Računala Windows Internet
Proširiti
Dom

Ograničenje računa za Windows 7. Kako ograničiti pristup računalu za račune? Kako radi

Čini mi se da bi u ovoj situaciji mogao funkcionirati sljedeći recept: trebate napraviti dvije grupe, nazovimo ih PCComission i UserComission.
U njihov sastav uključiti računala, odnosno korisnike odjela komisije.
Zatim stvorite objekt pravila grupe i povezati se na OU SUS, uklanjajući politiku primjene izravno iz grupe Auth Users, dodajući je umjesto toga u PCComission grupu. Nakon toga, u svojstvima politike, koristeći mehanizam ograničavanja članstva u grupi, isključite grupu domene Korisnici domene iz lokalne grupe Korisnici, ali dodajte grupu UserComission

Vadim, istaknuo sam da ste u zabludi jer vaš recept neće funkcionirati: izuzimanje korisnika domene iz ugrađene grupe korisnika računala neće ograničiti korisnike domene na lokalni ulaz na ovo računalo. To je sve. Nemojte se uvrijediti, ali vaše "čini mi se da..." treba prije toga provjeriti, ponudivši kao recept. Zapamtite / provjerite status tipičnog članstva "Builtin \ Users" na računalu člana u AD domeni, o privilegijama, konačno...

Da, i još nešto, ne morate sami vježbati, a kamoli savjetovati neiskusnog administratora da bez valjanog razloga promijeni referentni model sigurnosti. Prvo, time ćete donijeti više problema nego dobiti bonuse, i drugo - može vas lišiti tehničke podrške!

Vadime, ako možeš objasniti gdje griješim, bit ću ti zahvalan. :)

U ovom novom skočnom izborniku s popisa odaberite korisnika kojem će biti odbijen pristup vašim dokumentima. U okviru Dozvole za označite potvrdne okvire u desnom stupcu za sve dostupne opcije. Ponovite postupak za sve račune na kojima štitite takav imenik.

Zanimljiv savjet je korištenje ove metode zaštite za uskraćivanje pristupa glavnom imeniku, koji sadrži sve vaše dokumente i informacije. račun korisnik. Jedan od potrošačkih snova mnogih ljudi je alat ili aplikacija koja kontrolira sve što se radi na računalu, od otvorenih programa do promjena sustava.

Dodaj: Vadim, i o objektu politike. Pa, neka UCP uzme najmanje 10 megabajta u SYSVOL-u i isto toliko u AD kontejneru - pa što? Optimizirana je replikacija, klijent ne preuzima ponovno UCP pet puta dnevno, a administrator ga ne mijenja jer nema što raditi - zar ne? Općenito, bolje je napraviti više OCP-a, i često - jedino je to moguće, nego čačkati po vinaigretu.

Ovdje možete konfigurirati različite postavke ne samo za korisnike već i za računalo. Imat ćete nekoliko opcija konfiguracije kao što su upravljanje napajanjem, korisnički profili, prijava i još mnogo toga. Ovdje unosite nazive programa koje je potrebno zaključati. Na lijevoj strani imate tri opcije: Nije konfigurirano, Omogućeno i Onemogućeno. Odaberite posljednju. Dakle, prozor Prikaži, koji je onemogućen, omogućit će vam da odredite određene programe koji se mogu otvoriti na vašem računalu.

Da biste dodali programe na popis, jednostavno unesite nazive onih kojima se može pristupiti. Unesite točan naziv izvršna datoteka programe. Štoviše, samo korisnici s ovog popisa mogu se otvoriti samo na ovom popisu. Ako želite ponovno osloboditi sve programe za korištenje, jednostavno odaberite opciju "Onemogućeno" u gornjem lijevom kutu stranice.

Hvala mojoj supruzi Katya, Klevogin S.P., Kozlov S.V., Muravlyannikov N.A., Nikitin I.G., Shapiro L.V. za moje znanje! :)


