Programy omezující přístup k souborům a nastavení OS

Navzdory skutečnosti, že Windows obsahuje nástroje pro omezení přístupu, v praxi se ukazuje, že nejsou příliš pohodlné a v nejběžnějších situacích. Stačí zmínit takové jednoduché příklady jako nastavení hesla pro adresář nebo zabránění otevření ovládacího panelu.

Je třeba poznamenat, že rodičovská kontrola byla v systému Windows 8 vylepšena ve srovnání s jeho předchůdcem Windows 7. Nyní to můžete vidět v části „Bezpečnost rodiny“ na ovládacím panelu. Filtr má následující funkce:

• Filtrujte návštěvy webových stránek
• Časové limity
• Omezení pro Windows Store a hry
• Omezení aplikace
• Zobrazení statistik aktivity uživatelů

Z výše uvedeného je zřejmé, že i tyto funkce pomohou správci počítače vyřešit mnoho soukromých problémů. Proto dále budeme hovořit o malé programy které vám kromě standardních nástrojů pro správu Windows umožňují omezit přístup k informacím a systémovým oddílům.

Licence: Shareware (69 USD)

Program Security Administrator připomíná typické vylepšení systému, ale s důrazem na zabezpečení systému. Každá z možností je zodpovědná za určité omezení, proto se obecný strom nastavení nazývá „Omezení“. Je rozdělena do 2 sekcí: Běžná omezení a Uživatelská omezení.

První část obsahuje parametry a podsekce, které platí pro všechny uživatele systému. Patří sem načítání a přihlašování do systému, sítě, Průzkumníka, samotného internetu, systému, ovládacího panelu a dalších. Obvykle je lze rozdělit na omezení přístupu online a offline, ale vývojáři nezvažovali zvlášť složité rozdělení podle karet. Vlastně stačí, že každá „vychytávka“ má popis: jaký dopad na bezpečnost má ta či ona možnost.

Ve druhé části Uživatelská omezení můžete konfigurovat přístup pro každého uživatele Windows jednotlivě. Seznam omezení obsahuje části Ovládací panely, prvky rozhraní, tlačítka, klávesové zkratky, vyměnitelná média atd.

Export nastavení do samostatného souboru je k dispozici, takže jej lze použít například v jiných systémových konfiguracích. Program má vestavěného agenta pro sledování aktivity uživatelů. Soubory protokolu pomohou správci sledovat potenciálně nebezpečné akce uživatelů a přijímat příslušná rozhodnutí. Přístup k Správci zabezpečení lze chránit heslem - v níže diskutovaných programech je tato možnost k dispozici také de facto.

Mezi nedostatky patří malý seznam programů, u kterých lze uplatnit omezení: Media Player, MS Office atd. Oblíbených a potenciálně nebezpečných aplikací je mnohem více. Komplikací práce je absence aktuální verze pro Windows 8 a lokalizace-to je přesně ta možnost, kdy je obtížné se obejít bez základní znalosti angličtiny.

Program je tedy navržen jak pro omezení přístupu, tak pro flexibilní konfiguraci nastavení zabezpečení operačního systému.

Licence: trialware (23,95 $)

Ve WinLocku není distribuce nastavení pro obecné a uživatelské, místo toho existují sekce „Obecné“, „Systém“, „Internet“. Celkově existuje méně možností, než nabízí správce zabezpečení, ale tato logika usnadňuje práci s programem.

Nastavení systému zahrnuje omezení prvků plochy, Průzkumníka, nabídky Start a podobně. Můžete také nastavit zákaz určitých klávesových zkratek a všech druhů nabídek. Pokud vás zajímají pouze tyto aspekty omezení, podívejte se na program Deskman níže.

Omezení funkcí internetu jsou prezentována velmi povrchně. Nahrazují jednu ze součástí Family Safety: Site Blocking. Nejlepším řešením bude samozřejmě jakýkoli firewall v této oblasti. Nedostatek možnosti dokonce nastavit masku pro webové stránky činí tuto část WinLock pro zkušeného uživatele nedůležitou.

Kromě jmenovaných sekcí stojí za zmínku „Access“, kde je k dispozici správa aplikací. Jakýkoli program lze snadno zařadit na černou listinu podle názvu nebo ručně přidat.

Do sekcí „Soubory“ a „Složky“ můžete vložit data, která chcete skrýt před ostatními uživateli. Možná pro přístup není dostatečná ochrana heslem (k tomu je třeba se obrátit na pomoc jiných programů, viz níže).

Licence: freeware

WinGuard lze použít k blokování aplikací a Oddíly Windows stejně jako pro šifrování dat. Program je distribuován ve dvou edicích - zdarma a Advanced. Funkční rozdíly mezi nimi jsou malé - na stejnojmenné kartě „Upřesnit“ je několik možností. Mezi nimi Odpojení internetu Průzkumník, průzkumník, instalační proces, zápis souborů na USB.

Kontrola spouštění aplikací se provádí na kartě „Zámek úloh“. Li požadovaný program není v seznamu, můžete jej přidat sami zadáním jména v záhlaví nebo výběrem ze seznamu otevřených v tento moment aplikace (podobné WinLock). Pokud funkci zámku porovnáte s Security Administrator, v případě WinGuard můžete zakázat omezení pro účet správce. Nelze však konfigurovat seznam zakázaných aplikací pro každého uživatele.

Šifrování je k dispozici v sekci Šifrování. Implementováno uživatelské rozhraní nepohodlné: nemůžete vytvořit seznam pro zpracování, ne kontextová nabídka... Vše, co musíte udělat, je určit adresář, který bude zdrojem i cílem. Všechny obsažené soubory budou šifrovány ve 128bitovém AES (Advanced Encryption Standard). Dešifrování se provádí stejným způsobem.

Funkčnost je tedy poměrně špatná, i když vezmeme v úvahu placenou verzi.

Licence: shareware (34,95 USD)

Další program pro šifrování dat AES, a přesto je rozdíl oproti WinGuard docela znatelný.

Za prvé, výběr souborů pro šifrování je rychlejší. Nemusíte vybírat každou složku zvlášť, stačí si vytvořit seznam adresářů a souborů. Při přidávání Advanced Folder Encryption vyžaduje nastavení hesla pro šifrování.

Vy, program nemá schopnost určit způsob ochrany, místo toho vám umožňuje vybrat metodu Norman, High nebo Highest.

Druhým pohodlným okamžikem je šifrování pomocí kontextové nabídky a dešifrování souborů jedním kliknutím. Musíte pochopit, že bez instalace Advanced Folder Encryption nelze data zobrazit, i když znáte heslo. To je na rozdíl od archivátorů, kteří mohou sbalit soubory do šifrovaného a všude přístupného exe-archivu.

Při výběru velkého počtu souborů pro šifrování, jak bylo zaznamenáno, tlačítko pro zrušení nefunguje. Proto musíte být opatrní, abyste nedostali výsledek v podobě rozbitého souboru.

Licence: zkušební verze (39 EUR)

Program omezující přístup k prvkům rozhraní a systémovým sekcím. Zde je možná vhodné jej porovnat se Správcem zabezpečení, s tím rozdílem, že se Deskman více soustředí na plochu. K dispozici jsou také systémové možnosti, ale to je něco, co se nevešlo do jiných sekcí: deaktivace tlačítek restartu, ovládacích panelů a dalších smíšených možností.

V části Vstup deaktivujte klávesové zkratky, funkční tlačítka a funkce myši. Kromě stávajícího seznamu můžete sami definovat klávesové zkratky.

Zvláštní je možnost Zmrazit, která je k dispozici na panelu nástrojů. Jeho stisknutím se vytvoří „bílý seznam“ aktuálně spuštěných aplikací. Programy, které nejsou na seznamu povolených, tedy nejsou k dispozici, dokud není funkce Freeze deaktivována.

