Programi za ograničavanje pristupa datotekama i postavkama OS -a

Unatoč činjenici da Windows uključuje alate za ograničavanje pristupa, u praksi se ispostavlja da nisu baš prikladni i u najobičnijim situacijama. Dovoljno je spomenuti takve jednostavni primjeri poput postavljanja lozinke za imenik ili sprječavanja otvaranja upravljačke ploče.

Može se primijetiti da je u sustavu Windows 8, u odnosu na prethodnik Windows 7, poboljšana roditeljska kontrola. Sada ga možete vidjeti u odjeljku "Obiteljska sigurnost" na upravljačkoj ploči. Filter ima sljedeće značajke:

• Filtrirajte posjete web lokaciji
• Rokovi
• Ograničenja za Windows Store i igre
• Ograničenja primjene
• Pregled statistike aktivnosti korisnika

Iz navedenog je jasno da će i ove funkcije pomoći administratoru računala u rješavanju mnogih privatnih problema. Stoga ćemo dalje govoriti o mali programi koji vam omogućuju da ograničite pristup informacijama i particijama sustava pored standardnih alata za upravljanje sustavom Windows.

Licenca: Shareware (69 USD)

Program Administrator sigurnosti nalikuje tipičnom ugađanju sustava, ali s naglaskom na sigurnost sustava. Svaka od opcija odgovorna je za određena ograničenja, zato se opće stablo postavki naziva "Ograničenja". Podijeljen je u 2 odjeljka: Uobičajena ograničenja i Korisnička ograničenja.

Prvi odjeljak sadrži parametre i pododsjeke koji se odnose na sve korisnike sustava. To uključuje učitavanje i prijavu u sustav, mrežu, Explorer, sam Internet, sustav, upravljačku ploču i druge. Konvencionalno se mogu podijeliti na ograničenja pristupa na mreži i izvan mreže, ali programeri nisu uzeli u obzir posebno složenu podjelu po karticama. Zapravo, dovoljno je da svako "ugađanje" ima opis: kakav utjecaj na sigurnost ima ovu ili onu opciju.

U drugom odjeljku, Korisnička ograničenja, možete konfigurirati pristup za svakog korisnika sustava Windows pojedinačno. Popis ograničenja uključuje odjeljke Upravljačke ploče, elementi sučelja, gumbe, tipke za pomoć, prijenosne medije itd.

Izvoz postavki u zasebnu datoteku omogućen je tako da se može primijeniti, na primjer, na druge konfiguracije sustava. Program ima ugrađeni agent za praćenje aktivnosti korisnika. Datoteke dnevnika pomoći će administratoru pratiti potencijalno opasne radnje korisnika i donositi odgovarajuće odluke. Pristup sigurnosnom administratoru može se zaštititi lozinkom - u dolje opisanim programima ova je opcija dostupna i de facto.

Među nedostacima je mali popis programa za koje se mogu primijeniti ograničenja: Media Player, MS Office itd. Postoji mnogo više popularnih i potencijalno opasnih aplikacija. Komplicira rad nedostatak ažurirane verzije za Windows 8 i lokalizacije-to je upravo opcija kada je teško bez osnovnog znanja engleskog jezika.

Stoga je program osmišljen kako bi ograničio pristup i fleksibilno konfigurirao sigurnosne postavke OS -a.

Licenca: probni softver (23,95 USD)

U WinLocku nema distribucije postavki za općenito i korisnika, umjesto toga postoje odjeljci "Općenito", "Sustav", "Internet". Ukupno postoji manje mogućnosti nego što nudi Administrator sigurnosti, ali ta logika čini program prikladnijim za rad.

Postavke sustava uključuju ograničenja za elemente radne površine, Explorera, izbornika Start i slično. Također možete postaviti zabranu za određene hotkeys i sve vrste izbornika. Ako vas zanimaju samo ovi aspekti ograničenja, pogledajte program Deskman u nastavku.

Ograničenja internetskih funkcija prikazana su vrlo površno. Oni zamjenjuju jednu od komponenti Obiteljske sigurnosti: Blokiranje web mjesta. Naravno, svaki vatrozid u ovom području bit će najbolje rješenje. Nedostatak mogućnosti čak postavljanja maske za web stranice čini ovaj odjeljak WinLocka nevažnim za iskusnog korisnika.

Osim imenovanih odjeljaka, valja spomenuti i "Access", gdje je dostupno upravljanje aplikacijama. Bilo koji program može se lako staviti na crnu listu po imenu ili ručno dodati.

U odjeljke "Datoteke" i "Mape" možete staviti podatke koje želite sakriti od drugih korisnika. Možda za pristup nema dovoljno zaštite lozinkom (za to se morate obratiti pomoći drugih programa, pogledajte dolje).

Licenca: besplatni softver

WinGuard se može koristiti za zaključavanje Windows aplikacija i particija te za šifriranje podataka. Program se distribuira u dva izdanja - besplatnom i naprednom. Funkcionalne razlike među njima male su - postoji nekoliko opcija na istoimenoj kartici "Napredno". Među njima Isključivanje interneta Explorer, istraživač, postupak instalacije, pisanje datoteka na USB.

Kontrola nad pokretanjem aplikacija provodi se na kartici "Zaključavanje zadataka". Ako željeni program koji nije na popisu, možete ga sami dodati navođenjem imena u zaglavlju ili odabirom s popisa otvorenih u ovaj trenutak aplikacije (slično WinLocku). Ako usporedite funkciju zaključavanja sa sigurnosnim administratorom, u slučaju WinGuarda možete onemogućiti ograničenja za administratorski račun. Međutim, ne možete konfigurirati crnu listu aplikacija za svakog korisnika.

Šifriranje je dostupno putem odjeljka Šifriranje. Provedeno korisničko sučelje nezgodno: ne možete napraviti popis za obradu, ne kontekstni izbornik... Sve što trebate učiniti je odrediti direktorij koji će biti i izvor i odredište. Sve sadržane datoteke bit će šifrirane u 128-bitnom AES-u (Advanced Encryption Standard). Dešifriranje se izvodi na isti način.

Dakle, funkcionalnost je prilično loša, čak i ako uzmemo u obzir plaćenu verziju.

Licenca: shareware (34,95 USD)

Još jedan program za šifriranje AES-podataka, a ipak je razlika od WinGuarda prilično uočljiva.

Prvo, odabir datoteka za šifriranje je brži. Ne morate odabrati svaku mapu zasebno, samo napravite popis direktorija i datoteka. Prilikom dodavanja Naprednog šifriranja mapa potrebno je postaviti lozinku za šifriranje.

Vi, program nema mogućnost određivanja metode zaštite, već vam omogućuje odabir normanske, visoke ili najviše metode.

Drugi prikladan trenutak je šifriranje putem kontekstnog izbornika i dešifriranje datoteka jednim klikom. Morate shvatiti da se bez instalirane napredne enkripcije mapa podaci ne mogu pregledati čak i ako znate lozinku. To je za razliku od arhivatora koji mogu pakirati datoteke u šifriranu i svuda dostupnu exe-arhivu.

Prilikom odabira velikog broja datoteka za šifriranje, kako je primijećeno, gumb za odustajanje ne radi. Stoga morate biti oprezni da ne dobijete rezultat u obliku slomljene datoteke.

Licenca: probni softver (39 €)

Program za ograničavanje pristupa elementima sučelja i odjeljcima sustava. Možda je ovdje prikladno usporediti ga sa Administratorom sigurnosti, s tom razlikom što je Deskman više koncentriran na radnoj površini. Prisutne su i mogućnosti sustava, ali to je nešto što se ne uklapa u druge odjeljke: onemogućavanje gumba za ponovno pokretanje, upravljačke ploče i druge mješovite opcije.

U odjeljku Unos onemogućite prečice, funkcijske gumbe i funkcije miša. Osim postojećeg popisa, možete sami definirati tipkovničke prečace.

Zanimljiva je opcija zamrzavanja koja je dostupna na alatnoj traci. Pritiskom na njega formira se "bijeli popis" trenutno pokrenutih aplikacija. U skladu s tim, programi koji nisu uključeni na popis dopuštenih nisu dostupni sve dok funkcija zamrzavanja nije onemogućena.