Dmitry, zapravo, objasnio sam već u jednom od prethodnih postova ove teme: 21. kolovoza 2009. 10:26.
Pa idemo opet. Moj prijedlog se sastojao od ideje da se pomoću mehanizma "Ograničene grupe" promijeni sastav lokalne grupe Korisnici/Korisnici na računalima odjela provizije, kako se korisnici odjela prodaje ne bi mogli prijaviti na njih (nakon sve, upravo članstvom u ovoj grupi imaju takvo pravo). Istina, slučajno sam formulirao ovu ideju, ispravno je bilo reći ne "isključi grupu domena Korisnici domene iz lokalne grupe korisnika", nego "očisti lokalnu grupu korisnika", ali ne mijenja bit, budući da pravilo, kada se primijeni, samo čisti grupu prije nego što je doda izričito navedeno u odjeljku Ograničene grupe. Dakle, u ovom slučaju nije potrebno zapamtiti zadani sastav grupe. Iako to ne boli;) I ne samo da se sjećam privilegija, već i predlažem da ih koristim, odnosno Allow Logon Locally.
Ako i dalje nešto ne razumijete, pitajte konkretno - pokušat ću to jasnije objasniti.
Dmitry, i sam vidim neke bonuse. A na koje konkretno probleme upozoravate mene i ostale neiskusne administratore u vezi s promjenom sastava grupe Korisnici?
I objasni mi za boga miloga kako bi to moglo utjecati tehnička podrška? A čiji?
Pa, i o veličini objekta politike. Ako niste pronašli kontroler iza 128k kanala i niste replicirali gotovo cijeli životni vijek nadgrobnih objekata prilikom pregleda infrastrukture korisnika, onda vam neće biti lako razumjeti moju zabrinutost;) To je unatoč činjenici da je broj GPO-a bio veći od 100.
A vaša izjava da je “bolje stvoriti više UCP-a, a često - jedino je to moguće”, na primjer, nije mi očita.
Pobornik sam suprotnog stajališta: ako postoje dvije mogućnosti rješavanja problema, stvaranjem grupe ili GPO-a, biram prvu.
Meni je zgodnije provesti delegiranje ovlasti. A trajanje procesa preuzimanja/prijave izravno ovisi o broju korištenih GPO-ova. Ali, opet, ovo je stvar ukusa.

Nadamo se da je tehnički dio jasniji.
Zatim, Dmitry, nekoliko riječi o etici rasprave.
1. Ako ste već izrazili svoje mišljenje o mojoj pogrešnosti, onda bih volio vidjeti argumentaciju ovog mišljenja u istom postu.
2. " Nemojte se uvrijediti, ali vaše "čini mi se da..." treba prije toga provjeriti, ponudivši kao recept."Dakle, nisam bio previše lijen i ponovno provjerio - recept radi. Jeste li ga sami provjerili prije nego što ste tvrdili da "recept neće raditi?", bilo bi lijepo provjeriti svoju izjavu eksperimentom.
3. Hvala ti na savjetu koji si mi dao, ali nisam te pitao za to. Iako ne isključujem da ću se jednog dana javiti :)
Neka mi Vitalij Šestakov oprosti još jedan plamen.

Iako ova konfiguracija sustava radi dobro, nije pouzdana. Ako netko pristupi programu putem naredbeni redak ili kroz "pokretanje", sve postavke koje kreirate se zanemaruju, budući da obje funkcije imaju veće privilegije od onih koje ste postavili.

Također je vrijedno napomenuti da se ove opcije odnose na komponente sustava. Stoga pazite da ne promijenite važne podatke jer u ozbiljnijim slučajevima možete oštetiti svoje računalo. Sigurnost nikad nije prevelika, ali morate sve organizirati umjereno, ne zaboravite pustiti važne programe za upotrebu.

Danas ćemo nastaviti razgovarati o računalnoj sigurnosti. I još jedan korak u tom smjeru - korisnik.

Prilikom ugradnje operacijske dvorane Windows sustavi korisniku se dodjeljuju administratorska prava. Drugim riječima, ima apsolutnu slobodu djelovanja na PC-u. Ali zlonamjerni softver, koji je dobio pristup računalu, obdaren je istim pravima. A to je već ozbiljna ranjivost u našem sigurnosnom sustavu. Vrijeme je da zakrpamo rupe.

Ako svoje računalo dijelite s drugima, često je potrebno neke datoteke zaštititi lozinkom kako ne bi svi korisnici računala mogli pristupiti podacima koje sadrže. Pojavljuje se zaslon koji prikazuje sustav datoteka kao u primjeru ispod.

Stoga se sada možemo početi mijenjati. Prema zadanim postavkama, sustav prikazuje poruku da nema softverskih ograničenja. Zatim idite na mapu Dodatna pravila. Kada se to učini, može se vizualizirati da sustav ima četiri putanje pravila. U ovom koraku kliknite desni klik zaslon miša prema ovim pravilima. Pojavit će se izbornik i morate odabrati Novo pravilo puta.