Další možností spojenou s již online je bezpečné procházení webu. Podstata „chráněné“ metody spočívá v tom, že budou k dispozici pouze ty stránky, které v názvu obsahují určitá klíčová slova. Tuto funkci lze nazvat pouze experimentální. Kromě toho je kladen důraz na internet Explorer což rozhodně je standardní prohlížeč, ale zjevně ne jediný.

Je třeba poznamenat pohodlné ovládání program. Chcete -li použít všechna zavedená omezení, stačí stisknout tlačítko „Zabezpečit“ na panelu nebo klávesu boss odstranit omezení. Druhým bodem je, že je podporován vzdálený přístup k programu prostřednictvím webového rozhraní. Po předkonfiguraci je k dispozici na adrese http: // localhost: 2288 / deskman jako ovládací panel. To vám umožní sledovat aktivitu uživatelů (prohlížení protokolů), spouštět programy, restartovat počítač / odhlásit se - na jednom i na několika počítačích.

Heslo pro Disk (Secure NTFS)

Licence: shareware (21 $)

Program pracuje pouze se souborem Systém NTFS a využívá své schopnosti k ukládání informací do skryté oblasti.

Chcete -li vytvořit trezor, musíte spustit heslo pro disk s právy správce a vybrat disk, který chcete vytvořit. Soubory pak lze zkopírovat do chráněné oblasti pomocí virtuálního disku. K přístupu k datům z jiného počítače nejsou vyžadována žádná práva správce.

Vyměnitelná média lze také použít jako úložiště. Chcete -li to provést, musíte nejprve naformátovat disk, například pomocí standardního Nástroje Windows v systému souborů NTFS a nainstalujte si heslo pro přenosný disk.

Program se neliší v intuitivním a uživatelsky přívětivém rozhraní, ve skutečnosti se ovládání provádí minimální sadou tlačítek - „Otevřít“ / „Odstranit úložiště“ a „Aktivovat disk“. V demo režimu je možné pouze otestovat funkčnost programu, protože počet úložných otvorů je omezen na stovku.

Licence: shareware (19,95 USD)

Program je určen k instalaci údajů o heslech na vyměnitelná média.

Na rozdíl od Secure NTFS je dialogové okno nastavení díky průvodci nastavením mnohem intuitivnější. Chcete -li tedy použít ochranu, musíte zařízení připojit k počítači, vybrat jej v seznamu a postupovat podle průvodce instalací. Po tomto postupu dostane uživatel k dispozici disk chráněný heslem. Chcete -li jej odemknout, stačí spustit soubor exe v kořenovém adresáři disku a zadat heslo.

Šifrovaný disk je po otevření k dispozici jako virtuální disk, pomocí kterého můžete provádět stejné operace jako s originálem. Nezapomeňte, že na počítačích, kde je zakázáno spouštění programů třetích stran (nikoli na „bílém“ seznamu), bude přístup k obsahu odepřen.

Na webových stránkách vývojářů si můžete také stáhnout další programy na ochranu dat, včetně:

• Shared Folder Protector - ochrana souborů v síti;
• Folder Protector - ochrana souborů na vyměnitelná média.

Licence: freeware

Malý nástroj, který vám umožňuje řídit přístup uživatelů k registru a souborům, najít zranitelná místa v udělených právech. Jinými slovy, program bude užitečný, pokud jsou nastavena přístupová práva Nástroje Windows.

Pohodlí nástroje spočívá v tom, že OS jednoduše neposkytuje prostředky pro prohlížení přístupových práv k adresářům ve formě podrobného seznamu. Kromě souborů můžete také zkontrolovat přístup k pobočkám registru.

Chcete -li zkontrolovat přístupová práva, musíte zadat adresář nebo sekci Registr pro skenování a spustit proces skenování. Výsledky jsou zobrazeny jako sloupce „Číst“ / „Zápis“ / „Odepřít“ odpovídající adresám. K vlastnostem každé z položek seznamu lze přistupovat prostřednictvím kontextové nabídky.

Program funguje pod všemi operačními systémy rodiny Windows NT.

souhrn

Nástroje popsané v recenzi lze použít navíc k základní sadě nástrojů systému Windows, v komplexu a navíc k sobě navzájem. Nelze je kategorizovat jako „rodičovskou kontrolu“: některé funkce jsou si do jisté míry podobné, ale většinou se nepřekrývají.

A-utilitky-vylepšení nastavení zabezpečení, které lze také použít k deaktivaci prvků plochy, systémových oddílů atd. WinLock má navíc vestavěný internetový filtr a má schopnost blokovat soubory a složky.

Mezi funkce patří omezení přístupu k rozhraní (vynikající flexibilita a), ovládání spouštění aplikací, internetový filtr.

Kombinuje funkce šifrovače a omezovače přístupu k programům a zařízením. má smysl to považovat za náhradu za WinGuard z hlediska šifrování.

A omezují přístup k datům na vyměnitelných médiích.

- bezplatný a pohodlný shell pro kontrolu přístupových práv uživatelů k souborům a registru.

K omezení uživatelských práv existují Různé typyúčty, ale s jejich pomocí nemůžete nakonfigurovat vše tak, jak chcete, například v systému Windows XP, ačkoli v systému Windows 7 již existuje více možností pro konfiguraci typů účtů ...

Abychom omezili uživatelská práva ve Windows, existuje speciální služba „zásad skupiny“, pomocí které můžete nakonfigurovat systém tak, aby vám nikdo nemohl „zkazit“ váš operační systém :)

Hned musím říci, že v systému Windows XP HOME taková služba neexistuje.

Chcete -li spustit službu „Zásady skupiny“, musíte spustit příkaz „gpedit.msc“, samozřejmě bez uvozovek. Můžete použít klávesové zkratky a stisknout Win + R a do zobrazeného okna „Spustit“ napsat gpedit.msc, poté stiskněte Enter nebo tlačítko „Ok“. Klávesa „Win“ se nachází vlevo dole na klávesnici, stále má logo Windows, ale také napravo od mezerníku. Pokud tento klíč nemůžete najít, klikněte na start a vyberte „spustit“ (Windows XP). Ve Windows 7 klikněte na start, vyberte „všechny programy“ -> „standardní“ -> „spustit“.

Nyní tedy popíšu další provedení akce pro Windows 7, protože po ruce není žádný Windows XP, ale rozdíly v této službě tam nejsou nijak výrazné.

Po provedení příkazu byste měli vidět „Místní editor skupinová politika". Vlevo je" konfigurace počítače "a" konfigurace uživatele ", budeme pracovat pouze v konfiguraci uživatele.

Hned musím říci, že provedené změny budou aplikovány na všechny uživatele systému, dokonce i na Administrátora, to znamená, že pokud k této službě omezíte přístup k něčemu, pak administrátora automaticky zbavíte těchto práv :) To je jasné, že to není dobré, k tomu použijeme trik.

Abyste omezili přístup všem kromě správce, musíte postupovat podle následujícího algoritmu:

1. Změňte všechny hodnoty v zásadách skupiny;
2. Odhlaste se ze systému;
3. Přihlaste se pod všemi ostatními uživateli;
4. Přihlaste se jako správce;
5. Zkopírujte soubor C: \ Windows \ System32 \ GroupPolicy \ User \ Registry.pol někam;
6. Změňte všechny ty hodnoty, které byly omezeny (změňte hodnoty na „zakázat“ namísto původního „nenastaveno“);
7. Zkopírujte soubor Registry.pol zpět do C: \ Windows \ System32 \ GroupPolicy \ User \;
8. Přihlaste se jako ostatní uživatelé a ujistěte se, že je pro ně vše „omezeno“, ale správce ne :)

Všechno základní, abych tak řekl, je v administrativních šablonách, takže tam změníme všechny hodnoty. Chcete -li něco omezit, například přístup ke správci úloh, přejděte na „konfigurace uživatele“ -> „Šablony pro správu“ -> „Systém“ -> „Možnosti po stisknutí kláves CTRL + ALT + DEL“ a vyberte „Přidat správce úloh“ , to znamená, že dvakrát klikneme nebo stiskneme klikněte pravým tlačítkem myši a z nabídky vyberte „změnit“, otevře se okno, kde budete muset vybrat „Povolit“ a poté „Použít“. Pokud je vše provedeno správně, pak již nebudete moci spustit správce úloh :)

V zásadě pro mě nemá smysl zde popisovat každé „omezení“, protože v samotné službě je vše dobře naplánováno.