Druga mogućnost povezana s već online internetom je sigurno surfanje internetom. Bit "zaštićene" metode je u tome što će biti dostupne samo one stranice koje u naslovu sadrže određene ključne riječi. Ova se funkcija može nazvati samo eksperimentalnom. Osim toga, fokus je na Internet Explorer koji je zasigurno standardni preglednik, ali očito nije jedini.

Valja napomenuti prikladnu kontrolu programa. Da biste primijenili sva utvrđena ograničenja, samo pritisnite gumb "Sigurno" na ploči ili tipku šefa da biste uklonili ograničenja. Druga je točka da je podržan daljinski pristup programu putem web sučelja. Nakon predkonfiguracije, dostupan je na http: // localhost: 2288 / deskman kao upravljačka ploča. To vam omogućuje nadzor aktivnosti korisnika (pregled dnevnika), pokretanje programa, ponovno pokretanje računala / odjavu - i na jednom i na više strojeva.

Zaporka za pogon (siguran NTFS)

Licenca: shareware (21 USD)

Program radi samo s datotečnim sustavom NTFS i koristi svoje mogućnosti za spremanje podataka u skriveno područje.

Da biste stvorili trezor, morate pokrenuti lozinku za disk s administratorskim pravima i odabrati pogon za stvaranje trezora. Datoteke se tada mogu kopirati u zaštićeno područje pomoću virtualnog diska. Za pristup podacima s drugog računala nisu potrebna administratorska prava.

Odvojivi medij može se koristiti i za pohranu. Da biste to učinili, prvo morate formatirati disk, na primjer, pomoću standardnih Windows alata, u NTFS -u i instalirati lozinku za disk u prijenosnom izdanju.

Program se ne razlikuje po intuitivnom i korisničkom sučelju, dapače, upravljanje se vrši minimalnim skupom gumba - "Otvori" / "Izbriši pohranu" i "Aktiviraj disk". U demo načinu rada moguće je samo testirati funkcionalnost programa, budući da je broj otvorenih prostora za pohranu ograničen na stotinu.

Licenca: shareware (19,95 USD)

Program je dizajniran za instaliranje podataka o lozinkama na prijenosnim medijima.

Za razliku od Secure NTFS -a, dijaloški okvir za postavljanje mnogo je intuitivniji zahvaljujući čarobnjaku za postavljanje. Dakle, da biste primijenili zaštitu, morate povezati uređaj s računalom, odabrati ga na popisu i slijediti čarobnjaka za instalaciju. Nakon ovog postupka, korisnik dobiva disk zaštićen lozinkom na raspolaganju. Da biste ga otključali, samo pokrenite exe datoteku u korijenu diska i unesite lozinku.

Šifrirani disk, kada se otvori, dostupan je kao virtualni disk, s kojima možete izvesti iste operacije kao i s izvornikom. Ne zaboravite da će na računalima na kojima je zabranjeno pokretanje programa trećih strana (koji nisu na "bijelom" popisu) biti onemogućen pristup sadržaju.

Na web stranici razvojnih programera možete preuzeti i druge programe za zaštitu podataka, uključujući:

• Zaštita zajedničkih mapa - zaštita datoteka unutar mreže;
• Zaštita mapa - štiti datoteke na prijenosnim medijima.

Licenca: besplatni softver

Mali uslužni program koji vam omogućuje kontrolu korisničkog pristupa Registru i datotekama kako biste pronašli ranjivosti u dodijeljenim pravima. Drugim riječima, program će biti koristan ako su postavljena prava pristupa Windows alati.

Pogodnost uslužnog programa leži u činjenici da OS jednostavno ne pruža način za pregled prava pristupa direktorijima u obliku detaljnog popisa. Osim datoteka, možete provjeriti i pristup granama registra.

Da biste provjerili prava pristupa, morate odrediti direktorij ili odjeljak registra za skeniranje i pokrenuti postupak skeniranja. Rezultati se prikazuju kao stupci "Pročitaj" / "Zapiši" / "Odbij" koji odgovaraju adresama. Svojstvima svake stavke popisa može se pristupiti putem kontekstnog izbornika.

Program radi pod svim operativnim sustavima Windows NT obitelji.

Sažetak

Pomoćni programi o kojima se govori u pregledu mogu se koristiti kao dodatak osnovnom Windows alatu, u kompleksu i međusobno. Ne mogu se kategorizirati kao "roditeljska kontrola": neke su funkcije donekle slične, ali se uglavnom ne preklapaju.

I-uslužni programi-ugađači sigurnosnih postavki, koji se također mogu koristiti za onemogućavanje elemenata radne površine, particija sustava itd. WinLock, osim toga, ima ugrađeni internetski filtar i ima mogućnost blokiranja datoteka i mapa.

Funkcije uključuju ograničavanje pristupa sučelju (superiorno u fleksibilnosti i), kontrolu pokretanja aplikacija, internetski filtar.

Kombinira funkcije enkriptora i ograničavača pristupa programima i uređajima. ima smisla smatrati ga zamjenom za WinGuard u smislu šifriranja.

Ograničavaju pristup podacima na prijenosnim medijima.

- besplatna, prikladna ljuska za provjeru korisničkih prava pristupa datotekama i registru.

Da bi se smanjila korisnička prava, postoje Različite vrste račune, ali uz njihovu pomoć ne možete sve konfigurirati kako želite, na primjer, u sustavu Windows XP, iako u sustavu Windows 7 već postoji više mogućnosti za konfiguriranje vrsta računa ...

Kako biste smanjili korisnička prava u sustavu Windows, postoji posebna usluga "grupnih pravila", s kojom možete konfigurirati sustav tako da vam nitko ne može "pokvariti" operativni sustav :)

Moram odmah reći da takve usluge nema u sustavu Windows XP HOME.

Da biste pokrenuli uslugu "Grupna pravila", morate pokrenuti naredbu "gpedit.msc", bez navodnika, naravno. Možete koristiti interventne tipke i pritisnuti Win + R i upisati gpedit.msc u prozor "izvršiti" koji se pojavi, a zatim pritisnuti Enter ili gumb "U redu". Tipka "Win" nalazi se u donjem lijevom kutu tipkovnice, još uvijek ima Windows logotip, ali i desno od razmaknice. Ako ne možete pronaći ovaj ključ, kliknite na start i odaberite "run" (Windows XP). Za Windows 7 kliknite Start, odaberite "svi programi" -> "standardni" -> "pokreni".

Dakle, sada ću opisati daljnje izvršavanje radnje za Windows 7, budući da nema Windows XP pri ruci, ali razlike u ovoj usluzi tu nisu značajne.

Nakon izvršavanja naredbe trebali biste vidjeti "Lokalni uređivač pravila grupe". S lijeve strane nalaze se" konfiguracija računala "i" konfiguracija korisnika ", radit ćemo samo u konfiguraciji korisnika.

Moram odmah reći da će se izvršene izmjene primijeniti na sve korisnike sustava, čak i na administratora, odnosno ako ograničite pristup nečemu putem ove usluge, tada ćete administratoru automatski oduzeti ta prava :) jasno je da to nije dobro, upotrijebit ćemo trik za to.

Kako biste ograničili pristup svima osim administratoru, morate djelovati prema sljedećem algoritmu:

1. Promijenite sve vrijednosti u pravilima grupe;
2. Odjava iz sustava;
3. Prijavite se pod svim ostalim korisnicima;
4. Prijavite se kao administrator;
5. Kopirajte negdje datoteku C: \ Windows \ System32 \ GroupPolicy \ User \ Registry.pol;
6. Promijenite sve one vrijednosti koje su bile ograničene (promijenite vrijednosti na "onemogući", umjesto izvornog "nije postavljeno");
7. Kopirajte datoteku Registry.pol natrag u C: \ Windows \ System32 \ GroupPolicy \ User \;
8. Prijavite se kao drugi korisnici i provjerite je li im sve "posječeno", ali administrator to ne čini :)

Sve osnovno, da tako kažemo, nalazi se u administrativnim predlošcima, pa ćemo tamo promijeniti sve vrijednosti. Da biste ograničili nešto, na primjer pristup upravitelju zadataka, idite na "korisnička konfiguracija" -> "Administrativni predlošci" -> "Sustav" -> "Opcije nakon pritiska na CTRL + ALT + DEL" i odaberite "Dodaj upravitelja zadataka" , odnosno dvaput kliknemo ili pritisnemo desni klik i na izborniku odaberite "promijeni", otvorit će se prozor u kojem ćete morati odabrati "Omogući", a zatim "primijeniti". Ako je sve učinjeno ispravno, više nećete moći pokrenuti upravitelja zadataka :)

U principu, nema smisla ovdje opisivati ​​svako „ograničenje“, jer je u samoj usluzi sve dobro isplanirano.

