите други членове на семейството (например дете) от информация, която не е предназначена за тях, и на работа, където дори всеки потребител да има свой собствен компютър, може да има ситуации, в които друг служител ще трябва да извършите някои операции. И в двата случая няма нужда да показвате на външни лица работните си материали, а изобщо не, защото са класифицирани като „строго секретни“. Всичко е много по -просто: никой не обича външна намеса в техните дела. Освен това, като сте блокирали достъпа до вашите папки и файлове, не можете да се притеснявате, че нещо ще им се случи по вина на друг (недостатъчно обучен) потребител или те ще бъдат използвани незаконно, което, за съжаление, е напълно възможно, ако материалите са с търговска стойност.

Като цяло въпросът за разумното ограничение на достъпа е много сложен и многостранен и е невъзможно да се реши без подходящи приложения. Тази статия е посветена на такива приложения.

Достъп до програми за ограничаване на достъпа

Обхватът на приложенията за ограничаване на достъпа, предлагани на пазара, е доста широк и обхваща разнообразни софтуерни продукти... Някои от тях блокират достъпа до настройките на операционната система, други ви позволяват да контролирате достъпа до различни устройства, трети напълно блокират компютъра в отсъствие на потребителя, а четвъртите осигуряват скриването на лични данни. Често тези възможности се комбинират в една или друга комбинация, което е напълно разбираемо, тъй като много потребители трябва да ограничат достъпа в няколко посоки, за да решат задачите, пред които са изправени.

Блокиране на достъпа до настройките на операционната система и системните данни

Вградените инструменти на Windows ви позволяват да наложите някои ограничения за достъпа на потребителите до настройките на операционната система и системните данни чрез управление на локалната политика за сигурност (Контролен панел => Административни инструменти => Политика за локална сигурност). По -специално, можете да забраните промяната на паролата сметкаи инсталиране на драйвери за принтер, ограничаване на списъка с приложения, които могат да се използват и т.н., но списъкът с ограничени параметри не е дълъг.

В същото време на практика, за да се осигури стабилна работа на системата, често се налага да се ограничат повече възможностите на потребителите, което може да стане само с помощта на високоспециализирани помощни програми, предназначени да контролират достъпа до компютър. Ще разгледаме администраторите за сигурност, WinLock, Deskman и My Simple Desktop като примери. Най -интересният от тях е помощната програма Security Administrator, която ви позволява да ограничите достъпа до всички важни настройкисистеми и се фокусира върху системните администратори. Най -малката функционалност на програмата My Simple Desktop, но тя е безплатна за лична употреба и има достатъчни възможности за някои домашни потребители и можете да я овладеете за секунди.

Администратор на сигурността 12.0

Разработчикът: Getfreefile

Размер на разпределението: 1.85 MB

Работа под контрол: Windows 9x / Me / NT 4/2000 / XP / 2003 / Vista

Метод на разпространение http://www.softheap.com/download/secagent.zip)

Цена: 69 щатски долара

Security Administrator е професионално решение за управление на достъпа до компютър, което ви позволява да ограничите достъпа до компютър и всички негови важни настройки (фиг. 1) както като цяло, така и за отделни потребители. Възможно е също така напълно да блокирате включения компютър в отсъствие на потребителя. В допълнение към задаването на ограничения, помощната програма може да се използва за контрол на работата на потребителите на компютъра, тъй като съхранява статистика за използването на локалната мрежа, интернет и т.

Ориз. 1. Ограничаване на достъпа до системните настройки и скриване на дискове
в Администратор по сигурността

Това решение е полезно за задаване на широк спектър от ограничения за достъп. С негова помощ е лесно да се ограничи достъпа до настройките на работния плот (да се забрани промяната на свойствата на дисплея, да се скрият определени икони и т.н.) и да се деактивират някои елементи от менюто "Старт", да се скрие лентата на задачите (всички или само отделни елементи). Също така забранете инсталирането / деинсталирането на приложения и ограничете възможностите на потребителите при работа в Интернет: забранете промяната на настройките на Internet Explorer, изтеглянето на файлове, достъпа до Интернет от приложенията и т.н. Съществуват и широки възможности за защита на критичните системни настройки от промени - например можете да забраните редактирането на системния регистър, активирането на DOS режим, инсталирането на нови драйвери, добавянето / премахването на принтери, копирането / преместването на файлове в системните папки и изтриването на файлове и папки от папката „Моят компютър“ ... И също така скрийте контролния панел, принтерите, мрежовите връзки и командата Run от менюто "Старт". Ако е необходимо, контролният панел може да бъде скрит не напълно, а частично чрез скриване на най -критичните елементи от гледна точка на неоторизирани промени, като "Система", "Свойства на дисплея", "Мрежа", "Пароли" и "Принтери" ". Също толкова лесно е да скриете локални, мрежови и USB устройства, да забраните записването и автоматичното възпроизвеждане на компактдискове, да блокирате използването на горещи Ключове за Windowsи стартирайте конкретни приложения, както и скрийте посочените папки - тези папки ще станат невидими в папката My Computer, Explorer и диалогови прозорциОтваряне / запазване на приложения на Windows.