Uvedu příklad, jaká omezení jsem ve škole nastavil pro běžné školáky pro Windows XP Professional (vše je v „uživatelské konfiguraci“ -> „Šablony pro správu“).

Systém

• zakázat používání příkazového řádku;
• zakázat nástroje pro úpravu registru;
• zakázat automatické spouštění.
• Funkce CTRL + ALT + DEL:
  1. odeberte správce úloh;
  2. zakázat blokování počítače;
  3. zakázat změnu hesla.
• Zásady skupiny:
  1. Zabraňte interaktivním uživatelům ve vytváření dat o výsledné sadě zásad (RSoP).
• Ovládání internetové komunikace -> Parametry internetové komunikace:
  1. zakázat publikování na webu v seznamu úkolů pro soubory a složky;
  2. zakázat účast v programu zlepšování podpory zákazníků Windows Messengeru;
  3. vypnout službu přidružení souborů k Internetu;
  4. zakázat automatické stahování kodeků pro Windows Movie Maker;
  5. zakázat webové odkazy v programu Windows Movie Maker;
  6. zakázat ukládání videa na webové stránky poskytovatelů hostingu videa ...;

Síť

• offline soubory:
  1. zakázat přizpůsobení offline souborů.
• připojení k síti:
  1. zákaz dodatečné přizpůsobení TCP / IP;
  2. odepřít přístup k příkazu „Pokročilé možnosti“ v nabídce „Pokročilé“;
  3. zakázat přidávání a odebírání komponent pro připojení LAN nebo ...;
  4. odepřít přístup k vlastnostem připojení do lokální síť;
  5. zakázat povolení a zakázání součástí místních připojení;
  6. odepřít přístup k novému průvodci připojením;
  7. odepřít přístup k příkazu „Možnosti vzdáleného přístupu“ v nabídce „Upřesnit“.

Kontrolní panel

Odepřít přístup k ovládacímu panelu.

plocha počítače

1. odeberte příkaz "vlastnosti" ... (všechny 3 kusy);
2. zabránit uživatelům ve změně cesty ke složce „Moje dokumenty“;
3. zakázat přetahování a zavírání všech panelů nástrojů na hlavním panelu;
4. zakázat změnu uspořádání panelů nástrojů na ploše;
5. odinstalujte Průvodce vyčištěním plochy;
6. odstranit ikonu " síťové prostředí"z plochy;

Název hlavního panelu

1. odstranit odkazy a odmítnout pomocí oken Aktualizace;
2. odeberte „Síťová připojení“ z nabídky „Start“;
3. odeberte ikonu „Místa v síti“ z nabídky „Start“;
4. zakázat změnu nastavení úkolů a nabídky Start;
5. odepřít přístup do kontextové nabídky na hlavním panelu;
6. vymazat seznam nedávno otevřených dokumentů při ukončení;
7. deaktivovat místní nabídky;
8. opravit polohu hlavního panelu;
9. odebrat seznam často používaných programů z nabídky Start.

Dirigent

1. odeberte příkaz „vlastnosti složky“ z nabídky „služba“;
2. skrýt příkaz „ovládání“ z kontextové nabídky průzkumníka;
3. odeberte záložku „Zařízení“;
4. deaktivujte ukládání do mezipaměti miniaturních obrázků.

Ale zároveň jsem stále omezoval práva pro zápis na pevný disk C.

© Filimoshin V. Yu., 2010

Jak ukazuje praxe, čím méně uživatelů má k určitému počítači přístup, tím déle na něm systém funguje a tím je pravděpodobnější, že složky a soubory budou bezpečné a zdravé. Nejlepší je, když má počítač pouze jednoho uživatele. Bohužel, ve skutečnosti to tak vždy není: v práci musíte nechat ostatní zaměstnance přistupovat k vašemu počítači, doma poměrně často stejný počítač používají všichni členové rodiny a na veřejných místech (zejména ve vzdělávacích institucích a počítači kluby) počet uživatelů počítače obecně může být velmi vysoký.

O potřebě omezit přístup

Je zcela pochopitelné, že obvykle ani kolegové, ani členové domácnosti nechtějí poškodit váš počítač, ale pokud patří do kategorie začínajících uživatelů, problémům se nelze vyhnout. A mladší generace ve vzdělávacích institucích si obvykle nestanovuje cíl deaktivovat počítač a zničit informace na něm uložené - pouze aktivně experimentuje, nemyslí na důsledky určitých akcí.

V důsledku toho se u počítačů nevyhnutelně vyskytují určité problémy při provozu jednotlivých aplikací nebo operačního systému. To není překvapující, protože stačí omylem (jen neopatrností nebo během experimentu) odstranit například ovladač monitoru - a obraz na obrazovce bude méně atraktivní, odstranit tiskárnu - a nebude možné vytiskněte dokumenty, změňte nastavení sítě - a počítač přestane fungovat v místních sítích atd. A to není ta nejhorší možnost - náhodné smazání řady systémových složek a souborů může vést k úplné nefunkčnosti operačního systému, takže bude muset být přeinstalován. A zničení důležitých pracovních dokumentů může mít ještě smutnější důsledky - je možné, že je nebude možné obnovit v plném rozsahu a část práce (nebo dokonce celé) bude nutné provést znovu. Kromě toho by nemělo být zlevněno, že pokud mají vaše osobní nebo firemní materiály nějakou komerční hodnotu, útočníci je mohou chtít využít.

Otázka omezení přístupu k počítači, jeho jednotlivým zařízením a také k datům na něm uloženým do té či oné míry je tedy relevantní pro všechny uživatele počítačů bez výjimky. Prostě u některých (správci, učitelé v počítačových třídách s dětmi domácích uživatelů) se dostávají do popředí úkoly blokování přístupu k nastavení operačního systému a ochrana souborů a složek operačního systému. nainstalované aplikace, a pro ostatní (sem mohou patřit administrátoři, specialisté z oddělení počítačové bezpečnosti a učitelé, kteří jsou v naší zemi spolu s výukovými aktivitami často také nuceni zajistit provozuschopnost počítačů pod jejich kontrolou), je důležitější zablokovat přístup na různá zařízení(USB, CD / DVD, FireWire atd.). Potřeba blokovat přístup k zařízením má tři důvody: zaprvé právě na takových zařízeních insideri často vytahují důvěrné informace ze společností; za druhé, viry a trojské koně často vstupují do počítače prostřednictvím těchto zařízení; za třetí, s vyměnitelná média je nainstalována řada programů, čemuž je žádoucí zabránit - jinak na počítači, například ve vzdělávací instituci, za týden bude nainstalováno tolik hraček, že na jiné aplikace prostě nezbude místo.

Mnoho administrativních pracovníků má zájem o úplné zablokování přístupu k zapnutému počítači bez oprávněného uživatele. Potřeba takové ochrany v kanceláři je velmi naléhavá, protože i když máte vlastní počítač, uživatel nemůže být neustále v jeho blízkosti a často dochází k situacím, kdy je počítač zapnutý bez dohledu, což mohou využívat i ostatní zaměstnanci, kteří se zajímají o vaše materiály.