Dat ću vam primjer koja ograničenja postavljam u školi za obične školarce za Windows XP Professional (sve je u "korisničkoj konfiguraciji" -> "Administrativni predlošci").

Sustav

• zabraniti korištenje naredbenog retka;
• onemogućiti alate za uređivanje registra;
• onemogući automatsko pokretanje.
• Značajke CTRL + ALT + DEL:
  1. ukloniti upravitelja zadataka;
  2. zabraniti blokiranje računala;
  3. zabraniti promjenu lozinke.
• pravila grupe:
  1. Spriječite interaktivne korisnike da stvaraju podatke o rezultatskom skupu politika (RSoP).
• Kontrola internetske komunikacije -> Parametri internetske komunikacije:
  1. onemogućiti web objavljivanje na popisu zadataka za datoteke i mape;
  2. onemogućiti sudjelovanje u programu poboljšanja korisničke podrške za Windows Messenger;
  3. isključite uslugu povezivanja internetskih datoteka;
  4. onemogućite automatsko preuzimanje kodeka za Windows Movie Maker;
  5. onemogućite web veze u programu Windows Movie Maker;
  6. onemogućiti spremanje videozapisa na web stranicama pružatelja video hostinga ...;

Mreža

• offline datoteke:
  1. onemogućite prilagodbu offline datoteka.
• mrežne veze:
  1. zabrana dodatna prilagodba TCP / IP;
  2. odbiti pristup naredbi "Napredne opcije" u izborniku "Napredno";
  3. zabraniti dodavanje i uklanjanje komponenti za LAN veze ili ...;
  4. zabraniti pristup svojstvima veza putem lokalnu mrežu;
  5. zabraniti omogućavanje i onemogućavanje komponenti veza lokalnog područja;
  6. odbiti pristup novom čarobnjaku za povezivanje;
  7. odbiti pristup naredbi "Opcije udaljenog pristupa" u izborniku "Napredno".

Upravljačka ploča

Zabranite pristup upravljačkoj ploči.

Desktop

1. uklonite naredbu "svojstva" ... (sva 3 komada);
2. spriječiti korisnike u promjeni putanje mape "Moji dokumenti";
3. zabraniti povlačenje i zatvaranje svih alatnih traka na programskoj traci;
4. zabraniti promjenu rasporeda alatnih traka na radnoj površini;
5. deinstalirajte čarobnjaka za čišćenje radne površine;
6. ukloni ikonu " mrežno okruženje"s radne površine;

Naziv trake zadataka

1. ukloniti veze i odbiti pomoću prozora Ažuriranje;
2. uklonite "Mrežne veze" s izbornika "Start";
3. uklonite ikonu "Moja mrežna mjesta" s izbornika "Start";
4. zabraniti promjenu postavki zadataka i izbornika Start;
5. odbiti pristup kontekstnom izborniku za programsku traku;
6. obrisati popis nedavno otvorenih dokumenata pri izlasku;
7. onemogućite izbornike prečaca;
8. popraviti položaj programske trake;
9. uklonite popis često korištenih programa s izbornika Start.

Dirigent

1. uklonite naredbu "svojstva mape" s izbornika "usluga";
2. sakriti naredbu "control" iz kontekstnog izbornika istraživača;
3. uklonite karticu "Oprema";
4. onemogućite spremanje sličica.

No, istovremeno sam i dalje ograničio prava na pisanje na tvrdi disk C.

© Filimoshin V. Yu., 2010

Kao što pokazuje praksa, što manje korisnika ima pristup određenom računalu, to sustav duže radi na njemu i veća je vjerojatnost da će mape i datoteke biti sigurne i zdrave. Najbolje je ako računalo ima samo jednog korisnika. Nažalost, u stvarnosti to nije uvijek slučaj: na poslu morate dopustiti drugim zaposlenicima pristup vašem računalu, kod kuće često isto računalo koriste svi članovi obitelji i na javnim mjestima (osobito u obrazovnim ustanovama i računalu) klubovi) broj korisnika računala općenito može biti vrlo velik.

O potrebi ograničavanja pristupa

Sasvim je razumljivo da obično ni kolege ni članovi kućanstva ne žele naštetiti vašem računalu, ali ako spadaju u kategoriju korisnika početnika, tada se problemi ne mogu izbjeći. I mlađa generacija u obrazovnim ustanovama obično si ne postavlja cilj onemogućiti računalo i uništiti podatke pohranjene na njemu - samo aktivno eksperimentira, ne razmišljajući o posljedicama određenih radnji.

Zbog toga računala neizbježno imaju određene probleme u radu pojedinih aplikacija ili operacijskog sustava. To ne čudi, jer je dovoljno slučajno (samo iz nepažnje ili tijekom eksperimenta) izbrisati, na primjer, upravljački program monitora - i slika na ekranu će postati manje privlačna, ukloniti pisač - i bit će nemoguće ispis dokumenata, promjena mrežnih postavki - i računalo će prestati raditi u lokalnim mrežama itd. I ovo nije najgora opcija - slučajno brisanje niza mapa i datoteka sustava može dovesti do potpune neoperativnosti operacijskog sustava, pa će se morati ponovno instalirati. A uništavanje važnih radnih dokumenata može imati još tužnije posljedice - moguće je da ih neće biti moguće obnoviti u cijelosti, a dio posla (pa čak i cijeli) morat će se obaviti iznova. Osim toga, ne treba zanemariti da će hakeri htjeti iskoristiti vaše osobne ili korporativne materijale komercijalne vrijednosti.

Dakle, pitanje ograničavanja pristupa računalu, njegovim pojedinačnim uređajima, kao i podacima pohranjenim na njemu, u određenom ili drugom stupnju, relevantno je za sve korisnike računala, bez iznimke. Samo što nekima (administratorima, učiteljima na računalnim satovima s djecom kućnih korisnika) u prvi plan dolaze zadaće blokiranja pristupa postavkama operacijskog sustava i zaštite datoteka i mapa operacijskog sustava. instalirane aplikacije, a za druge (to može uključivati ​​administratore, stručnjake iz odjela za računalnu sigurnost i nastavnike, koji su u našoj zemlji, uz nastavne aktivnosti, često prisiljeni osigurati i rad računala pod njihovom kontrolom), važnije je blokirati pristup do raznih uređaja(USB, CD / DVD, FireWire itd.). Postoje tri razloga za potrebu blokiranja pristupa uređajima: prvo, upravo na takvim uređajima upućeni često iznose povjerljive podatke iz tvrtki; drugo, virusi i trojanci često ulaze u računalo putem ovih uređaja; treće, s prijenosni mediji instaliraju se različiti programi, što je poželjno spriječiti - u protivnom će se za tjedan dana na računalo, primjerice u obrazovnoj ustanovi, instalirati toliko igračaka da jednostavno neće biti mjesta za druge aplikacije.

Mnogi uredski radnici zainteresirani su za potpunu blokadu pristupa uključenom računalu u odsutnosti legitimnog korisnika. Potreba za takvom zaštitom u uredu vrlo je hitna, jer čak i ako imate svoje računalo, korisnik ne može biti u njegovoj blizini cijelo vrijeme i često postoje situacije kada se računalo uključi bez nadzora, što mogu koristiti i drugi zaposlenici zainteresirani za vaše materijale.

Druga skupina korisnika (ovo uključuje sve uredske radnike i kućne korisnike) brine se o zaštiti osobnih podataka kako bi se spriječilo oštećenje, brisanje ili curenje. Problem zaštite osobnih mapa i datoteka neizbježno se javlja kada nekoliko ljudi radi za računalom. To može biti kod kuće, kada trebate zaštititi druge članove obitelji (na primjer, dijete) od podataka koji im nisu namijenjeni, te na poslu, gdje čak i ako svaki korisnik ima svoje računalo, moguće su situacije kada drugi zaposlenik morat će izvršiti neke operacije. U oba slučaja nema potrebe strancima pokazivati ​​njihove radne materijale, a nikako zato što su klasificirani kao "strogo povjerljivi". Sve je mnogo jednostavnije: nitko ne voli vanjsko miješanje u njihove poslove. Osim toga, blokiranjem pristupa vašim mapama i datotekama ne morate se brinuti da će im se nešto dogoditi krivicom drugog (nedovoljno obučenog) korisnika ili će biti nezakonito korišteni, što je, nažalost, sasvim moguće ako materijali su komercijalne vrijednosti.

