Programi za omejitev dostopa do datotek in nastavitev operacijskega sistema

Kljub temu, da Windows vključuje orodja za omejevanje dostopa, se v praksi izkaže, da niso zelo priročna in v najbolj običajnih situacijah. Dovolj je omeniti take preprosti primeri na primer nastavitev gesla za imenik ali preprečitev odpiranja nadzorne plošče.

Opozoriti je treba, da je bil starševski nadzor v sistemu Windows 8 izboljšan v primerjavi s predhodnikom Windows 7. Zdaj ga lahko vidite v razdelku "Družinska varnost" na nadzorni plošči. Filter ima naslednje lastnosti:

• Filtrirajte obiske spletnega mesta
• Roki
• Omejitve v trgovini Windows in igrah
• Omejitve uporabe
• Ogled statistike dejavnosti uporabnikov

Iz zgoraj navedenega je jasno, da bodo tudi te funkcije pomagale skrbniku računalnika pri reševanju številnih zasebnih vprašanj. Zato bomo nadalje govorili majhni programi ki vam omogočajo, da poleg standardnih orodij za upravljanje sistema Windows omejite dostop do informacij in sistemskih particij.

Licenca: Shareware (69 USD)

Program Security Administrator je podoben tipičnemu sistemskemu tweakerju, vendar s poudarkom na sistemski varnosti. Vsaka od možnosti je odgovorna za določeno omejitev, zato se splošno drevo nastavitev imenuje »Omejitve«. Razdeljen je na 2 razdelka: Skupne omejitve in Omejitve uporabnikov.

Prvi razdelek vsebuje parametre in pododdelke, ki veljajo za vse uporabnike sistema. Ti vključujejo nalaganje in prijavo v sistem, omrežje, Explorer, internet sam, sistem, nadzorno ploščo in druge. Običajno jih lahko razdelimo na omejitve dostopa do spleta in brez povezave, vendar razvijalci niso upoštevali posebej zapletene razčlenitve po zavihkih. Pravzaprav je dovolj, da ima vsak "poteg" opis: kakšen vpliv na varnost ima ta ali ona možnost.

V drugem razdelku, Uporabniške omejitve, lahko konfigurirate dostop za vsakega uporabnika sistema Windows posebej. Seznam omejitev vključuje razdelke Nadzorne plošče, elementi vmesnika, gumbi, vroče tipke, odstranljivi mediji itd.

Izvoz nastavitev v ločeno datoteko je omogočen, tako da ga je mogoče uporabiti na primer za druge sistemske konfiguracije. Program ima vgrajen agent za sledenje dejavnosti uporabnikov. Datoteke dnevnika bodo administratorju pomagale slediti potencialno nevarnim dejanjem uporabnikov in sprejemati ustrezne odločitve. Dostop do skrbnika zaščite je mogoče zaščititi z geslom - v spodaj obravnavanih programih je ta možnost na voljo tudi de facto.

Med pomanjkljivostmi je majhen seznam programov, za katere lahko veljajo omejitve: Media Player, MS Office itd. Obstaja veliko več priljubljenih in potencialno nevarnih aplikacij. Delo otežuje pomanjkanje posodobljene različice za Windows 8 in lokalizacije-to je ravno možnost, ko je težko narediti brez osnovnega znanja angleščine.

Tako je program zasnovan tako, da omejuje dostop in prilagodljivo konfigurira varnostne nastavitve OS.

Licenca: poskusna programska oprema (23,95 USD)

V WinLocku ni distribucije nastavitev za splošno in uporabnika, namesto tega so razdelki "Splošno", "Sistem", "Internet". Skupaj je manj možnosti, kot jih ponuja varnostni skrbnik, vendar je zaradi te logike program priročnejši za delo.

Sistemske nastavitve vključujejo omejitve elementov namizja, raziskovalca, menija Start in podobno. Prav tako lahko nastavite prepoved nekaterih bližnjičnih tipk in vseh vrst menijev. Če vas zanimajo le ti vidiki omejitev, si oglejte spodnji program Deskman.

Omejitve internetnih funkcij so predstavljene zelo površno. Nadomeščajo eno od sestavin družinske varnosti: blokiranje spletnih mest. Seveda bo kateri koli požarni zid na tem področju najboljša rešitev. Zaradi pomanjkanja možnosti celo nastavitve maske za spletna mesta je ta del WinLocka nepomemben za izkušenega uporabnika.

Poleg poimenovanih razdelkov velja omeniti še »Access«, kjer je na voljo upravljanje aplikacij. Vsak program je mogoče zlahka uvrstiti na črni seznam po imenu ali ročno dodati.

V razdelkih »Datoteke« in »Mape« lahko vnesete podatke, ki jih želite skriti pred drugimi uporabniki. Morda za dostop ni dovolj zaščite z geslom (za to se morate obrniti na pomoč drugih programov, glejte spodaj).

Licenca: brezplačna programska oprema

WinGuard lahko uporabite za zaklepanje aplikacij in particij sistema Windows ter za šifriranje podatkov. Program je razdeljen v dveh izdajah - brezplačni in napredni. Funkcionalne razlike med njimi so majhne - na istoimenskem zavihku "Napredno" obstaja več možnosti. Med njimi Prekinitev povezave z internetom Raziskovalec, raziskovalec, postopek namestitve, zapisovanje datotek na USB.

Nadzor nad zagonom aplikacij se izvaja na zavihku "Zaklepanje opravil". Če želeni program ni na seznamu, lahko ga dodate sami, tako da določite ime v glavi ali izberete s seznama odprtih v ta trenutek aplikacije (podobno kot WinLock). Če primerjate funkcijo zaklepanja z varnostnim skrbnikom, lahko v primeru WinGuarda onemogočite omejitve za skrbniški račun. Ne morete pa konfigurirati črnega seznama aplikacij za vsakega uporabnika.

Šifriranje je na voljo v razdelku Šifriranje. Izvedeno Uporabniški vmesnik neprijetno: ne morete narediti seznama za obdelavo, ne kontekstni meni... Vse kar morate storiti je, da določite imenik, ki bo hkrati vir in cilj. Vse datoteke bodo šifrirane v 128-bitnem AES (Advanced Encryption Standard). Dešifriranje se izvede na enak način.

Tako je funkcionalnost precej slaba, tudi če upoštevamo plačljivo različico.

Licenca: shareware (34,95 USD)

Še en program za šifriranje podatkov AES, vendar je razlika od WinGuarda precej opazna.

Prvič, izbira datotek za šifriranje je hitrejša. Ni vam treba izbrati vsake mape posebej, samo naredite seznam imenikov in datotek. Pri dodajanju naprednega šifriranja map je treba nastaviti šifriranje.

Vi v programu ne morete določiti načina zaščite, namesto tega vam omogoča, da izberete normansko, visoko ali najvišjo metodo.

Drugi primeren trenutek je šifriranje prek kontekstnega menija in dešifriranje datotek z enim klikom. Zavedati se morate, da brez nameščenega naprednega šifriranja map podatkov ni mogoče videti, tudi če poznate geslo. To je v nasprotju z arhivarji, ki lahko datoteke pakirajo v šifriran in povsod dostopen exe-arhiv.

Pri izbiri velikega števila datotek za šifriranje, kot je bilo opaženo, gumb za preklic ne deluje. Zato morate biti previdni, da ne dobite rezultata v obliki zlomljene datoteke.

Licenca: poskusna programska oprema (39 €)

Program za omejevanje dostopa do elementov vmesnika in sistemskih odsekov. Morda ga je tukaj primerno primerjati z varnostnim skrbnikom, s to razliko, da je Deskman bolj osredotočen na namizje. Sistemske možnosti so prav tako prisotne, vendar to ni primerno za druge razdelke: onemogočanje gumbov za ponovni zagon, nadzorne plošče in druge mešane možnosti.

V razdelku Vnos onemogočite bližnjice, funkcijske gumbe in funkcije miške. Poleg obstoječega seznama lahko bližnjice na tipkovnici določite sami.

Zanimiva je možnost zamrznitve, ki je na voljo v orodni vrstici. S pritiskom nanj se oblikuje "beli seznam" trenutno izvajanih aplikacij. V skladu s tem programi, ki niso vključeni na seznam dovoljenih, niso na voljo, dokler funkcija zamrznitve ni onemogočena.

Druga možnost, povezana s že na spletu, je varno brskanje po spletu. Bistvo »zaščitene« metode je, da bodo na voljo le tiste strani, ki v naslovu vsebujejo določene ključne besede. To funkcijo lahko imenujemo le eksperimentalna. Poleg tega je poudarek na internet Explorer ki je zagotovo standardni brskalnik, a očitno ne edini.