Další skupina uživatelů (to zahrnuje všechny kancelářské pracovníky a domácí uživatele) má obavy z ochrany osobních údajů, aby se předešlo poškození, vymazání nebo úniku. Problém ochrany osobních složek a souborů nevyhnutelně nastává, když na počítači pracuje několik lidí. To může být doma, když potřebujete chránit ostatní členy rodiny (například dítě) před informacemi, které pro ně nejsou určeny, a v práci, kde i když má každý uživatel svůj vlastní počítač, mohou nastat situace, kdy jiný zaměstnanec bude muset provést některé operace. V obou případech není nutné ukazovat své pracovní materiály cizincům, a už vůbec ne, protože jsou klasifikovány jako „přísně tajné“. Všechno je mnohem jednodušší: nikdo nemá rád vnější zásahy do svých záležitostí. Kromě toho, když máte zablokovaný přístup ke svým složkám a souborům, nemůžete se obávat, že se jim něco stane vinou jiného (nedostatečně vyškoleného) uživatele nebo budou nelegálně použity, což je bohužel docela možné, pokud jsou materiály komerční hodnoty.

Obecně je otázka rozumného omezení přístupu velmi složitá a mnohostranná a bez vhodných aplikací ji nelze vyřešit. Tento článek je věnován takovým aplikacím.

Přístup k programům omezení

Rozsah aplikací omezujících přístup nabízených na trhu je poměrně široký a pokrývá rozmanitost softwarové produkty... Některé z nich blokují přístup k nastavení operačního systému, jiné vám umožňují řídit přístup k různým zařízením, další zcela blokují počítač v nepřítomnosti uživatele a čtvrté zajišťují skrývání osobních údajů. Tyto schopnosti jsou často kombinovány v jedné nebo druhé kombinaci, což je docela pochopitelné, protože mnoho uživatelů potřebuje k vyřešení úkolů, kterým čelí, omezit přístup několika směry.

Blokování přístupu k nastavení operačního systému a systémovým datům

Vestavěné nástroje systému Windows vám umožňují uložit některá omezení přístupu uživatelů k nastavení operačního systému a systémovým datům pomocí správy místních zásad zabezpečení (Ovládací panely => Nástroje pro správu => Místní zásady zabezpečení). Zejména můžete zakázat změnu hesla účet a instalace ovladačů tiskárny, omezit seznam aplikací, které lze použít atd., seznam omezených parametrů však není dlouhý.

Přitom v praxi je v zájmu zajištění stabilního provozu systému často požadováno více omezit uživatelské možnosti, což lze provést pouze pomocí vysoce specializovaných nástrojů určených k řízení přístupu k počítači. Jako příklady se podíváme na správce zabezpečení, WinLock, Deskman a My Simple Desktop. Nejzajímavější z nich je nástroj Security Administrator, který vám umožňuje omezit přístup všem důležitá nastavení systémy a zaměřené na správce systému. Nejmenší funkčnost programu My Simple Desktop, ale je bezplatná pro osobní použití a má dostatečné možnosti pro některé domácí uživatele a zvládnete ji během několika sekund.

Správce zabezpečení 12.0

Vývojář: Getfreefile

Velikost distribuce: 1,85 MB

Práce pod kontrolou: Windows 9x / Me / NT 4/2000 / XP / 2003 / Vista

Distribuční metoda http://www.softheap.com/download/secagent.zip)

Cena: 69 USD

Security Administrator je profesionální řešení pro správu přístupu k počítači, které vám umožňuje omezit přístup k počítači a všem jeho důležitým nastavením (obr. 1) jako celku i pro jednotlivé uživatele. Je také možné zcela zablokovat zapnutý počítač v nepřítomnosti uživatele. Kromě nastavení omezení lze tento nástroj použít k řízení práce uživatelů na počítači, protože uchovává statistiky o používání místní sítě, internetu atd.

Rýže. 1. Omezení přístupu k systémovým nastavením a skrytí jednotek
v Správci zabezpečení

Toto řešení je užitečné pro nastavení široké škály omezení přístupu. S jeho pomocí lze snadno omezit přístup k nastavení plochy (zakázat změnu vlastností zobrazení, skrýt určité ikony atd.) A deaktivovat některé položky nabídky Start, skrýt hlavní panel (všechny nebo pouze jednotlivé položky). A také zakázat instalaci / odinstalaci aplikací a omezit možnosti uživatelů při práci na internetu: zakázat změnu nastavení aplikace Internet Explorer, stahování souborů, přístup na internet z aplikací atd. Existuje také mnoho příležitostí k ochraně důležitých nastavení systému před změnami - například můžete zakázat úpravy systémového registru, aktivaci režimu DOS, instalaci nových ovladačů, přidávání / odebírání tiskáren, kopírování / přesouvání souborů v systémových složkách a mazání souborů a složek z složka Tento počítač ... A také skrýt Ovládací panely, Tiskárny, Síťová připojení a příkaz Spustit z nabídky Start. V případě potřeby lze ovládací panel skrýt nikoli úplně, ale částečně skrytím nejdůležitějších prvků z hlediska neoprávněných změn, jako jsou „Systém“, „Vlastnosti zobrazení“, „Síť“, „Hesla“ a „Tiskárny“. ". Stejně snadné je skrýt místní, síťové a USB disky, zakázat vypalování a automatické přehrávání disků CD, blokovat používání hot Klávesy Windows a spouštět konkrétní aplikace a také skrývat určené složky - tyto složky se stanou neviditelnými ve složce Tento počítač, Průzkumníku a dialogová okna Otevřete / Uložte aplikace systému Windows.

WinLock 5.0

Vývojář: Crystal Office Systems

Velikost distribuce: 2,65 MB

Práce pod kontrolou: Windows 95/98 / Me / NT 4.0 / 2000 / XP / Vista

Distribuční metoda: shareware (30denní demo - http://www.crystaloffice.com/winlock.exe)

Cena WinLock - 21,95 dolarů WinLock Professional - 31,95 $

WinLock je pohodlné řešení pro omezení přístupu k důležitým systémovým prostředkům (obr. 2) a uživatelským datům, a to i vzdáleně. Program je prezentován ve dvou verzích: základní WinLock a rozšířený WinLock Professional (možnosti základní verze neumožňují omezit přístup k webovým zdrojům a používat šifrování).

Rýže. 2. Omezení přístupu k systémovým nastavením a skrytí jednotek
ve WinLocku

Pomocí tohoto řešení můžete odepřít přístup do systémového registru, skrýt v nabídce Start příkazy pro přístup k ovládacímu panelu, tiskárnám a připojení k síti a zcela zablokovat přístup k odpovídajícímu systémové složky a do některých dalších složek („Tento počítač“, „Moje dokumenty“, Koš atd.). A také nastavit zákaz blokování počítače a znemožnit změnu nastavení na hlavním panelu, nastavení zobrazení, nastavení sítě, přidejte / odeberte programy z nabídky Start a přejmenujte ikony na ploše. Stejně snadné je nastavit zákazy aktivace režimu DOS a spouštění systému Windows nouzový režim a blokovat klávesové zkratky Windows (Alt + Ctrl + Del, Alt + Tab, Ctrl + Esc atd.). Pokud chcete, můžete dokonce omezit ovládání oken (například zakázat měnit jejich velikost a přesouvat je). Existuje program a sada nástrojů pro blokování přístupu k vyměnitelným médiím (jednotky CD / DVD, zařízení USB atd.) A skrytí zobrazení určitých disků ve složce „Tento počítač“ a v Průzkumníku. Můžete zablokovat spouštění konkrétních aplikací (správce stahování, hry atd.) A odepřít přístup k určitým souborům a složkám (první nelze otevřít pro prohlížení nebo úpravy a druhé nelze otevřít, přejmenovat nebo odstranit). A také zabránit přístupu k diskutabilním webovým zdrojům (na základě bílého seznamu povolených stránek a černé listiny zakázaných klíčová slova) a nastavit limity doby, po kterou počítač mohou používat konkrétní uživatelé.

Deskman 8.1

Vývojář: Software Anfibia

Velikost distribuce: 1,03 MB

Práce pod kontrolou: Windows 2000/2003 / XP / Vista

Distribuční metoda: shareware (30denní demo - http://www.anfibia-soft.com/download/deskmansetup.exe)

Cena: osobní licence - 25 eur; živnostenský list - 35 eur

Deskman je jednoduchý nástroj pro regulaci přístupu k počítači a jeho nastavení (obr. 3), který vám umožňuje zcela zablokovat počítač (včetně klávesnice, myši a pracovní plochy) nebo omezit přístup k určitým funkcím (jednotlivá omezení jsou možná pro různé uživatele ).