Općenito, pitanje razumnog ograničenja pristupa vrlo je složeno i višestruko, pa ga je nemoguće riješiti bez odgovarajućih aplikacija. Ovaj je članak posvećen takvim aplikacijama.

Ograničenje pristupa programima

Raspon aplikacija za ograničavanje pristupa koji se nude na tržištu prilično je širok i obuhvaća raznolik softverskih proizvoda... Neki od njih blokiraju pristup postavkama operacijskog sustava, drugi vam omogućuju kontrolu pristupa različitim uređajima, treći potpuno blokiraju računalo u odsutnosti korisnika, a četvrti osiguravaju skrivanje osobnih podataka. Često se te mogućnosti kombiniraju u jednoj ili drugoj kombinaciji, što je sasvim razumljivo, jer mnogi korisnici moraju ograničiti pristup u nekoliko smjerova kako bi riješili zadatke s kojima se suočavaju.

Blokiranje pristupa postavkama operacijskog sustava i podacima sustava

Ugrađeni Windows alati omogućuju vam da nametnete neka ograničenja pristupa korisnika postavkama operacijskog sustava i podacima sustava upravljanjem lokalnom sigurnosnom politikom (Upravljačka ploča => Administrativni alati => Lokalna sigurnosna pravila). Konkretno, možete zabraniti promjenu lozinke račun i instalaciju upravljačkih programa pisača, ograničite popis aplikacija koje se mogu koristiti itd., međutim, popis ograničenih parametara nije dug.

Istodobno, u praksi, kako bi se osigurao stabilan rad sustava, često je potrebno više ograničiti korisničke mogućnosti, što se može učiniti samo uz pomoć visoko specijaliziranih uslužnih programa dizajniranih za kontrolu pristupa računalu. Kao primjere ćemo pogledati Security Administrator, WinLock, Deskman i My Simple Desktop. Najzanimljiviji od njih je uslužni program Security Administrator koji vam omogućuje da ograničite pristup svima važne postavke sustavima i fokusiran na administratore sustava. Najmanja funkcionalnost programa My Simple Desktop, ali besplatan je za osobnu uporabu i ima dovoljne mogućnosti za neke kućne korisnike, a svladati ga možete u nekoliko sekundi.

Sigurnosni administrator 12.0

Programer: Getfreefile

Veličina distribucije: 1.85 MB

Rad pod kontrolom: Windows 9x / Me / NT 4/2000 / XP / 2003 / Vista

Način distribucije http://www.softheap.com/download/secagent.zip)

Cijena: 69 USD

Security Administrator je profesionalno rješenje za upravljanje pristupom računalu, koje vam omogućuje da ograničite pristup računalu i svim njegovim važnim postavkama (slika 1), u cjelini i za pojedine korisnike. Također je moguće potpuno blokirati uključeno računalo u odsutnosti korisnika. Osim postavljanja ograničenja, uslužni program se može koristiti i za kontrolu rada korisnika na računalu jer čuva statistiku o korištenju lokalne mreže, interneta itd.

Riža. 1. Ograničavanje pristupa postavkama sustava i skrivanje pogona
u Administrator sigurnosti

Ovo je rješenje korisno za postavljanje širokog raspona ograničenja pristupa. Uz njegovu pomoć, lako je ograničiti pristup postavkama radne površine (zabraniti promjenu svojstava zaslona, ​​sakriti određene ikone itd.) I onemogućiti neke stavke izbornika Start, sakriti programsku traku (sve ili samo pojedinačne stavke). Također zabraniti instalaciju / deinstalaciju aplikacija i ograničiti mogućnosti korisnika pri radu na Internetu: zabraniti promjenu postavki Internet Explorera, preuzimanje datoteka, pristup Internetu iz aplikacija itd. Postoje i brojne mogućnosti za zaštitu kritičnih postavki sustava od promjena - na primjer, možete zabraniti uređivanje registra sustava, aktiviranje DOS načina rada, instaliranje novih upravljačkih programa, dodavanje / uklanjanje pisača, kopiranje / premještanje datoteka u mape sustava i brisanje datoteka i mapa iz mapa Moje računalo ... Također sakrijte upravljačku ploču, pisače, mrežne veze i naredbu Pokreni iz izbornika Start. Po potrebi se upravljačka ploča može sakriti ne potpuno, već djelomično skrivanjem najkritičnijih elemenata sa stajališta neovlaštenih promjena, poput "Sustav", "Svojstva zaslona", "Mreža", "Lozinke" i "Pisači" ". Jednako je lako sakriti lokalne, mrežne i USB pogone, zabraniti snimanje i automatsko puštanje CD -ova, blokirati korištenje vrućih Windows tipke i pokrenuti određene aplikacije, kao i sakriti navedene mape - te će mape postati nevidljive u mapi Moje računalo, Exploreru i dijaloški okviri Otvaranje / spremanje Windows aplikacija.

WinLock 5.0

Programer: Crystal Office Systems

Veličina distribucije: 2,65 MB

Rad pod kontrolom: Windows 95/98 / Me / NT 4.0 / 2000 / XP / Vista

Način distribucije: shareware (30 dana demonstracije - http://www.crystaloffice.com/winlock.exe)

Cijena WinLock - 21,95 USD WinLock Professional - 31,95 USD

WinLock je prikladno rješenje za ograničavanje pristupa važnim resursima sustava (slika 2) i korisničkih podataka, uključujući i daljinsko. Program je predstavljen u dvije verzije: osnovni WinLock i prošireni WinLock Professional (mogućnosti osnovne verzije ne dopuštaju ograničavanje pristupa web resursima i korištenje šifriranja).

Riža. 2. Ograničavanje pristupa postavkama sustava i skrivanje pogona
u WinLocku

Pomoću ovog rješenja možete odbiti pristup registru sustava, sakriti u izborniku Start naredbe za pristup upravljačkoj ploči, pisačima i mrežne veze i potpuno blokirati pristup odgovarajućim mapama sustava i nekim drugim mapama ("Moje računalo", "Moji dokumenti", koš za smeće itd.). Također postavite zabranu blokiranja računala i onemogućite promjenu postavki programske trake, postavki zaslona, mrežne postavke, dodajte / uklonite programe s izbornika Start i preimenujte ikone na radnoj površini. Jednako je jednostavno postaviti zabrane aktiviranja DOS načina rada i pokretanja sustava Windows u siguran način i blokirajte Windows prečace (Alt + Ctrl + Del, Alt + Tab, Ctrl + Esc itd.). Ako želite, možete čak i ograničiti kontrolu prozora (na primjer, zabraniti promjenu veličine i njihovo pomicanje). Postoji program i komplet alata za blokiranje pristupa izmjenjivim medijima (CD / DVD pogoni, USB uređaji itd.) I skrivanje prikaza određenih diskova u mapi "Moje računalo" i Exploreru. Možete blokirati pokretanje određenih aplikacija (upravitelji preuzimanja, igre itd.) I odbiti pristup određenim datotekama i mapama (prve se ne mogu otvoriti za pregled ili uređivanje, a druge se ne mogu otvoriti, preimenovati ili izbrisati). Također spriječiti pristup upitnim web resursima (na temelju bijelog popisa dopuštenih web stranica i crnog popisa zabranjenih) ključne riječi) i postaviti ograničenja za vrijeme korištenja računala od strane određenih korisnika.

Radnik 8.1

Programer: Anfibia Software

Veličina distribucije: 1,03 MB

Rad pod kontrolom: Windows 2000/2003 / XP / Vista

Način distribucije: shareware (30 dana demonstracije - http://www.anfibia-soft.com/download/deskmansetup.exe)

Cijena: osobna dozvola - 25 eura; poslovna dozvola - 35 eura

Deskman je jednostavan alat za reguliranje pristupa računalu i njegovim postavkama (slika 3), koji vam omogućuje da u potpunosti blokirate računalo (uključujući tipkovnicu, miš i radnu površinu) ili ograničite pristup određenim funkcijama (pojedinačna ograničenja moguća su za različite korisnika).