Opozoriti je treba na priročen nadzor programa. Če želite uporabiti vse uveljavljene omejitve, samo pritisnite gumb "Zaščiti" na plošči ali tipko šef, da odstranite omejitve. Druga točka je, da je podprt oddaljeni dostop do programa prek spletnega vmesnika. Po predhodni konfiguraciji je na voljo na naslovu http: // localhost: 2288 / deskman kot nadzorna plošča. To vam omogoča spremljanje dejavnosti uporabnikov (ogled dnevnikov), zagon programov, ponovni zagon računalnika / odjavo - tako na enem kot na več strojih.

Geslo za Drive (Secure NTFS)

Licenca: shareware (21 USD)

Program deluje samo z datotečnim sistemom NTFS in uporablja svoje zmogljivosti za shranjevanje informacij na skritem območju.

Če želite ustvariti trezor, morate zagnati Password for Drive s skrbniškimi pravicami in izbrati pogon za ustvarjanje trezorja. Datoteke lahko nato z virtualnim diskom kopirate na zaščiteno območje. Za dostop do podatkov iz drugega računalnika niso potrebne skrbniške pravice.

Odstranljive medije lahko uporabite tudi kot shranjevalnik. Če želite to narediti, morate najprej formatirati disk, na primer s standardnimi orodji Windows, v NTFS in namestiti Password for Drive v prenosni izdaji.

Program se ne razlikuje po intuitivnem in uporabniku prijaznem vmesniku, pravzaprav nadzor izvaja minimalni nabor gumbov - "Odpri" / "Izbriši pomnilnik" in "Aktiviraj disk". V predstavitvenem načinu je mogoče preizkusiti le funkcionalnost programa, saj je število odprtin za shranjevanje omejeno na sto.

Licenca: shareware (19,95 USD)

Program je namenjen namestitvi podatkov o geslih na izmenljive medije.

Za razliko od Secure NTFS je nastavitveno pogovorno okno zaradi čarovnika za nastavitev veliko bolj intuitivno. Če želite uporabiti zaščito, morate napravo povezati z računalnikom, jo ​​izbrati na seznamu in slediti čarovniku za namestitev. Po tem postopku uporabnik dobi na voljo disk, zaščiten z geslom. Če ga želite odkleniti, zaženite exe datoteko v korenu diska in vnesite geslo.

Šifriran disk je po odprtju na voljo kot virtualni disk, s katerim lahko izvedete iste operacije kot pri izvirniku. Ne pozabite, da bo v računalnikih, kjer je prepovedan zagon programov tretjih oseb (ki niso na "belem" seznamu), dostop do vsebine zavrnjen.

Na spletnem mestu razvijalcev lahko prenesete tudi druge programe za zaščito podatkov, vključno z:

• Zaščita map v skupni rabi - zaščita datotek v omrežju;
• Folder Protector - ščiti datoteke na izmenljivih medijih.

Licenca: brezplačna programska oprema

Majhen pripomoček, ki vam omogoča nadzor dostopa uporabnikov do registra in datotek, poiščite ranljivosti v podeljenih pravicah. Z drugimi besedami, program bo koristen, če so nastavljene pravice dostopa Orodja za Windows.

Priročnost pripomočka je v tem, da OS preprosto ne ponuja sredstev za ogled pravic dostopa do imenikov v obliki podrobnega seznama. Poleg datotek lahko preverite tudi dostop do vej registra.

Če želite preveriti pravice dostopa, morate za skeniranje določiti imenik ali razdelek registra in zagnati postopek skeniranja. Rezultati so prikazani kot stolpci "Preberi" / "Zapiši" / "Zavrni", ki ustrezajo naslovom. Do lastnosti vsakega elementa seznama lahko dostopate prek kontekstnega menija.

Program deluje v vseh operacijskih sistemih družine Windows NT.

Povzetek

Pripomočki, obravnavani v pregledu, se lahko uporabljajo poleg osnovnega orodja Windows, v kompleksnem in med seboj. Ne moremo jih opredeliti kot "starševski nadzor": nekatere funkcije so nekoliko podobne, vendar se večinoma ne prekrivajo.

In-pripomočki-tweakers varnostnih nastavitev, ki jih lahko uporabite tudi za onemogočanje elementov namizja, sistemskih particij itd. Poleg tega ima WinLock vgrajen internetni filter in ima možnost blokiranja datotek in map.

Funkcije vključujejo omejevanje dostopa do vmesnika (boljše pri prilagodljivosti in), nadzor zagona aplikacij, internetni filter.

Združuje funkcije šifrirja in omejevalnika dostopa do programov in naprav. smiselno ga je obravnavati kot zamenjavo za WinGuard v smislu šifriranja.

Omejujejo dostop do podatkov na izmenljivih medijih.

- brezplačna in priročna lupina za preverjanje pravic dostopa uporabnikov do datotek in registra.

Za omejitev pravic uporabnikov obstajajo Različne vrste računov, vendar s pomočjo njih ne morete konfigurirati vsega, kot želite, na primer v sistemu Windows XP, čeprav je v sistemu Windows 7 že več možnosti za konfiguracijo vrst računov ...

Za lažje zmanjšanje uporabniških pravic v sistemu Windows obstaja posebna storitev "pravilnikov skupin", s katero lahko sistem konfigurirate tako, da nihče ne more "pokvariti" vašega operacijskega sistema :)

Takoj moram reči, da v sistemu Windows XP HOME ni take storitve.

Če želite zagnati storitev »pravilnik skupine«, morate zagnati ukaz »gpedit.msc«, seveda brez narekovajev. Uporabite lahko bližnjice in pritisnete Win + R ter v okno "execute", ki se prikaže, vnesite gpedit.msc, nato pritisnite Enter ali gumb "Ok". Tipka "Win" se nahaja v spodnjem levem kotu tipkovnice, še vedno ima logotip Windows, pa tudi desno od preslednice. Če tega ključa ne najdete, kliknite na start in izberite "run" (Windows XP). Za Windows 7 kliknite na start, izberite "vsi programi" -> "standardni" -> "zaženi".

Zdaj bom opisal nadaljnjo izvedbo dejanja za Windows 7, saj pri roki ni operacijskega sistema Windows XP, vendar razlike v tej storitvi niso pomembne.

Po izvedbi ukaza bi morali videti "Lokalni urejevalnik skupinsko politiko". Na levi sta" konfiguracija računalnika "in" konfiguracija uporabnika ", delali bomo le v konfiguraciji uporabnika.

Takoj moram reči, da bodo izvedene spremembe veljale za vse uporabnike sistema, tudi za skrbnika, to je, če omenite dostop do nečesa prek te storitve, potem boste administratorju samodejno odvzeli te pravice :) Jasno je, da to ni dobro, zato bomo uporabili trik.

Če želite omejiti dostop vsem, razen skrbniku, morate ravnati po naslednjem algoritmu:

1. Spremenite vse vrednosti v pravilnikih skupine;
2. Odjavite se iz sistema;
3. Prijavite se pod vsemi drugimi uporabniki;
4. Prijavite se kot skrbnik;
5. Kopirajte datoteko C: \ Windows \ System32 \ GroupPolicy \ User \ Registry.pol;
6. Spremenite vse tiste vrednosti, ki so bile omejene (spremenite vrednosti na »onemogoči«, namesto prvotne »ni nastavljeno«);
7. Kopirajte datoteko Registry.pol nazaj v C: \ Windows \ System32 \ GroupPolicy \ User \;
8. Prijavite se pod drugimi uporabniki in se prepričajte, da jim je vse "posekano", skrbnik pa ne :)

Vse osnovno je tako rekoč v administrativnih predlogah, zato bomo tam spremenili vse vrednosti. Če želite nekaj omejiti, na primer dostop do upravitelja opravil, pojdite na "uporabniška konfiguracija" -> "Upravne predloge" -> "Sistem" -> "Možnosti po pritisku CTRL + ALT + DEL" in izberite "Dodaj upravitelja opravil" , to pomeni, da dvokliknemo ali pritisnemo desni klik in v meniju izberite »spremeni«, odprlo se bo okno, kjer boste morali izbrati »Omogoči«, nato »Uporabi«. Če je vse narejeno pravilno, upravitelja opravil ne boste mogli več zagnati :)

Načeloma mi tukaj nima smisla slikati vseh »omejitev«, saj je v sami storitvi vse dobro načrtovano.

