Programy na obmedzenie prístupu k súborom a nastaveniam operačného systému

Napriek tomu, že systém Windows obsahuje nástroje na obmedzenie prístupu, v praxi sa ukazuje, že nie sú veľmi pohodlné av najbežnejších situáciách. Stačí spomenúť také jednoduché príklady ako je nastavenie hesla pre adresár alebo zabránenie otvoreniu ovládacieho panela.

Je možné poznamenať, že rodičovská kontrola bola v systéme Windows 8 vylepšená v porovnaní s jeho predchodcom Windows 7. Teraz to môžete vidieť v časti „Bezpečnosť rodiny“ na ovládacom paneli. Filter má nasledujúce funkcie:

• Filtrujte návštevy webových stránok
• Časové limity
• Obmedzenia v obchode Windows Store a hrách
• Obmedzenia aplikácie
• Zobrazenie štatistík aktivity používateľov

Z vyššie uvedeného je zrejmé, že aj tieto funkcie pomôžu správcovi počítača vyriešiť mnoho súkromných problémov. Preto budeme ďalej hovoriť o malé programy ktoré vám okrem štandardných nástrojov na správu systému Windows umožňujú obmedziť prístup k informáciám a systémovým oddielom.

Licencia: Shareware (69 dolárov)

Program Security Administrator pripomína typickú vylepšovač systému, ale s dôrazom na bezpečnosť systému. Každá z možností je zodpovedná za určité obmedzenie, a preto sa všeobecný strom nastavení nazýva „Obmedzenia“. Je rozdelená na 2 sekcie: Bežné obmedzenia a Obmedzenia užívateľa.

Prvá časť obsahuje parametre a podsekcie, ktoré sa vzťahujú na všetkých používateľov systému. Patrí sem načítanie a prihlásenie do systému, siete, Prieskumníka, samotného internetu, systému, ovládacieho panela a ďalších. Obvykle ich možno rozdeliť na obmedzenia prístupu online a offline, ale vývojári neuvažovali o obzvlášť zložitom členení podľa záložiek. V skutočnosti stačí, že každá „vychytávka“ má popis: aký vplyv na bezpečnosť má tá či ona možnosť.

V druhej časti, Používateľské obmedzenia, môžete nakonfigurovať prístup pre každého používateľa systému Windows jednotlivo. Zoznam obmedzení obsahuje sekcie Ovládacie panely, prvky rozhrania, tlačidlá, klávesové skratky, vymeniteľné médiá atď.

Export nastavení do samostatného súboru je k dispozícii, aby ho bolo možné použiť napríklad na iné konfigurácie systému. Program má vstavaného agenta na sledovanie aktivity používateľov. Súbory denníka pomôžu správcovi sledovať potenciálne nebezpečné akcie používateľov a robiť vhodné rozhodnutia. Prístup k správcovi zabezpečenia je možné chrániť heslom - v nižšie uvedených programoch je táto možnosť k dispozícii aj de facto.

Medzi nedostatky patrí malý zoznam programov, na ktoré je možné uplatniť obmedzenia: Media Player, MS Office atď. Existuje oveľa viac obľúbených a potenciálne nebezpečných aplikácií. Nedostatok aktuálnej verzie pre Windows 8 a lokalizácia komplikuje prácu-to je presne tá možnosť, keď je ťažké zaobísť sa bez základnej znalosti angličtiny.

Program je teda navrhnutý tak, aby obmedzoval prístup a flexibilne konfiguroval nastavenia zabezpečenia operačného systému.

Licencia: skúšobný softvér (23,95 dolárov)

Vo WinLocku nie je žiadna distribúcia nastavení pre všeobecné a používateľské, namiesto toho existujú sekcie „Všeobecné“, „Systém“, „Internet“. Celkovo existuje menej možností, ako ponúka správca zabezpečenia, ale s touto logikou je práca s programom pohodlnejšia.

Systémové nastavenia zahŕňajú obmedzenia prvkov plochy, prieskumníka, ponuky Štart a podobne. Môžete tiež nastaviť zákaz určitých klávesových skratiek a všetkých druhov ponúk. Ak vás zaujímajú iba tieto aspekty obmedzení, pozrite si program Deskman nižšie.

Obmedzenia funkcií internetu sú prezentované veľmi povrchne. Nahrádzajú jednu zo súčastí bezpečnosti rodiny: blokovanie stránok. Najlepším riešením bude samozrejme akýkoľvek firewall v tejto oblasti. Vzhľadom na absenciu možnosti dokonca nastaviť masku pre webové stránky nie je táto časť programu WinLock pre skúseného používateľa dôležitá.

Okrem vymenovaných sekcií stojí za zmienku „Access“, kde je k dispozícii správa aplikácií. Akýkoľvek program môže byť ľahko zaradený do čiernej listiny podľa názvu alebo ručne pridaný.

V sekciách „Súbory“ a „Priečinky“ môžete vložiť údaje, ktoré chcete skryť pred inými používateľmi. Na prístup pravdepodobne nie je dostatočná ochrana heslom (na to je potrebné obrátiť sa na pomoc iných programov, pozri nižšie).

Licencia: freeware

WinGuard možno použiť na uzamknutie aplikácií a oddielov systému Windows a na šifrovanie údajov. Program je distribuovaný v dvoch vydaniach - bezplatnom a rozšírenom. Funkčné rozdiely medzi nimi sú malé - na rovnomennej karte „Rozšírené“ existuje niekoľko možností. Medzi nimi Odpojenie internetu Prieskumník, prieskumník, proces inštalácie, zápis súborov na USB.

Kontrola spustenia aplikácií sa vykonáva na karte „Zamknutie úlohy“. Ak požadovaný program ak nie ste v zozname, môžete ho pridať sami zadaním názvu v hlavičke alebo výberom zo zoznamu otvorených v tento moment aplikácie (podobne ako WinLock). Ak porovnáte funkciu zámku s programom Security Administrator, v prípade programu WinGuard môžete zakázať obmedzenia pre účet správcu. Čiernu listinu aplikácie však nemôžete nakonfigurovať pre každého používateľa.

Šifrovanie je dostupné v sekcii Šifrovanie. Implementovaná používateľské rozhranie nepohodlné: nemôžete vytvoriť zoznam na spracovanie, nie obsahové menu... Všetko, čo musíte urobiť, je zadať adresár, ktorý bude zdrojom aj cieľom. Všetky obsiahnuté súbory budú šifrované v 128-bitovom štandarde AES (Advanced Encryption Standard). Dešifrovanie sa vykonáva rovnakým spôsobom.

Funkčnosť je teda dosť slabá, aj keď vezmeme do úvahy platenú verziu.

Licencia: shareware (34,95 dolárov)

Ďalší program na šifrovanie údajov AES, a napriek tomu je rozdiel oproti WinGuard celkom znateľný.

Po prvé, výber súborov na šifrovanie je rýchlejší. Nie je potrebné vyberať každý priečinok zvlášť, stačí si vytvoriť zoznam adresárov a súborov. Pri pridávaní rozšíreného šifrovania priečinkov je potrebné nastaviť heslo na šifrovanie.

Program nemá možnosť zadať metódu ochrany, namiesto toho vám umožňuje vybrať normanskú, vysokú alebo najvyššiu metódu.

Druhým pohodlným momentom je šifrovanie prostredníctvom kontextového menu a dešifrovanie súborov jedným kliknutím. Musíte pochopiť, že bez nainštalovaného rozšíreného šifrovania priečinkov sa údaje nedajú zobraziť, aj keď poznáte heslo. To je v kontraste k archivátorom, ktoré dokážu baliť súbory do šifrovaného a všade prístupného exe-archívu.

Pri výbere veľkého počtu súborov na šifrovanie, ako bolo zaznamenané, tlačidlo zrušenia nefunguje. Preto si musíte dávať pozor, aby ste nedostali výsledok v podobe rozbitého súboru.

Licencia: skúšobný softvér (39 €)

Program na obmedzenie prístupu k prvkom rozhrania a sekciám systému. Tu je možno vhodné ho porovnať s Security Administrator, s tým rozdielom, že Deskman sa viac koncentruje na pracovnú plochu. K dispozícii sú aj systémové možnosti, ale je to niečo, čo sa nehodí do iných sekcií: deaktivácia tlačidiel reštartu, ovládacie panely a ďalšie zmiešané možnosti.

V časti Vstup deaktivujte klávesové skratky, funkčné tlačidlá a funkcie myši. Okrem existujúceho zoznamu môžete sami definovať klávesové skratky.

Kuriózna je možnosť Zmraziť, ktorá je k dispozícii na paneli s nástrojmi. Jeho stlačením sa vytvorí „biely zoznam“ momentálne spustených aplikácií. Preto programy, ktoré nie sú zahrnuté v zozname povolených, nie sú k dispozícii, kým nie je deaktivovaná funkcia zmrazenia.

