Omezení účtů ve Windows 7. Jak omezit přístup účtů k počítači? Jak to funguje

Zdá se mi, že v této situaci by mohl fungovat následující recept: musíte vytvořit dvě skupiny, říkejme jim PCComission a UserComission.
Zahrnout do svého složení počítače a uživatele oddělení komise, resp.
Dále vytvořte objekt skupinová politika a propojit s OU SUS, odstranit zásadu použít ze skupiny Auth Users a místo toho ji přidat do skupiny PCComission. Poté ve vlastnostech zásad pomocí mechanismu omezení členství ve skupině vylučte skupinu domén Domain Users z místní skupiny Users, ale přidejte skupinu UserComission

Vadime, poukázal jsem na to, že se mýlíte, protože váš recept nebude fungovat: vyloučení uživatelů domény ze skupiny uživatelů vestavěného počítače neomezí uživatele domény místní vstup do tohoto počítače. To je vše. Nenechte se urazit, ale vaše "zdá se mi, že ..." by mělo být předem zkontrolováno a nabídnout jako recept. Zapamatujte si / zkontrolujte stav typického členství "Builtin \ Users" na členském počítači v doméně AD, o oprávněních, konečně ...
Ano a ještě jedna věc, nemusíte se procvičovat, natož radit nezkušenému správci, aby bezdůvodně změnil bezpečnostní referenční model. Za prvé tím, že to přinesete více problémů než získat bonusy a za druhé - může vás to připravit o technickou podporu!
Vadime, pokud mi můžeš vysvětlit, kde dělám chybu, budu ti vděčný. :)
V této nové místní nabídce vyberte ze seznamu uživatele, kterému bude odepřen přístup k vašim dokumentům. V poli Oprávnění pro zaškrtněte políčka v pravém sloupci pro všechny dostupné možnosti. Opakujte proces pro všechny účty, na kterých chráníte takový adresář.

Zajímavým tipem je použít tuto metodu ochrany k odepření přístupu do hlavního adresáře, který obsahuje všechny dokumenty a informace z vašeho vlastního. účet uživatel. Jedním ze spotřebitelských snů mnoha lidí je nástroj nebo aplikace, která řídí vše, co se na počítači děje, od otevřených programů po systémové změny.
Přidejte: Vadim a o předmětu politiky. Dobře, ať si UCP vezme alespoň 10 megabajtů v SYSVOL a stejnou částku v kontejneru AD - no a co? Replikace je optimalizovaná, klient pětkrát denně znovu nestahuje UCP a správce to nemění, protože není co dělat - ne? Obecně je lepší vytvořit více OCP a často – je to jediný možný způsob, než se šťourat ve vinaigrette.
Zde můžete konfigurovat různá nastavení nejen pro uživatele, ale také pro počítač. Budete mít několik možností konfigurace, jako je správa napájení, uživatelské profily, přihlášení a další. Zde zadáváte názvy programů, které je třeba zamknout. Na levé straně máte tři možnosti: Nenakonfigurováno, Povoleno a Zakázáno. Vyberte poslední. Okno Zobrazit, které bylo deaktivováno, vám tedy umožní určit konkrétní programy, které lze na vašem počítači otevřít.

Chcete-li přidat programy do seznamu, jednoduše zadejte názvy těch, které jsou přístupné. Zadejte prosím přesné jméno spustitelný soubor programy. Navíc pouze uživatelé z tohoto seznamu mohou být otevřeni pouze v tomto seznamu. Pokud chcete znovu uvolnit všechny programy pro použití, jednoduše vyberte možnost „Zakázáno“ v levém horním rohu stránky.
Díky mé ženě Katya, Klevogin S.P., Kozlov S.V., Muravlyannikov N.A., Nikitin I.G., Shapiro L.V. pro mé znalosti! :)