Riža. 3. Postavljanje ograničenja u programu Deskman

Pomoću ovog rješenja možete ograničiti pristup postavkama radne površine (na primjer, zabraniti promjenu svojstava zaslona, ​​brisanje ikona, pozivanje kontekstnog izbornika itd.), Windows Explorer, programsku traku, postavke programa Internet Explorer i spriječite promjene različitih stavki na izborniku Start. Također ograničite pristup upravljačkoj ploči i drugim kritičnim postavkama sustava - na primjer, zabranite brisanje mrežnih pogona, blokirajte ponovno pokretanje i isključivanje računala itd. Ako je potrebno, lako je blokirati sve ili samo određene vruće tipke Windows (Alt + Ctrl + Del, Alt + Tab, Ctrl + Esc itd.) I konfigurirati uslužni program za automatsko brisanje nove stavke iz automatskog pokretanja radi sprječavanja virusa, oglasnog i špijunskog programa. Moguće je postaviti zabranu korištenja specifičnih tvrdi diskovi i prijenosni mediji (CD / DVD pogoni, USB uređaji, diskete itd.), blokirajući automatsko puštanje CD -a i njihovo snimanje. Ograničenja možete postaviti putem unaprijed postavljenih profila (ovo je prikladnije za početnike i puno brže) ili ručno.

My Simple Desktop 2.0

Programer: Anfibia Software

Veličina distribucije: 1.76 MB

Rad pod kontrolom: Windows XP / Vista

Putširenje: My Simple Desktop Office Edition i My Simple Desktop School Edition - shareware (30 -dnevni demo - http://www.mysimpledesktop.com/downloads.sm.htm); My Simple Desktop Home Edition - besplatni softver (http://www.mysimpledesktop.com/download/msdsetup_home.exe)

Cijena: My Simple Desktop Office Edition - 32 eura; My Simple Desktop School Edition - 20 eura; My Simple Desktop Home Edition - besplatno (samo za osobnu upotrebu)

My Simple Desktop je vrlo jednostavan program kako biste ograničili pristup računalu i njegovim postavkama (slika 4). Predstavljeno je u tri izdanja: plaćeno My Simple Desktop Office Edition i My Simple Desktop School Edition i besplatno My Simple Desktop Home Edition (mogućnosti izdanja su potpuno identične).

Riža. 4. Postavljanje ograničenja pristupa u My Simple Desktop

Pomoću ovog uslužnog programa radnu površinu, programsku traku i izbornik Start možete zaštititi od promjena, onemogućiti promjene postavki zaslona i kontekstnog izbornika Explorer. Također onemogućite pristup upravljačkoj ploči, svojstvima mapa i registru sustava te blokirajte korištenje Windows prečaca i desne tipke miša. U smislu ograničavanja pristupa uređajima, postoji zabrana korištenja stacionarnih pogona i vanjskih USB uređaja, kao i skrivanje mrežnih pogona i blokiranje automatske reprodukcije CD-a. Ako je potrebno, možete postaviti ograničenje vremena korištenja računala - isto za sve korisnike, osim za administratora. Ograničenja se konfiguriraju dodjeljivanjem jednog od unaprijed postavljenih profila ili ručno.

Ograničavanje pristupa uređajima

Ugrađeni mehanizmi za raspodjelu prava pristupa i postavljanje sigurnosnih politika u operativnim sustavima obitelji Windows (osim za Windows Vista) ne dopuštaju vam kontrolu pristupa drugih korisnika potencijalno opasnim uređajima (USB uređaji, CD / DVD pogoni, FireWire i infracrveni portovi itd.). Naravno, takve uređaje možete onemogućiti u BIOS-u, ali to nije opcija, jer ćete se za rad s onemogućenim uređajem (ako je potrebno) svaki put morati okrenuti BIOS-u i ponovno ga omogućiti, što je prilično dugo i vrlo nezgodno.

Mnogo je smislenije kontrolirati pristup uređajima pomoću dodatnih aplikacija, koje mogu biti vrlo različite. Često se mogućnost skrivanja ili blokiranja uređaja pruža pomoćnim programima osmišljenim za kontrolu pristupa postavkama operacijskog sustava, uključujući i one koje smo razmotrili. Istina, mogućnosti ograničavanja pristupa uređajima u njima male su: možete kontrolirati pristup daleko od svih opasnih uređaja, a ne govorimo o kontroli medija. Uslužni programi - blokiratelji pristupa uređajima i specijalizirana rješenja za zaštitu sustava od curenja korporativnih informacija - u tom smislu imaju mnogo više funkcionalnosti. Kao primjer, bacit ćemo pogled na DeviceLock, USB Lock Standard i ID Deck Lock. Najfunkcionalniji od njih je program DeviceLock, s kojim možete kontrolirati (a ne samo blokirati) pristup pojedinačnih korisnika i skupina korisnika gotovo svim potencijalno opasnim uređajima (pa čak i medijima), ali prvenstveno je namijenjen administratorima sustava . Mogućnosti druga dva uslužna programa mnogo su skromnije, ali su sasvim dovoljne za većinu korisnika.

DeviceLock 6.3

Programer: CJSC "Smart Line Inc."

Veličina distribucije: 39,7 MB

Rad pod kontrolom: Windows NT / 2000 / XP / Vista

Način distribucije: shareware (30 dana demonstracije - http://www.devicelock.com/ru/dl/download.html)

Cijena: 1300 rub.

DeviceLock je specijalizirano rješenje za organiziranje korporacijskog sustava zaštite od curenja podataka koji vam omogućuje kontrolu pristupa cijelom nizu potencijalno opasnih uređaja: USB priključci, disketni pogoni, CD / DVD pogoni, kao i FireWire, infracrveni, paralelni i serijski portovi , Wi-Fi i Bluetooth adapteri, tračni pogoni, PDA i pametni telefoni, mrežni i lokalni pisači, unutarnji i vanjski prijenosni pogoni i tvrdi diskovi. Program ima centralizirani sustav daljinski upravljač, omogućujući pristup svim funkcijama s radne stanice administratora sustava. Takvo upravljanje provodi se pomoću dodatne konzole DeviceLock Enterprise Manager ili putem grupnih pravila Actvie Directory, što vam omogućuje automatsku instalaciju DeviceLocka na nova računala povezana na korporativnu mrežu i izvršiti konfiguraciju za nova računala u automatskom načinu rada.

Moguće je potpuno blokiranje određene vrste uređaja ili djelomično, odnosno u skladu s bijelim popisom medija (slika 5), ​​na kojem će pristup nekim medijima biti dopušten unatoč blokiranju odgovarajuće vrste uređaja . Također možete postaviti način rada samo za čitanje i zaštititi diskove od slučajnog ili namjernog oblikovanja. Omogućeno je dodjeljivanje različitih prava pristupa uređajima i I / O priključcima za pojedine korisnike i skupine korisnika s mogućnošću postavljanja kontrole ovisno o vremenu i danu u tjednu. Ako je potrebno, možete zabilježiti sve korisničke radnje s uređajima i datotekama (kopiranje, čitanje, brisanje itd.) Izvođenjem kopiranja u sjeni.

Riža. 5. Konfiguriranje ograničenja pristupa uređajima u skladu s
s bijelim popisom medija u DeviceLocku

Standard USB zaključavanja 3.4.1

Programer: Advanced Systems International SAC

Veličina distribucije: 2.02 MB

Rad pod kontrolom: Windows XP / Vista

Način distribucije: shareware (10 dana demo - http://www.advansysperu.com/down_st.php)

Cijena: 44 USD

USB Lock Standard prikladan je alat za blokiranje pristupa (slika 6) svim vrstama prijenosnih medija: USB priključci (USB diskovi, iPod, MP3 playeri itd.), Zip uređaji, diskete, CD / DVD pogoni, Bluetooth adapteri i čitači pametnih kartica (CF, SD, MMC, XD itd.). Omogućuje vam potpuno blokiranje pristupa navedenim uređajima ili djelomično otvaranje pristupa ovlaštenim uređajima. Za deblokiranje morate znati lozinku ili USB ključ. Radnje s deblokiranim uređajima bilježe se u zapisnike.