Ďalšou možnosťou spojenou s už online je bezpečné surfovanie po webe. Podstata „chránenej“ metódy spočíva v tom, že budú k dispozícii iba tie stránky, ktoré v názve obsahujú určité kľúčové slová. Túto funkciu je možné nazvať iba experimentálnou. Okrem toho sa kladie dôraz na internet Explorerčo je určite štandardný prehliadač, ale zjavne nie je jediný.

Je potrebné poznamenať pohodlné ovládanie programu. Ak chcete použiť všetky zavedené obmedzenia, stačí na paneli stlačiť tlačidlo „Zabezpečiť“ alebo obmedzenie odstrániť. Druhým bodom je, že je podporovaný vzdialený prístup k programu prostredníctvom webového rozhrania. Po predkonfigurácii je k dispozícii na adrese http: // localhost: 2288 / deskman ako ovládací panel. To vám umožní sledovať aktivitu používateľov (prezeranie denníkov), spúšťať programy, reštartovať počítač / odhlásiť sa - na jednom aj na viacerých počítačoch.

Heslo pre Disk (bezpečný NTFS)

Licencia: shareware (21 dolárov)

Program pracuje iba so súborovým systémom NTFS a svoje schopnosti používa na ukladanie informácií v skrytej oblasti.

Ak chcete vytvoriť trezor, musíte spustiť heslo pre Disk s právami správcu a vybrať disk, ktorý chcete vytvoriť. Súbory je potom možné skopírovať do chránenej oblasti pomocou virtuálneho disku. Na prístup k údajom z iného počítača nie sú potrebné žiadne práva správcu.

Vymeniteľné médiá je možné použiť aj ako úložisko. Na to musíte najskôr naformátovať disk, napríklad pomocou štandardných nástrojov systému Windows, v systéme súborov NTFS a nainštalovať heslo pre disk v prenosnej edícii.

Program sa nelíši v intuitívnom a užívateľsky príjemnom rozhraní, v skutočnosti sa ovládanie vykonáva pomocou minimálnej sady tlačidiel - „Otvoriť“ / „Odstrániť úložisko“ a „Aktivovať disk“. V demo režime je možné iba otestovať funkčnosť programu, pretože počet otvorení úložiska je obmedzený na sto.

Licencia: shareware (19,95 dolárov)

Program je navrhnutý tak, aby inštaloval údaje o hesle na vymeniteľné médiá.

Na rozdiel od Secure NTFS je dialógové okno nastavenia vďaka sprievodcovi nastavením oveľa intuitívnejšie. Ak chcete použiť ochranu, musíte zariadenie pripojiť k počítaču, vybrať ho v zozname a postupovať podľa sprievodcu inštaláciou. Po tomto postupe dostane používateľ k dispozícii disk chránený heslom. Ak ho chcete odomknúť, stačí spustiť súbor exe v koreňovom adresári disku a zadať heslo.

Šifrovaný disk je po otvorení k dispozícii ako virtuálny disk, pomocou ktorého môžete vykonávať rovnaké operácie ako s originálom. Nezabudnite, že na počítačoch, kde je zakázané spúšťanie programov tretích strán (nie na „bielom“ zozname), bude prístup k obsahu odmietnutý.

Na webových stránkach vývojárov si môžete stiahnuť aj ďalšie programy na ochranu údajov vrátane:

• Shared Folder Protector - ochrana súborov v sieti;
• Folder Protector - chráni súbory na vymeniteľných médiách.

Licencia: freeware

Malý nástroj, ktorý vám umožňuje ovládať prístup používateľov k registru a súborom, nájsť zraniteľné miesta v udelených právach. Inými slovami, program bude užitočný, ak sú nastavené prístupové práva Nástroje systému Windows.

Pohodlie tohto nástroja spočíva v tom, že operačný systém jednoducho neposkytuje prostriedky na zobrazenie prístupových práv k adresárom vo forme podrobného zoznamu. Okrem súborov môžete skontrolovať aj prístup k pobočkám registra.

Ak chcete skontrolovať prístupové práva, musíte zadať adresár alebo sekciu Register pre skenovanie a začať proces skenovania. Výsledky sa zobrazia ako stĺpce „Čítať“ / „Zápis“ / „Odmietnuť“ zodpovedajúce adresám. K vlastnostiam každej z položiek zoznamu je prístup prostredníctvom kontextového menu.

Program funguje pod všetkými operačnými systémami rodiny Windows NT.

Zhrnutie

Nástroje, o ktorých sa hovorí v recenzii, je možné použiť okrem základnej sady nástrojov systému Windows aj komplexne a navzájom. Nedajú sa kategorizovať ako „rodičovská kontrola“: niektoré funkcie sú si do istej miery podobné, ale väčšinou sa neprekrývajú.

A-pomocné programy-vylepšovače nastavení zabezpečenia, ktoré je možné použiť aj na deaktiváciu prvkov pracovnej plochy, systémových oddielov atď. WinLock má navyše vstavaný internetový filter a má schopnosť blokovať súbory a priečinky.

Medzi funkcie patrí obmedzenie prístupu k rozhraniu (vynikajúca flexibilita a), ovládanie spustenia aplikácie, internetový filter.

Kombinuje funkcie šifrovača a obmedzovača prístupu k programom a zariadeniam. má zmysel považovať ho za náhradu za šifrovanie WinGuard.

A obmedzujú prístup k údajom na vymeniteľných médiách.

- bezplatný pohodlný shell na kontrolu prístupových práv používateľov k súborom a registru.

Na obmedzenie používateľských práv existujú Rôzne druhyúčty, ale pomocou nich nemôžete nakonfigurovať všetko tak, ako chcete, napríklad v systéme Windows XP, aj keď v systéme Windows 7 už existuje viac možností na konfiguráciu typov účtov ...

Aby sme obmedzili používateľské práva v systéme Windows, existuje špeciálna služba „skupinových politík“, pomocou ktorej môžete nakonfigurovať systém tak, aby vám nikto nemohol „pokaziť“ operačný systém :)

Hneď musím povedať, že v systéme Windows XP HOME taká služba neexistuje.

Na spustenie služby „Zásady skupiny“ je potrebné spustiť príkaz „gpedit.msc“, samozrejme bez úvodzoviek. Môžete použiť klávesové skratky a stlačiť Win + R a do zobrazeného okna „Spustiť“ napísať gpedit.msc, potom stlačte kláves Enter alebo tlačidlo „Ok“. Kláves „Win“ sa nachádza v ľavej spodnej časti klávesnice, stále má logo Windows, ale aj napravo od medzerníka. Ak nemôžete nájsť tento kľúč, kliknite na štart a zvoľte „spustiť“ (Windows XP). V systéme Windows 7 kliknite na štart, zvoľte „všetky programy“ -> „štandardné“ -> „spustiť“.

Teraz teda popíšem ďalšie vykonanie akcie pre systém Windows 7, pretože nie je k dispozícii žiadny systém Windows XP, ale rozdiely v tejto službe nie sú významné.

Po vykonaní príkazu by ste mali vidieť „Miestny editor skupinové pravidlá". Vľavo je" konfigurácia počítača "a" konfigurácia používateľa ", budeme pracovať iba s konfiguráciou používateľa.

Hneď musím povedať, že vykonané zmeny sa použijú na všetkých používateľov systému, dokonca aj na správcu, to znamená, že ak obmedzíte prístup k niečomu prostredníctvom tejto služby, potom správcu automaticky zbavíte týchto práv :) je zrejmé, že to nie je dobré, a preto použijeme trik.

Aby ste obmedzili prístup všetkým okrem správcu, musíte postupovať podľa nasledujúceho algoritmu:

1. Zmeňte všetky hodnoty v skupinových politikách;
2. Odhláste sa zo systému;
3. Prihláste sa pod všetkými ostatnými používateľmi;
4. Prihláste sa ako správca;
5. Skopírujte niekde súbor C: \ Windows \ System32 \ GroupPolicy \ User \ Registry.pol;
6. Zmeňte všetky tie hodnoty, ktoré boli obmedzené (zmeňte hodnoty na „deaktivovať“ namiesto pôvodných „nenastavených“);
7. Skopírujte súbor Registry.pol späť do C: \ Windows \ System32 \ GroupPolicy \ User \;
8. Prihláste sa pod inými používateľmi a uistite sa, že je pre nich všetko „obmedzené“, ale správca nie :)

Všetko základné, takpovediac, je v administratívnych šablónach, takže tam zmeníme všetky hodnoty. Ak chcete niečo obmedziť, napríklad prístup k správcovi úloh, prejdite na „konfigurácia používateľa“ -> „Šablóny pre správu“ -> „Systém“ -> „Možnosti po stlačení klávesov CTRL + ALT + DEL“ a vyberte „Pridať správcu úloh“ , to znamená, že dvakrát klikneme alebo stlačíme kliknite pravým tlačidlom myši a z ponuky vyberte „zmeniť“, otvorí sa okno, v ktorom budete musieť vybrať „Povoliť“ a potom „použiť“. Ak je všetko vykonané správne, potom už nebudete môcť spustiť správcu úloh :)

V zásade pre mňa nemá zmysel popisovať každé „obmedzenie“, pretože v samotnej službe je všetko dobre naplánované.