Rýže. 3. Nastavení omezení v Deskmanu

Pomocí tohoto řešení můžete omezit přístup k nastavení plochy (například zakázat změnu vlastností zobrazení, odstraňování ikon, vyvolávání kontextové nabídky atd.), Průzkumníka Windows, hlavního panelu, nastavení aplikace Internet Explorer a zakázat změny různých položek v nabídce Start Jídelní lístek. A také omezit přístup k ovládacímu panelu a dalším důležitým systémovým nastavením - například zakázat mazání síťových jednotek, blokovat restartování a vypínání počítače atd. V případě potřeby je možné snadno zablokovat všechny nebo pouze některé klávesové zkratky systému Windows (Alt + Ctrl + Del, Alt + Tab, Ctrl + Esc atd.) A konfigurovat nástroj tak, aby automatické mazání nové položky z automatického spouštění, aby se zabránilo virům, modulům adwaru a spywaru. Je možné nastavit zákaz používání jinými uživateli konkrétních pevné disky a vyměnitelná média (jednotky CD / DVD, zařízení USB, jednotky atd.), která blokuje automatické přehrávání disků CD a jejich vypalování. Omezení můžete nastavit pomocí přednastavených profilů (to je výhodnější pro začátečníky a mnohem rychlejší) nebo ručně.

My Simple Desktop 2.0

Vývojář: Software Anfibia

Velikost distribuce: 1,76 MB

Práce pod kontrolou: Windows XP / Vista

Způsobšíření: My Simple Desktop Office Edition a My Simple Desktop School Edition - shareware (30denní demo - http://www.mysimpledesktop.com/downloads.sm.htm); My Simple Desktop Home Edition - freeware (http://www.mysimpledesktop.com/download/msdsetup_home.exe)

Cena: My Simple Desktop Office Edition - 32 eur; My Simple Desktop School Edition - 20 eur; My Simple Desktop Home Edition - zdarma (pouze pro osobní použití)

My Simple Desktop je velmi jednoduchý program omezit přístup k počítači a jeho nastavení (obr. 4). Je uveden ve třech edicích: placená verze My Simple Desktop Office Edition a My Simple Desktop School Edition a bezplatná verze My Simple Desktop Home Edition (možnosti jsou zcela totožné).

Rýže. 4. Nastavení omezení přístupu v My Simple Desktop

Pomocí tohoto nástroje můžete chránit plochu, hlavní panel a nabídku Start před změnami, znemožnit provádění změn v nastavení zobrazení a kontextové nabídce Průzkumníka. A také odepřít přístup k ovládacímu panelu, vlastnostem složek a systémovému registru a zablokovat používání klávesových zkratek Windows a pravého tlačítka myši. Pokud jde o omezení přístupu k zařízením, existuje zákaz používání stacionárních jednotek a externích zařízení USB, jakož i skrývání síťových jednotek a blokování automatického přehrávání disků CD. V případě potřeby můžete nastavit limit doby používání počítače - stejný pro všechny uživatele, kromě správce. Omezení se konfigurují přiřazením jednoho z přednastavených profilů nebo ručně.

Omezení přístupu k zařízením

Vestavěné mechanismy pro distribuci přístupových práv a nastavení zásad zabezpečení v operačních systémech rodiny Windows (kromě Windows Vista) vám neumožňují řídit přístup ostatních uživatelů k potenciálně nebezpečným zařízením (zařízení USB, jednotky CD / DVD, FireWire a infračervené porty atd.). Samozřejmě můžete taková zařízení v systému BIOS deaktivovat, ale to není možné, protože abyste mohli pracovat s deaktivovaným zařízením (v případě potřeby), budete se muset pokaždé obrátit na BIOS a znovu jej povolit, což je docela dlouhý a velmi nepohodlný.

Je mnohem chytřejší řídit přístup k zařízením pomocí další aplikace které mohou být velmi odlišné. Schopnost skrývat nebo blokovat zařízení je často poskytována v nástrojích určených k řízení přístupu k nastavením operačního systému, včetně těch, která jsme zvážili. Je pravda, že možnosti omezení přístupu k zařízením v nich jsou malé: přístup můžete ovládat daleko od všech nebezpečných zařízení a to nemluvíme o ovládání médií. Nástroje - blokátory přístupu k zařízením a specializovaná řešení pro ochranu systému před úniky podnikových informací - mají v tomto ohledu mnohem více funkcí. Jako příklad se podíváme na DeviceLock, USB Lock Standard a ID Devices Lock. Nejfunkčnější z nich je program DeviceLock, pomocí kterého můžete kontrolovat (a nejen blokovat) přístup jednotlivých uživatelů a skupin uživatelů prakticky k jakýmkoli potenciálně nebezpečným zařízením (a dokonce i médiím), ale primárně míří na správce systému. Možnosti dalších dvou utilit jsou mnohem skromnější, ale pro většinu uživatelů zcela dostačující.

DeviceLock 6.3

Vývojář: CJSC "Smart Line Inc."

Velikost distribuce: 39,7 MB

Práce pod kontrolou: Windows NT / 2000 / XP / Vista

Distribuční metoda: shareware (30denní demo - http://www.devicelock.com/ru/dl/download.html)

Cena: 1300 rub.

DeviceLock je specializované řešení pro organizaci systému ochrany proti úniku podnikových informací, který vám umožňuje řídit přístup k celé řadě potenciálně nebezpečných zařízení: porty USB, disketové jednotky, jednotky CD / DVD a také FireWire, infračervené, paralelní a sériové porty , Adaptéry Wi-Fi a Bluetooth, páskové jednotky, PDA a smartphony, síťové a místní tiskárny, interní a externí vyměnitelné disky a pevné disky. Program má centralizovaný systém dálkové ovládání, poskytující přístup ke všem funkcím z pracovní stanice správce systému. Taková správa je implementována pomocí další konzoly DeviceLock Enterprise Manager nebo prostřednictvím zásad skupiny Actvie Directory, což vám umožňuje automaticky nainstalovat DeviceLock na nové počítače připojené k firemní síť a proveďte konfiguraci pro nové počítače v automatickém režimu.

Je možné buď úplné zablokování určitého typu zařízení, nebo částečné, to znamená v souladu s bílým seznamem médií (obr. 5), ve kterém bude umožněn přístup k některým médiím i přes blokování odpovídajícího typu zařízení . Můžete také nastavit režim jen pro čtení a chránit disky před náhodným nebo úmyslným formátováním. Je zajištěno přiřazení různých přístupových práv k zařízením a I / O portům pro jednotlivé uživatele a skupiny uživatelů s možností nastavit ovládání v závislosti na čase a dni v týdnu. V případě potřeby můžete všechny akce uživatelů zaznamenávat pomocí zařízení a souborů (kopírování, čtení, mazání atd.) Provedením stínového kopírování.

Rýže. 5. Konfigurace omezení přístupu k zařízením podle
s bílým seznamem médií v DeviceLock

USB Lock Standard 3.4.1

Vývojář: Advanced Systems International SAC

Velikost distribuce: 2,02 MB

Práce pod kontrolou: Windows XP / Vista

Distribuční metoda: shareware (10denní demo - http://www.advansysperu.com/down_st.php)

Cena: 44 dolarů

USB Lock Standard je praktický nástroj pro blokování přístupu (obr. 6) ke všem typům vyměnitelných médií: porty USB (USB disky, iPody, přehrávače MP3 atd.), Zařízení Zip, disketové jednotky, jednotky CD / DVD, adaptéry Bluetooth a čtečky čipových karet (CF, SD, MMC, XD atd.). Umožňuje vám zcela zablokovat přístup k uvedeným zařízením nebo to udělat částečně otevřením přístupu k autorizovaným zařízením. K odblokování potřebujete znát heslo nebo USB klíč. Operace s odblokovanými zařízeními jsou zaznamenány do protokolů.