Dal vam bom primer, kakšne omejitve sem postavil v šoli za navadne šolarje za Windows XP Professional (vse je v "konfiguraciji uporabnika" -> "Upravne predloge").

Sistem

• prepovedati uporabo ukazne vrstice;
• onemogočite orodja za urejanje registra;
• onemogoči samodejni zagon.
• Funkcije CTRL + ALT + DEL:
  1. odstranite upravitelja opravil;
  2. prepovedati blokiranje računalnika;
  3. prepovedati spreminjanje gesla.
• pravilnik skupine:
  1. Preprečite interaktivnim uporabnikom, da bi ustvarili podatke rezultatov nabora pravilnikov (RSoP).
• Nadzor internetne komunikacije -> Parametri internetne komunikacije:
  1. onemogočite spletno objavljanje na seznamu opravil za datoteke in mape;
  2. onemogočiti sodelovanje v programu za izboljšanje podpore strankam programa Windows Messenger;
  3. onemogočite storitev povezovanja internetnih datotek;
  4. onemogočite samodejni prenos kodekov za Windows Movie Maker;
  5. onemogočite spletne povezave v programu Windows Movie Maker;
  6. onemogoči shranjevanje videa na spletnih mestih ponudnikov video gostovanja ...;

Omrežje

• datoteke brez povezave:
  1. onemogoči prilagajanje datotek brez povezave.
• omrežne povezave:
  1. prepoved dodatna prilagoditev TCP / IP;
  2. zavrniti dostop do ukaza "Napredne možnosti" v meniju "Napredno";
  3. prepovedati dodajanje in odstranjevanje komponent za povezave LAN ali ...;
  4. onemogoči dostop do lastnosti povezav s strani lokalno omrežje;
  5. prepovedati omogočanje in onemogočanje komponent lokalnih povezav;
  6. zavrniti dostop do novega čarovnika za povezavo;
  7. zavrnite dostop do ukaza »Možnosti oddaljenega dostopa« v meniju »Napredno«.

Nadzorna plošča

Zavrni dostop do nadzorne plošče.

Namizni računalnik

1. odstranite ukaz "lastnosti" ... (vsi 3 kosi);
2. preprečiti uporabnikom spreminjanje poti mape "Moji dokumenti";
3. prepove vlečenje in zapiranje vseh orodnih vrstic v opravilni vrstici;
4. prepovedati spreminjanje razporeditve namiznih orodnih vrstic;
5. odstranite čarovnika za čiščenje namizja;
6. odstrani ikono " omrežno okolje"z namizja;

Ime opravilne vrstice

1. odstranite povezave in zavrnite z uporabo oken Nadgradnja;
2. odstranite "Omrežne povezave" iz menija "Start";
3. odstranite ikono "Moja omrežna mesta" iz menija "Start";
4. prepovedati spreminjanje nastavitev opravil in menija Start;
5. zavrniti dostop do kontekstnega menija opravilne vrstice;
6. počistite seznam nedavno odprtih dokumentov ob izstopu;
7. onemogočite bližnjice;
8. popravite položaj opravilne vrstice;
9. odstranite seznam pogosto uporabljenih programov iz menija Start.

Dirigent

1. odstranite ukaz "lastnosti mape" iz menija "storitev";
2. skrije ukaz "control" iz kontekstnega menija raziskovalca;
3. odstranite zavihek "Oprema";
4. onemogočite predpomnjenje sličic.

Hkrati pa sem še vedno omejeval pravice pisanja na trdi disk C.

© Filimoshin V. Yu., 2010

Kot kaže praksa, manj uporabnikov ima dostop do določenega računalnika, dlje kot sistem na njem deluje in večja je verjetnost, da bodo mape in datoteke varne in zdrave. Najbolje je, če ima računalnik samo enega uporabnika. Žal v resnici ni vedno tako: pri delu morate drugim zaposlenim dovoliti dostop do vašega računalnika, doma pogosto isti računalnik uporabljajo vsi družinski člani in na javnih mestih (zlasti v izobraževalnih ustanovah in računalnikih). klubi) je lahko število uporabnikov računalnika na splošno zelo veliko.

O potrebi po omejitvi dostopa

Povsem razumljivo je, da običajno niti sodelavci niti gospodinjski člani ne želijo poškodovati vašega računalnika, če pa spadajo v kategorijo uporabnikov začetnikov, se težavam ni mogoče izogniti. In mlajša generacija v izobraževalnih ustanovah si običajno ne postavi za cilj onemogočiti računalnika in uničiti shranjenih informacij - le aktivno eksperimentira, ne razmišlja o posledicah določenih dejanj.

Zaradi tega računalniki neizogibno naletijo na določene težave pri delovanju posameznih aplikacij ali operacijskega sistema. To ni presenetljivo, saj je dovolj, da po nesreči (samo zaradi neprevidnosti ali med poskusom) izbrišete na primer gonilnik monitorja - in slika na zaslonu bo postala manj privlačna, odstranite tiskalnik - in ne bo mogoče tiskanje dokumentov, spreminjanje omrežnih nastavitev - računalnik bo prenehal delovati v lokalnih omrežjih itd. In to ni najslabša možnost - nenamerno brisanje številnih sistemskih map in datotek lahko povzroči popolno nedelovanje operacijskega sistema, zato ga bo treba znova namestiti. Uničenje pomembnih delovnih dokumentov ima lahko še bolj žalostne posledice - možno je, da jih ne bo mogoče v celoti obnoviti in bo treba del dela (ali celo vsa) opraviti na novo. Poleg tega ne gre zanemariti, da bi napadalci morda želeli izkoristiti, če so vaši osebni ali korporativni materiali komercialne vrednosti.

Tako je vprašanje omejevanja dostopa do računalnika, njegovih posameznih naprav in podatkov, shranjenih na njem, v takšni ali drugačni meri relevantno za vse uporabnike računalnikov brez izjeme. Samo pri nekaterih (skrbniki, učitelji v računalniških razredih z otroki domačih uporabnikov) pridejo v ospredje naloge blokiranja dostopa do nastavitev operacijskega sistema in zaščite datotek in map operacijskega sistema. nameščene aplikacije, za druge (to lahko vključujejo skrbnike, strokovnjake iz oddelkov za računalniško varnost in učitelje, ki so pri nas poleg učnih dejavnosti pogosto prisiljeni zagotoviti tudi delovanje računalnikov, ki so pod njihovim nadzorom), je pomembnejše blokiranje dostopa do različne naprave(USB, CD / DVD, FireWire itd.). Obstajajo trije razlogi za potrebo po blokiranju dostopa do naprav: prvič, na takšnih napravah poznavalci pogosto vzamejo zaupne podatke iz podjetij; drugič, virusi in trojanci pogosto vstopajo v računalnik prek teh naprav; tretjič, s odstranljivi mediji nameščeni so različni programi, kar je zaželeno preprečiti - sicer bo v enem tednu na računalnik, na primer v izobraževalni ustanovi, nameščenih toliko igrač, da preprosto ne bo prostora za druge aplikacije.

Mnogi pisarniški delavci so zainteresirani za popolno blokiranje dostopa do vklopljenega računalnika v odsotnosti zakonitega uporabnika. Potreba po takšni zaščiti v pisarni je zelo nujna, saj tudi če imate svoj računalnik, uporabnik ne more biti ves čas v njegovi bližini, pogosto pa se pojavijo situacije, ko je vklopljen računalnik brez nadzora, kar lahko uporabljajo drugi zaposleni, ki jih zanima vaš material.

Druga skupina uporabnikov (to vključuje vse pisarniške delavce in domače uporabnike) se ukvarja z varovanjem osebnih podatkov, da prepreči poškodbe, izbris ali uhajanje. Problem zaščite osebnih map in datotek se neizogibno pojavi, ko za računalnikom dela več ljudi. To je lahko doma, ko morate druge družinske člane (na primer otroka) zaščititi pred informacijami, ki jim niso namenjene, in v službi, kjer se lahko zgodi, da četudi ima vsak uporabnik svoj računalnik zaposleni bo moral opraviti nekaj operacij. V obeh primerih ni treba zunanjim osebam pokazati svojega delovnega materiala in sploh ne, ker so označeni kot "strogo tajni". Vse je veliko preprostejše: nihče ne mara zunanjega vmešavanja v njihove zadeve. Poleg tega, ko ste blokirali dostop do svojih map in datotek, ne morete skrbeti, da se jim bo kaj zgodilo po krivdi drugega (premalo usposobljenega) uporabnika ali pa bodo nezakonito uporabljeni, kar je na žalost povsem mogoče, če so materiali komercialne vrednosti.