Uvediem príklad, aké obmedzenia som v škole nastavil pre bežných školákov pre Windows XP Professional (všetko je v „konfigurácii používateľa“ -> „Šablóny pre správu“).

Systém

• zakázať používanie príkazového riadka;
• zakázať nástroje na úpravu registra;
• vypnúť automatické spustenie.
• Funkcie CTRL + ALT + DEL:
  1. odstrániť správcu úloh;
  2. zakázať blokovanie počítača;
  3. zakázať zmenu hesla.
• skupinové pravidlá:
  1. Zabráňte interaktívnym používateľom vo vytváraní údajov o výslednej množine zásad (RSoP).
• Ovládanie internetovej komunikácie -> Parametre internetovej komunikácie:
  1. zakázať publikovanie na webe v zozname úloh pre súbory a priečinky;
  2. zakázať účasť na programe zlepšovania podpory zákazníkov programu Windows Messenger;
  3. vypnite službu internetového združovania súborov;
  4. zakázať automatické sťahovanie kodekov v programe Windows Movie Maker;
  5. zakázať webové odkazy v programe Windows Movie Maker;
  6. zakázať ukladanie videa na webové stránky poskytovateľov hostingu videa ...;

Sieť

• offline súbory:
  1. zakázať prispôsobenie súborov offline.
• sieťové pripojenia:
  1. zákaz dodatočné prispôsobenie TCP / IP;
  2. odmietnuť prístup k príkazu „Rozšírené možnosti“ v ponuke „Rozšírené“;
  3. zakázať pridávanie a odstraňovanie komponentov pre pripojenia LAN alebo ...;
  4. odoprieť prístup k vlastnostiam pripojení do lokálna sieť;
  5. zakázať povoľovanie a zakazovanie komponentov miestnych pripojení;
  6. odmietnuť prístup k novému sprievodcovi pripojením;
  7. odmietnuť prístup k príkazu „Možnosti vzdialeného prístupu“ v ponuke „Rozšírené“.

Ovládací panel

Odmietnuť prístup k ovládaciemu panelu.

Pracovná plocha

1. odstráňte príkaz „vlastnosti“ ... (všetky 3 kusy);
2. zabrániť používateľom v zmene cesty k priečinku „Moje dokumenty“;
3. zakázať ťahanie a zatváranie všetkých panelov s nástrojmi na paneli úloh;
4. zakázať zmenu usporiadania panelov s nástrojmi pracovnej plochy;
5. odinštalujte Sprievodcu čistením pracovnej plochy;
6. odstrániť ikonu " sieťové prostredie"z pracovnej plochy;

Názov hlavného panela

1. odstrániť odkazy a odmietnuť pomocou okien Aktualizácia;
2. odstráňte „Sieťové pripojenia“ z ponuky „Štart“;
3. odstráňte ikonu „Miesta v sieti“ z ponuky „Štart“;
4. zakázať zmenu nastavení pre úlohy a ponuku Štart;
5. odmietnuť prístup do kontextovej ponuky na paneli úloh;
6. vymazať zoznam nedávno otvorených dokumentov pri výstupe;
7. zakázať skratkové ponuky;
8. opraviť polohu panela úloh;
9. odstráňte zoznam často používaných programov z ponuky Štart.

Dirigent

1. odstráňte príkaz „vlastnosti priečinka“ z ponuky „služba“;
2. skryť príkaz „ovládanie“ z kontextového menu prieskumníka;
3. odstráňte kartu „Zariadenie“;
4. vypnite ukladanie miniatúr do pamäte cache.

Zároveň som však stále obmedzil práva na zápis na pevný disk C.

© Filimoshin V. Yu., 2010

Ako ukazuje prax, čím menej používateľov má prístup k určitému počítaču, tým dlhšie na ňom systém funguje a tým je väčšia pravdepodobnosť, že priečinky a súbory budú bezpečné a zdravé. Najlepšie je, ak má počítač iba jedného používateľa. Bohužiaľ, v skutočnosti to tak nie je: v práci musíte nechať ostatných zamestnancov používať počítač, doma často používajú všetci členovia rodiny ten istý počítač a na verejných miestach (najmä vo vzdelávacích inštitúciách a v počítačoch). kluby) môže byť počet používateľov počítača vo všeobecnosti veľmi veľký.

O potrebe obmedziť prístup

Je celkom pochopiteľné, že zvyčajne kolegovia ani členovia domácnosti nechcú poškodiť váš počítač, ale ak patria do kategórie začínajúcich používateľov, problémom sa nedá vyhnúť. A mladšia generácia vo vzdelávacích inštitúciách si spravidla nestanovuje cieľ deaktivovať počítač a zničiť na ňom uložené informácie - iba aktívne experimentuje, nemyslí na dôsledky určitých akcií.

Výsledkom je, že počítače nevyhnutne pociťujú určité problémy pri prevádzke jednotlivých aplikácií alebo operačného systému. To nie je prekvapujúce, pretože stačí omylom (iba neopatrnosťou alebo počas experimentu) odstrániť napríklad ovládač monitora - a obrázok na obrazovke sa stane menej atraktívnym, odstrániť tlačiareň - a nebude možné vytlačte dokumenty, zmeňte nastavenia siete - a počítač prestane fungovať v miestnych sieťach atď. A to nie je najhoršia možnosť - náhodné vymazanie niekoľkých systémových priečinkov a súborov môže viesť k úplnej nefunkčnosti operačného systému, takže ho bude potrebné znova nainštalovať. A zničenie dôležitých pracovných dokumentov môže mať ešte smutnejšie následky - je možné, že ich nebude možné obnoviť v plnom rozsahu a časť práce (alebo dokonca všetko) bude potrebné vykonať odznova. Okrem toho by nemalo byť zľavnené, že ak majú vaše osobné alebo firemné materiály akúkoľvek obchodnú hodnotu, môžu byť chcieť byť zneužité hackermi.

Otázka obmedzenia prístupu k počítaču, jeho jednotlivým zariadeniam, ako aj k údajom na ňom uloženým, v tej či onej miere, je teda relevantná pre všetkých používateľov počítačov bez výnimky. Proste (niektorí správcovia, učitelia v počítačových triedach s deťmi domácich používateľov) sa do popredia dostávajú úlohy blokovania prístupu k nastaveniam operačného systému a ochrany súborov a priečinkov operačného systému. nainštalovaných aplikácií, a pre ostatných (sem môžu patriť administrátori, špecialisti z odborov počítačovej bezpečnosti a učitelia, ktorí sú u nás často spolu s pedagogickými činnosťami nútení zabezpečiť aj prevádzkyschopnosť počítačov, ktoré majú pod kontrolou), je dôležitejšie zablokovať prístup do rôzne zariadenia(USB, CD / DVD, FireWire atď.). Potreba zablokovať prístup k zariadeniam má tri dôvody: po prvé, práve na takýchto zariadeniach zasvätenci často odoberajú dôverné informácie zo spoločností; za druhé, vírusy a trójske kone sa prostredníctvom týchto zariadení často dostávajú do počítača; po tretie, s vymeniteľné médiá je nainštalovaných množstvo programov, čomu je žiaduce zabrániť - inak v počítači, napríklad vo vzdelávacej inštitúcii, za týždeň bude nainštalovaných toľko hračiek, že na ďalšie aplikácie jednoducho nebude priestor.

Mnoho kancelárskych pracovníkov má záujem úplne zablokovať prístup k zapnutému počítaču bez legitímneho používateľa. Potreba takejto ochrany v kancelárii je veľmi naliehavá, pretože aj keď máte vlastný počítač, používateľ nemôže byť stále blízko neho a často dochádza k situáciám, keď je počítač zapnutý bez dohľadu, ktorý môžu využiť iní zamestnancov zaujímajúcich sa o vaše materiály.