WinLock 5.0

Разработчикът: Кристални офис системи

Размер на разпределението: 2.65 MB

Работа под контрол: Windows 95/98 / Me / NT 4.0 / 2000 / XP / Vista

Метод на разпространение: споделяне (30 дни демонстрация - http://www.crystaloffice.com/winlock.exe)

Цена WinLock - $ 21.95 WinLock Professional - 31,95 долара

WinLock е удобно решение за ограничаване на достъпа до важни системни ресурси (фиг. 2) и потребителски данни, включително дистанционно. Програмата е представена в две версии: основна WinLock и разширена WinLock Professional (възможностите на основната версия не позволяват ограничаване на достъпа до уеб ресурси и използване на криптиране).

Ориз. 2. Ограничаване на достъпа до системните настройки и скриване на устройства
в WinLock

Използвайки това решение, можете да откажете достъпа до системния регистър, да скриете от командите менюто "Старт" за достъп до контролния панел, принтерите и интернет връзкаи напълно блокират достъпа до съответните системни папки и до някои други папки („Моят компютър“, „Моите документи“, кошчето и т.н.). Също така задайте забрана за блокиране на компютъра и направете невъзможно промяната на настройките на лентата на задачите, настройките на дисплея, мрежови настройки, добавете / премахнете програми от менюто "Старт" и преименувайте иконите на работния плот. Също толкова лесно е да зададете забрани за активиране на DOS режим и зареждане на Windows в безопасен режими блокирайте клавишните комбинации на Windows (Alt + Ctrl + Del, Alt + Tab, Ctrl + Esc и т.н.). Ако искате, можете дори да ограничите контрола на прозорците (например да забраните преоразмеряването и преместването им). Има програма и инструментариум за блокиране на достъпа до сменяеми носители (CD / DVD устройства, USB устройства и т.н.) и скриване на дисплея на определени дискове в папката „My Computer“ и Explorer. Можете да блокирате стартирането на конкретни приложения (мениджъри за изтегляне, игри и т.н.) и да откажете достъп до определени файлове и папки (първите не могат да бъдат отворени за преглед или редактиране, а последните не могат да бъдат отворени, преименувани или изтрити). А също и за предотвратяване на достъпа до съмнителни уеб ресурси (въз основа на белия списък на разрешените сайтове и черния списък на забранените ключови думи) и задайте ограничения за времето, през което компютърът може да се използва от конкретни потребители.

Deskman 8.1

Разработчикът: Софтуер на Anfibia

Размер на разпределението: 1.03 MB

Работа под контрол: Windows 2000/2003 / XP / Vista

Метод на разпространение: споделяне (30 дни демонстрация - http://www.anfibia-soft.com/download/deskmansetup.exe)

Цена: личен лиценз - 25 евро; бизнес лиценз - 35 евро

Deskman е прост инструмент за регулиране на достъпа до компютър и неговите настройки (фиг. 3), който ви позволява напълно да блокирате компютър (включително клавиатура, мишка и работен плот) или да ограничите достъпа до определени негови функции (възможни са индивидуални ограничения за различни потребители).

Ориз. 3. Задаване на ограничения в Deskman

С помощта на това решение можете да ограничите достъпа до настройките на работния плот (например да забраните промяната на свойствата на дисплея, премахването на икони, извикването на контекстното меню и т.н.), Windows Explorer, лентата на задачите, настройките на Internet Explorer и предотвратяване на промени в различни елементи в менюто "Старт". И също така ограничете достъпа до контролния панел и други критични системни настройки - например забранете изтриването на мрежови устройства, блокирайте рестартирането и изключването на компютъра и т.н. Ако е необходимо, е лесно да блокирате всички или само определени клавишни комбинации на Windows (Alt + Ctrl + Del, Alt + Tab, Ctrl + Esc и т.н.) и да конфигурирате помощната програма да автоматично изтриваненови записи от автоматично стартиране за предотвратяване на вируси, рекламен и шпионски модули. Възможно е да се постави забрана за използване на специфични твърди дисковеи сменяеми носители (CD / DVD устройства, USB устройства, флопи устройства и др.), блокиращи автоматичното пускане на компактдискове и записването им. Можете да зададете ограничения чрез предварително зададени профили (това е по -удобно за начинаещи и много по -бързо) или ръчно.