Dmitry, ve skutečnosti jsem již vysvětlil v jednom z předchozích příspěvků tohoto vlákna: 21. srpna 2009 10:26.
No, pojďme znovu. Můj návrh spočíval v myšlence změnit pomocí mechanismu „Restricted Groups“ složení lokální skupiny Uživatelé / Uživatelé na počítačích provizního oddělení tak, aby se do nich uživatelé obchodního oddělení nemohli přihlašovat (po všichni mají takové právo na základě členství v této skupině). Pravda, tuto myšlenku jsem mimoděk formuloval, bylo správné říci ne „vyloučit doménovou skupinu Domain Users z místní skupiny Users“, ale „vymazat místní skupinu Users“, ale nemění to podstatu, protože zásada, když je použita, pouze vyčistí skupinu před jejím přidáním, které je výslovně uvedeno v sekci Skupiny s omezeným přístupem. Takže v tomto případě není nutné pamatovat si výchozí složení skupiny. I když to nebolí;) A výsady si nejen pamatuji, ale také je navrhuji používat, konkrétně Allow Logon Locally.
Pokud stále něčemu nerozumíte, zeptejte se konkrétně - pokusím se to vysvětlit srozumitelněji.
Dmitry, sám vidím nějaké bonusy. A před jakými konkrétními problémy mě a další nezkušené administrátory v souvislosti se změnou složení skupiny Uživatelé varujete?
A vysvětli mi proboha, jak to může ovlivnit technická podpora? a čí?
No a o velikosti objektu politiky. Pokud jste při zkoumání infrastruktury zákazníka nenašli ovladač umístěný za 128k kanálem a nereplikovaný téměř po celou dobu životnosti náhrobních objektů, pak pro vás nebude snadné pochopit moji obavu;) A to navzdory skutečnosti že počet GPO byl více než 100.
A vaše tvrzení, že například „je lepší vytvořit více UCP, a často – to je jediný způsob, jak je to možné“, mi není zřejmé.
Jsem zastáncem opačného pohledu: pokud existují dvě možnosti řešení problému, vytvořením skupiny nebo GPO, volím tu první.
Je pro mě pohodlnější implementovat delegování pravomocí. A trvání procesu stahování / přihlášení přímo závisí na počtu použitých GPO. Ale opět je to otázka vkusu.

Doufejme, že technická část je jasnější.
Potom, Dmitriji, pár slov o etice diskuse.
1. Pokud jste se již vyjádřil k mé nesprávnosti, pak bych rád viděl argumentaci tohoto názoru ve stejném příspěvku.
2. " Nenechte se urazit, ale vaše "zdá se mi, že ..." by mělo být předem zkontrolováno a nabídnout jako recept."Takže jsem nelenil a znovu zkontroloval - recept funguje. Ověřil jste si to sám, než jste tvrdil, že" recept nebude fungovat "? Takže vám vracím vaše slova: než něco kategoricky uvedete, bylo by hezké abyste své tvrzení ověřili experimentem.
3. Děkuji za radu, kterou mi dáváte, ale nežádal jsem vás o ni. I když nevylučuji, že se někdy ozvu :)
Ať mi Vitaliy Shestakov odpustí další plamen.

I když tato konfigurace systému funguje dobře, není spolehlivá. Pokud někdo přistupuje k programu přes příkazový řádek nebo přes "spustit", všechna nastavení, která vytvoříte, jsou ignorována, protože obě funkce mají oprávnění, která jsou větší než ta, která jste nastavili.

Za zmínku také stojí, že tyto možnosti jsou pro systémové komponenty. Dejte si proto pozor, abyste neměnili důležité informace, ve vážnějších případech můžete poškodit počítač. Zabezpečení není nikdy příliš velké, ale musíte vše organizovat s mírou a nezapomínat na uvolnění důležitých programů k použití.

Dnes budeme pokračovat v rozhovoru o počítačové bezpečnosti. A ještě jeden krok tímto směrem – uživatel.

Při instalaci operačního sálu Systémy Windows uživateli jsou udělena administrátorská práva. Jinými slovy, má absolutní svobodu jednání na PC. Ale škodlivý software, který získal přístup k počítači, je obdařen stejnými právy. A to už je vážná zranitelnost našeho bezpečnostního systému. Je čas zalepit díry.

Pokud sdílíte počítač s ostatními, je často nutné chránit některé soubory heslem, aby se k datům, která obsahují, nedostali všichni uživatelé počítače. Zobrazí se obrazovka souborový systém jako v příkladu níže.