Ďalšia skupina používateľov (vrátane všetkých kancelárskych pracovníkov a domácich používateľov) sa obáva o ochranu osobných údajov, aby sa zabránilo poškodeniu, vymazaniu alebo úniku. Problém ochrany osobných priečinkov a súborov nevyhnutne vzniká, keď pri počítači pracuje niekoľko ľudí. Môže to byť doma, keď potrebujete chrániť ostatných členov rodiny (napríklad dieťa) pred informáciami, ktoré mu nie sú určené, a v práci, kde aj keď má každý používateľ svoj vlastný počítač, môžu nastať situácie, keď iný zamestnanec potrebné vykonať niektoré operácie. V oboch prípadoch nie je potrebné cudzím osobám ukazovať vaše pracovné materiály, a už vôbec nie, pretože sú klasifikované ako „prísne tajné“. Všetko je oveľa jednoduchšie: nikto nemá rád vonkajšie zasahovanie do svojich záležitostí. Navyše tým, že zablokujete prístup k svojim priečinkom a súborom, nemusíte sa obávať, že sa im niečo stane vinou iného (nedostatočne vyškoleného) používateľa alebo budú zneužité nezákonne, čo je, bohužiaľ, celkom možné, ak materiály majú obchodnú hodnotu.

Problém rozumného obmedzenia prístupu je vo všeobecnosti veľmi zložitý a mnohostranný a bez vhodných aplikácií ho nemožno vyriešiť. Tento článok je venovaný takýmto aplikáciám.

Prístup k programom obmedzenia

Rozsah aplikácií obmedzujúcich prístup ponúkaných na trhu je pomerne široký a pokrýva rôzne softvérových produktov... Niektoré z nich blokujú prístup k nastaveniam operačného systému, iné vám umožňujú ovládať prístup k rôznym zariadeniam, ďalšie v prípade neprítomnosti používateľa úplne zablokujú počítač a štvrté zaisťujú skrytie osobných údajov. Tieto schopnosti sú často kombinované v jednej alebo druhej kombinácii, čo je celkom pochopiteľné, pretože mnohí používatelia potrebujú na vyriešenie úloh, ktorým čelia, obmedziť prístup niekoľkými smermi.

Blokovanie prístupu k nastaveniam operačného systému a systémovým údajom

Vstavané nástroje systému Windows vám umožňujú uložiť určité obmedzenia prístupu používateľov k nastaveniam operačného systému a systémovým údajom pomocou správy lokálnych zásad zabezpečenia (Ovládací panel => Nástroje pre správu => Miestne zásady zabezpečenia). Môžete predovšetkým zakázať zmenu hesla účet a inštalácii ovládačov tlačiarne, obmedzte zoznam aplikácií, ktoré je možné použiť atď. Zoznam obmedzených parametrov však nie je dlhý.

V praxi je zároveň v záujme zaistenia stabilnej prevádzky systému často potrebné viac obmedziť používateľské možnosti, čo je možné vykonať iba pomocou vysoko špecializovaných nástrojov určených na riadenie prístupu k počítaču. Ako príklady sa pozrieme na správcu zabezpečenia, WinLock, Deskman a My Simple Desktop. Najzaujímavejším z nich je nástroj Security Administrator, ktorý vám umožňuje obmedziť prístup všetkým dôležité nastavenia systémov a zameral sa na správcov systému. Najmenšia funkčnosť programu My Simple Desktop, ale je bezplatná na osobné použitie a pre niektorých domácich používateľov má dostatočné možnosti a zvládnete ju v priebehu niekoľkých sekúnd.

Správca zabezpečenia 12.0

Vývojár: Getfreefile

Veľkosť distribúcie: 1,85 MB

Práca pod kontrolou: Windows 9x / Me / NT 4/2000 / XP / 2003 / Vista

Spôsob distribúcie http://www.softheap.com/download/secagent.zip)

cena: 69 USD

Security Administrator je profesionálne riešenie na správu prístupu k počítaču, ktoré vám umožňuje obmedziť prístup k počítaču a všetkým jeho dôležitým nastaveniam (obr. 1) ako celku aj pre jednotlivých používateľov. V neprítomnosti používateľa je tiež možné úplne zablokovať zapnutý počítač. Tento nástroj možno okrem nastavenia obmedzení použiť aj na kontrolu práce používateľov na počítači, pretože uchováva štatistiky o používaní miestnej siete, internetu atď.

Ryža. 1. Obmedzenie prístupu k systémovým nastaveniam a skrytie diskov
v Správcovi bezpečnosti

Toto riešenie je užitočné pri nastavovaní širokej škály obmedzení prístupu. S jeho pomocou je ľahké obmedziť prístup k nastaveniam pracovnej plochy (zakázať zmenu vlastností zobrazenia, skryť určité ikony atď.) A zakázať niektoré položky ponuky Štart, skryť panel úloh (všetky alebo iba jednotlivé položky). A tiež zakázať inštaláciu / odinštalovanie aplikácií a obmedziť možnosti používateľov pri práci na internete: zakázať zmenu nastavení programu Internet Explorer, sťahovanie súborov, prístup na internet z aplikácií atď. Existuje tiež množstvo príležitostí na ochranu dôležitých systémových nastavení pred zmenami - napríklad môžete zakázať úpravu systémového registra, aktiváciu režimu DOS, inštaláciu nových ovládačov, pridávanie / odstraňovanie tlačiarní, kopírovanie / presúvanie súborov v systémových priečinkoch a odstraňovanie súborov a priečinkov z priečinok Tento počítač ... A tiež skryť Ovládací panel, Tlačiarne, Sieťové pripojenia a príkaz Spustiť z ponuky Štart. V prípade potreby je možné ovládací panel skryť nie úplne, ale čiastočne skrytím najdôležitejších prvkov z hľadiska neoprávnených zmien, ako sú „Systém“, „Vlastnosti zobrazenia“, „Sieť“, „Heslá“ a „Tlačiarne“. “. Rovnako ľahké je skryť miestne, sieťové a USB disky, zakázať napaľovanie a automatické prehrávanie diskov CD, blokovať používanie horúcich Klávesy systému Windows a spustite konkrétne aplikácie a skryte určené priečinky - tieto priečinky sa stanú neviditeľnými v priečinku Tento počítač, v Prieskumníkovi a dialógové okná Otvárať / ukladať aplikácie systému Windows.

WinLock 5.0

Vývojár: Crystal Office Systems

Veľkosť distribúcie: 2,65 MB

Práca pod kontrolou: Windows 95/98 / Me / NT 4.0 / 2000 / XP / Vista

Spôsob distribúcie: shareware (30 -dňová ukážka - http://www.crystaloffice.com/winlock.exe)

cena WinLock - 21,95 dolárov WinLock Professional - 31,95 dolárov

WinLock je pohodlné riešenie na obmedzenie prístupu k dôležitým systémovým prostriedkom (obr. 2) a k údajom o používateľoch vrátane diaľkového ovládania. Program je prezentovaný v dvoch verziách: základný WinLock a rozšírený WinLock Professional (možnosti základnej verzie neumožňujú obmedziť prístup k webovým zdrojom a používať šifrovanie).

Ryža. 2. Obmedzenie prístupu k nastaveniam systému a skrytie jednotiek
vo WinLocku

Pomocou tohto riešenia môžete odmietnuť prístup do systémového registra, skryť v ponuke Štart príkazy na prístup k ovládaciemu panelu, tlačiarňam a sieťové pripojenia a úplne zablokovať prístup do zodpovedajúcich systémových priečinkov a do niektorých ďalších priečinkov („Tento počítač“, „Moje dokumenty“, Kôš atď.). A tiež nastaviť zákaz blokovania počítača a znemožniť zmenu nastavení na paneli úloh, nastavení zobrazenia, nastavenia siete, pridajte / odstráňte programy z ponuky Štart a premenujte ikony na ploche. Rovnako jednoduché je nastaviť zákazy aktivácie režimu DOS a zavádzania systému Windows bezpečnostný mód a blokovať klávesové skratky systému Windows (Alt + Ctrl + Del, Alt + Tab, Ctrl + Esc atď.). Ak chcete, môžete dokonca obmedziť ovládanie okien (napríklad zakázať ich zmenu veľkosti a presúvanie). Existuje program a súprava nástrojov na zablokovanie prístupu k vymeniteľným médiám (jednotky CD / DVD, zariadenia USB atď.) A skrytie zobrazenia určitých diskov v priečinku „Tento počítač“ a v Prieskumníkovi. Môžete zablokovať spustenie konkrétnych aplikácií (správcovia sťahovania, hry atď.) A odmietnuť prístup k určitým súborom a priečinkom (prvé nemožno otvoriť na zobrazenie ani úpravu a druhé nemožno otvoriť, premenovať alebo odstrániť). A tiež zabrániť prístupu k diskutabilným webovým zdrojom (na základe bieleho zoznamu povolených stránok a čierneho zoznamu zakázaných Kľúčové slová) a nastaviť limity času, počas ktorého môžu počítač používať konkrétni používatelia.