Na splošno je vprašanje razumne omejitve dostopa zelo zapleteno in večplastno in ga brez ustreznih aplikacij ni mogoče rešiti. Ta članek je namenjen takšnim aplikacijam.

Dostop do programov za omejevanje dostopa

Paleta aplikacij za omejevanje dostopa na trgu je precej široka in zajema raznolike programski izdelki... Nekateri od njih blokirajo dostop do nastavitev operacijskega sistema, drugi vam omogočajo nadzor dostopa do različnih naprav, tretji popolnoma blokirajo računalnik v odsotnosti uporabnika, tretji pa zagotavljajo skrivanje osebnih podatkov. Pogosto se te zmogljivosti združijo v eno ali drugo kombinacijo, kar je povsem razumljivo, saj morajo številni uporabniki omejiti dostop v več smereh za reševanje nalog, s katerimi se soočajo.

Blokiranje dostopa do nastavitev operacijskega sistema in sistemskih podatkov

Vgrajena orodja Windows vam omogočajo, da z upravljanjem lokalne varnostne politike (Nadzorna plošča => Skrbniška orodja => Lokalna varnostna politika) naložite nekatere omejitve dostopa uporabnika do nastavitev operacijskega sistema in sistemskih podatkov. Zlasti lahko prepovedate spreminjanje gesla račun in namestitev gonilnikov tiskalnikov, omeji seznam aplikacij, ki jih je mogoče uporabiti itd., vendar seznam omejenih parametrov ni dolg.

Hkrati pa je v praksi za zagotovitev stabilnega delovanja sistema precej pogosto treba bolj omejiti uporabniške zmogljivosti, kar je mogoče storiti le s pomočjo visoko specializiranih pripomočkov, namenjenih za nadzor dostopa do računalnika. Kot primere si bomo ogledali Security Administrator, WinLock, Deskman in My Simple Desktop. Najbolj zanimiv med njimi je pripomoček Security Administrator, ki vam omogoča, da omejite dostop vsem pomembne nastavitve sistemov in osredotočena na sistemske skrbnike. Najmanj funkcionalnosti programa My Simple Desktop, vendar je brezplačen za osebno uporabo in ima dovolj zmogljivosti za nekatere domače uporabnike, obvladate pa ga lahko v nekaj sekundah.

Varnostni skrbnik 12.0

Razvijalec: Getfreefile

Velikost distribucije Velikost: 1,85 MB

Delo pod nadzorom: Windows 9x / Me / NT 4/2000 / XP / 2003 / Vista

Metoda distribucije http://www.softheap.com/download/secagent.zip)

Cena: 69 USD

Security Administrator je profesionalna rešitev za upravljanje dostopa do računalnika, ki vam omogoča omejitev dostopa do računalnika in vseh njegovih pomembnih nastavitev (slika 1) tako kot celote kot za posamezne uporabnike. Prav tako je mogoče v odsotnosti uporabnika popolnoma blokirati vklopljen računalnik. Poleg nastavitve omejitev se lahko pripomoček uporablja tudi za nadzor nad delom uporabnikov v računalniku, saj hrani statistične podatke o uporabi lokalnega omrežja, interneta itd.

Riž. 1. Omejevanje dostopa do sistemskih nastavitev in skrivanje pogonov
v skrbniku za varnost

Ta rešitev je uporabna za nastavitev širokega spektra omejitev dostopa. Z njegovo pomočjo je enostavno omejiti dostop do nastavitev namizja (prepovedati spreminjanje lastnosti zaslona, ​​skriti določene ikone itd.) In onemogočiti nekatere elemente menija Start, skriti opravilno vrstico (vse ali samo posamezne postavke). Prepovedati tudi namestitev / odstranitev aplikacij in omejiti možnosti uporabnikov pri delu v internetu: prepovedati spreminjanje nastavitev Internet Explorerja, nalaganje datotek, dostop do interneta iz aplikacij itd. Obstajajo tudi številne možnosti za zaščito kritičnih sistemskih nastavitev pred spremembami - na primer lahko prepovedate urejanje sistemskega registra, aktiviranje načina DOS, namestitev novih gonilnikov, dodajanje / odstranjevanje tiskalnikov, kopiranje / premikanje datotek v sistemskih mapah in brisanje datotek in map iz mapo Moj računalnik ... Prav tako skrijete nadzorno ploščo, tiskalnike, omrežne povezave in ukaz Zaženi iz menija Start. Po potrebi lahko nadzorno ploščo skrijemo ne v celoti, ampak delno, tako da skrijemo najbolj kritične elemente z vidika nepooblaščenih sprememb, kot so "Sistem", "Lastnosti zaslona", "Omrežje", "Gesla" in "Tiskalniki" ". Prav tako enostavno je skriti lokalne, omrežne in USB pogone, prepovedati zapisovanje in samodejno predvajanje CD -jev, blokirati uporabo vročih Windows tipke in zaženete določene aplikacije ter skrijete določene mape - te mape bodo postale nevidne v mapi "Moj računalnik", Raziskovalcu in pogovorna okna Odpiranje / shranjevanje aplikacij Windows.

WinLock 5.0

Razvijalec: Pisarniški sistemi Crystal

Velikost distribucije Velikost: 2,65 MB

Delo pod nadzorom: Windows 95/98 / Me / NT 4.0 / 2000 / XP / Vista

Metoda distribucije: shareware (30 -dnevni demo - http://www.crystaloffice.com/winlock.exe)

Cena WinLock - 21,95 USD WinLock Professional - 31,95 USD

WinLock je priročna rešitev za omejevanje dostopa do pomembnih sistemskih virov (slika 2) in uporabniških podatkov, tudi na daljavo. Program je predstavljen v dveh različicah: osnovni WinLock in razširjeni WinLock Professional (zmogljivosti osnovne različice ne dovoljujejo omejevanja dostopa do spletnih virov in uporabe šifriranja).

Riž. 2. Omejevanje dostopa do sistemskih nastavitev in skrivanje pogonov
v WinLocku

S to rešitvijo lahko zavrnete dostop do sistemskega registra, v meniju Start skrijete ukaze za dostop do nadzorne plošče, tiskalnikov in omrežne povezave in popolnoma blokirajo dostop do ustreznih sistemskih map in do nekaterih drugih map ("Moj računalnik", "Moji dokumenti", Koš itd.). Prav tako določite prepoved blokiranja računalnika in onemogočite spreminjanje nastavitev opravilne vrstice, nastavitve zaslona, omrežne nastavitve, dodajte / odstranite programe iz začetnega menija in preimenujte ikone na namizju. Prav tako je enostavno nastaviti prepovedi aktiviranja načina DOS in zagona sistema Windows varni način in blokirajte bližnjice sistema Windows (Alt + Ctrl + Del, Alt + Tab, Ctrl + Esc itd.). Če želite, lahko celo omejite nadzor oken (na primer prepovedajte njihovo spreminjanje velikosti in premikanje). Obstaja program in komplet orodij za blokiranje dostopa do izmenljivih medijev (pogoni CD / DVD, naprave USB itd.) In skrivanje prikaza določenih diskov v mapi "Moj računalnik" in Raziskovalcu. Lahko blokirate zagon določenih aplikacij (upravitelji prenosov, igre itd.) In zavrnete dostop do določenih datotek in map (prvih ni mogoče odpreti za ogled ali urejanje, drugih pa ni mogoče odpreti, preimenovati ali izbrisati). In tudi preprečiti dostop do vprašljivih spletnih virov (na podlagi belega seznama dovoljenih spletnih mest in črnega seznama prepovedanih ključne besede) in določi omejitve časa uporabe računalnika za določene uporabnike.

Deskman 8.1

Razvijalec: Programska oprema Anfibia

Velikost distribucije Velikost: 1,03 MB

Delo pod nadzorom: Windows 2000/2003 / XP / Vista

Metoda distribucije: shareware (30 -dnevni prikaz - http://www.anfibia-soft.com/download/deskmansetup.exe)

Cena: osebno dovoljenje - 25 evrov; poslovno dovoljenje - 35 evrov

Deskman je preprosto orodje za urejanje dostopa do računalnika in njegovih nastavitev (slika 3), ki vam omogoča, da popolnoma blokirate računalnik (vključno s tipkovnico, miško in namizjem) ali omejite dostop do določenih funkcij (posamezne omejitve so možne za različne uporabnike ).