Proto můžeme začít měnit hned. Ve výchozím nastavení systém zobrazí zprávu, že nemá žádná softwarová omezení. Poté přejděte do složky Další pravidla. Jakmile je toto provedeno, lze si představit, že systém má čtyři cesty pravidel. V tomto kroku klepněte na klikněte pravým tlačítkem myši obrazovky myši podle těchto pravidel. Zobrazí se nabídka a musíte vybrat Nové pravidlo cesty.

V tomto článku budeme analyzovat algoritmus pro přechod od správce k bezpečnějšímu účtu, přičemž zachováme všechna nastavení.

Proč je nutné omezení účtu?

1. Vše softwarových produktů spuštěn s administrátorskými právy, získejte naprostou svobodu jednání na PC, což jistě využijí vývojáři škodlivého kódu (viry a nebezpečné skripty).

Na obrazovce, která se objeví, musíte určit, které programy budou blokovány. Můžete zadat cestu k nim nebo kliknout na tlačítko "Hledat" pro zobrazení a výběr ze seznamu. Po výběru programu v části „Úroveň zabezpečení“ určete požadovaný stupeň.

Po výběru možnosti bezpečnostní třídy lze do pole „Popis“ přidat informace o důvodu blokace nebo jakoukoli vhodnou specifikaci. Po dokončení procesu klikněte na Použít, OK a restartujte počítač, aby se změny projevily.

Připraveno, vaše nová nastavení jsou použita. Po zařazení programu do těchto pravidel se při každém pokusu zobrazí zpráva s upozorněním na zablokování přístupu. A zajímavé je, že si logujete časy a dny v týdnu najednou, takže nemusíte každý den ladit.

Například, aby se virus mohl „zaregistrovat“ ve vašem operačním systému, musí provést změny v položkách registru. Uživatel s omezenými právy nebude moci provádět změny v nastavení operačního systému. V důsledku toho nebude škodlivý virus, spuštěný se stejnými omezenými právy, schopen prolomit ochranu systémových nastavení a zanechat „stopu“ ve vašem registru.

Vstupte do nabídky Start a Ovládací panely. Poté klikněte na tlačítko „Vytvořit nový účet“. A přidejte název účtu. Nechte vybranou možnost Výchozí uživatel, aby neměl oprávnění měnit nastavení počítače.

Na další obrazovce můžete vidět všechny uživatele, kteří existují ve vašem počítači. V části Nastavení rodičovské kontroly klikněte na Nastavení. Vezměte prosím na vědomí, že zpráva vás informuje, že v účtu správce není registrováno žádné heslo, to znamená, že budete muset přidat heslo ke svému účtu správce, aby uživatel nezablokoval zámek. Vyberte si proto účet správce a nastavte mu heslo.

Když přistupujete k internetu s právy správce, pomáháte útočníkovi ukrást vaše hesla, přihlašovací údaje uložené v souborech systému OS. Nebezpečný skript, který má administrátorská práva, přečte všechna vaše tajemství a předá je svému majiteli.

Vytvořením omezení uživatelského účtu nejen vyřešíte tyto problémy, ale také zabráníte průniku běžného viru do vašeho počítače (porno banner, který blokuje váš počítač).

Zadejte své heslo, nápovědu k heslu a nechte položku zaškrtnutou. Chcete-li nastavit heslo pro všechny účty správce, pokud máte jiný účet správce, budete muset nastavit heslo pro tento jiný účet. Zpět ve správci účtů si všimněte, že správci jsou již chráněni heslem, nyní kliknutím na výchozího uživatele nakonfigurujete přístup.

V této tabulce máte 24 hodin denně a 7 dní v týdnu na výběr pouze kliknutím na odpovídající komiks, kliknutím a přetažením, pokud je to nutné, můžete provést více výběrů. Zpět ve vlastním ovládacím prvku klikněte na Hry. Zde si vyberete, co vaše dítě smí nebo nesmí hrát, a níže vyberte typ hodnocení hry.

2. Nezkušení uživatelé, kteří mají práva správce, mohou náhodně provést kritické změny v systému soubory Windows, uvedení OS do nefunkčního stavu. Chraňte svůj systém před náhodnými chybami – nižší uživatelská práva.

Změna práv uživatelského účtu

Protože operační systém již jej máme nainstalovaný a funguje normálně, pak půjdeme touto cestou: změníme typ dříve vytvořeného účtu (snížením jeho práv) a přidáme nového uživatele s právy správce (jehož jménem budeme provádět změní na systémové soubory OS a registr).