Deskman 8.1

Vývojár: Software Anfibia

Veľkosť distribúcie: 1,03 MB

Práca pod kontrolou: Windows 2000/2003 / XP / Vista

Spôsob distribúcie: shareware (30 -dňová ukážka - http://www.anfibia-soft.com/download/deskmansetup.exe)

cena: osobná licencia - 25 eur; oprávnenie na podnikanie - 35 eur

Deskman je jednoduchý nástroj na reguláciu prístupu k počítaču a jeho nastaveniam (obr. 3), ktorý vám umožňuje úplne zablokovať počítač (vrátane klávesnice, myši a pracovnej plochy) alebo obmedziť prístup k určitým funkciám (individuálne obmedzenia sú možné pre rôznych používateľov) ).

Ryža. 3. Nastavenie obmedzení v Deskman

Pomocou tohto riešenia môžete obmedziť prístup k nastaveniam pracovnej plochy (napríklad zakázať zmenu vlastností zobrazenia, odstraňovanie ikon, vyvolávanie kontextovej ponuky atď.), Prieskumník systému Windows, panel úloh, nastavenia programu Internet Explorer a zabrániť zmenám rôznych položiek v ponuke Štart. A tiež obmedziť prístup k ovládaciemu panelu a ďalším kritickým systémovým nastaveniam - napríklad zakázať odstraňovanie sieťových jednotiek, blokovať reštartovanie a vypínanie počítača atď. V prípade potreby je možné ľahko zablokovať všetky alebo iba niektoré klávesové skratky systému Windows (Alt + Ctrl + Del, Alt + Tab, Ctrl + Esc atď.) A nakonfigurovať nástroj tak, aby automatické vymazanie nové položky z automatického spustenia na ochranu pred vírusmi, modulmi adware a spywaru. Je možné nastaviť zákaz používania konkrétnych pevné disky a vymeniteľné médiá (jednotky CD / DVD, zariadenia USB, disketové jednotky atď.), Blokovanie automatického prehrávania diskov CD a ich napaľovanie. Obmedzenia môžete nastaviť pomocou prednastavených profilov (to je pohodlnejšie pre začiatočníkov a oveľa rýchlejšie) alebo ručne.

My Simple Desktop 2.0

Vývojár: Software Anfibia

Veľkosť distribúcie: 1,76 MB

Práca pod kontrolou: Windows XP / Vista

Wayrozširovanie, šírenie: My Simple Desktop Office Edition a My Simple Desktop School Edition - shareware (30 -dňové demo - http://www.mysimpledesktop.com/downloads.sm.htm); My Simple Desktop Home Edition - bezplatný softvér (http://www.mysimpledesktop.com/download/msdsetup_home.exe)

cena: My Simple Desktop Office Edition - 32 eur; Školská edícia My Simple Desktop - 20 eur; My Simple Desktop Home Edition - zadarmo (iba na osobné použitie)

My Simple Desktop je veľmi jednoduchý program obmedziť prístup k počítaču a jeho nastaveniam (obr. 4). Je uvedený v troch edíciách: platená edícia My Simple Desktop Office a My Simple Desktop School a bezplatná verzia My Simple Desktop Home (možnosti edícií sú úplne totožné).

Ryža. 4. Nastavenie obmedzení prístupu v My Simple Desktop

Pomocou tohto pomocného programu môžete chrániť pracovnú plochu, panel úloh a ponuku Štart pred zmenami, a tým znemožniť zmeny v nastaveniach zobrazenia a kontextovej ponuke programu Explorer. A tiež odmietnuť prístup k ovládaciemu panelu, vlastnostiam priečinkov a systémovému registru a zablokovať používanie klávesových skratiek systému Windows a pravého tlačidla myši. Pokiaľ ide o obmedzenie prístupu k zariadeniam, existuje zákaz používania stacionárnych jednotiek a externých zariadení USB, ako aj skrytie sieťových jednotiek a blokovanie automatického prehrávania diskov CD. V prípade potreby môžete nastaviť limit času používania počítača - rovnaký pre všetkých používateľov, okrem správcu. Obmedzenia sa konfigurujú priradením jedného z prednastavených profilov alebo ručne.

Obmedzenie prístupu k zariadeniam

Vstavané mechanizmy na distribúciu prístupových práv a nastavovanie politík zabezpečenia v operačných systémoch rodiny Windows (okrem systému Windows Vista) vám neumožňujú ovládať prístup ostatných používateľov k potenciálne nebezpečným zariadeniam (zariadenia USB, jednotky CD / DVD, FireWire a infračervené porty atď.). Takéto zariadenia môžete samozrejme deaktivovať v systéme BIOS, ale nie je to možné, pretože pri práci so zakázaným zariadením (ak je to potrebné) sa budete musieť vždy obrátiť na systém BIOS a znova ho povoliť, čo je dosť dlhé. a veľmi nepohodlné.

Oveľa zmysluplnejšie je ovládať prístup k zariadeniam pomocou ďalších aplikácií, ktoré sa môžu veľmi líšiť. V nástrojoch navrhnutých na kontrolu prístupu k nastaveniam operačného systému vrátane tých, ktoré sme zvážili, sa často poskytuje možnosť skryť alebo zablokovať zariadenia. Je pravda, že možnosti obmedzenia prístupu k zariadeniam v nich sú malé: prístup môžete ovládať ďaleko od všetkých nebezpečných zariadení a nehovoríme o ovládaní médií. Pomôcky - blokátory prístupu k zariadeniam a špecializované riešenia na ochranu systému pred únikom podnikových informácií - majú v tomto ohľade oveľa viac funkcií. Ako príklad sa pozrieme na DeviceLock, USB Lock Standard a ID Devices Lock. Najfunkčnejší z nich je program DeviceLock, pomocou ktorého môžete ovládať (a nielen blokovať) prístup jednotlivých používateľov a skupín používateľov k takmer akýmkoľvek potenciálne nebezpečným zariadeniam (a dokonca aj k médiám), ale je primárne zameraný na správcov systému . Možnosti ďalších dvoch nástrojov sú oveľa skromnejšie, ale pre väčšinu používateľov sú úplne dostatočné.

DeviceLock 6.3

Vývojár: CJSC „Smart Line Inc.“

Veľkosť distribúcie: 39,7 MB

Práca pod kontrolou: Windows NT / 2000 / XP / Vista

Spôsob distribúcie: shareware (30 -dňová ukážka - http://www.devicelock.com/ru/dl/download.html)

cena: 1300 rub.

DeviceLock je špecializované riešenie na organizáciu systému ochrany proti úniku podnikových informácií, ktorý vám umožňuje ovládať prístup k celému radu potenciálne nebezpečných zariadení: porty USB, jednotky, jednotky CD / DVD, ako aj FireWire, infračervené, paralelné a sériové porty, Adaptéry Wi-Fi a Bluetooth, páskové jednotky, PDA a smartfóny, sieťové a lokálne tlačiarne, interné a externé vymeniteľné jednotky a pevné disky. Program má centralizovaný systém diaľkové ovládanie, poskytuje prístup k všetkým funkciám z pracovnej stanice správcu systému. Takáto správa je implementovaná pomocou ďalšej konzoly DeviceLock Enterprise Manager alebo prostredníctvom zásad skupiny Actvie Directory, ktoré vám umožňujú automaticky nainštalovať DeviceLock na nové počítače pripojené k podniková sieť a vykonať konfiguráciu pre nové počítače v automatickom režime.

Je možné buď úplné zablokovanie určitého typu zariadenia, alebo čiastočné, to znamená v súlade s bielym zoznamom médií (obr. 5), v ktorom bude povolený prístup na niektoré médiá napriek blokovaniu zodpovedajúceho typu zariadenia . Môžete tiež nastaviť režim iba na čítanie a chrániť disky pred náhodným alebo úmyselným formátovaním. K dispozícii je priradenie rôznych prístupových práv k zariadeniam a I / O portom pre jednotlivých používateľov a skupiny používateľov s možnosťou nastaviť ovládanie v závislosti od času a dňa v týždni. V prípade potreby môžete všetky akcie používateľov zaznamenávať pomocou zariadení a súborov (kopírovanie, čítanie, odstraňovanie atď.) Vykonaním tieňového kopírovania.

Ryža. 5. Konfigurácia obmedzení prístupu k zariadeniam v súlade s
s bielym zoznamom médií v DeviceLock

Štandard USB Lock 3.4.1

Vývojár: Advanced Systems International SAC

Veľkosť distribúcie: 2,02 MB

Práca pod kontrolou: Windows XP / Vista

Spôsob distribúcie: shareware (10 -dňová ukážka - http://www.advansysperu.com/down_st.php)

cena: 44 dolárov

USB Lock Standard je pohodlný nástroj na zablokovanie prístupu (obr. 6) ku všetkým typom vymeniteľných médií: porty USB (disky USB, prehrávače iPod, prehrávače MP3 atď.), Zariadenia so zipsom, disketové jednotky, jednotky CD / DVD, adaptéry Bluetooth a čítačky čipových kariet (CF, SD, MMC, XD atď.). Umožňuje vám úplne zablokovať prístup k zadaným zariadeniam alebo to urobiť čiastočne otvorením prístupu k autorizovaným zariadeniam. Na odblokovanie potrebujete heslo alebo USB kľúč. Operácie s odblokovanými zariadeniami sa zaznamenávajú do denníkov.