Riž. 3. Nastavitev omejitev v programu Deskman

S to rešitvijo lahko omejite dostop do nastavitev namizja (na primer prepovedate spreminjanje lastnosti zaslona, ​​odstranjevanje ikon, klicanje kontekstnega menija itd.), Windows Explorer, opravilno vrstico, nastavitve Internet Explorerja in preprečite spremembe različnih elementov v meniju Start. Omejite tudi dostop do nadzorne plošče in drugih kritičnih sistemskih nastavitev - na primer prepovejte brisanje omrežnih pogonov, blokirajte ponovni zagon in zaustavitev računalnika itd. Po potrebi lahko preprosto blokirate vse ali samo določene bližnjice sistema Windows (Alt + Ctrl + Del, Alt + Tab, Ctrl + Esc itd.) In pripomoček konfigurirate tako, da samodejno brisanje novi vnosi iz samodejnega zagona za preprečevanje virusov, oglasne in vohunske programske opreme. Možno je določiti prepoved uporabe drugih uporabnikov določenih trdi diski in izmenljivi mediji (pogoni CD / DVD, naprave USB, diskete itd.), ki blokirajo samodejno predvajanje CD -jev in njihovo zapisovanje. Omejitve lahko nastavite s prednastavljenimi profili (to je bolj priročno za začetnike in veliko hitreje) ali ročno.

Moje preprosto namizje 2.0

Razvijalec: Programska oprema Anfibia

Velikost distribucije Velikost: 1,76 MB

Delo pod nadzorom: Windows XP / Vista

Potširjenje: My Simple Desktop Office Edition in My Simple Desktop School Edition - shareware (30 -dnevni demo - http://www.mysimpledesktop.com/downloads.sm.htm); My Simple Desktop Home Edition - brezplačna programska oprema (http://www.mysimpledesktop.com/download/msdsetup_home.exe)

Cena: My Simple Desktop Office Edition - 32 evrov; My Simple Desktop School Edition - 20 evrov; My Simple Desktop Home Edition - brezplačno (samo za osebno uporabo)

Moje preprosto namizje je zelo preprost program omejiti dostop do računalnika in njegovih nastavitev (slika 4). Predstavljen je v treh izdajah: plačljivi My Simple Desktop Office Edition in My Simple Desktop School Edition ter brezplačni My Simple Desktop Home Edition (možnosti so popolnoma enake).

Riž. 4. Nastavitev omejitev dostopa v My Simple Desktop

S tem pripomočkom lahko zaščitite namizje, opravilno vrstico in meni »Start« pred spremembami, onemogočite spreminjanje nastavitev zaslona in kontekstnega menija raziskovalca. Prav tako zavrnite dostop do nadzorne plošče, lastnosti map in sistemskega registra ter blokirajte uporabo bližnjičnih tipk Windows in desnega gumba miške. V smislu omejevanja dostopa do naprav je prepovedana uporaba stacionarnih pogonov in zunanjih naprav USB, pa tudi skrivanje omrežnih pogonov in blokiranje samodejnega predvajanja CD-jev. Po potrebi lahko nastavite omejitev časa uporabe računalnika - enako za vse uporabnike, razen za skrbnika. Omejitve se konfigurirajo z dodelitvijo enega od prednastavljenih profilov ali ročno.

Omejitev dostopa do naprav

Vgrajeni mehanizmi za distribucijo pravic dostopa in nastavitev varnostnih pravil v operacijskih sistemih družine Windows (razen za Windows Vista) vam ne omogočajo nadzora dostopa drugih uporabnikov do potencialno nevarnih naprav (USB-naprave, pogoni CD / DVD, FireWire in infrardeča vrata itd.). Seveda lahko takšne naprave onemogočite v BIOS-u, vendar to ni možnost, saj se boste morali za delo z onemogočeno napravo (če je potrebno) vsakič obrniti na BIOS in jo znova omogočiti, kar je precej dolg in zelo neprijeten.

Veliko bolj smiselno je nadzorovati dostop do naprav z dodatnimi aplikacijami, ki so lahko zelo različne. Pogosto je možnost skrivanja ali blokiranja naprav na voljo v pripomočkih, namenjenih nadzoru dostopa do nastavitev operacijskega sistema, vključno s tistimi, ki smo jih obravnavali. Res je, da so možnosti omejevanja dostopa do naprav v njih majhne: lahko nadzorujete dostop do daleč od vseh nevarnih naprav in ne govorimo o nadzoru medijev. Pripomočki - zaviralci dostopa do naprav in specializirane rešitve za zaščito sistema pred uhajanjem korporativnih informacij - imajo v zvezi s tem veliko več funkcionalnosti. Kot primer bomo upoštevali programe DeviceLock, USB Lock Standard in ID Devices Lock. Najbolj funkcionalen med njimi je program DeviceLock, s katerim lahko nadzirate (in ne le blokirate) dostop posameznih uporabnikov in skupin uporabnikov do skoraj vseh potencialno nevarnih naprav (in celo medijev), vendar je namenjen predvsem skrbnikom sistema. Zmogljivosti drugih dveh pripomočkov so precej skromnejše, vendar za večino uporabnikov povsem zadostujejo.

DeviceLock 6.3

Razvijalec: CJSC "Smart Line Inc."

Velikost distribucije Velikost: 39,7 MB

Delo pod nadzorom: Windows NT / 2000 / XP / Vista

Metoda distribucije: shareware (30 -dnevni demo - http://www.devicelock.com/ru/dl/download.html)

Cena: 1300 rubljev.

DeviceLock je specializirana rešitev za organizacijo korporacijskega sistema za zaščito pred uhajanjem informacij, ki vam omogoča nadzor dostopa do celotne palete potencialno nevarnih naprav: vrat USB, disketnih pogonov, pogonov CD / DVD, pa tudi FireWire, infrardečih, vzporednih in serijskih vrat. , Adapterji Wi-Fi in Bluetooth, tračni pogoni, dlančniki in pametni telefoni, omrežni in lokalni tiskalniki, notranji in zunanji izmenljivi pogoni in trdi diski. Program ima centraliziran sistem daljinec, ki omogoča dostop do vseh funkcij z delovne postaje skrbnika sistema. Takšno upravljanje se izvaja z dodatno konzolo DeviceLock Enterprise Manager ali prek pravilnikov skupine Actvie Directory, ki vam omogoča samodejno namestitev DeviceLock na nove računalnike, povezane z korporativno omrežje in v samodejnem načinu izvedite konfiguracijo za nove računalnike.

Možna je popolna blokada določene vrste naprave ali delna, torej v skladu z belim seznamom medijev (slika 5), ​​na katerem bo kljub blokiranju ustrezne vrste naprave dovoljen dostop do nekaterih medijev . Nastavite lahko tudi način samo za branje in zaščitite diske pred nenamernim ali namernim oblikovanjem. Zagotovljene so dodelitve različnih pravic dostopa do naprav in V / I vrat za posamezne uporabnike in skupine uporabnikov, z možnostjo nastavitve nadzora glede na čas in dan v tednu. Po potrebi lahko vsa dejanja uporabnikov zabeležite z napravami in datotekami (kopiranje, branje, brisanje itd.) Tako, da izvedete senčno kopiranje.

Riž. 5. Konfiguriranje omejitev dostopa do naprav v skladu z
z belim seznamom medijev v napravi DeviceLock

Standardna ključavnica USB 3.4.1

Razvijalec: Advanced Systems International SAC

Velikost distribucije Velikost: 2,02 MB

Delo pod nadzorom: Windows XP / Vista

Metoda distribucije: shareware (10 -dnevni demo - http://www.advansysperu.com/down_st.php)

Cena: 44 dolarjev

USB Lock Standard je priročno orodje za blokiranje dostopa (slika 6) do vseh vrst odstranljivih medijev: vrat USB (diski USB, iPod, predvajalniki MP3 itd.), Zip naprav, disketnih pogonov, pogonov CD / DVD, adapterjev Bluetooth in bralniki pametnih kartic (CF, SD, MMC, XD itd.). Omogoča vam, da v celoti blokirate dostop do navedenih naprav ali pa to storite delno tako, da odprete dostop do pooblaščenih naprav. Za odblokiranje morate poznati geslo ali ključ USB. Operacije z odblokiranimi napravami se beležijo v dnevnike.