Rýže. 6. Blokování přístupu
na jednotky CD / DVD ve standardu USB Lock

ID Devices Lock 1.2

Vývojář: ID Security Suite

Velikost distribuce: 1,47 MB

Práce pod kontrolou: Windows 98 / NT / 2000 / XP / Vista

Distribuční metoda http://www.idsecuritysuite.com/files/iddeviceslocksetup.exe)

Cena: 37 USD

ID Devices Lock je jednoduchý nástroj pro omezení přístupu (obr. 7) k zařízením USB, jednotkám CD a disketovým jednotkám tím, že do nich zakážete kopírování dat, což pomáhá předcházet úniku informací na mobilních médiích. K odblokování je nutná znalost hesla.

Rýže. 7. Omezení přístupu k jednotce v zámku ID Devices

Úplné zablokování počítače v nepřítomnosti uživatele

Nejjednodušší způsob, jak zablokovat přístup k počítači, který je zapnutý, je nastavit heslo pro spořič obrazovky, ale to není nejlepší volba, protože heslo lze ze spořiče obrazovky při restartu bez problémů odebrat. Je mnohem spolehlivější úplně zablokovat počítač pomocí speciálního softwarové nástroje to znemožní přístup k jakýmkoli prvkům počítače, včetně klávesnice, myši a pracovní plochy. Poté již nebude možné na něm zobrazit žádné informace, spouštět aplikace, přistupovat k souborům a složkám (včetně aktuálně otevřených) a dokonce ani restartovat počítač stisknutím kombinace kláves Ctrl + Alt + Del. Počítač můžete odemknout pouze v případě, že znáte heslo uživatele, a jednoduché restartování (i v nouzovém režimu) nebo výpadek napájení neodstraní ochranu.

Takové blokování počítače je obvykle poskytováno pomocí vysoce specializovaných nástrojů: Desktop Lock, Lock My PC a podobně, ale takové možnosti mohou být poskytovány také v programech určených k nastavení různých druhů omezení přístupu, zejména v Security Administrator a Deskman.

Desktop Lock 7.2.1

Vývojář: Software TopLang

Velikost distribuce: 792 KB

Práce pod kontrolou: Windows NT / 2000 / XP / 2003 / Vista

Distribuční metoda: shareware (15denní demo - http://www.toplang.com/dlsetup.exe)

Cena: 24,95 $

Desktop Lock je nástroj pro uzamčení počítače (obr. 8) po dobu, kdy je uživatel pryč. Blokování se nastavuje ze samotného nástroje automatickým stisknutím určité kombinace kláves v čase určeném uživatelem nebo v případě nečinnosti uživatele po zadaném období. Uvedení počítače do uzamčeného režimu může být doprovázeno spuštěním spořiče obrazovky, přehráváním audio nebo video souboru, což je rozumné například na výstavách při předvádění firemních prezentací. Když je myš uzamčena, je deaktivována a není možné používat hlavní klávesové zkratky. Chcete -li opustit zamčený režim, musíte stisknout tajnou kombinaci klávesnice nebo tlačítko myši a zadat heslo. Pokud si přejete, můžete nástroj nakonfigurovat tak, aby zaznamenával krátké zprávy od jiných uživatelů, kteří přišli k počítači v době nepřítomnosti jeho vlastníka a přáli si mu něco napsat.

Rýže. 8. Konfigurace nastavení pro zamknutí počítače v Desktop Lock

Zamknout můj počítač 4.7

Vývojář: FSPro Labs

Velikost distribuce: 1,4 MB

Práce pod kontrolou: Windows 2000 / XP / 2003 / Vista

Metoda distribuce: shareware (30denní demo - http://www.fsprolabs.com/download/distr/lmpc.zip)

Cena: Osobní licence - 19,95 $ živnostenský list - 29,95 USD

Lock My PC je nástroj pro uzamčení počítače (obr. 9) v době nepřítomnosti uživatele. Uzamčení počítače je snadné - stačí dvakrát kliknout na odpovídající ikonu na hlavním panelu nebo stisknout speciální kombinaci klávesnice. Automatické blokování je možné po určené době nečinnosti uživatele. Když jsou zamknuty, myš a jednotky CD / DVD jsou vypnuty (to vám zabrání v odebrání disků CD z nich) a nebude možné používat hlavní kombinace klávesnice: Ctrl + Alt + Del, Alt + Tab atd. počítač, jakýkoli, včetně vlastních snímků, ve formátech GIF, JPEG, BMP a animovaných GIF. Počítač můžete odemknout, pouze pokud znáte heslo uživatele nebo správce.

Rýže. 9. Konfigurace nastavení pro zamčení počítače v aplikaci Lock My PC

Ochrana osobních údajů

Existuje několik způsobů, jak chránit osobní údaje před neoprávněným přístupem: můžete komprimovat složky a soubory v archivu chráněném heslem; skrýt je; umístit do tajné složky, jejíž přístup pro ostatní uživatele bude uzavřen heslem; zašifrujte nebo vytvořte virtuální šifrovaný disk, na který můžete psát své tajné materiály. Volba nejpreferovanější metody závisí na situaci, nicméně ve většině případů je nejlepší možností skrýt a šifrovat složky a soubory, takže v tomto článku se omezíme pouze na ně.

Složky a soubory můžete teoreticky skrývat pomocí vestavěného Možnosti systému Windows- k tomu stačí povolit ve vlastnostech odpovídajících objektů atribut „Skrytý“. Takto skryté složky a soubory nebudou v Průzkumníku viditelné pro ostatní uživatele systému, ale pouze v případě, že „Nezobrazovat skryté soubory a složky “. V zásadě to může stačit k ochraně dat před netrénovanými uživateli. Takto skryté objekty však budou viditelné v aplikacích, které pro zobrazení souborů a složek nepoužívají standardní dialog (FAR, Totální velitel atd.), takže tato ochrana není příliš dobrá.

Bezpečnější možností ochrany dat pomocí integrovaného systému Windows je použití systému Encrypting File System (EFS), který vám umožní šifrovat soubory povolením možnosti Encrypting Content to Protect Data pro ně v Průzkumníku (Vlastnosti => Obecné => Pokročilý). Takto zašifrované soubory nelze číst bez znalosti hesla, ale systém EFS vám umožňuje chránit složky a soubory pouze v souborový systém NTFS.

Z těchto důvodů je lepší použít speciální nástroje k ochraně osobních složek a souborů. Tato řešení vám umožní spolehlivěji skrývat složky a soubory (nebudou viditelné, když zakážete zaškrtávací políčko „Nezobrazovat skryté soubory a složky“), a také k nim zablokovat přístup. Některé z těchto nástrojů navíc poskytují možnost šifrování dat, což zajistí jejich ochranu před ostatními uživateli, i když bootování Windows v nouzovém režimu, bootování v jiném operačním systému nebo na jiném počítači (pokud HDD s chráněnými informacemi). Jako příklady se podíváme na Folder Lock, Folder Guard a Hide Folders XP. První poskytuje nejvíce vysoká úroveň ochrana šifrovaných dat, druhá navíc poskytuje nástroje pro ochranu základního nastavení OS před změnami. Balíček Hide Folders XP je ve svých schopnostech znatelně horší než jmenovaná řešení, ale má rozhraní v ruském jazyce a je nabízen rusky mluvícím uživatelům za velmi atraktivní cenu.

Zámek složky 6.0.1

Vývojář: NewSoftware Professionals, Inc.