Ryža. 6. Blokovanie prístupu
na jednotky CD / DVD v štandarde USB Lock

ID Devices Lock 1.2

Vývojár: ID Security Suite

Veľkosť distribúcie: 1,47 MB

Práca pod kontrolou: Windows 98 / NT / 2000 / XP / Vista

Spôsob distribúcie http://www.idsecuritysuite.com/files/iddeviceslocksetup.exe)

cena: 37 USD

ID Devices Lock je jednoduchý nástroj na obmedzenie prístupu (obr. 7) k zariadeniam USB, jednotkám CD a disketovým jednotkám tak, že do nich zakážete kopírovanie údajov, čo pomáha predchádzať úniku informácií na mobilných médiách. Na zrušenie blokovania je potrebná znalosť hesla.

Ryža. 7. Obmedzenie prístupu k jednotke v zámku ID Devices

Úplné zablokovanie počítača v neprítomnosti používateľa

Najľahší spôsob, ako zablokovať prístup k zapnutému počítaču, je nastaviť heslo pre šetrič obrazovky, ale to nie je najlepšia voľba, pretože heslo je možné z reštartu obrazovky bez problémov odstrániť z šetriča obrazovky. Oveľa spoľahlivejšie je úplne zablokovať počítač pomocou špeciálneho softvérových nástrojov ktorý znemožní prístup k akýmkoľvek prvkom počítača, vrátane klávesnice, myši a pracovnej plochy. Potom nebude možné na ňom zobrazovať žiadne informácie, spúšťať aplikácie, pristupovať k súborom a priečinkom (vrátane aktuálne otvorených) a dokonca reštartovať počítač stlačením kombinácie klávesov Ctrl + Alt + Del. Počítač môžete odomknúť iba vtedy, ak poznáte heslo používateľa, a jednoduchý reštart (dokonca aj v núdzovom režime) alebo výpadok napájania neodstráni ochranu.

Takéto blokovanie počítača sa zvyčajne poskytuje pomocou vysoko špecializovaných nástrojov: Desktop Lock, Lock My PC a podobne, ale tieto možnosti je možné poskytnúť aj v programoch určených na nastavenie rôznych typov obmedzení prístupu, najmä v programe Security Administrator a Deskman .

Desktop Lock 7.2.1

Vývojár: Softvér TopLang

Veľkosť distribúcie: 792 KB

Práca pod kontrolou: Windows NT / 2000 / XP / 2003 / Vista

Spôsob distribúcie: shareware (15 -dňová ukážka - http://www.toplang.com/dlsetup.exe)

cena: 24,95 dolárov

Desktop Lock je nástroj na uzamknutie počítača (obr. 8) na dobu, keď je používateľ preč. Blokovanie sa nastavuje z obslužného programu samotným stlačením určitej kombinácie klávesov automaticky v čase určenom používateľom alebo v prípade nečinnosti používateľa po určenom období. Uvedenie počítača do uzamknutého režimu môže sprevádzať spustenie šetriča obrazovky, prehrávanie zvukového alebo obrazového súboru, čo je rozumné napríklad na výstavách pri predvádzaní firemných prezentácií. Keď je myš zamknutá, je deaktivovaná a nie je možné používať hlavné klávesové skratky. Ak chcete opustiť zamknutý režim, musíte stlačiť tajnú kombináciu klávesnice alebo tlačidlo myši a zadať heslo. Ak chcete, môžete tento nástroj nakonfigurovať tak, aby zaznamenával krátke správy od iných používateľov, ktorí prišli k počítaču počas neprítomnosti jeho vlastníka a chceli mu niečo napísať.

Ryža. 8. Konfigurácia nastavení na uzamknutie počítača v programe Desktop Lock

Zamknúť môj počítač 4.7

Vývojár: FSPro Labs

Veľkosť distribúcie: 1,4 MB

Práca pod kontrolou: Windows 2000 / XP / 2003 / Vista

Spôsob distribúcie: shareware (30 -dňové demo - http://www.fsprolabs.com/download/distr/lmpc.zip)

cena: Osobná licencia - 19,95 dolárov živnostenské oprávnenie - 29,95 dolára

Lock My PC je nástroj na uzamknutie počítača (obr. 9) počas neprítomnosti používateľa. Uzamknutie počítača je jednoduché - stačí dvakrát kliknúť na zodpovedajúcu ikonu v systémovej lište alebo stlačiť špeciálnu kombináciu klávesnice. Automatické blokovanie je možné po určenom čase nečinnosti používateľov. Keď sú zamknuté, jednotky myši a jednotky CD / DVD sú deaktivované (to vám zabráni vyberať z nich disky CD) a nebude možné používať hlavné kombinácie klávesnice: Ctrl + Alt + Del, Alt + Tab atď. Na zamknutom počítači , akékoľvek, vrátane obrázkov vytvorených vlastnými rukami, vo formátoch GIF, JPEG, BMP a animovaných GIF. Počítač môžete odomknúť iba vtedy, ak poznáte heslo používateľa alebo správcu.

Ryža. 9. Konfigurácia nastavení na uzamknutie počítača v aplikácii Lock My PC

Ochrana osobných údajov

Existuje niekoľko spôsobov, ako chrániť osobné údaje pred neoprávneným prístupom: priečinky a súbory môžete komprimovať v archíve chránenom heslom; skryť ich; umiestnite do tajného priečinka, ku ktorému bude prístup pre ostatných používateľov uzavretý heslom; zašifrujte alebo vytvorte virtuálny šifrovaný disk, na ktorý môžete písať svoje tajné materiály. Výber najvhodnejšej metódy závisí od situácie, vo väčšine prípadov je však najlepšou možnosťou skryť a šifrovať priečinky a súbory, takže v tomto článku sa obmedzíme iba na ne.

Priečinky a súbory môžete teoreticky skryť pomocou vstavaného programu Možnosti systému Windows- na to stačí povoliť atribút „Skrytý“ vo vlastnostiach zodpovedajúcich objektov. Takto skryté priečinky a súbory nebudú v Prieskumníku viditeľné pre ostatných používateľov systému, ale iba vtedy, ak „Nezobrazovať skryté súbory a priečinky “. V zásade to môže stačiť na ochranu údajov pred neškolenými používateľmi. Takto skryté objekty však budú viditeľné v aplikáciách, ktoré na zobrazenie súborov a priečinkov nepoužívajú štandardný dialóg (FAR, Total Commander a pod.), Takže táto ochrana nie je veľmi dobrá.

Bezpečnejšou možnosťou ochrany údajov so vstavaným systémom Windows je použiť systém šifrovania súborov (EFS), ktorý vám umožní šifrovanie súborov povolením možnosti Šifrovať obsah na ochranu údajov v programe Explorer (Vlastnosti => Všeobecné => Rozšírené ). Takto zašifrované súbory nie je možné čítať bez znalosti hesla, ale systém EFS vám umožňuje chrániť priečinky a súbory iba v systém súborov NTFS.

Z týchto dôvodov je lepšie použiť špeciálne nástroje na ochranu osobných priečinkov a súborov. Tieto riešenia vám umožnia spoľahlivejšie skryť priečinky a súbory (nebudú viditeľné, ak deaktivujete začiarkavacie políčko „Nezobrazovať skryté súbory a priečinky“), ako aj zablokovať prístup k nim. Niektoré z týchto nástrojov navyše poskytujú aj možnosť šifrovania údajov, čím sa zabezpečí, že budú chránené pred ostatnými používateľmi, aj keď bootovanie Windows v núdzovom režime zavedenie v inom operačnom systéme alebo na inom počítači (ak HDD s chránenými informáciami). Ako príklady sa pozrieme na programy Folder Lock, Folder Guard a Hide Folders XP. Prvý poskytuje najviac vysoký stupeň ochrana šifrovaných dát, druhá dodatočne poskytuje nástroje na ochranu základných nastavení OS pred zmenami. Balíček Hide Folders XP je vo svojich schopnostiach výrazne nižší ako uvedené riešenia, ale má rozhranie v ruskom jazyku a je ponúkaný rusky hovoriacim používateľom za veľmi atraktívnu cenu.

Zámok priečinka 6.0.1

Vývojár: NewSoftware Professionals, Inc.