Riž. 6. Blokiranje dostopa
na pogone CD / DVD v standardu USB Lock Standard

Zaklepanje ID naprav 1.2

Razvijalec: ID Security Suite

Velikost distribucije Velikost: 1,47 MB

Delo pod nadzorom: Windows 98 / NT / 2000 / XP / Vista

Metoda distribucije http://www.idsecuritysuite.com/files/iddeviceslocksetup.exe)

Cena: 37 USD

ID Devices Lock je preprost pripomoček za omejevanje dostopa (slika 7) do naprav USB, CD-pogonov in disketnih pogonov, saj prepoveduje kopiranje podatkov nanje, kar preprečuje uhajanje informacij na mobilnih medijih. Za preklic blokiranja je potrebno poznavanje gesla.

Riž. 7. Omejevanje dostopa do pogona v ključavnici ID naprav

Popolna blokada računalnika v odsotnosti uporabnika

Dostop do vklopljenega računalnika najlažje blokirate tako, da nastavite geslo za ohranjevalnik zaslona, ​​vendar to ni najboljša možnost, saj lahko geslo ob ponovnem zagonu brez težav odstranite iz ohranjevalnika zaslona. Veliko bolj zanesljivo je popolnoma blokirati računalnik s pomočjo posebnih programska orodja to onemogoča dostop do katerega koli elementa računalnika, vključno s tipkovnico, miško in namizjem. Po tem si ne boste mogli ogledati nobenih informacij o njem, zagnati aplikacij, dostopati do datotek in map (vključno s trenutno odprtimi) in celo znova zagnati računalnik s pritiskom na bližnjico na tipkovnici Ctrl + Alt + Del. Računalnik lahko odklenete le, če poznate geslo uporabnika, in preprost ponovni zagon (tudi v varnem načinu) ali izpad napajanja ne bo odstranil zaščite.

Takšno blokiranje računalnika je običajno zagotovljeno s pomočjo visoko specializiranih pripomočkov: Zaklepanje namizja, Zakleni moj računalnik in podobno, vendar so takšne zmogljivosti mogoče zagotoviti tudi v programih, namenjenih za nastavitev različnih vrst omejitev dostopa, zlasti v varnostnem skrbniku in Delavka.

Zaklepanje namizja 7.2.1

Razvijalec: Programska oprema TopLang

Velikost distribucije Velikost: 792 KB

Delo pod nadzorom: Windows NT / 2000 / XP / 2003 / Vista

Metoda distribucije: shareware (15 -dnevni demo - http://www.toplang.com/dlsetup.exe)

Cena: 24,95 USD

Desktop Lock je pripomoček za zaklepanje računalnika (slika 8) za čas, ko je uporabnik odsoten. Blokiranje nastavite iz samega pripomočka s samodejnim pritiskom določene kombinacije tipk v času, ki ga določi uporabnik, ali v primeru nedejavnosti uporabnika po določenem obdobju. Preklop računalnika v zaklenjen način lahko spremlja zagon ohranjevalnika zaslona, ​​predvajanje zvočne ali video datoteke, kar je primerno, na primer na razstavah pri predstavitvi predstavitev podjetij. Ko je miška zaklenjena, je onemogočena in postane nemogoče uporabljati glavne bližnjice na tipkovnici. Če želite zapustiti zaklenjeni način, morate pritisniti skrivno kombinacijo tipkovnice ali gumb miške in vnesti geslo. Če želite, lahko pripomoček konfigurirate tako, da beleži kratka sporočila drugih uporabnikov, ki so prišli do računalnika v času odsotnosti njegovega lastnika in mu želeli nekaj napisati.

Riž. 8. Konfiguriranje nastavitev za zaklepanje računalnika v namiznem zaklepanju

Zakleni moj računalnik 4.7

Razvijalec: Laboratoriji FSPro

Velikost distribucije Velikost: 1,4 MB

Delo pod nadzorom: Windows 2000 / XP / 2003 / Vista

Metoda distribucije: shareware (30 -dnevni demo - http://www.fsprolabs.com/download/distr/lmpc.zip)

Cena: Osebna licenca - 19,95 USD; poslovna licenca - 29,95 USD

Zakleni moj računalnik je orodje za zaklepanje računalnika (slika 9) med odsotnostjo uporabnika. Zaklepanje računalnika je preprosto - samo dvokliknite ustrezno ikono v sistemski vrstici ali pritisnite posebno kombinacijo tipkovnice. Samodejno blokiranje je možno po določenem času neaktivnosti uporabnika. Ko so zaklenjeni, se miška in pogoni CD / DVD izklopijo (s tem preprečite odstranitev CD -jev) in postane nemogoče uporabiti glavne kombinacije tipkovnice: Ctrl + Alt + Del, Alt + Tab itd. Na zaklenjenem računalnik, vse, vključno z lastno ustvarjenimi, slikami v GIF, JPEG, BMP in animiranih GIF formatih. Računalnik lahko odklenete le, če poznate uporabniško ali skrbniško geslo.

Riž. 9. Konfiguriranje nastavitev za zaklepanje računalnika v Lock My PC

Varstvo osebnih podatkov

Osebne podatke pred nepooblaščenim dostopom lahko zaščitite na več načinov: mape in datoteke lahko stisnete v arhivu, zaščitenem z geslom; jih skrijete; postavite v skrivno mapo, dostop do katere bodo drugi uporabniki zaprli z geslom; šifrirajte ali ustvarite virtualni šifriran disk, na katerega lahko zapišete svoje tajne materiale. Izbira najprimernejše metode je odvisna od situacije, vendar je v večini primerov najboljša možnost skriti in šifrirati mape in datoteke, zato se bomo v tem članku omejili le na njih.

Teoretično lahko mape in datoteke skrijete z vgrajenim Zmogljivosti sistema Windows- za to je dovolj, da v lastnostih ustreznih objektov omogočite atribut "Skrita". Mape in datoteke, skrite na ta način, v Raziskovalcu ne bodo vidne drugim uporabnikom sistema, vendar le, če je prikazano polje »Ne prikaži skrite datoteke in mape ". Načeloma je to lahko dovolj za zaščito podatkov pred neobučenimi uporabniki. Tako skriti predmeti pa bodo vidni v aplikacijah, ki ne uporabljajo standardnega pogovornega okna za prikaz datotek in map (FAR, Total Commander itd.), Zato ta zaščita ni zelo dobra.

Varnejša možnost zaščite vaših podatkov z vgrajenim sistemom Windows je uporaba šifrirnega datotečnega sistema (EFS), ki vam omogoča šifriranje datotek tako, da v Raziskovalcu omogočite možnost Šifriranje vsebine za zaščito podatkov (Lastnosti => Splošno => Napredno). Tako šifriranih datotek ni mogoče brati, ne da bi vedeli geslo, vendar sistem EFS omogoča zaščito map in datotek le v datotečni sistem NTFS.

Iz teh razlogov je bolje uporabiti posebne pripomočke za zaščito osebnih map in datotek. Te rešitve vam bodo omogočile zanesljivejše skrivanje map in datotek (ne bodo vidne, če onemogočite potrditveno polje »Ne prikazuj skritih datotek in map«), pa tudi blokiral dostop do njih. Poleg tega nekateri od teh pripomočkov ponujajo tudi možnost šifriranja podatkov, kar bo zagotovilo, da bodo zaščiteni pred drugimi uporabniki, tudi če zagon sistema Windows v varnem načinu, zagon v drugem operacijskem sistemu ali v drugem računalniku (če Trdi disk z varovanimi podatki). Kot primere bomo pogledali Folder Lock, Folder Guard in Hide Folders XP. Največ ponuja prva visoka stopnja zaščita šifriranih podatkov, druga dodatno ponuja orodja za zaščito osnovnih nastavitev OS pred spremembami. Paket Hide Folders XP je po svojih zmogljivostih opazno slabši od imenovanih rešitev, ima pa vmesnik v ruskem jeziku in je rusko govorečim uporabnikom na voljo po zelo privlačni ceni.

Zaklepanje map 6.0.1

Razvijalec: NewSoftware Professionals, Inc.