My Simple Desktop 2.0

Разработчикът: Софтуер на Anfibia

Размер на разпределението: 1.76 MB

Работа под контрол: Windows XP / Vista

Начинразпространение: My Simple Desktop Office Edition и My Simple Desktop School Edition - споделен софтуер (30 -дневна демонстрация - http://www.mysimpledesktop.com/downloads.sm.htm); My Simple Desktop Home Edition - безплатна програма (http://www.mysimpledesktop.com/download/msdsetup_home.exe)

Цена: My Simple Desktop Office Edition - 32 евро; My Simple Desktop School Edition - 20 евро; My Simple Desktop Home Edition - безплатно (само за лична употреба)

My Simple Desktop е много проста програмаза да ограничите достъпа до компютъра и неговите настройки (фиг. 4). Той е представен в три издания: платено My Simple Desktop Office Edition и My Simple Desktop School Edition и безплатно My Simple Desktop Home Edition (опциите са напълно идентични).

Ориз. 4. Задаване на ограничения за достъп в My Simple Desktop

С помощта на тази помощна програма можете да защитите работния плот, лентата на задачите и менюто "Старт" от промени, да направите невъзможно извършването на промени в настройките на дисплея и контекстното меню на Explorer. И също така отказват достъп до контролния панел, свойствата на папката и системния регистър и блокират използването на клавишни комбинации на Windows и десния бутон на мишката. По отношение на ограничаването на достъпа до устройства, има забрана за използване на стационарни устройства и външни USB устройства, както и за скриване на мрежови устройства и блокиране на автоматичното пускане на компактдискове. Ако е необходимо, можете да зададете ограничение за времето на използване на компютъра - еднакво за всички потребители, с изключение на администратора. Ограниченията се конфигурират чрез задаване на един от предварително зададените профили или ръчно.

Ограничаване на достъпа до устройства

Вградените механизми за разпределяне на права за достъп и задаване на политики за сигурност в операционните системи от семейството на Windows (с изключение на Windows Vista) не ви позволяват да контролирате достъпа на други потребители до потенциално опасни устройства (USB устройства, CD / DVD устройства, FireWire и инфрачервени портове и др.). Разбира се, можете да деактивирате такива устройства в BIOS, но това не е опция, тъй като за работа с деактивирано устройство (ако е необходимо) ще трябва да се обръщате към BIOS всеки път и да го активирате отново, което е доста дълго и много неудобно.

Много по -логично е да контролирате достъпа до устройства, използвайки допълнителни приложения, които могат да бъдат много различни. Често възможността за скриване или блокиране на устройства се предоставя в помощни програми, предназначени да контролират достъпа до настройките на операционната система, включително тези, които сме разгледали. Вярно е, че възможностите за ограничаване на достъпа до устройства в тях са малки: можете да контролирате достъпа до далеч от всички опасни устройства и не говорим за контрол на медиите. Помощните програми - блокиращи достъпа до устройства и специализирани решения за защита на системата от изтичане на корпоративна информация - имат много повече функционалности в това отношение. Като пример ще разгледаме програмите DeviceLock, USB Lock Standard и ID Devices Lock. Най -функционалната от тях е програмата DeviceLock, с която можете да контролирате (и не само да блокирате) достъпа на отделни потребители и групи потребители до почти всички потенциално опасни устройства (и дори медии), но тя е насочена предимно към системните администратори . Възможностите на другите две помощни програми са много по -скромни, но са напълно достатъчни за повечето потребители.

DeviceLock 6.3

Разработчикът: ЗАО "Smart Line Inc."

Размер на разпределението: 39,7 MB

Работа под контрол: Windows NT / 2000 / XP / Vista

Метод на разпространение: споделяне (30 дни демонстрация - http://www.devicelock.com/ru/dl/download.html)

Цена: 1300 рубли.

DeviceLock е специализирано решение за организиране на корпоративна система за защита от изтичане на информация, която ви позволява да контролирате достъпа до цялата гама от потенциално опасни устройства: USB портове, устройства, CD / DVD устройства, както и FireWire, инфрачервени, паралелни и серийни портове, Wi-Fi и Bluetooth адаптери, лентови устройства, PDA и смартфони, мрежови и локални принтери, вътрешни и външни сменяеми устройства и твърди дискове. Програмата има централизирана система дистанционно, осигуряващ достъп до всички функции от работната станция на системния администратор. Такова управление се осъществява с помощта на допълнителна конзола DeviceLock Enterprise Manager или чрез групови политики на Actvie Directory, което ви позволява автоматично да инсталирате DeviceLock на нови компютри, свързани към корпоративна мрежаи извършете конфигурация за нови компютри в автоматичен режим.

Възможно е или пълно блокиране на определен тип устройство, или частично, тоест в съответствие с белия списък на носителите (фиг. 5), при който достъпът до някои носители ще бъде разрешен въпреки блокирането на съответния тип устройство . Можете също така да зададете режим само за четене и да предпазите дисковете от случайно или умишлено форматиране. Осигурено е предоставяне на различни права за достъп до устройства и I / O портове за отделни потребители и потребителски групи, с възможност за настройка на контрол в зависимост от часа и деня от седмицата. Ако е необходимо, можете да регистрирате всички действия на потребителя с устройства и файлове (копиране, четене, изтриване и т.н.), като извършвате копиране в сянка.