Riža. 6. Blokiranje pristupa
na CD / DVD pogone u standardnom USB zaključavanju

Zaključavanje ID uređaja 1.2

Programer: ID Security Suite

Veličina distribucije: 1,47 MB

Rad pod kontrolom: Windows 98 / NT / 2000 / XP / Vista

Način distribucije http://www.idsecuritysuite.com/files/iddeviceslocksetup.exe)

Cijena: 37 USD

Zaključavanje ID uređaja jednostavan je alat za ograničavanje pristupa (slika 7) USB-uređajima, CD-pogonima i disketnim pogonima zabranjujući kopiranje podataka na njih, što pomaže u sprječavanju curenja informacija na mobilnim medijima. Za otkazivanje blokiranja potrebno je poznavanje lozinke.

Riža. 7. Ograničavanje pristupa pogonu u zaključavanju ID uređaja

Potpuno blokiranje računala u odsutnosti korisnika

Najjednostavniji način blokiranja pristupa računalu koje je uključeno je postavljanje lozinke za čuvar zaslona, ​​ali to nije najbolja opcija jer se lozinka sa čuvara zaslona može bez problema ukloniti nakon ponovnog pokretanja. Mnogo je pouzdanije potpuno blokirati računalo pomoću posebnih softverski alati to će onemogućiti pristup bilo kojem elementu računala, uključujući tipkovnicu, miš i radnu površinu. Nakon toga bit će nemoguće vidjeti bilo koje podatke na njemu, pokrenuti aplikacije, pristupiti datotekama i mapama (uključujući one koje su trenutno otvorene), pa čak i ponovno pokrenuti računalo pritiskom na kombinaciju tipkovnice Ctrl + Alt + Del. Računalo možete otključati samo ako znate korisničku lozinku, a jednostavnim ponovnim pokretanjem (čak iu sigurnom načinu rada) ili nestankom napajanja neće se ukloniti zaštita.

Takvo blokiranje računala obično se pruža uz pomoć visoko specijaliziranih uslužnih programa: Zaključavanje radne površine, Zaključavanje mog računala i slično, ali takve se mogućnosti mogu pružiti i u programima osmišljenim za postavljanje različitih vrsta ograničenja pristupa, osobito u Sigurnosnom administratoru i Deskmanu .

Zaključavanje radne površine 7.2.1

Programer: TopLang softver

Veličina distribucije: 792 KB

Rad pod kontrolom: Windows NT / 2000 / XP / 2003 / Vista

Način distribucije: shareware (15 dana demo - http://www.toplang.com/dlsetup.exe)

Cijena: 24,95 USD

Zaključavanje radne površine je uslužni program za zaključavanje računala (slika 8) za vrijeme odsustva korisnika. Blokiranje se postavlja iz samog uslužnog programa automatskim pritiskom određene kombinacije tipki u vrijeme koje je odredio korisnik ili, u slučaju neaktivnosti korisnika, nakon određenog razdoblja. Stavljanje računala u zaključani način rada može biti popraćeno pokretanjem čuvara zaslona, ​​reprodukcijom audio ili video datoteke, što je razumno, na primjer, na izložbama pri predstavljanju korporativnih prezentacija. Kad je zaključan, miš je onemogućen i postaje nemoguće koristiti glavne prečice na tipkovnici. Za izlaz iz zaključanog načina rada morate pritisnuti tajnu kombinaciju tipkovnice ili tipku miša i unijeti lozinku. Ako želite, možete konfigurirati uslužni program za snimanje kratkih poruka drugih korisnika koji su došli na računalo u odsutnosti njegovog vlasnika i htjeli mu nešto napisati.

Riža. 8. Konfiguriranje postavki za zaključavanje računala u Desktop Lock

Zaključaj moje računalo 4.7

Programer: FSPro Labs

Veličina distribucije: 1,4 MB

Rad pod kontrolom: Windows 2000 / XP / 2003 / Vista

Metoda distribucije: shareware (30 dana demo - http://www.fsprolabs.com/download/distr/lmpc.zip)

Cijena: Osobna licenca - 19,95 USD poslovna dozvola - 29,95 USD

Zaključaj moje računalo je alat za zaključavanje računala (slika 9) za vrijeme odsutnosti korisnika. Zaključavanje računala je jednostavno - samo dvaput kliknite odgovarajuću ikonu na sistemskoj paleti ili pritisnite posebnu kombinaciju tipkovnice. Automatsko blokiranje moguće je nakon određenog vremena neaktivnosti korisnika. Kad su zaključani, miš i CD / DVD pogoni su onemogućeni (to će vas spriječiti da uklonite CD -ove s njih) i postaje nemoguće koristiti glavne kombinacije tipkovnice: Ctrl + Alt + Del, Alt + Tab itd. Na zaključanom računalu , bilo koje, uključujući slike koje ste sami stvorili u GIF, JPEG, BMP i animirane GIF formate. Računalo možete otključati samo ako znate korisničku ili administratorsku lozinku.

Riža. 9. Konfiguriranje postavki za zaključavanje računala u aplikaciji Lock My PC

Zaštita osobnih podataka

Postoji nekoliko načina zaštite osobnih podataka od neovlaštenog pristupa: možete komprimirati mape i datoteke u arhivi zaštićenoj lozinkom; sakriti ih; mjesto u tajnu mapu, pristup kojoj će drugi korisnici biti zatvoreni lozinkom; šifriranje ili stvaranje virtualnog šifriranog diska na koji možete upisati svoje povjerljive materijale. Odabir najpoželjnije metode ovisi o situaciji, međutim, u većini slučajeva najbolja je mogućnost skrivanje i šifriranje mapa i datoteka, pa ćemo se u ovom članku ograničiti samo na njih.

U teoriji, možete sakriti mape i datoteke pomoću ugrađenog Mogućnosti sustava Windows- za to je dovoljno omogućiti svojstvo "Skriveno" u svojstvima odgovarajućih objekata. Mape i datoteke skrivene na ovaj način neće biti vidljive u Exploreru drugim korisnicima sustava, ali samo ako se "Ne prikazuj skrivene datoteke i mape ". U načelu, to može biti dovoljno za zaštitu podataka od neobučenih korisnika. No, objekti skriveni na ovaj način bit će vidljivi u aplikacijama koje ne koriste standardni dijalog za prikaz datoteka i mapa (FAR, Total Commander itd.), Pa ta zaštita nije baš dobra.

Sigurnija opcija za zaštitu podataka s ugrađenim sustavom Windows je korištenje enkripcijskog datotečnog sustava (EFS) koji vam omogućuje šifriranje datoteka omogućujući im opciju Encrypting Content to Protect Data za njih u Exploreru (Svojstva => Općenito => Napredna). Nemoguće je čitati datoteke šifrirane na ovaj način bez poznavanja lozinke, ali EFS sustav omogućuje vam zaštitu mapa i datoteka samo u sustav datoteka NTFS.

Iz tih je razloga bolje koristiti specijalizirane alate za zaštitu osobnih mapa i datoteka. Ova će vam rješenja omogućiti pouzdanije skrivanje mapa i datoteka (neće biti vidljive ako onemogućite potvrdni okvir "Ne prikazuj skrivene datoteke i mape"), kao i blokiranje pristupa njima. Štoviše, neki od ovih alata također pružaju mogućnost šifriranja podataka, što će osigurati njihovu zaštitu od drugih korisnika čak i kada podizanje sustava Windows u sigurnom načinu rada, pokretanje u drugom operativnom sustavu ili na drugom računalu (ako HDD sa zaštićenim podacima). Kao primjere ćemo pogledati programe Folder Lock, Folder Guard i Hide Folders XP. Prvi pruža najviše visoka razina zaštita šifriranih podataka, druga dodatno pruža alate za zaštitu osnovnih postavki OS -a od promjena. Paket Hide Folders XP zamjetno je inferioran u odnosu na navedena rješenja po svojim mogućnostima, ali ima sučelje na ruskom jeziku i korisnicima ruskog govornog područja nudi se po vrlo atraktivnoj cijeni.

Zaključavanje mapa 6.0.1

Programer: NewSoftware Professionals, Inc.