Velikost distribucije Velikost: 2,78 MB

Delo pod nadzorom: Windows 2000 / XP / 2003 / Vista

Metoda distribucije: shareware (20-dnevni prikaz-http://dl.filekicker.com/nc/file/130083-0M78/folder-lock.exe)

Cena: 35,95 USD

Folder Lock je učinkovita in zanesljiva rešitev za zaščito osebnih datotek, map (slika 10) in diskov z nastavitvijo gesla na njih, skrivanjem in šifriranjem (algoritem AES s 256-bitnim ključem). Za večjo varnost v to odločitev dovoljena je uporaba blokiranja in šifriranja hkrati - tako zaščitene datoteke se ne prikažejo v raziskovalcu in v aplikacijah ter so popolnoma nedostopne, saj je do njih nemogoče dostopati, ne da bi vedeli geslo tudi pri zagonu v DOS, v varen Način Windows, v drugem operacijskem sistemu ali v drugem računalniku. V primeru, da ste geslo pozabili, je možen dostop do podatkov z registracijskim ključem. Izvirne podatke, ki jih je treba zaščititi, lahko najdete ne le na trdem disku, ampak tudi na medijih USB, pomnilniških karticah, CD-RW diski, diskete in prenosni računalniki. Postopek namestitve zagotovljene zaščite se lahko izvede samodejno v primeru nedejavnosti računalnika. V posebnem prikritem načinu lahko program skrije vse sledi, ki označujejo namestitev zaščite podatkov v računalniku: prepreči prikaz lastnih bližnjic na namizju in v meniju Start, skrije podatke o namestitvi / odstranitvi v ustreznem razdelku nadzorne plošče, izbriše zgodovino in izmenjavo podatkov medpomnilnika itd. Poleg tega program zaradi večje varnosti vodi evidenco vseh neuspešno vnesenih gesel za odstranitev zaščite, kar uporabniku omogoča, da od drugih uporabnikov pravočasno zabeleži pojav nezdravega zanimanja za svoj računalnik.

Riž. 10. Delo z zaščitenimi mapami v paketu Folder Lock

Zaščita map 7.6

Razvijalec: WinAbility Software Corporation

Velikostdistribucijski komplet: Izdaje Folder Guard in Folder Guard x64 Edition - 1,8 MB; Folder Guard Professional Edition - 2,5 MB

Delo pod nadzorom: Windows 2K / XP / 2003 / Vista

Metoda distribucije: shareware (30 -dnevni prikaz - http://www.winability.com/folderguard/editions.htm)

Cena Folder Guard Edition in Folder Guard x64 Edition - 39,95 USD Folder Guard Professional Edition - 59,95 USD

Folder Guard je preprosta in priročna rešitev za omejitev dostopa do map in datotek ter preprečitev dostopa do številnih nastavitev sistema Windows. Na voljo je v treh izdajah: Folder Guard Editions, Folder Guard x64 Edition in Folder Guard Professional Edition. Prva različica deluje v 32-bitnih različicah Različice za Windows, drugi - v 64 -bitnem in tretji - v obeh.

Omejitev dostopa do osebnih podatkov se izvede tako, da jih skrijete (slika 11), nastavite način "samo za branje" ali blokirate. V tem primeru se skrivanje izvede na dva načina: mape in datoteke lahko skrijete ali pa jih nastavite prazne (prazno). V drugem primeru bodo mape vidne, ko pa se odprejo, bodo prazne, čeprav v resnici vsebujejo informacije - ta zaščita je primerna za standard Mape Windows, katerega popolno skrivanje bo pokazalo, da so podatki v računalniku blokirani, kar je nezaželeno. Zaščitene mape brez gesla ne bodo na voljo drugim uporabnikom sistema, tudi če se Windows zažene v varnem načinu, čeprav bodo za to potrebne nekatere nastavitve v programu. Če pozabite geslo, ga lahko obnovite z brezplačnim pripomočkom za obnovitev v sili (http://www.winability.com/folderguard/eru.htm). Program lahko deluje tudi v prikritem načinu, v katerem bodo skrite njegove bližnjice in datoteke.

Riž. 11. Skrivanje mape v Folder Guard

Z uporabo Folder Guard lahko zaščitite tudi osnovne nastavitve OS pred prilagajanjem (slika 12) - zlasti bližnji dostop do lastnosti opravilne vrstice, menija Start in številnih drugih oken prepoveduje shranjevanje lastnosti zaslona (če imajo spremenjeno), blokirajte mape lastnosti in Internetne nastavitve Raziskovalec, ne prikazuj ikon na namizju. Prav tako preprečite spreminjanje parametrov, ki so ključni za delovanje sistema, tako da zaprete dostop do nadzorne plošče in nastavite vrsto prepovedi: dostop do sistemski register, dodajanje / odstranjevanje tiskalnikov, uporaba ukaza "Zaženi" itd. Prav tako lahko skrijete določene diske v Mojem računalniku, Raziskovalcu in standardnih pogovornih oknih Odpri / Shrani ter blokirajte zapisovanje CD -jev / DVD -jev. Za različne uporabnike je možen drugačen nabor tovrstnih omejitev.

Riž. 12. Nastavitev omejitev dostopa do nastavitev sistema Windows
v Folder Guard

Skrij mape XP 2.9.8

Razvijalec: Laboratoriji FSPro

Velikost distribucije Velikost: 1,23 MB

Delo pod nadzorom: Windows 2000 / XP / 2003 / Vista

Metoda distribucije: shareware (30 -dnevni demo - http://www.fsprolabs.com/download/distr/hfxp.zip)

Cena: 29,95 USD (v trgovini Softkey.ru - 400 rubljev)

Skrij mape XP je preprost program za zaščito map in datotek (slika 13) pred nepooblaščenim dostopom s skrivanjem in / ali blokiranjem. Zaščitene mape ne bodo na voljo drugim uporabnikom, vključno s sistemskim skrbnikom, tudi če se Windows zažene v varnem načinu. V tem primeru ne bodo zaščitene samo izbrisane mape in datoteke, temveč tudi mape, ki jih vsebujejo. In da drugi uporabniki ne ugibajo o prisotnosti zaščitenih podatkov v računalniku, lahko program izbriše sledi nameščene zaščite in se lahko skrije (morda se ne pojavi na seznamu pogosto prenesenih programov, ne prikaže vrstice za odstranitev na nadzorni plošči se skrije na seznam izvajanih procesov itd.).

Riž. 13. Delo z zaščitenimi datotekami v okolju Hide Folders XP

Zdi se mi, da bi v tej situaciji naslednji recept lahko deloval: ustvariti morate dve skupini, imenujmo ju PCComission in UserComission.
V svojo sestavo vključijo računalnike oziroma uporabnike oddelka za komisijo.
Nato ustvarite predmet pravilnika skupine in se povežite z OU SUS, pri čemer odstranite pravilnik o uporabi iz skupine Auth Users in ga namesto tega dodajte v skupino PCComission. Po tem v lastnostih pravilnika z mehanizmom omejevanja članstva v skupini izključite domensko skupino uporabnikov domene iz lokalne skupine uporabnikov, vendar dodajte skupino UserComission

Vadim, poudaril sem, da se motite, ker vaš recept ne bo deloval: izključitev uporabnikov domene iz vgrajene skupine uporabnikov računalnikov ne bo omejila uporabnikov domene na lokalni vhod do tega računalnika. To je vse. Ne bodite užaljeni, vendar je treba vaše "zdi se mi, da ..." prej preveriti in ponuditi kot recept. Zapomnite si / preverite stanje tipičnega "Builtin \ Users" članstva na računalniku člana v domeni AD, o privilegijih, končno ...

Ja, in še nekaj, ni vam treba vaditi, kaj šele, če bi neizkušenemu administratorju svetovali, naj brez ustreznega razloga spremeni varnostni referenčni model. Prvič, s tem boste prinesli več težav kot pridobite bonuse, in drugič - lahko vam odvzame tehnično podporo!

Vadim, če mi lahko razložiš, kje se motim, ti bom hvaležen. :)

Dodaj: Vadim in o predmetu politike. No, naj UCP vzame vsaj 10 megabajtov v sistemu SYSVOL in enako količino v vsebniku AD - kaj torej? Podvajanje je optimizirano, odjemalec ne znova naloži UCP petkrat na dan, skrbnik pa ga ne spremeni, ker ni nič za narediti - kajne? Na splošno je bolje ustvariti več OCP in pogosto - le tako je mogoče, kot pa pobrskati po vinaigretu.