Velikost distribuce: 2,78 MB

Práce pod kontrolou: Windows 2000 / XP / 2003 / Vista

Distribuční metoda: shareware (20denní demo-http://dl.filekicker.com/nc/file/130083-0M78/folder-lock.exe)

Cena: 35,95 $

Folder Lock je efektivní a spolehlivé řešení pro ochranu osobních souborů, složek (obr. 10) a disků nastavením hesla, skrytím a šifrováním (algoritmus AES s 256bitovým klíčem). Pro větší bezpečnost v toto rozhodnutí je povoleno používat současně blokování a šifrování - takto chráněné soubory se nezobrazují v průzkumníku a v aplikacích a jsou zcela nepřístupné, protože je nemožné k nim přistupovat bez znalosti hesla i při bootování do DOSu, v bezpečný Režim Windows, na jiném OS nebo na jiném počítači. V případě zapomenutí hesla je možné získat přístup k údajům pomocí registračního klíče. Původní data, která je třeba chránit, lze umístit nejen na pevný disk, ale také na média USB, paměťové karty, Disky CD-RW, diskety a notebooky. A proces instalace poskytnuté ochrany lze provést automaticky v případě nečinnosti počítače. Ve speciálním režimu Stealth může program skrýt všechny stopy, které indikují instalaci ochrany dat na počítač: brání zobrazení vlastních zástupců na ploše a v nabídce Start, skryje data o instalaci / odinstalaci v odpovídající sekci ovládacího panelu, vymaže historii a výměnu dat vyrovnávací paměti atd. Kromě toho kvůli větší bezpečnosti program uchovává záznamy o všech neúspěšně zadaných heslech k odstranění ochrany, což uživateli umožňuje včas zaznamenat projev nezdravého zájmu o vlastní počítač od ostatních uživatelů.

Rýže. 10. Práce s chráněnými složkami v balíčku Folder Lock

Složka Guard 7.6

Vývojář: WinAbility Software Corporation

Velikostdistribuční souprava: Edice Folder Guard a Folder Guard x64 Edition - 1,8 MB; Folder Guard Professional Edition - 2,5 MB

Práce pod kontrolou: Windows 2K / XP / 2003 / Vista

Distribuční metoda: shareware (30denní demo - http://www.winability.com/folderguard/editions.htm)

Cena Edice Folder Guard a Folder Guard x64 Edition - 39,95 $ Folder Guard Professional Edition - 59,95 $

Folder Guard je jednoduché a pohodlné řešení, jak omezit přístup ke složkám a souborům a také zabránit přístupu k číslu Nastavení systému Windows... Dodává se ve třech edicích: Folder Guard Edition, Folder Guard x64 Edition a Folder Guard Professional Edition. První verze funguje ve 32bitové verzi Verze Windows, druhý - v 64bitové a třetí - v obou.

Omezení přístupu k osobním údajům se provádí jejich skrytím (obr. 11), nastavením režimu „jen pro čtení“ nebo blokováním. V tomto případě je skrytí implementováno dvěma způsoby: můžete skrýt složky a soubory nebo je nastavit prázdné (prázdné). V druhém případě budou složky viditelné, ale po otevření budou prázdné, i když ve skutečnosti obsahují informace - tato možnost ochrany je vhodná pro standardní Složky Windows, jejichž úplné skrytí bude znamenat, že informace v počítači jsou zablokovány, což je nežádoucí. Chráněné složky bez hesla nebudou k dispozici ostatním uživatelům systému, i když se systém Windows spustí v nouzovém režimu, ačkoli to bude vyžadovat určitá nastavení v programu. Pokud heslo zapomenete, můžete jej obnovit pomocí bezplatného nástroje Emergency Recovery (http://www.winability.com/folderguard/eru.htm). Program může také pracovat v utajeném režimu, ve kterém budou skryté vlastní zkratky a soubory.

Rýže. 11. Skrytí složky v programu Folder Guard

Folder Guard může také chránit základní nastavení OS z úprav (obr. 12) - zejména blízký přístup k vlastnostem hlavního panelu, nabídky Start a řady dalších oken, zákaz ukládání vlastností zobrazení (pokud byly změněny), blokování změny vlastností složky a Nastavení internetu Průzkumník, nezobrazovat ikony na ploše. A také zabránit změně parametrů kritických pro provoz systému zavřením přístupu k ovládacímu panelu a nastavením řady zákazů: přístup k systémový registr, přidávání / odebírání tiskáren, pomocí příkazu Spustit atd. Můžete také skrýt konkrétní disky v okně Tento počítač, Průzkumník a standardní dialogová okna Otevřít / Uložit a blokovat vypalování disků CD / DVD. Pro různé uživatele je možná jiná sada takových omezení.

Rýže. 12. Nastavení omezení přístupu k nastavení Windows
ve složce Guard

Skrýt složky XP 2.9.8

Vývojář: FSPro Labs

Velikost distribuce: 1,23 MB

Práce pod kontrolou: Windows 2000 / XP / 2003 / Vista

Distribuční metoda: shareware (30denní demo - http://www.fsprolabs.com/download/distr/hfxp.zip)

Cena: 29,95 $ (v obchodě Softkey.ru - 400 rublů)

Hide Folders XP je jednoduchý program na ochranu složek a souborů (obr. 13) před neoprávněným přístupem tím, že je skryje a / nebo zablokuje. Chráněné složky nebudou dostupné ostatním uživatelům, včetně správce systému, i když se systém Windows spustí v nouzovém režimu. V tomto případě budou chráněny před odstraněním nejen chráněné složky a soubory, ale také složky, které je obsahují. A aby ostatní uživatelé nehádali o přítomnosti chráněných dat v počítači, může program odstranit stopy nainstalované ochrany a může se sám skrýt (nemusí se objevit v seznamu často stahovaných programů, nezobrazovat řádek pro odinstalaci v ovládacím panelu se skryjte v seznamu spuštěných procesů atd.).

Rýže. 13. Práce s chráněnými soubory v prostředí Hide Folders XP

Zdá se mi, že v této situaci by mohl fungovat následující recept: musíte vytvořit dvě skupiny, říkejme jim PCComission a UserComission.
Zahrnout do jejich složení počítače a uživatele oddělení provize, resp.
Dále vytvořte objekt zásad skupiny a propojte jej s OU SUS, odeberte aplikovanou zásadu přímo ze skupiny Auth Users a místo toho ji přidejte do skupiny PCComission. Poté ve vlastnostech zásad pomocí mechanismu omezení členství ve skupině vyloučí skupinu domény Domain Users z místní skupiny Users, ale přidá skupinu UserComission

Vadime, upozornil jsem, že se mýlíš, protože tvůj recept nebude fungovat: vyloučení uživatelů domény z vestavěné skupiny uživatelů počítačů neomezí uživatele domény na místní vstup k tomuto počítači. To je vše. Neurazte se, ale vaše „zdá se mi, že ...“ by mělo být zkontrolováno dříve a nabízeno jako recept. Zapamatujte si / podívejte se na stav typického členství „Builtin \ Users“ na členském počítači v doméně AD, o oprávněních, nakonec ...

Ano, a ještě jedna věc, nemusíte cvičit sami, natož radit nezkušenému správci, aby bez dobrého důvodu změnil referenční model zabezpečení. Za prvé, tím přineseš více problémů než získat bonusy, a za druhé - může vás připravit o technickou podporu!

Vadime, pokud můžeš vysvětlit, kde se mýlím, budu ti vděčný. :)

Přidejte: Vadim a o předmětu zásad. No, ať UCP vezme alespoň 10 megabajtů v SYSVOL a stejné množství v kontejneru AD - tak co? Replikace je optimalizována, klient si UCP pětkrát denně znovu nestáhne a administrátor jej nezmění, protože není co dělat - ne? Obecně je lepší vytvářet více OCP a často - jen tak je to možné, než se šťourat ve vinaigrettu.