Veličina distribucije: 2,78 MB

Rad pod kontrolom: Windows 2000 / XP / 2003 / Vista

Način distribucije: shareware (20 dana demonstracije-http://dl.filekicker.com/nc/file/130083-0M78/folder-lock.exe)

Cijena: 35,95 USD

Zaključavanje mapa učinkovito je i pouzdano rješenje za zaštitu osobnih datoteka, mapa (slika 10) i diskova postavljanjem lozinke na njih, skrivanjem i šifriranjem (AES algoritam s 256-bitnim ključem). Za veću sigurnost u ovu odluku dopušteno je istovremeno koristiti blokiranje i šifriranje - datoteke zaštićene na ovaj način ne prikazuju se u Exploreru i u aplikacijama te su potpuno nedostupne, budući da im je nemoguće pristupiti bez poznavanja lozinke čak i pri pokretanju u DOS -u, u siguran Windows način rada, na drugom OS -u ili na drugom računalu. U slučaju da se lozinka zaboravi, moguće je pristupiti podacima pomoću registracijskog ključa. Izvorni podaci koje je potrebno zaštititi mogu se nalaziti ne samo na tvrdom disku, već i na USB mediju, memorijskim karticama, CD-RW diskovi, diskete i prijenosna računala. Postupak instaliranja osigurane zaštite može se provesti automatski u slučaju neaktivnosti računala. U posebnom Stealth načinu rada program može sakriti sve tragove koji ukazuju na instaliranje zaštite podataka na računalu: sprječava prikaz vlastitih prečaca na radnoj površini i u izborniku Start, skriva podatke o instalaciji / deinstalaciji u odgovarajućem odjeljku upravljačke ploče, briše povijest i razmjenu podataka u međuspremniku itd. Osim toga, radi veće sigurnosti, program vodi evidenciju svih neuspješno unesenih lozinki radi uklanjanja zaštite, što korisniku omogućuje pravovremeno bilježenje manifestacije nezdravog interesa za vlastito računalo od drugih korisnika.

Riža. 10. Rad sa zaštićenim mapama u paketu Folder Lock

Zaštita mapa 7.6

Programer: WinAbility Software Corporation

Veličinadistribucijski komplet: Izdanja Folder Guard i Folder Guard x64 Edition - 1,8 MB; Folder Guard Professional Edition - 2,5 MB

Rad pod kontrolom: Windows 2K / XP / 2003 / Vista

Način distribucije: shareware (30 dana demonstracije - http://www.winability.com/folderguard/editions.htm)

Cijena Folder Guard Edition i Folder Guard x64 Edition - 39,95 USD Folder Guard Professional Edition - 59,95 USD

Folder Guard jednostavno je i prikladno rješenje za ograničavanje pristupa mapama i datotekama te sprječavanje pristupa brojnim postavkama sustava Windows. Dolazi u tri izdanja: Folder Guard Editions, Folder Guard x64 Edition i Folder Guard Professional Edition. Prva verzija radi u 32-bitnom obliku Verzije sustava Windows, drugi - u 64 -bitnom, a treći - u oba.

Ograničavanje pristupa osobnim podacima provodi se skrivanjem (slika 11), postavljanjem načina rada "samo za čitanje" ili blokiranjem. U tom se slučaju skrivanje provodi na dva načina: mape i datoteke možete sakriti ili ih postaviti praznima (prazno). U drugom slučaju, mape će biti vidljive, ali kada se otvore, bit će prazne, iako u stvarnosti sadrže informacije - ova je zaštita prikladna za standard Windows mapečije će potpuno skrivanje ukazivati ​​na to da su podaci na računalu blokirani, što je nepoželjno. Zaštićene mape bez lozinke neće biti dostupne drugim korisnicima sustava čak i kada se Windows pokrene u sigurnom načinu rada, iako će za to biti potrebne neke postavke u programu. U slučaju da zaboravite lozinku, možete je oporaviti pomoću besplatnog pomoćnog programa za oporavak u hitnim slučajevima (http://www.winability.com/folderguard/eru.htm). Također, program može raditi u Stealth modu, u kojem će biti skriveni vlastiti prečaci i datoteke.

Riža. 11. Skrivanje mape u Folder Guard

Pomoću Folder Guard možete zaštititi i osnovne postavke OS -a od prilagođavanja (slika 12) - osobito, zatvaranje pristupa svojstvima programske trake, izborniku Start i brojnim drugim prozorima, zabranjuje spremanje svojstava zaslona (ako imaju je promijenjeno), blokiraju mape svojstava i Internetske postavke Explorer, ne prikazujte ikone na radnoj površini. A također i spriječiti promjenu parametara važnih za rad sustava zatvaranjem pristupa upravljačkoj ploči i postavljanjem niza zabrana: pristup registra sustava, dodavanje / uklanjanje pisača, korištenje naredbe "Pokreni" itd. Također možete sakriti određene diskove u Moje računalo, Explorer i standardne dijaloške okvire Otvori / Spremi te blokirati snimanje CD -a / DVD -a. Za različite korisnike moguć je drugačiji skup takvih ograničenja.

Riža. 12. Postavljanje ograničenja pristupa postavkama sustava Windows
u Folder Guard

Sakrij mape XP 2.9.8

Programer: FSPro Labs

Veličina distribucije: 1,23 MB

Rad pod kontrolom: Windows 2000 / XP / 2003 / Vista

Način distribucije: shareware (30 dana demonstracije - http://www.fsprolabs.com/download/distr/hfxp.zip)

Cijena: 29,95 USD (u trgovini Softkey.ru - 400 rubalja)

Sakrij mape XP jednostavan je program za zaštitu mapa i datoteka (slika 13) od neovlaštenog pristupa skrivanjem i / ili blokiranjem. Zaštićene mape neće biti dostupne drugim korisnicima, uključujući administratora sustava, čak ni kada se Windows pokrene u sigurnom načinu rada. U tom slučaju ne samo da će zaštićene mape i datoteke biti zaštićene od brisanja, već i mape koje ih sadrže. A kako drugi korisnici ne bi nagađali o prisutnosti zaštićenih podataka na računalu, program može izbrisati tragove instalirane zaštite i može se sakriti (možda se neće pojaviti na popisu često preuzimanih programa, ne prikazuje liniju za deinstaliranje na upravljačkoj ploči, sakriti se na popisu pokrenutih procesa itd.).

Riža. 13. Rad sa zaštićenim datotekama u okruženju Hide Folders XP

Čini mi se da bi u ovoj situaciji mogao funkcionirati sljedeći recept: trebate stvoriti dvije grupe, nazovimo ih PCComission i UserComission.
Uključiti u svoj sastav računala i korisnike odjela za povjerenstva.
Zatim stvorite objekt grupnih pravila i povežite se s OU SUS -om, uklanjajući pravilo primjene iz grupe Auth Users, umjesto toga ga dodajući u grupu PCComission. Nakon toga u svojstvima pravila, koristeći mehanizam ograničavanja članstva u grupi, isključite grupu domene Users Domain Users iz lokalne grupe Users, ali dodajte grupu UserComission

Vadim, istaknuo sam da ste pogriješili jer vaš recept neće uspjeti: izuzimanje korisnika domene iz ugrađene korisničke grupe računala neće ograničiti korisnike domene na lokalni ulaz na ovo računalo. To je sve. Nemojte se uvrijediti, ali vaše "čini mi se da ..." treba provjeriti prije, ponudivši kao recept. Prisjetite se / provjerite status tipičnog "Builtin \ Users" članstva na računalu člana u domeni AD, o privilegijama, konačno ...

Da, i još jedna stvar, ne morate sami vježbati, a kamoli savjetovati neiskusnog administratora da promijeni sigurnosni referentni model bez valjanog razloga. Prvo, ovim ćete donijeti više problema nego dobiti bonuse, i drugo - može vam oduzeti tehničku podršku!

Vadim, ako možeš objasniti gdje griješim, bit ću ti zahvalan. :)

Dodaj: Vadim, i o predmetu politike. Pa neka UCP uzme barem 10 megabajta u SYSVOL -u i isto toliko u AD spremniku - pa što? Replikacija je optimizirana, klijent ne preuzima ponovno UCP pet puta dnevno, a administrator ga ne mijenja jer nema što učiniti - zar ne? Općenito, bolje je stvoriti više OCP -a, a često - to je jedini način na koji je to moguće, nego lupati po vinaigretu.