U ovom članku analizirat ćemo algoritam za prelazak s administratorskog na sigurniji račun, uz zadržavanje svih postavki.

Zašto je potrebno ograničenje računa?

1. Sve softverskih proizvoda pokrenut s administratorskim pravima, dobiti potpunu slobodu djelovanja na PC-u, što će sigurno koristiti programeri zlonamjernog koda (virusi i opasne skripte).

Na zaslonu koji se pojavi morate odrediti koji će programi biti blokirani. Možete odrediti put do njih ili kliknuti gumb "Traži" za pregled i odabir s popisa. Nakon što odaberete program u odjeljku "Sigurnosna razina", odredite željeni stupanj.

Nakon odabira opcije sigurnosne klase, u polje "Opis" može se dodati informacija o razlogu blokiranja ili bilo kojoj prikladnoj specifikaciji. Kada je proces dovršen, kliknite Primijeni, U redu i ponovno pokrenite računalo kako bi promjene stupile na snagu.

Spremni, vaše nove postavke su primijenjene. Nakon što program unesete u ova pravila, prikazat će se poruka koja obavještava o blokiranju pristupa svaki put kada se pokuša. I ono što je zanimljivo je da vrijeme i dane u tjednu bilježite odjednom, tako da ne morate mijenjati svaki dan.

Na primjer, kako bi se virus mogao "registrirati" u vaš operacijski sustav, mora izvršiti promjene u unosima registra. Korisnik s ograničenim pravima neće moći mijenjati postavke OS-a. Posljedično, zlonamjerni virus, pokrenut s istim ograničenim pravima, neće moći probiti zaštitu postavki sustava i ostaviti "trag" u vašem registru.

Uđite u izbornik Start i upravljačku ploču. Zatim kliknite gumb "Kreiraj novi račun". I dodajte naziv za račun. Ostavite opciju Zadani korisnik odabranom tako da nemaju dopuštenje za promjenu postavki računala.

Na sljedećem zaslonu možete vidjeti sve korisnike koji postoje na vašem računalu. U odjeljku Postavke roditeljske kontrole kliknite Postavke. Imajte na umu da vas poruka obavještava da na administratorskom računu nema registrirane lozinke, odnosno da ćete morati dodati lozinku svom administratorskom računu kako korisnik ne bi onemogućio zaključavanje. Stoga odaberite administratorski račun i postavite lozinku za njega.

Kada pristupate internetu s administratorskim pravima, pomažete napadaču ukrasti vaše lozinke, vjerodajnice pohranjene u datotekama sustava OS-a. Opasna skripta, koja ima administratorska prava, pročitat će sve vaše tajne i prenijeti je svom vlasniku.

Stvaranjem ograničenja na korisničkom računu, ne samo da ćete riješiti ove probleme, već i spriječiti da uobičajeni virus prodre u vaše računalo (porno banner koji blokira vaše računalo).

Unesite svoju lozinku, savjet za zaporku i ostavite označenu stavku. Da bi svi administratorski računi postavili lozinku, ako imate drugi administratorski račun, morat ćete postaviti lozinku za taj drugi račun. Natrag u upravitelju računa, imajte na umu da su administratori već zaštićeni lozinkom, sada kliknite na zadanog korisnika da biste konfigurirali pristup.

U ovoj tablici imate 24 sata dnevno i 7 dana u tjednu za odabir samo klikom na odgovarajući strip, kliknite i povucite ako je potrebno da napravite više odabira. Vratite se u prilagođenu kontrolu kliknite Igre. Ovdje birate što vaše dijete smije, a što ne smije igrati i odaberite vrstu ocjene igre u nastavku.

2. Imajući administratorska prava, neiskusni korisnici mogu slučajno napraviti kritične promjene u sustavu Windows datoteke, dovodeći OS u neoperativno stanje. Zaštitite svoj sustav od slučajnih pogrešaka - niža korisnička prava.

Promjena prava korisničkog računa

Jer operacijski sustav već imamo instaliran i normalno funkcionira, onda ćemo ići sljedećim putem: promijenit ćemo vrstu prethodno kreiranog računa (smanjivanjem njegovih prava) i dodati novog korisnika s administratorskim pravima (u čije ime ćemo izvršiti mijenja u sistemske datoteke OS i registar).