Veľkosť distribúcie: 2,78 MB

Práca pod kontrolou: Windows 2000 / XP / 2003 / Vista

Spôsob distribúcie: shareware (20-dňová ukážka-http://dl.filekicker.com/nc/file/130083-0M78/folder-lock.exe)

cena: 35,95 dolárov

Folder Lock je efektívne a spoľahlivé riešenie na ochranu osobných súborov, priečinkov (obr. 10) a diskov nastavením hesla, skrytím a šifrovaním (algoritmus AES s 256-bitovým kľúčom). Pre väčšiu bezpečnosť v toto rozhodnutie je povolené používať súčasne blokovanie a šifrovanie - takto chránené súbory sa nezobrazujú v programe Explorer a v aplikáciách a sú úplne neprístupné, pretože k nim nie je možné pristupovať bez znalosti hesla ani pri zavádzaní systému DOS, bezpečná Režim Windows, na inom OS alebo na inom počítači. V prípade zabudnutia hesla je možné získať prístup k údajom pomocou registračného kľúča. Pôvodné údaje, ktoré je potrebné chrániť, sa môžu nachádzať nielen na pevnom disku, ale aj na médiách USB, pamäťových kartách, Disky CD-RW, diskety a prenosné počítače. A proces inštalácie poskytnutej ochrany je možné vykonať automaticky v prípade nečinnosti počítača. V špeciálnom tajnom režime môže program skryť všetky stopy, ktoré naznačujú inštaláciu ochrany údajov do počítača: zabraňuje zobrazovaniu vlastných skratiek na ploche a v ponuke Štart, skryje údaje o inštalácii / odinštalácii v zodpovedajúcej časti ovládacieho panela, vymaže históriu a výmenu údajov vyrovnávacej pamäte atď. V záujme vyššej bezpečnosti program navyše uchováva záznamy o všetkých neúspešne zadaných heslách, aby sa odstránila ochrana, čo umožňuje používateľovi včas zaznamenať prejav nezdravého záujmu o svoj vlastný počítač pred ostatnými používateľmi.

Ryža. 10. Práca s chránenými priečinkami v balíku Folder Lock

Ochrana priečinkov 7.6

Vývojár: WinAbility Software Corporation

Veľkosťdistribučná súprava: Edície Folder Guard a Folder Guard x64 - 1,8 MB; Folder Guard Professional Edition - 2,5 MB

Práca pod kontrolou: Windows 2K / XP / 2003 / Vista

Spôsob distribúcie: shareware (30 -dňová ukážka - http://www.winability.com/folderguard/editions.htm)

cena Edície Folder Guard a Edícia Folder Guard x64 - 39,95 dolárov Folder Guard Professional Edition - 59,95 dolárov

Folder Guard je jednoduché a pohodlné riešenie na obmedzenie prístupu k priečinkom a súborom a tiež na zabránenie prístupu k mnohým nastaveniam systému Windows. Dodáva sa v troch edíciách: Folder Guard Edition, Folder Guard x64 Edition a Folder Guard Professional Edition. Prvá verzia funguje v 32-bitovej verzii Verzie systému Windows, druhý - v 64 -bitovom a tretí - v oboch.

Obmedzenie prístupu k osobným údajom sa vykonáva ich skrytím (obr. 11), nastavením režimu „iba na čítanie“ alebo zablokovaním. V tomto prípade je skrytie implementované dvoma spôsobmi: priečinky a súbory môžete skryť alebo ich nastaviť prázdne (prázdne). V druhom prípade budú priečinky viditeľné, ale po otvorení budú prázdne, aj keď v skutočnosti obsahujú informácie - táto možnosť ochrany je vhodná pre štandardné Priečinky systému Windows, ktorých úplné skrytie bude znamenať, že informácie v počítači sú zablokované, čo je nežiaduce. Chránené priečinky bez hesla nebudú k dispozícii iným používateľom systému ani vtedy, keď sa systém Windows spustí v núdzovom režime, aj keď to bude vyžadovať určité nastavenia v programe. V prípade, že heslo zabudnete, môžete ho obnoviť pomocou bezplatného nástroja na núdzovú obnovu (http://www.winability.com/folderguard/eru.htm). Program môže fungovať aj v tajnom režime, v ktorom budú skryté vlastné skratky a súbory.

Ryža. 11. Skrytie priečinka v programe Folder Guard

Pomocou programu Folder Guard môžete tiež chrániť základné nastavenia operačného systému pred úpravami (obr. 12) - najmä blízky prístup k vlastnostiam panela úloh, ponuky Štart a množstva ďalších okien, zákaz ukladania vlastností zobrazenia (ak majú bolo zmenené), zablokovať priečinky so zmenami vlastností a Nastavenia internetu Prieskumník, nezobrazovať ikony na ploche. A tiež zabrániť zmene parametrov kritických pre prevádzku systému zatvorením prístupu k ovládaciemu panelu a nastavením série zákazov: prístup k systémový register, pridávanie / odoberanie tlačiarní, pomocou príkazu „Spustiť“ atď. Konkrétne disky môžete tiež skryť v priečinkoch Tento počítač, Prieskumník a štandardných dialógových oknách Otvoriť / Uložiť a blokovať napaľovanie diskov CD / DVD. Pre rôznych používateľov je možná odlišná sada takýchto obmedzení.

Ryža. 12. Nastavenie obmedzení prístupu k nastaveniam systému Windows
v priečinku Guard

Skryť priečinky XP 2.9.8

Vývojár: FSPro Labs

Veľkosť distribúcie: 1,23 MB

Práca pod kontrolou: Windows 2000 / XP / 2003 / Vista

Spôsob distribúcie: shareware (30 -dňová ukážka - http://www.fsprolabs.com/download/distr/hfxp.zip)

cena: 29,95 dolárov (v obchode Softkey.ru - 400 rubľov)

Hide Folders XP je jednoduchý program na ochranu priečinkov a súborov (obr. 13) pred neoprávneným prístupom ich skrytím a / alebo zablokovaním. Chránené priečinky nebudú k dispozícii iným používateľom vrátane správcu systému, aj keď sa systém Windows spustí v núdzovom režime. V takom prípade budú pred odstránením chránené nielen chránené priečinky a súbory, ale aj priečinky, ktoré ich obsahujú. A aby ostatní používatelia nehádali o prítomnosti chránených údajov v počítači, program môže odstrániť stopy nainštalovanej ochrany a môže sa skryť (nemusí sa zobraziť v zozname často sťahovaných programov, nezobrazovať riadok na odinštalovanie) na ovládacom paneli, skryť sa v zozname spustených procesov atď.).

Ryža. 13. Práca s chránenými súbormi v prostredí Hide Folders XP

Zdá sa mi, že v tejto situácii by mohol fungovať nasledujúci recept: musíte vytvoriť dve skupiny, nazvime ich PCComission a UserComission.
Zahrňte do svojho zloženia počítače a používateľov provízneho oddelenia, resp.
Potom vytvorte objekt skupinovej politiky a prepojte ho s OU SUS, pričom zo skupiny Auth Users odstráňte aplikovanú politiku a namiesto toho ju pridajte do skupiny PCComission. Potom vo vlastnostiach politiky pomocou mechanizmu obmedzujúceho členstvo v skupine vylúčte skupinu doménových používateľov z miestnej skupiny používateľov, ale pridajte skupinu UserComission

Vadim, upozornil som, že sa mýliš, pretože tvoj recept nebude fungovať: vylúčenie používateľov domény zo vstavanej skupiny používateľov počítačov neobmedzí používateľov domény na lokálny vstup k tomuto počítaču. To je všetko. Neurazte sa, ale vaše „zdá sa mi, že ...“ by ste mali predtým skontrolovať a ponúknuť ako recept. Zapamätajte si / skontrolujte stav typického členstva „Builtin \ Users“ na členskom počítači v doméne AD, o oprávneniach, nakoniec ...

Áno, a ešte jedna vec, nemusíte cvičiť sami seba, nieto ešte poradiť neskúsenému správcovi, aby bez dobrého dôvodu zmenil referenčný model zabezpečenia. Najprv tým privediete viac problémov než získať bonusy, a za druhé - môže vás pripraviť o technickú podporu!

Vadim, ak môžeš vysvetliť, kde sa mýlim, budem ti vďačný. :)

Pridajte: Vadim a o predmete politiky. No, nech UCP vezme najmenej 10 megabajtov v SYSVOL a rovnaké množstvo do kontajnera AD - tak čo? Replikácia je optimalizovaná, klient si päťkrát denne znova nestiahne UCP a správca ho nezmení, pretože sa nedá nič robiť - však? Vo všeobecnosti je lepšie vytvárať viac OCP a často - len tak je to možné, ako sa pošťuchovať vo vinaigrette.