Díky mé ženě Katya, Klevogin S.P., Kozlov S.V., Muravlyannikov N.A., Nikitin I.G., Shapiro L.V. pro mé znalosti! :)

Dmitry, ve skutečnosti jsem to vysvětlil již v jednom z předchozích příspěvků tohoto vlákna: 21. srpna 2009 10:26.
No, pojďme znovu. Můj návrh sestával z myšlenky změnit pomocí mechanismu „Omezené skupiny“ složení místní skupiny Uživatelé / Uživatelé na počítačích provizního oddělení, aby se do nich uživatelé obchodního oddělení nemohli přihlásit (koneckonců „právě prostřednictvím členství v této skupině mají takové právo). Pravda, tuto myšlenku jsem zformuloval ležérně, bylo správné říci „nevyloučit skupinu doménových uživatelů z místní skupiny uživatelů“, ale „vymazat místní skupinu uživatelů“, ale nemění to podstatu, protože zásada při použití pouze vyčistí skupinu před jejím přidáním výslovně zadanou v sekci Omezené skupiny. V tomto případě tedy není nutné pamatovat na výchozí složení skupiny. I když to nebolí;) A já si privilegia nejen pamatuji, ale také je navrhuji použít, a to Allow Logon Locally.
Pokud stále něčemu nerozumíte, zeptejte se konkrétně - pokusím se to vysvětlit jasněji.
Dmitry, sám vidím nějaké bonusy. A před jakými konkrétními problémy mě a další nezkušené správce varujete v souvislosti se změnou ve složení skupiny Users?
A proboha mi vysvětlete, jak by to mohlo ovlivnit technická podpora? A čí?
No, o velikosti objektu politiky. Pokud jste náhodou nenašli ovladač za 128k kanálem a nereplikovali jste téměř celou dobu životnosti náhrobních předmětů při zkoumání infrastruktury zákazníka, pak pro vás nebude snadné pochopit mé obavy;) A to navzdory skutečnost, že počet GPO byl více než 100.
A vaše tvrzení, že „je lepší vytvářet více UCP a často - jen tak je to možné,“ mi například není jasné.
Jsem zastáncem opačného úhlu pohledu: pokud existují dvě možnosti řešení problému, vytvořením skupiny nebo GPO, vyberu první.
Je pro mě výhodnější implementovat delegování oprávnění. A doba procesu stahování / přihlášení přímo závisí na počtu použitých GPO. Ale opět je to věc vkusu.

Doufám, že technická část je vyjasněna.
Poté, Dmitriji, pár slov o etice diskuse.
1. Pokud jste již vyjádřili svůj názor na mou nesprávnost, pak bych rád viděl argumentaci tohoto názoru ve stejném příspěvku.
2. " Neurazte se, ale vaše „zdá se mi, že ...“ by mělo být zkontrolováno dříve a nabízeno jako recept.„Takže jsem nebyl příliš líný a znovu jsem zkontroloval - recept funguje. Zkontrolovali jste to sami, než jste tvrdili, že„ recept nebude fungovat “? Bylo by hezké ověřit si vaše tvrzení experimentem.
3. Děkuji za vaši radu, ale já jsem vás o to nežádal. I když nevylučuji, že se jednou obrátím :)
Kéž mi Vitaliy Shestakov odpustí další plamen.

Dnes budeme nadále hovořit o počítačové bezpečnosti. A ještě jeden krok v tomto směru - uživatel.

Při instalaci operačního sálu Windows systémy uživateli jsou udělena práva správce. Jinými slovy, má naprostou svobodu jednání na PC. Ale také škodlivé software po získání přístupu k počítači má stejná práva. A to je již vážná chyba zabezpečení našeho bezpečnostního systému. Je na čase opravit díry.

V tomto článku budeme analyzovat algoritmus pro přepnutí z administrátora na bezpečnější účet při zachování všech nastavení.

Proč je nutné omezení účtu?

1. Všechny softwarové produkty spuštěné s administrátorskými právy mají na PC naprostou svobodu jednání, což jistě využijí vývojáři škodlivého kódu (viry a nebezpečné skripty).

Aby se například virus „zaregistroval“ ve vašem operačním systému, musí provést změny v položkách registru. Uživatel s omezenými právy nebude moci provádět změny v nastavení operačního systému. A proto škodlivý virus, spuštěný se stejnými omezenými právy, nebude schopen prolomit ochranu nastavení systému a zanechte ve svém registru „stopu“.

Když přistupujete k internetu s právy správce, pomůžete útočníkovi ukrást vaše hesla, přihlašovací údaje uložené v systémových souborech operačního systému. Nebezpečný skript s právy správce přečte všechna vaše tajemství a převede je na svého vlastníka.

Vytvořením omezení uživatelského účtu nejen vyřešíte tyto problémy, ale také zabráníte tomu, aby se do vašeho počítače dostal rozšířený virus (porno banner, který blokuje provoz počítače).

2. S právy správce mohou nezkušení uživatelé omylem provést zásadní změny v systému Soubory Windows, uvedení OS do nefunkčního stavu. Chraňte svůj systém před náhodnými chybami - snižte uživatelská práva.

Změna práv uživatelského účtu

Protože operační systém již ji máme nainstalovanou a fungující normálně, pak půjdeme po následující cestě: změníme typ dříve vytvořeného účtu (snížením jeho práv) a přidáme nového uživatele s právy správce (jehož jménem budeme provádět změní na systémové soubory OS a registr).

1. Prvním krokem je dát věci do pořádku s existujícími účty. Chcete -li to provést, přejděte do Centra řízení účtu (klikněte pravým tlačítkem na ikonu „Tento počítač“ -> „Správa“ -> „Místní uživatelé a skupiny“ -> „Uživatelé“).

Odstraňte všechny položky kromě stávajícího a hosta (které by měly být deaktivovány).

2. Snížení práv stávajícího účtu na úroveň běžného uživatele nebude fungovat, protože systém musí mít uživatele s právy správce. Proto nejprve vytvoříme dalšího správce a až poté snížíme práva aktuálního uživatele.

Chcete -li to provést, klikněte pravým tlačítkem na položku „Uživatelé“ -> vyberte „ Nový uživatel… “. V okně, které se otevře, zadejte jméno nového správce, jeho heslo, zaškrtněte položku „Heslo nevyprší“ a klikněte na tlačítko „Vytvořit“.

Námi vytvořený účet bude mít práva běžného uživatele. Chcete -li mu dát status skutečného správce, musíte jej přidat do příslušné skupiny uživatelů. Chcete -li to provést, poklepejte na nový účet, přejděte na kartu „Členství ve skupině“ -> stiskněte tlačítko „Přidat“.

Do bloku „Zadejte název objektu“ napište „Správci“ a klikněte na tlačítko „OK“ -> „Použít“.

3. Nyní je čas začít snižovat úroveň aktuálního uživatele. Chcete -li to provést, vyberte aktuálního uživatele v seznamu a proveďte všechny stejné operace, které jsem popsal výše. Teprve nyní je nutné přidat záznam „Uživatelé“ a smazat záznam „Správci“.

4. Až bude vše provedeno, odhlaste se a restartujte počítač.

Uložili jste tedy všechna svá nastavení, ale snížili jste stav uživatele a omezili jeho práva. Chcete -li v systému provést jakékoli změny, budete nyní muset přistupovat k nově vytvořenému účtu správce.

Jak to funguje?

V systému pracujete jako obvykle a spouštíte známé programy. Pokud najednou potřebujete provést změny v systémových souborech, přejděte do registru nebo nainstalujte nový program, můžete to udělat dvěma způsoby: buď ukončete aktuální relaci a přihlaste se pod účtem správce, použijte „sílu“ správce, aniž byste aktuální účet opustili.

Chcete -li to provést, klikněte pravým tlačítkem na spuštěný program a v zobrazeném okně vyberte „Spustit jako ...“ -> zadejte účet správce a zadejte heslo správce -> klikněte na „OK“. Můžete tedy spustit jakoukoli aplikaci s právy správce, aniž byste museli opustit svůj aktuální účet.

Rada:

• Výběr hesla pro správce berte vážně. Čím je heslo složitější a delší, tím obtížnější bude pro útočníka jeho prolomení.
• Protože nový účet správce budete používat jen zřídka, zapište si heslo, které jste vytvořili, na bezpečném místě.
• Dalším bezpečnostním opatřením bude přejmenování vytvořeného Správce (například místo „Správce“ -> „Sergey). Tím se útočníkovi vytvoří další bariéra.