V parametrech hodnocení hry máte seznam s odlišné typy obsah, zkontrolujte, co potřebujete, a potvrďte. Stejným způsobem provedete volbu, kterou může tento uživatel použít. Chcete-li přístup zrušit, jednoduše postupujte podle stejných kroků a zvýrazněte plány a hry, které jste svému dítěti zablokovali. Máte-li jakékoli dotazy, neváhejte se obrátit na komentáře nebo prostřednictvím fóra semináře.

Lisa však nesmí používat software pro sdílení rychlé zasílání zpráv... A Maggie nechce, aby Lisa četla její osobní dokumenty. Chcete-li zjistit souborový systém pomocí vašeho HDD, klepněte pravým tlačítkem myši na ikonu na pevném disku a z místní nabídky, která se zobrazí, vyberte možnost Vlastnosti a systém souborů, který používáte, je jasně viditelný.

1. Prvním krokem je dát věci do pořádku se stávajícími účty. Chcete-li to provést, přejděte do Centra řízení účtů (klikněte pravým tlačítkem myši na ikonu "Tento počítač" -> "Správa" -> "Místní uživatelé a skupiny" -> "Uživatelé").

Smažte všechny položky kromě stávajícího a hosta (který by měl být zakázán).

Volba č. 1: Ochrana dokumentů. Možnost 2: Poskytněte dokumenty všem. Ve výchozím nastavení k němu mají přístup všichni uživatelé. Reverzní medaile: mohou je odstranit nebo změnit. Volba č. 3: Přesnější kontrola nad přístupovými právy k dokumentům. Tento typ výměny mezi dokumenty, které jsou přístupné všem a plně zabezpečené, však nemusí v určitých situacích stačit. Nastavení řízení přístupu můžete vyladit tak, aby Lisa nechala Barta zkopírovat její úkol ve třídě a Maggie jej změnila, ale povolit pokročilé sdílení souborů.

2. Snížení práv stávajícího účtu na úroveň běžného uživatele nebude fungovat, protože systém musí mít uživatele s právy administrátora. Nejprve tedy vytvoříme dalšího správce a teprve poté snížíme práva aktuálního uživatele.

Můžete k němu však přistupovat spuštěním systému na adrese bezpečný režim... Pokud však chcete použít pokročilé možnosti sdílení, rozbalte nabídku Start z účtu správce a vyberte Tento počítač. Uživatelé mohou s vysokou přesností definovat přístupová práva ke svým dokumentům nebo katalogům. Omezení převažují nad oprávněními. Pokud například odmítnete čtení dokumentu pro skupinu uživatelů, ke které jsou Bart, Maggie a Lisa ve výchozím nastavení vázáni, a vytvoříte pro jednu z nich zvláštní oprávnění ke čtení, přístup bude stejně odepřen.

Chcete-li to provést, klikněte pravým tlačítkem myši na položku "Uživatelé" -> vyberte " Nový uživatel…“. V okně, které se otevře, zadejte jméno nového správce, jeho heslo, zaškrtněte políčko „Platnost hesla nevyprší“ a klikněte na tlačítko „Vytvořit“.

Námi vytvořený účet bude mít práva běžného uživatele. Chcete-li mu dát status skutečného správce, musíte jej přidat do příslušné skupiny uživatelů. Chcete-li to provést, dvakrát klikněte na nový účet, přejděte na kartu „Členství ve skupině“ -> stiskněte tlačítko „Přidat“.

Chce, aby si Maggie přečetla tento dokument. Lisa klepne pravým tlačítkem na tento soubor a z místní nabídky, která se zobrazí v okně Vlastnosti, vybere Vlastnosti a klikne na kartu Zabezpečení. V seznamu skupin a uživatelů, pro které jsou definována práva, chybí Maggie. Nyní si ze seznamu vybere jméno Maggie. Zaškrtne políčko Číst ve sloupci Povolit. Nyní Maggie přistoupila k tomuto souboru ze své relace, ale nemůže jej změnit.

Možnost č. 4: Instalujte aplikace dostupné všem. Ve výchozím nastavení jsou všechny aplikace nainstalované správcem dostupné ostatním uživatelům, ale majitelé omezených účtů nemohou instalovat nové programy, například si pro svou relaci nainstalujete komprimační nástroj.