Ориз. 5. Конфигуриране на ограничения за достъп до устройства в съответствие с
с бял списък с медии в DeviceLock

Стандарт за USB заключване 3.4.1

Разработчикът: Advanced Systems International SAC

Размер на разпределението: 2.02 MB

Работа под контрол: Windows XP / Vista

Метод на разпространение: споделяне (10 дни демонстрация - http://www.advansysperu.com/down_st.php)

Цена: $ 44

USB Lock Standard е удобен инструмент за блокиране на достъпа (Фиг. 6) до всички видове сменяеми носители: USB портове (USB дискове, iPod, MP3 плейъри и др.), Zip устройства, флопи устройства, CD / DVD устройства, Bluetooth адаптери и четци на смарт карти (CF, SD, MMC, XD и др.). Тя ви позволява напълно да блокирате достъпа до посочените устройства или да го направите частично, като отворите достъп до оторизирани устройства. За да деблокирате, трябва да знаете парола или USB ключ. Операциите с деблокирани устройства се записват в дневниците.

Ориз. 6. Блокиране на достъпа
към CD / DVD устройства в USB Lock Standard

Заключване на ID устройства 1.2

Разработчикът: Suite Security Suite

Размер на разпределението: 1.47 MB

Работа под контрол: Windows 98 / NT / 2000 / XP / Vista

Метод на разпространение http://www.idsecuritysuite.com/files/iddeviceslocksetup.exe)

Цена: 37 щ.д.

Заключването на ID устройства е проста помощна програма за ограничаване на достъпа (фиг. 7) до USB устройства, CD устройства и флопи устройства, като забранява копирането на данни към тях, което ви позволява да предотвратите изтичане на информация на мобилни носители. За да отмените блокирането, е необходимо познаване на паролата.

Ориз. 7. Ограничаване на достъпа до устройството в заключване на ID устройства

Пълно блокиране на компютъра в отсъствие на потребителя

Най -лесният начин да блокирате достъпа до компютър, който е включен, е да зададете парола за скрийнсейвъра, но това не е най -добрият вариант, тъй като паролата от скрийнсейвъра може да бъде премахната без никакви проблеми при рестартиране. Много по -надеждно е напълно да блокирате компютъра с помощта на специални софтуерни инструментитова ще направи невъзможен достъп до всички елементи на компютъра, включително клавиатурата, мишката и работния плот. След това ще бъде невъзможно да видите каквато и да е информация за него, да стартирате приложения, да получите достъп до файлове и папки (включително отворените в момента) и дори да рестартирате компютъра, като натиснете комбинацията от клавиатура Ctrl + Alt + Del. Можете да отключите компютъра си само ако знаете паролата на потребителя и просто рестартиране (дори в безопасен режим) или прекъсване на захранването няма да премахне защитата.

Такова блокиране на компютър обикновено се осигурява с помощта на високоспециализирани помощни програми: Заключване на работния плот, Заключване на моя компютър и други подобни, но такива възможности могат да бъдат предоставени и в програми, предназначени да задават различни видове ограничения за достъп, по -специално в Security Administrator и Deskman .

Заключване на работния плот 7.2.1

Разработчикът: TopLang софтуер

Размер на разпределението: 792 KB

Работа под контрол: Windows NT / 2000 / XP / 2003 / Vista

Метод на разпространение: споделяне (15 дни демонстрация - http://www.toplang.com/dlsetup.exe)

Цена: $ 24.95

Desktop Lock е помощна програма за заключване на компютъра (фиг. 8) за времето, през което потребителят е отсъствал. Блокирането се задава от самата помощна програма чрез автоматично натискане на определена комбинация от клавиши в определено от потребителя време или, в случай на бездействие на потребителя, след определен период. Поставянето на компютъра в заключен режим може да бъде придружено от стартиране на скрийнсейвър, възпроизвеждане на аудио или видео файл, което е разумно например на изложби при демонстрация на корпоративни презентации. Когато е заключена, мишката е деактивирана и става невъзможно да се използват основните клавишни комбинации. За да излезете от заключения режим, трябва да натиснете секретна клавишна комбинация или бутон на мишката и да въведете парола. Ако желаете, можете да конфигурирате помощната програма да записва кратки съобщения от други потребители, които са дошли на компютъра по време на отсъствието на неговия собственик и са искали да му напишат нещо.