Hvala moji ženi Katji, Klevogin S.P., Kozlov S.V., Muravlyannikov N.A., Nikitin I.G., Shapiro L.V. za moje znanje! :)

Dmitrij, pravzaprav sem že razložil v enem od prejšnjih objav te teme: 21. avgust 2009 10:26.
No, gremo spet. Moj predlog je obsegal idejo, da bi z uporabo mehanizma "Omejene skupine" spremenili sestavo lokalne skupine Uporabniki / uporabniki na računalnikih oddelka za provizije, tako da se uporabniki prodajnega oddelka ne bi mogli prijaviti vanj (navsezadnje , takšno pravico imajo s članstvom v tej skupini). Res je, to idejo sem naključno oblikoval, pravilno je bilo reči, da "ne izključi skupine domene Uporabniki domene iz lokalne skupine uporabnikov", ampak "počisti lokalno skupino uporabnikov", ampak ne spremeni bistva, saj pravilnik ob uporabi le očisti skupino, preden jo izrecno doda v razdelku Omejene skupine. Zato se v tem primeru ni treba spomniti privzete sestave skupine. Čeprav ne boli;) In ne le spomnim se privilegijev, ampak tudi predlagam njihovo uporabo, in sicer Dovoli lokalno prijavo.
Če še vedno nekaj ne razumete, vprašajte posebej - poskušal bom to razložiti bolj jasno.
Dmitrij, tudi sam vidim nekaj bonusov. In pred kakšnimi posebnimi težavami opozarjate mene in druge neizkušene skrbnike v zvezi s spremembo sestave skupine Uporabniki?
In za božjo voljo mi razloži, kako bi to lahko vplivalo tehnična podpora? In čigava?
No, glede velikosti predmeta politike. Če slučajno niste našli krmilnika za 128 -kanalnim kanalom in se skorajda skozi celotno življenjsko dobo nagrobnih predmetov niste razmnoževali pri pregledu uporabnikove infrastrukture, vam ne bo lahko razumeti moje skrbi;) To je kljub temu dejstvo, da je bilo število GPO več kot 100.
In vaša izjava, da je "bolje ustvariti več UCP in pogosto - le tako je mogoče", mi na primer ni očitna.
Zagovarjam nasprotno stališče: če obstajata dve možnosti za rešitev problema, z ustvarjanjem skupine ali GPO izberem prvo.
Za mene je bolj priročno izvajati prenos pooblastil. Trajanje prenosa / prijave je neposredno odvisno od števila uporabljenih GPO. Ampak spet je to stvar okusa.

Upam, da je tehnični del razčiščen.
Potem, Dmitry, nekaj besed o etiki razprave.
1. Če ste že izrazili svoje mnenje o moji napaki, potem bi rad videl argumentacijo tega mnenja v istem prispevku.
2. " Ne bodite užaljeni, vendar je treba vaše "zdi se mi, da ..." prej preveriti in ponuditi kot recept."Torej, nisem bil preveč len in sem ponovno preveril - recept deluje. Ali ste sami preverili, preden ste trdili, da" recept ne bo deloval "?, Bi bilo lepo, da svojo izjavo preverite s poskusom.
3. Hvala za nasvet, ki pa ga nisem prosil za vas. Čeprav ne izključujem, da se bom nekega dne obrnil :)
Naj mi Vitaliy Shestakov oprosti še en plamen.

Danes bomo še naprej govorili o računalniški varnosti. In še en korak v tej smeri - uporabnik.

Pri nameščanju operacijske sobe Windows sistemi uporabniku so dodeljene skrbniške pravice. Z drugimi besedami, ima absolutno svobodo delovanja na osebnem računalniku. Toda tudi škodljivo programsko opremo, ki ima dostop do računalnika, ima enake pravice. In to je že resna ranljivost v našem varnostnem sistemu. Čas je, da zakrpamo luknje.

V tem članku bomo analizirali algoritem za prehod s skrbniškega na varnejši račun, pri tem pa ohranili vse nastavitve.

Zakaj je potrebna omejitev računa?

1. Vsi programski izdelki, predstavljeni s skrbniškimi pravicami, imajo popolno svobodo delovanja v računalniku, kar bodo zagotovo uporabljali razvijalci zlonamerne kode (virusi in nevarni skripti).

Na primer, da se virus lahko "registrira" v vašem operacijskem sistemu, mora spremeniti vnose v registru. Uporabnik z omejenimi pravicami ne bo mogel spreminjati nastavitev operacijskega sistema. Zato zlonamerni virus, ki je bil sprožen z enakimi omejenimi pravicami, ne bo mogel prebiti zaščite sistemske nastavitve in pustite "odtis" v svojem registru.

Ko dostopate do interneta s skrbniškimi pravicami, napadalcu pomagate ukrasti vaša gesla, poverilnice, shranjene v sistemskih datotekah operacijskega sistema. Nevaren skript, ki ima skrbniške pravice, bo prebral vse vaše skrivnosti in jih prenesel na svojega lastnika.

Z ustvarjanjem omejitve uporabniškega računa ne boste le rešili teh težav, temveč tudi preprečili, da bi v vaš računalnik vstopil razširjen virus (porno pasica, ki blokira delovanje računalnika).

2. S skrbniškimi pravicami lahko neizkušeni uporabniki po nesreči izvedejo kritične spremembe v sistemu Datoteke Windows, privedla OS v stanje nedelovanja. Zaščitite svoj sistem pred nenamernimi napakami - znižajte pravice uporabnikov.

Spreminjanje pravic uporabniškega računa

Ker operacijski sistem imamo že nameščen in deluje normalno, potem bomo šli po naslednji poti: spremenili bomo vrsto prej ustvarjenega računa (z znižanjem njegovih pravic) in dodali novega uporabnika s skrbniškimi pravicami (v imenu katerega bomo izvajali spremembe sistemskih datotek OS in registra).

1. Prvi korak je urediti stanje z obstoječimi računi. Če želite to narediti, pojdite v Center za nadzor računa (z desno tipko miške kliknite ikono "Moj računalnik" -> "Upravljanje" -> "Lokalni uporabniki in skupine" -> "Uporabniki").

Izbrišite vse vnose, razen obstoječega in gosta (kar je treba onemogočiti).

2. Znižanje pravic obstoječega računa na raven običajnega uporabnika ne bo delovalo, saj mora imeti sistem uporabnika s skrbniškimi pravicami. Zato bomo najprej ustvarili drugega skrbnika in šele nato znižali pravice trenutnemu uporabniku.

Če želite to narediti, z desno miškino tipko kliknite element "Uporabniki" -> izberite " Nov uporabnik… ”. V oknu, ki se odpre, določite ime novega skrbnika, njegovo geslo, preverite element »Geslo ne poteče« in kliknite gumb »Ustvari«.

Račun, ki smo ga ustvarili, bo imel pravice običajnega uporabnika. Če mu želite dati status pravega skrbnika, ga morate dodati v ustrezno uporabniško skupino. Če želite to narediti, dvokliknite nov račun, pojdite na zavihek "Članstvo v skupini" -> pritisnite gumb "Dodaj".

V blok »Vnesite ime predmeta« napišite »Skrbniki« in kliknite gumb »V redu« -> »Uporabi«.

3. Zdaj je čas, da začnete zniževati trenutnega uporabnika. Če želite to narediti, na seznamu izberite trenutnega uporabnika in izvedite vse iste operacije, ki sem jih opisal zgoraj. Šele zdaj je treba dodati zapis »Uporabniki« in izbrisati zapis »Skrbniki«.

4. Ko je vse opravljeno, se odjavite in znova zaženite računalnik.

Tako ste shranili vse svoje nastavitve, vendar znižali status uporabnika in omejili njegove pravice. Zdaj, če želite spremeniti sistem, boste morali dostopati do novo ustvarjenega skrbniškega računa.

Kako deluje?

V sistemu delate kot običajno in zaženete znane programe. Če morate nenadoma spremeniti sistemske datoteke, odprite register ali namestite nov program, lahko to storite na dva načina: bodisi končajte trenutno sejo in se prijavite pod skrbniškim računom, uporabite skrbnikovo "moč", ne da bi zapustili trenutni račun.

Če želite to narediti, z desno miškino tipko kliknite program, ki se zažene, in v oknu, ki se prikaže, izberite »Zaženi kot ...« ->, določite skrbniški račun in vnesite skrbniško geslo -> kliknite »V redu«. Tako lahko zaženete katero koli aplikacijo s skrbniškimi pravicami, ne da bi zapustili svoj trenutni račun.

Nasvet:

• Bodite resni pri izbiri gesla za svojega skrbnika. Bolj zapleteno in daljše je geslo, težje ga bo napadalec razbil.
• Ker boste novega skrbniškega računa uporabljali le redko, si geslo, ki ste ga ustvarili, zapišite na varno mesto.
• Dodaten varnostni ukrep bo preimenovanje ustvarjenega skrbnika (na primer namesto »skrbnik« -> »Sergej). Tako ustvarja dodatno oviro za napadalca.