Do bloku „Zadejte název objektu“ napište „Správci“ a klikněte na tlačítko „OK“ -> „Použít“.

3. Nyní je čas řešit downgrade aktuálního uživatele. Chcete-li to provést, vyberte aktuálního uživatele v seznamu a proveďte všechny stejné operace, které jsem popsal výše. Teprve nyní je potřeba přidat záznam „Uživatelé“ a smazat záznam „Správci“.

Volba č. 5: Přizpůsobení aplikací. Nastavení aplikace jsou obvykle spojena s každým uživatelem. Každý může mít svůj vlastní účet E-mailem, s nastavením připojení a poštovní schránka... Stačí nainstalovat programy z relací každého uživatele. Volba 6: Omezte přístup k aplikacím.

Chcete-li omezit přístup k aplikaci, například na software pro rychlé zasílání zpráv zobrazte okno vlastností spustitelného programu. Stejně jako u vašich dokumentů zaškrtnete políčko Číst a spouštět na kartě Zabezpečení vedle zainteresovaných uživatelů. Všechny programy můžete nainstalovat do adresáře, jehož oprávnění budete pečlivě definovat, nové skupiny můžete definovat pomocí nástroje pro správu počítače dostupného v Ovládacích panelech.

4. Po dokončení všeho se odhlaste a restartujte počítač.

Uložili jste tedy všechna svá nastavení, ale snížili stav uživatele a omezili jeho práva. Nyní, abyste mohli provést jakékoli změny v systému, budete muset získat přístup k účtu nově vytvořeného správce.

Jak to funguje?

V systému pracujete jako obvykle, spouštíte známé programy. Pokud náhle potřebujete provést změny v systémových souborech, přejděte do registru nebo nainstalujte nový program, můžete to udělat dvěma způsoby: buď ukončit aktuální relaci a přihlásit se pod účtem správce, použít "moc" správce, aniž byste opustili aktuální účet.

Nástroj pro strategii skrytých skupin nabízí více možností, jak omezit přístup k různým součástem vašeho počítače. Při používání buďte opatrní. Můžete například definovat seznam neautorizovaných aplikací pro všechny uživatele, abyste mohli. Na kartě Nastavení zaškrtněte políčko Povoleno, klepněte na tlačítko Zobrazit a poté na Přidat. Při brouzdání po internetu je mnoho lidí ohroženo, že budou dýchat v domově uživatele. Vzhledem k velkému množství bezpečnostních zranitelností v internetových aplikacích je možné „chytit“ různé elektronické hity, dialery, viry, spyware, adware.

Chcete-li to provést, klikněte pravým tlačítkem myši na spouštěný program a vyberte možnost "Spustit jako ..." -> v okně, které se zobrazí, zadejte účet správce a zadejte heslo správce -> klikněte na "OK". Můžete tak spouštět jakoukoli aplikaci s právy správce, aniž byste opustili svůj stávající účet.

Rada:

Toto riziko je dále umocněno skutečností, že většina domácích uživatelů používá drahý počítač. V tomto případě např. Půjde o přísné použití účtu s omezeným účtem. V domácím prostředí se však tento účet stává velmi restriktivním – mnoho aplikací vyžaduje administrátorská práva, i když používáte běžný účet, nelze některé spustit nastavení systému nebo tak. Žebříkový programátor.

Takový prohlížeč nebo e-mailový klient je však velmi nepraktický – znesnadňuje spuštění webového prohlížeče pod jiným uživatelským účtem, kliknutí na odkaz v e-mailové zprávě nebo v aplikaci znesnadňuje spuštění prohlížeče a uživatel je s větší pravděpodobností zachytí nějaký druh malwaru, než budou taková omezení přijata.

Výběr hesla pro svého správce berte vážně. Čím složitější a delší heslo, tím obtížnější bude pro útočníka jeho prolomení.
Protože nový účet správce budete používat jen zřídka, zapište si vytvořené heslo na bezpečné místo.
Dalším bezpečnostním opatřením bude přejmenování vytvořeného správce (například místo „Administrátor“ -> „Sergey). Tím se vytvoří další bariéra pro útočníka.