Zahvaljujući mojoj supruzi Katji, Klevogin S.P., Kozlov S.V., Muravlyannikov N.A., Nikitin I.G., Shapiro L.V. za moje znanje! :)

Dmitrij, u stvari, već sam objasnio u jednom od prethodnih postova ove teme: 21. kolovoza 2009. 10:26.
Pa idemo opet. Moj prijedlog sastojao se od ideje da se, pomoću mehanizma "Ograničene grupe", promijeni sastav lokalne grupe Korisnici / korisnici na računalima odjela provizije, tako da se korisnici prodajnog odjela nisu mogli prijaviti na njih (uostalom , upravo kroz članstvo u ovoj skupini imaju takvo pravo). Istina, ležerno sam formulirao ovu ideju, bilo je ispravno reći ne "isključiti grupu domene Users of Domain Users iz lokalne grupe Users", već "clear the local Users group", ali ne mijenja bit, budući da se pravilo, kada se primijeni, samo čisti grupu prije nego što je doda izričito navedeno u odjeljku Ograničene grupe. Dakle, u ovom slučaju nije potrebno zapamtiti zadani sastav grupe. Iako ne boli;) I ne samo da se sjećam privilegija, već ih i predlažem koristiti, naime Dopusti lokalno prijavljivanje.
Ako i dalje nešto ne razumijete, pitajte konkretno - pokušat ću to jasnije objasniti.
Dmitrije, i ja mogu vidjeti neke bonuse. I na koje specifične probleme upozoravate mene i druge neiskusne administratore u vezi s promjenom sastava grupe Korisnika?
I objasni mi zaboga kako bi to moglo utjecati tehnička podrška? I čiji?
Pa, i o veličini objekta politike. Ako niste zatekli kontroler iza 128k kanala i niste replicirali gotovo cijeli životni vijek nadgrobnih objekata, dok ste ispitivali korisničku infrastrukturu, onda vam neće biti lako razumjeti moju zabrinutost;) Ovo je unatoč činjenici da je broj GPO -a bio veći od 100.
A vaša izjava da je "bolje stvoriti više UCP -a, a često - to je jedini način na koji je to moguće", na primjer, nije mi očita.
Pristalica sam suprotnog gledišta: ako postoje dvije mogućnosti za rješavanje problema, stvaranjem grupe ili GPO -a, biram prvu.
Meni je prikladnije primijeniti delegiranje ovlasti. A trajanje procesa preuzimanja / prijave izravno ovisi o broju GPO -a koji se koriste. Ali, opet, ovo je stvar ukusa.

Nadam se da je tehnički dio razjašnjen.
Zatim, Dmitrije, nekoliko riječi o etici rasprave.
1. Ako ste već izrazili svoje mišljenje o mojoj pogrešnosti, volio bih vidjeti argumentaciju ovog mišljenja u istom postu.
2. " Nemojte se uvrijediti, ali vaše "čini mi se da ..." treba provjeriti prije, ponudivši kao recept."Dakle, nisam bio previše lijen i ponovno sam provjerio - recept radi. Jeste li sami provjerili prije nego što ste ustvrdili da" recept neće uspjeti "?, Bilo bi lijepo provjeriti svoju izjavu eksperimentom.
3. Hvala vam na savjetu koji ste mi dali, ali nisam vas to tražio. Iako ne isključujem da ću se jednog dana okrenuti :)
Neka mi Vitaliy Shestakov oprosti još jedan plamen.

Danas ćemo nastaviti govoriti o računalnoj sigurnosti. I još jedan korak u ovom smjeru - korisnik.

Prilikom postavljanja operacijske sobe Windows sustavi korisniku su dodijeljena administratorska prava. Drugim riječima, on ima apsolutnu slobodu djelovanja na računalu. Ali i štetno softver, dobivši pristup računalu, ima ista prava. A to je već ozbiljna ranjivost u našem sigurnosnom sustavu. Vrijeme je da zakrpite rupe.

U ovom ćemo članku analizirati algoritam za prebacivanje s administratora na sigurniji račun, uz zadržavanje svih postavki.

Zašto je potrebno ograničenje računa?

1. Svi softverski proizvodi pokrenuti s administratorskim pravima imaju potpunu slobodu djelovanja na računalu, što će zasigurno koristiti programeri zlonamjernog koda (virusi i opasne skripte).

Na primjer, da bi se virus mogao "registrirati" u vašem operativnom sustavu, mora unijeti izmjene u stavke registra. Korisnik s ograničenim pravima neće moći mijenjati postavke OS -a. Stoga zlonamjerni virus, pokrenut s istim ograničenim pravima, neće moći probiti zaštitu Postavke sustava i ostaviti "otisak" u svom registru.

Kada pristupite internetu s administratorskim pravima, pomažete napadaču da ukrade vaše lozinke, vjerodajnice pohranjene u sistemskim datotekama OS -a. Opasna skripta koja ima administratorska prava pročitat će sve vaše tajne i prenijeti ih svom vlasniku.

Stvaranjem ograničenja na korisničkom računu nećete samo riješiti ove probleme, već ćete i spriječiti ulazak uobičajenog virusa (porno banner koji blokira rad računala) na vaše računalo.

2. Imajući administratorska prava, neiskusni korisnici mogu slučajno izvršiti kritične promjene u sustavu Windows datoteke, dovodeći OS u stanje neaktivnosti. Zaštitite svoj sustav od slučajnih pogrešaka - smanjite korisnička prava.

Promjena prava korisničkog računa

Jer operacijski sustav već smo ga instalirali i normalno funkcionira, ići ćemo sljedećim putem: promijenit ćemo vrstu prethodno stvorenog računa (snižavanjem njegovih prava) i dodati novog korisnika s administratorskim pravima (u čije ćemo ime izvršiti promjene u datotekama sustava i registru OS -a).

1. Prvi korak je dovesti stvari u red s postojećim računima. Da biste to učinili, idite na Centar za kontrolu računa (desnom tipkom miša kliknite ikonu "Moje računalo" -> "Upravljanje" -> "Lokalni korisnici i grupe" -> "Korisnici").

Izbrišite sve unose osim postojećeg i gosta (što bi trebalo onemogućiti).

2. Neće uspjeti smanjiti prava postojećeg računa na razinu običnog korisnika, budući da sustav mora imati korisnika s administratorskim pravima. Stoga ćemo prvo stvoriti drugog administratora, pa ćemo tek onda smanjiti prava trenutnog korisnika.

Da biste to učinili, desnom tipkom miša kliknite stavku "Korisnici" -> odaberite " Novi korisnik… ”. U prozoru koji se otvori navedite ime novog administratora, njegovu lozinku, provjerite stavku "Lozinka ne ističe" i kliknite gumb "Kreiraj".

Račun koji smo stvorili imat će prava običnog korisnika. Da biste mu dali status pravog administratora, morate ga dodati u odgovarajuću korisničku grupu. Da biste to učinili, dvaput kliknite na novi račun, idite na karticu "Članstvo u grupi" -> kliknite gumb "Dodaj".

U blok "Unesite naziv objekta" napišite "Administratori" i kliknite gumb "U redu" -> "Primijeni".

3. Sada je vrijeme da počnete s degradiranjem trenutnog korisnika. Da biste to učinili, odaberite trenutnog korisnika na popisu i učinite sve iste operacije koje sam gore opisao. Tek je sada potrebno dodati zapis "Korisnici", a izbrisati zapis "Administratori".

4. Nakon što je sve učinjeno, odjavite se i ponovno pokrenite računalo.

Dakle, spremili ste sve svoje postavke, ali ste smanjili status korisnika, ograničavajući njegova prava. Sada, za bilo kakve promjene u sustavu, morat ćete pristupiti novostvorenom administratorskom računu.

Kako radi?

Radite u sustavu kao i obično, pokrećući poznate programe. Ako odjednom morate promijeniti sistemske datoteke, pristupite registru ili instalirajte novi program, to možete učiniti na dva načina: ili završiti trenutnu sesiju i prijaviti se pod administratorskim računom, upotrijebiti administratorsko "napajanje" bez napuštanja tekućeg računa.

Da biste to učinili, desnom tipkom miša kliknite program koji se pokreće i odaberite "Pokreni kao ..." -> u prozoru koji se pojavi, navedite administratorski račun i unesite lozinku administratora -> kliknite "U redu". Dakle, možete pokrenuti bilo koju aplikaciju s administratorskim pravima bez napuštanja trenutnog računa.

Savjet:

• Ozbiljno se odlučite za odabir lozinke za administratora. Što je lozinka složenija i dulja, napadaču će biti teže razbiti je.
• Budući da ćete rijetko koristiti novi administratorski račun, zapišite lozinku koju ste stvorili na sigurno mjesto.
• Dodatna sigurnosna mjera bit će preimenovanje stvorenog administratora (na primjer, umjesto “Administrator” -> “Sergey). Na taj način, stvarajući dodatnu prepreku za napadača.