Ďakujem svojej manželke Katyi, Klevoginovi S.P., Kozlovovi S.V., Muravlyannikovi N.A., Nikitinovi I.G., Shapirovi L.V. pre moje znalosti! :)

Dmitry, v skutočnosti som to už vysvetlil v jednom z predchádzajúcich príspevkov tohto vlákna: 21. augusta 2009 10:26.
Tak poďme znova. Môj návrh pozostával z myšlienky zmeniť pomocou mechanizmu „Obmedzené skupiny“ zloženie miestnej skupiny Používatelia / Používatelia na počítačoch provízneho oddelenia, aby sa do nich nemohli prihlásiť používatelia obchodného oddelenia (koniec koncov , práve prostredníctvom členstva v tejto skupine majú také právo). Pravda, túto myšlienku som formuloval náhodne, bolo správne povedať „nevylúčiť skupinu doménových používateľov z miestnej skupiny používateľov“, ale „vymazať miestnu skupinu používateľov“, ale to nemení podstatu, pretože keď sa zásada uplatní, skupinu iba vyčistí pred pridaním výslovne uvedenou v sekcii Obmedzené skupiny. V tomto prípade teda nie je potrebné pamätať si na predvolené zloženie skupiny. Aj keď to nebolí;) A nielenže si spomínam na privilégiá, ale ich navrhujem aj využiť, a to Allow Logon Locally.
Ak niečomu stále nerozumiete, opýtajte sa konkrétne - pokúsim sa to vysvetliť jasnejšie.
Dmitry, sám vidím niektoré bonusy. A pred akými konkrétnymi problémami varujete mňa a ďalších neskúsených správcov v súvislosti so zmenou zloženia skupiny Používatelia?
A preboha mi vysvetlite, ako to môže mať vplyv technická podpora? A koho?
No a o veľkosti predmetu politiky. Ak ste za 128k kanálom nenašli ovládač a neboli replikované takmer po celú dobu životnosti náhrobných predmetov, pri skúmaní infraštruktúry zákazníka, nebude pre vás ľahké pochopiť moje obavy;) Toto je napriek tomu, že počet GPO bol viac ako 100.
A vaše tvrdenie, že „je lepšie vytvárať viac UCP a často - len tak je to možné“, mi napríklad nie je zrejmé.
Som zástancom opačného uhla pohľadu: ak existujú dve možnosti riešenia problému, vytvorením skupiny alebo GPO, vyberiem prvú.
Je pre mňa výhodnejšie implementovať delegovanie právomocí. A trvanie procesu sťahovania / prihlasovania priamo závisí od počtu použitých GPO. Ale opäť je to vec vkusu.

Dúfam, že technická časť je vyjasnená.
Potom, Dmitrij, pár slov o etike diskusie.
1. Ak ste už vyjadrili svoj názor na moju nesprávnosť, potom by som rád videl argumentáciu tohto názoru v tom istom príspevku.
2. " Neurazte sa, ale vaše „zdá sa mi, že ...“ by ste mali predtým skontrolovať a ponúknuť ako recept.„Takže som nebol príliš lenivý a znova som sa skontroloval - recept funguje. Overili ste si to sami predtým, ako ste tvrdili, že„ recept nebude fungovať? “, Bolo by vhodné skontrolovať si svoje tvrdenie experimentom.
3. Ďakujem za vašu radu, ale ja som vás o to nepožiadal. Aj keď nevylučujem, že jedného dňa sa obrátim :)
Nech mi Vitaliy Shestakov odpustí ďalší plameň.

Dnes budeme naďalej hovoriť o počítačovej bezpečnosti. A ešte jeden krok v tomto smere - používateľ.

Pri inštalácii operačnej sály Systémy Windows používateľovi sú udelené práva správcu. Inými slovami, má absolútnu slobodu konania na PC. Ale aj škodlivý softvér, ktorá získala prístup k počítaču, má rovnaké práva. A to je už vážna zraniteľnosť v našom bezpečnostnom systéme. Je čas zaplátať diery.

V tomto článku budeme analyzovať algoritmus na prechod z administrátora na bezpečnejší účet pri zachovaní všetkých nastavení.

Prečo je potrebné obmedzenie účtu?

1. Všetky softvérové ​​produkty uvedené na trh s oprávneniami správcu majú na PC úplnú voľnosť činnosti, ktorú určite využijú vývojári škodlivého kódu (vírusy a nebezpečné skripty).

Napríklad na to, aby sa vírus mohol „zaregistrovať“ vo vašom operačnom systéme, musí vykonať zmeny v položkách registra. Užívateľ s obmedzenými právami nebude môcť vykonávať zmeny v nastaveniach OS. A preto škodlivý vírus, spustený s rovnakými obmedzenými právami, nebude schopný ochranu prelomiť systémové nastavenia a zanechajte „stopu“ vo svojom registri.

Keď pristupujete na internet s právami správcu, útočníkovi pomôžete ukradnúť vaše heslá, poverenia uložené v systémových súboroch operačného systému. Nebezpečný skript s právami správcu prečíta všetky vaše tajomstvá a prenesie ich na svojho vlastníka.

Vytvorením obmedzenia používateľského účtu nielenže vyriešite tieto problémy, ale tiež zabránite vstupu bežného vírusu (porno banner, ktorý blokuje prevádzku počítača) do vášho počítača.

2. S právami správcu môžu neskúsení používatelia omylom vykonávať kritické zmeny v systéme Súbory systému Windows, uvedenie OS do nefunkčného stavu. Chráňte svoj systém pred náhodnými chybami - znížte používateľské práva.

Zmena práv používateľského účtu

Pretože operačný systém už ho máme nainštalovaný a funguje normálne, potom pôjdeme nasledujúcou cestou: zmeníme typ predtým vytvoreného účtu (znížením jeho práv) a pridáme nového používateľa s právami správcu (v mene ktorého budeme vykonávať zmeny systémových súborov a registra OS).

1. Prvým krokom je dať veci do poriadku s existujúcimi účtami. Ak to chcete urobiť, prejdite do Centra ovládania účtu (kliknite pravým tlačidlom myši na ikonu „Tento počítač“ -> „Správa“ -> „Miestni používatelia a skupiny“ -> „Používatelia“).

Odstráňte všetky položky okrem existujúceho a hosťa (ktoré by mali byť vypnuté).

2. Zníženie práv aktuálneho účtu na úroveň bežného používateľa nebude fungovať, pretože systém musí mať používateľa s právami správcu. Preto najskôr vytvoríme ďalšieho správcu a až potom znížime práva súčasného používateľa.

Ak to chcete urobiť, kliknite pravým tlačidlom myši na položku „Používatelia“ -> vyberte „ Nový užívateľ... “. V okne, ktoré sa otvorí, zadajte meno nového správcu, jeho heslo, začiarknite položku „Heslo nevyprší“ a kliknite na tlačidlo „Vytvoriť“.

Nami vytvorený účet bude mať práva bežného používateľa. Aby ste mu dali status skutočného správcu, musíte ho pridať do príslušnej skupiny používateľov. Ak to chcete urobiť, dvakrát kliknite na nový účet, prejdite na kartu „Členstvo v skupine“ -> kliknite na tlačidlo „Pridať“.

Do bloku „Zadajte názov objektu“ napíšte „Správcovia“ a kliknite na tlačidlo „OK“ -> „Použiť“.

3. Teraz je čas zaoberať sa znížením úrovne súčasného používateľa. Ak to chcete urobiť, vyberte aktuálneho používateľa v zozname a vykonajte všetky rovnaké operácie, ktoré som popísal vyššie. Len teraz je potrebné pridať záznam „Používatelia“ a vymazať záznam „Administrátori“.

4. Potom, čo ste urobili všetko, odhláste sa a reštartujte počítač.

Uložili ste teda všetky svoje nastavenia, ale znížili ste stav používateľa a obmedzili ste jeho práva. Teraz, aby ste mohli vykonať akékoľvek zmeny v systéme, budete musieť získať prístup k novovytvorenému účtu správcu.

Ako to funguje?

V systéme pracujete ako obvykle a spúšťate známe programy. Ak zrazu potrebujete vykonať zmeny v systémových súboroch, otvorte register alebo nainštalujte nový program, môžete to urobiť dvoma spôsobmi: buď ukončite aktuálnu reláciu a prihláste sa pod účtom Administrator, použite „moc“ správcu bez toho, aby ste opustili aktuálny účet.

Ak to chcete urobiť, kliknite pravým tlačidlom myši na spustený program a v zobrazenom okne zvoľte „Spustiť ako ...“ -> zadajte účet správcu a zadajte heslo správcu -> kliknite na „OK“. Môžete teda spustiť akúkoľvek aplikáciu s právami správcu bez toho, aby ste museli opustiť svoj súčasný účet.

Rada:

• S výberom hesla pre správcu vážne. Čím je heslo zložitejšie a dlhšie, tým ťažšie bude pre útočníka heslo prelomiť.
• Pretože nový účet správcu budete používať len zriedka, zapíšte si heslo, ktoré ste vytvorili, na bezpečnom mieste.
• Ďalším bezpečnostným opatrením bude premenovanie vytvoreného správcu (napríklad namiesto „správca“ -> „Sergey). Tým sa útočníkovi vytvorí ďalšia bariéra.