Ориз. 8. Конфигуриране на настройките за заключване на компютъра в Desktop Lock

Заключване на моя компютър 4.7

Разработчикът: FSPro Labs

Размер на разпределението: 1.4 MB

Работа под контрол: Windows 2000 / XP / 2003 / Vista

Метод на разпространение: shareware (30 -дневна демонстрация - http://www.fsprolabs.com/download/distr/lmpc.zip)

Цена: Личен лиценз - 19,95 $; бизнес лиценз - $ 29.95

Заключване на моя компютър е инструмент за заключване на компютър (фиг. 9) по време на отсъствие на потребител. Заключването на компютъра е лесно - просто щракнете двукратно върху съответната икона в системната област или натиснете специална комбинация от клавиатура. Автоматично блокиране е възможно след определено време на бездействие на потребителя. Когато са заключени, мишката и CD / DVD устройствата са деактивирани (това ще ви попречи да премахнете компактдискове от тях) и става невъзможно да се използват основните комбинации от клавиатура: Ctrl + Alt + Del, Alt + Tab и т.н. На заключен компютър , всякакви, включително самостоятелно създадени изображения в GIF, JPEG, BMP и анимирани GIF формати. Можете да отключите компютъра си само ако знаете потребителската или администраторската парола.

Ориз. 9. Конфигуриране на настройките за заключване на компютъра в Lock My PC

Защита на личната информация

Има няколко начина за защита на личните данни от неоторизиран достъп: можете да компресирате папки и файлове в защитен с парола архив; скрийте ги; поставете в тайна папка, достъпът до която за други потребители ще бъде затворен с парола; криптирайте или създайте виртуален криптиран диск, на който можете да напишете вашите класифицирани материали. Изборът на най -предпочитания метод зависи от ситуацията, но в повечето случаи най -добрият вариант е да скриете и шифровате папки и файлове, така че в тази статия ще се ограничим само до тях.

На теория можете да скриете папки и файлове с помощта на вградения Възможности на Windows- за това е достатъчно да активирате атрибута "Hidden" в свойствата на съответните обекти. Папките и файловете, скрити по този начин, няма да се виждат в Explorer в други потребители на системата, но само ако се показва „Не се показва скрити файловеи папки ". По принцип това може да е достатъчно за защита на данните от необучени потребители. Обектите, скрити по този начин, обаче ще бъдат видими в приложения, които не използват стандартния диалогов прозорец за показване на файлове и папки (FAR, Total Commander и т.н.), така че тази защита не е много добра.

По-сигурен вариант за защита на данни с вграден Windows е използването на шифроваща файлова система (EFS), която ви позволява да шифровате файлове, като активирате опцията Шифроване на съдържание за защита на данните в Explorer (Свойства => Общи => Разширени ). Невъзможно е да се четат файлове, криптирани по този начин, без да се знае паролата, но системата EFS ви позволява да защитавате папки и файлове само в файлова система NTFS.

Поради тези причини е по -добре да използвате специализирани помощни програми за защита на лични папки и файлове. Тези решения ще ви позволят по -надеждно да скриете папки и файлове (те няма да се виждат, когато деактивирате квадратчето „Не показвайте скрити файлове и папки“), както и да блокирате достъпа до тях. Освен това някои от тези помощни програми предоставят и възможност за криптиране на данни, което ще гарантира, че те са защитени от други потребители, дори когато зареждане на Windowsв безопасен режим, зареждане в друга операционна система или на друг компютър (ако HDDсъс защитена информация). Ще разгледаме Folder Lock, Folder Guard и Hide Folders XP като примери. Първият осигурява най -много високо нивозащита на криптирани данни, вторият допълнително предоставя инструменти за защита на основните настройки на ОС от промени. Пакетът Hide Folders XP е значително по-нисък от посочените решения по своите възможности, но има рускоезичен интерфейс и се предлага на рускоезични потребители на много атрактивна цена.

Заключване на папки 6.0.1

Разработчикът: NewSoftware Professionals, Inc.

Размер на разпределението: 2.78 MB

Работа под контрол: Windows 2000 / XP / 2003 / Vista

Метод на разпространение: споделяне (20 дни демонстрация-http://dl.filekicker.com/nc/file/130083-0M78/folder-lock.exe)

Цена: $ 35.95

Folder Lock е ефективно и надеждно решение за защита на лични файлове, папки (фиг. 10) и дискове чрез задаване на парола за тях, скриване и криптиране (AES алгоритъм с 256-битов ключ). За по -голяма безопасност в това решениеразрешено е едновременно използване на блокиране и криптиране - защитените по този начин файлове не се показват в изследователя и в приложенията и са напълно недостъпни, тъй като е невъзможно да се осъществи достъп до тях, без да се знае паролата дори при зареждане в DOS, в сигурна Режим на Windows, на различна операционна система или на друг компютър. В случай, че паролата е забравена, е възможно да получите достъп до данните с помощта на регистрационния ключ. Оригиналните данни, които трябва да бъдат защитени, могат да бъдат разположени не само на твърдия диск, но и на USB носител, карти с памет, CD-RW дискове, дискети и лаптопи. Процесът на инсталиране на осигурената защита може да се извърши автоматично в случай на бездействие на компютъра. В специалния режим Stealth програмата може да скрие всички следи, които показват инсталирането на защита на данните на компютъра: предотвратява показването на собствени преки пътища на работния плот и в менюто "Старт", скрива данните за инсталиране / деинсталиране в съответния раздел на контролния панел, изчиства историята и обмена на буферни данни и др. В допълнение, за по -голяма сигурност, програмата съхранява всички неуспешно въведени пароли, за да премахне защитата, което позволява на потребителя да записва своевременно проявата на нездравословен интерес към собствения си компютър от други потребители.