U parametrima ocjenjivanja igre imate popis s različiti tipovi sadržaj, provjerite što vam treba i potvrdite. Na isti način ćete napraviti izbor koji ovaj korisnik može koristiti. Da biste opozvali pristup, jednostavno slijedite iste korake i istaknite rasporede i igre koje ste blokirali za svoje dijete. Ako imate bilo kakvih pitanja, slobodno kontaktirajte s komentarima ili putem foruma seminara.

Ali Lisa ne smije koristiti softver za dijeljenje brzo slanje poruka... A Maggie ne želi da Lisa čita njezine osobne dokumente. Da biste saznali datotečni sustav pomoću vašeg HDD, desnom tipkom miša kliknite ikonu na tvrdom disku i odaberite Svojstva iz skočnog izbornika koji se pojavi i jasno je vidljiv datotečni sustav koji koristite.

1. Prvi korak je dovesti stvari u red s postojećim računima. Da biste to učinili, idite na Centar za kontrolu računa (desnom tipkom miša kliknite na ikonu "Moje računalo" -> "Upravljanje" -> "Lokalni korisnici i grupe" -> "Korisnici").

Izbrišite sve unose osim postojećeg i gosta (koji bi trebao biti onemogućen).

Izbor # 1: Zaštita dokumenata. Opcija 2: Osigurajte dokumente svima. Prema zadanim postavkama, svi korisnici imaju pristup njemu. Obrnute medalje: mogu ih ukloniti ili promijeniti. Izbor # 3: Preciznija kontrola nad pravima pristupa dokumentima. Ali ova vrsta razmjene dokumenata koji su svima dostupni i potpuno osigurani možda neće biti dovoljna u određenim situacijama. Možete podesiti postavku kontrole pristupa kako bi Lisa dopustila Bartu da kopira njezin razredni zadatak, a Maggie da ga promijeni, ali omogućite napredno dijeljenje datoteka.

2. Neće uspjeti spustiti prava postojećeg računa na razinu običnog korisnika, budući da sustav mora imati korisnika s administratorskim pravima. Stoga ćemo prvo kreirati drugog administratora, a tek onda sniziti prava trenutnog korisnika.


Međutim, možete mu pristupiti pokretanjem sustava na adresi siguran način... Međutim, ako želite koristiti napredne opcije dijeljenja, raspakirajte izbornik Start s administratorskog računa i odaberite Moje računalo. Korisnici mogu s velikom preciznošću definirati prava pristupa svojim dokumentima ili katalozima. Ograničenja su veća od dopuštenja. Na primjer, ako odbijete čitanje dokumenta za korisničku grupu na koju su Bart, Maggie i Lisa vezani prema zadanim postavkama i stvorite određeno dopuštenje za čitanje za jednu od njih, pristup će ionako biti odbijen.

Da biste to učinili, desnom tipkom miša kliknite stavku "Korisnici" -> odaberite " Novi korisnik… “. U prozoru koji se otvori navedite ime novog administratora, njegovu lozinku, označite okvir "Lozinka ne ističe" i kliknite gumb "Kreiraj".

Račun koji smo kreirali imat će prava redovnog korisnika. Da biste mu dali status pravog administratora, morate ga dodati u odgovarajuću korisničku grupu. Da biste to učinili, dvaput kliknite na novi račun, idite na karticu "Članstvo u grupi" -> pritisnite gumb "Dodaj".

Ona želi da Maggie pročita ovaj dokument. Lisa desnom tipkom miša klikne ovu datoteku i odabere Svojstva iz skočnog izbornika koji se pojavljuje u prozoru Svojstva i klikne karticu Sigurnost. Maggie nedostaje na popisu grupa i korisnika za koje su definirana prava. Sada bira Maggieno ime s popisa. On odabire potvrdni okvir Read u stupcu Dopusti. Sada je Maggie pristupila ovoj datoteci iz svoje sesije, ali je ne može promijeniti.

Izbor # 4: Instalirajte aplikacije dostupne svima. Prema zadanim postavkama, sve aplikacije koje je instalirao administrator dostupne su drugim korisnicima, ali vlasnici ograničenih računa ne mogu instalirati nove programe, na primjer, vi ćete instalirati uslužni program za kompresiju za svoju sesiju.

U blok "Unesite naziv objekta" upišite "Administratori" i kliknite na gumb "U redu" -> "Primijeni".

3. Sada je vrijeme da se pozabavimo degradacijom trenutnog korisnika. Da biste to učinili, odaberite trenutnog korisnika na popisu i izvršite sve iste operacije koje sam gore opisao. Tek sada je potrebno dodati zapis “Korisnici”, a izbrisati zapis “Administratori”.