Ориз. 10. Работа със защитени папки в пакета Folder Lock

Папка Guard 7.6

Разработчикът: WinAbility Software Corporation

Размеръткомплект за разпространение: Folder Guard Edition и Folder Guard x64 Edition - 1.8 MB; Folder Guard Professional Edition - 2.5 MB

Работа под контрол: Windows 2K / XP / 2003 / Vista

Метод на разпространение: споделен софтуер (30 -дневна демонстрация - http://www.winability.com/folderguard/editions.htm)

Цена Folder Guard Edition и Folder Guard x64 Edition - 39,95 долара Folder Guard Professional Edition - $ 59.95

Folder Guard е просто и удобно решение за ограничаване на достъпа до папки и файлове, както и за предотвратяване на достъпа до редица настройки на Windows. Той се предлага в три издания: Folder Guard Editions, Folder Guard x64 Edition и Folder Guard Professional Edition. Първата версия работи на 32-битова версия Версии на Windows, вторият - в 64 -битов, а третият - и в двата.

Ограничаването на достъпа до лични данни се осъществява чрез тяхното скриване (фиг. 11), задаване на режим „само за четене“ или блокиране. В този случай скриването се реализира по два начина: можете да направите папки и файлове скрити или да ги поставите празни (Празно). Във втория случай папките ще бъдат видими, но когато се отворят, те ще бъдат празни, въпреки че в действителност съдържат информация - тази опция за защита е подходяща за стандартни Windows папки, чието пълно скриване ще показва, че информацията на компютъра е блокирана, което е нежелателно. Защитените папки без парола няма да бъдат достъпни за други потребители на системата, дори когато Windows се стартира в безопасен режим, въпреки че това ще изисква някои настройки в програмата. В случай, че забравите паролата си, можете да я възстановите с помощта на безплатната помощна програма за аварийно възстановяване (http://www.winability.com/folderguard/eru.htm). Също така програмата може да работи в Stealth Mode, в който собствените й преки пътища и файлове ще бъдат скрити.

Ориз. 11. Скриване на папка в Folder Guard

Използвайки Folder Guard, можете също така да защитите основните настройки на ОС от корекции (фиг. 12) - по -специално, близкият достъп до свойствата на лентата на задачите, менюто "Старт" и редица други прозорци, забранява запазването на свойствата на дисплея (ако те имат са променени), блокират променящите се папки със свойства и Интернет настройки Explorer, не показвайте икони на работния плот. И също така да предотвратите промяната на параметрите, критични за работата на системата, като затворите достъпа до контролния панел и зададете поредица от забрани: достъп до системния регистър, добавяне / премахване на принтери, използване на командата "Run" и т.н. Можете също така да скриете конкретни дискове в My Computer, Explorer и стандартните диалогови прозорци Open / Save и да блокирате записването на CD / DVD. За различни потребители е възможен различен набор от такива ограничения.

Ориз. 12. Задаване на ограничения за достъп до настройките на Windows
в Folder Guard

Скриване на папки XP 2.9.8

Разработчикът: FSPro Labs

Размер на разпределението: 1.23 MB

Работа под контрол: Windows 2000 / XP / 2003 / Vista

Метод на разпространение: споделяне (30 дни демонстрация - http://www.fsprolabs.com/download/distr/hfxp.zip)

Цена: $ 29,95 (в магазина Softkey.ru - 400 рубли)

Hide Folders XP е проста програма за защита на папки и файлове (фиг. 13) от неоторизиран достъп чрез скриване и / или блокиране. Защитените папки няма да бъдат достъпни за други потребители, включително за системния администратор, дори когато Windows се стартира в безопасен режим. В този случай не само защитените папки и файлове ще бъдат защитени от изтриване, но и папки, които ги съдържат. И така, че другите потребители да не предполагат за наличието на защитени данни на компютъра, програмата може да изтрие следи от инсталираната защита и може да се скрие (може да не се появи в списъка на често изтегляни програми, да не показва реда за деинсталиране в контролния панел, да се скрие в списъка с работещи процеси и т.н.).

Ориз. 13. Работа със защитени файлове в средата Hide Folders XP

Струва ми се, че в тази ситуация може да работи следната рецепта: трябва да създадете две групи, нека ги наречем PCComission и UserComission.
Включват в състава си компютри и съответно потребители на комисионния отдел.
След това създайте обект на групова политика и се свържете с OU SUS, като премахнете правилото за прилагане от групата Auth Users, като вместо това го добавите към групата PCComission. След това в свойствата на политиката, използвайки механизма за ограничаване на членството в група, изключете групата домейни на потребители на домейн от локалната група Потребители, но добавете групата UserComission

Вадим, посочих, че грешите, защото рецептата ви няма да работи: изключването на потребители на домейн от вградената компютърна потребителска група няма да ограничи потребителите на домейн до локален входкъм този компютър. Това е всичко. Не се обиждайте, но вашето „струва ми се, че ...“ трябва да бъде проверено преди това, предлагайки като рецепта. Запомнете / проверете състоянието на типично членство „Builtin \ Users“ на компютър член в домейна на AD, за привилегиите, накрая ...

Да, и още нещо, не е нужно да се упражнявате сами, камо ли да съветвате неопитен администратор да смени референтния модел за сигурност без уважителна причина. Първо, като направите това, ще донесете повече проблемиотколкото да получите бонуси, и второ - това може да ви лиши от техническа поддръжка!

Вадим, ако можеш да обясниш къде греша, ще ти бъда благодарен. :)

Добавете: Вадим и за обекта на политиката. Е, нека UCP вземе поне 10 мегабайта в SYSVOL и същото количество в AD контейнера - какво от това? Репликацията е оптимизирана, клиентът не изтегля повторно UCP пет пъти на ден и администраторът не го променя, защото няма какво да се направи - нали? Като цяло е по -добре да създадете повече OCP и често - това е единственият начин, по който е възможно, отколкото да се ровите из винегрета.

Благодарение на съпругата ми Катя, Клевогин С.П., Козлов С.В., Муравлянников Н.А., Никитин И.Г., Шапиро Л.В. за моите знания! :)

Дмитрий, всъщност обясних вече в един от предишните постове на тази тема: 21 август 2009 г. 10:26.
Е, хайде пак. Моето предложение се състоеше от идея за промяна, използвайки механизма „Ограничени групи“, състава на местната група Потребители / Потребители на компютрите на комисионния отдел, така че потребителите на отдела по продажбите да не могат да влизат в тях (в края на краищата , чрез членството в тази група те имат такова право). Вярно, небрежно формулирах тази идея, беше правилно да кажа не „изключване на групата домейн потребители на домейна от локалната група потребители“, а „изчистване на локалната група потребители“, но това не променя същността, тъй като политиката, когато се прилага, просто изчиства групата, преди да я добави изрично посочена в раздела Ограничени групи. Така че в този случай не е необходимо да се помни съставът по подразбиране на групата. Въпреки че не боли;) И аз не само помня привилегиите, но и предлагам да ги използвам, а именно Разрешаване на локално влизане.
Ако все още не разбирате нещо, попитайте конкретно - ще се опитам да го обясня по -ясно.
Дмитрий, аз мога да видя някои бонуси. И от какви конкретни проблеми предупреждавате мен и други неопитни администратори във връзка с промяната в състава на групата Потребители?
И обясни ми, за бога, как това може да повлияе техническа поддръжка? И чия?
Е, и за размера на обекта на политиката. Ако случайно не сте намерили контролер зад 128k канала и не сте били възпроизвеждани почти през целия живот на надгробни обекти при проверка на инфраструктурата на клиента, тогава няма да ви бъде лесно да разберете моята загриженост;) Това е въпреки фактът, че броят на GPO е повече от 100.
И вашето изявление, че „по -добре е да се създаде повече UCP и често - това е единственият начин, по който е възможно“, например, не ми е очевидно.
Аз съм привърженик на противоположната гледна точка: ако има две възможности за решаване на проблем, чрез създаване на група или GPO, аз избирам първия.
За мен е по -удобно да прилагам делегиране на правомощия. Продължителността на процеса на изтегляне / влизане директно зависи от броя на използваните GPO. Но отново това е въпрос на вкус.

Надявам се техническата част да е изяснена.
След това, Дмитрий, няколко думи за етиката на дискусията.
1. Ако вече сте изразили мнението си за моята грешка, бих искал да видя аргументацията на това мнение в същия пост.
2. " Не се обиждайте, но вашето „струва ми се, че ...“ трябва да бъде проверено преди това, предлагайки като рецепта."И така, не бях много мързелив и проверих отново - рецептата работи. Проверихте ли я сами, преди да твърдите, че" рецептата няма да работи? ", Би било хубаво да проверите изявлението си чрез експеримент.
3. Благодаря ви за съвета към мен, но аз не ви помолих за това. Въпреки че не изключвам, че някой ден ще се обърна :)
Нека Виталий Шестаков да ми прости за друг пламък.

Днес ще продължим да говорим за компютърната сигурност. И още една стъпка в тази посока - потребителят.