Izbor # 5: Prilagodite aplikacije. Postavke aplikacije obično su povezane sa svakim korisnikom. Svatko može imati svoj račun E-mail, s postavkama veze i poštanski sandučić... Dovoljno je instalirati programe iz sesija svakog korisnika. Izbor 6: Ograničite pristup aplikacijama.

Za ograničavanje pristupa aplikaciji, na primjer, za softver za trenutnu razmjenu poruka, prikažite prozor svojstava izvršne datoteke programa. Kao i kod vaših dokumenata, označit ćete potvrdni okvir Read and Execute na kartici Sigurnost pored zainteresiranih korisnika. Možete instalirati sve programe u direktorij čije ćete dozvole pomno definirati, možete definirati nove grupe koristeći alat za upravljanje računalom dostupan na Control Panel-u.

4. Nakon svega što je učinjeno, odjavite se i ponovno pokrenite računalo.

Dakle, spremili ste sve svoje postavke, ali ste snizili status korisnika, ograničavajući mu prava. Sada, kako biste izvršili bilo kakve promjene u sustavu, morat ćete pristupiti računu novostvorenog administratora.

Kako radi?

Radite u sustavu kao i obično, pokrećući poznate programe. Ako iznenada trebate unijeti promjene u sistemske datoteke, pristupite registru ili instalirajte novi program, možete to učiniti na dva načina: ili završite trenutnu sesiju i prijavite se pod administratorskim računom, koristite administratorsku "moć" bez napuštanja tekućeg računa.

Alat za skrivenu grupnu strategiju nudi više opcija za ograničavanje pristupa različitim komponentama vašeg računala. Budite oprezni pri korištenju. Na primjer, možete definirati popis neovlaštenih aplikacija za sve korisnike tako da možete. Na kartici Postavke označite potvrdni okvir Omogućeno, kliknite gumb Prikaži i kliknite Dodaj. Dok pretražuju internet, mnogima se prijeti da će udahnuti u domu korisnika. Zbog velikog broja sigurnosnih propusta u internetskim aplikacijama moguće je "uloviti" razne elektroničke hitove, dialere, viruse, spyware, adware.

Da biste to učinili, desnom tipkom miša kliknite program koji se pokreće i odaberite "Pokreni kao ..." -> u prozoru koji se pojavi navedite administratorski račun i unesite administratorsku lozinku -> kliknite "U redu". Dakle, možete pokrenuti bilo koju aplikaciju s administratorskim pravima bez napuštanja svog tekućeg računa.

Savjet:

Ovaj rizik je dodatno otežan činjenicom da većina kućnih korisnika koristi skupo računalo. U ovom slučaju npr. Ovo će biti stroga primjena ograničenog računa računa. Međutim, u kućnom okruženju, ovaj račun postaje vrlo restriktivan - mnoge aplikacije zahtijevaju administratorska prava, čak i ako koristite običan račun, nemoguće je pokrenuti neke Postavke sustava ili tako. Programer za ljestve.

Međutim, takav preglednik ili klijent e-pošte vrlo je nepraktičan – otežava pokretanje web preglednika pod drugim korisničkim računom, klik na poveznicu u e-poruci ili u aplikaciji otežava pokretanje preglednika, a korisnik je veća je vjerojatnost da će dobiti neku vrstu zlonamjernog softvera prije nego što takva ograničenja budu prihvaćena.

  • Uozbiljite se odabirom lozinke za svog administratora. Što je lozinka složenija i duža, to će je napadaču biti teže probiti.
  • Budući da ćete rijetko koristiti novi administratorski račun, zapišite lozinku koju ste stvorili na sigurnom mjestu.
  • Dodatna sigurnosna mjera bit će preimenovanje kreiranog Administratora (na primjer, umjesto "Administrator" -> "Sergey". Na taj način stvara se dodatna barijera za napadača.


Niste pronašli odgovor na svoje pitanje? Pogledaj ovdje
Linkedin – što je to i kako vam LinkedIn može pomoći da pronađete posao iz snova Linkedin profesionalna mrežaLinkedin – što je to i kako vam LinkedIn može pomoći da pronađete posao iz snova Linkedin profesionalna mreža
DDoS zaštita: DDoS GUARD - vaš siguran hostingDDoS zaštita: DDoS GUARD - vaš siguran hosting
Windows pametni telefoni sada se mogu ažurirati pomoću računalaWindows pametni telefoni sada se mogu ažurirati pomoću računala