При инсталиране на операционната зала Windows системипотребителят получава администраторски права. С други думи, той има абсолютна свобода на действие на компютъра. Но и вредно софтуер, получил достъп до компютъра, е надарен със същите права. И това вече е сериозна уязвимост в нашата система за сигурност. Време е да закърпим дупките.

В тази статия ще анализираме алгоритъма за преминаване от администратор към по -сигурен акаунт, като запазваме всички настройки.

Защо е необходимо ограничение на акаунта?

1. Всички софтуерни продукти, стартирани с администраторски права, имат пълна свобода на действие на компютъра, която със сигурност ще бъде използвана от разработчиците на зловреден код (вируси и опасни скриптове).

Например, за да се „регистрира“ вирус във вашата операционна система, той трябва да направи промени в записите в системния регистър. Потребител с ограничени права няма да може да прави промени в настройките на операционната система. И следователно, злонамерен вирус, стартиран със същите ограничени права, няма да може да пробие защитата системни настройкии оставете следа в регистъра си.

Когато влизате в Интернет с администраторски права, помагате на нападател да открадне вашите пароли, идентификационни данни, съхранявани в системните файлове на операционната система. Опасен скрипт, с администраторски права, ще прочете всичките ви тайни и ще ги прехвърли на собственика си.

Създавайки ограничение за потребителски акаунт, вие не само ще разрешите тези проблеми, но и ще предотвратите проникването на обикновен вирус (порно банер, който блокира работата на компютъра).

2. Имайки администраторски права, неопитни потребители могат случайно да направят критични промени в системата Windows файлове, довеждайки операционната система до неработещо състояние. Защитете вашата система от случайни грешки - намалете правата на потребителя.

Промяна на правата на потребителски акаунт

Защото операционна системавече сме го инсталирали и функционираме нормално, тогава ще преминем по следния път: ще променим типа на създадения по -рано акаунт (като намалим правата му) и ще добавим нов потребител с права на администратор (от чието име ще извършим промени в системните файлове и системния регистър на ОС).

1. Първата стъпка е да подредите нещата със съществуващите сметки. За да направите това, отидете в Центъра за управление на акаунта (щракнете с десния бутон върху иконата "Моят компютър" -> "Управление" -> "Местни потребители и групи" -> "Потребители").

Изтрийте всички записи, с изключение на съществуващия и госта (който трябва да бъде деактивиран).

2. Няма да работи за понижаване на правата на съществуващ акаунт до нивото на обикновен потребител, тъй като системата трябва да има потребител с администраторски права. Затова първо ще създадем друг администратор и едва след това ще намалим правата на текущия потребител.

За да направите това, щракнете с десния бутон върху елемента "Потребители" -> изберете " Нов потребител… ”. В прозореца, който се отваря, посочете името на новия администратор, неговата парола, проверете елемента „Паролата не изтича“ и щракнете върху бутона „Създаване“.

Профилът, създаден от нас, ще има правата на обикновен потребител. За да му придадете статут на истински администратор, трябва да го добавите към съответната потребителска група. За да направите това, щракнете двукратно върху новия акаунт, отидете в раздела „Членство в група“ -> щракнете върху бутона „Добавяне“.

В блока „Въведете име на обект“ напишете „Администратори“ и кликнете върху бутона „OK“ -> „Прилагане“.

3. Сега е време да започнете да понижавате текущия потребител. За да направите това, изберете текущия потребител в списъка и направете всички същите операции, които описах по -горе. Едва сега е необходимо да добавите записа „Потребители“ и да изтриете записа „Администратори“.

4. След като всичко е направено, излезте и рестартирайте компютъра.

И така, вие сте запазили всичките си настройки, но сте намалили статуса на потребителя, ограничавайки правата му. Сега, за да направите някакви промени в системата, ще трябва да получите достъп до новосъздадения администраторски акаунт.

Как работи?

Работите в системата както обикновено, като стартирате познати програми. Ако изведнъж се наложи да направите промени в системните файлове, влезте в системния регистър или инсталирайте нова програма, можете да го направите по два начина: или да прекратите текущата сесия и да влезете под акаунта на администратора, да използвате „силата“ на администратора, без да напускате текущия акаунт.

За да направите това, щракнете с десния бутон върху стартираната програма и изберете "Run as ..." -> в прозореца, който се показва, посочете администраторския акаунт и въведете администраторската парола -> щракнете върху "OK". По този начин можете да стартирате всяко приложение с администраторски права, без да напускате текущия си акаунт.

Съвети:

• Вземете сериозно избора на парола за вашия администратор. Колкото по -сложна и по -дълга е паролата, толкова по -трудно ще бъде хакерът да я пробие.
• Тъй като рядко ще използвате новия администраторски акаунт, запишете паролата, която сте създали на сигурно място.
• Допълнителна мярка за сигурност ще бъде преименуването на създадения администратор (например вместо „Администратор“ -> „Сергей). По този начин се създава допълнителна бариера за нападателя.