|
|
Ограничение прав пользователя в Windows 9xСергей Трошин Прочитав в Upgrade #11 (25) о мучениях Remo со своей чрезмерно прыткой сестренкой и советы Александра Долинина ("Дети и компьютеры") из того же номера, я решил продолжить тему. Действительно, дети и прочая домашняя живность - одна из серьезнейших опасностей, грозящая операционной системе и важным файлам. Идеальным вариантом могло бы стать покупка детям второго компьютера. Затем следовало бы разрешить его мучить, сколько влезет, пока что-нибудь не сломается, после чего в целях профилактики заставить детей все починить и переустановить самостоятельно. Но далеко не каждый может позволить себе такую роскошь. Да и список опасностей не ограничивается потенциальными действиями детей. Большинство пользователей ПК вынуждены делить "персональный" компьютер не только с малоопытными домочадцами, но еще и с коллегами по работе. Вот попробуйте оставить в стороне вероятность механического повреждения ПК от рук неумелого пользователя и разобраться только лишь с программной защитой от случайного или преднамеренного удаления или изменения файлов на диске и нарушения настроек или работоспособности ОС. Вы быстро поймете, что такая защита - главная задача, которую нужно решить в первую очередь при общении компьютерами, к которым имеют доступ несколько человек. Потому что использование "персоналок" по такой схеме автоматически подразумевает разделение пользователей на несколько категорий, и строгое разграничение прав каждой из них - архиважная задача (как говорил один позабытый уже товарищ) для любого владельца ПК, заботящегося о беспроблемной работе своего компа. Администратор - опытный пользователь, умеющий работать с любыми настройками ОС и следящий за ее работоспособностью. Как следствие этого для него нет никаких ограничений при обязательной надежной защите пароля учетной записи от использования другими пользователями или взлома специальными утилитами. Законопослушный пользователь - пользователь, опыта которого недостаточно для полноценного администрирования, но который также заинтересован в надежной работе ОС. Имеет право работать с документами, папками, осуществлять ряд настроек и запускать определенные прикладные программы. Ламер - самоуверенный пользователь, поверхностные знания которого об ОС или полное отсутствие оных чрезвычайно опасны для системы. Имеет право на запуск нескольких проверенных программ, ему запрещен доступ ко всем настройкам ОС. Опытный вандал или пользователь, считающий себя хакером, - этот вариант характерен для интернет- или игровых клубов. Естественно, в таких местах требуется максимальный уровень защиты и полная закрытость всех потенциальных "дыр" в операционной системе. К счастью, подавляющее большинство юзеров вполне психически адекватны, а потому организация многопользовательских систем с жесткими правилами доступа не является очень уж распространенной задачей при использовании ПК "по категории SOHO". Как правило, достаточно просто провести пару занятий со своими домочадцами или сотрудниками, и начинающий пользователь сразу понимает, что ему делать можно, а что... ну, мягко говоря, не стоит. Поэтому, собственно, основная масса домашних ПК имеет учетную запись единственного пользователя - администратора, а разграничение прав и защита ОС осуществляется исключительно на основе высокой сознательности всех членов семьи или рабочего коллектива. Но из любого правила есть исключения, в стаде зачастую находится паршивая овца, а в семье - урод… Если вам не повезло и висящий на видном месте ремень перестал быть сдерживающим средством для ваших гиперактивных отпрысков, то есть смысл серьезно задуматься о переводе Windows 9x в многопользовательский режим. Хотя, конечно, Windows 9x абсолютно не приспособлена для качественного разграничения полномочий пользователей, поэтому при наличии очень серьезных требований к безопасности системы и защите конфиденциальных данных разумный выход есть только один. Использовать специализированную многопользовательскую ОС, например, Windows 2000 вкупе с ее файловой системой NTFS - там возможностей гораздо больше, а интерфейс и ПО не отличаются от Windows 9x. Однако требования к степени защищенности домашнего ПК и банковского сервера все же несколько различаются, а потому персональный компьютер вполне можно обезопасить и при работе в Windows 9x. О том, как это делается, мы побеседуем ниже. Администратор Если вы до сих пор не использовали многопользовательский режим, то следует зарегистрировать в системе две учетные записи - Администратора и Пользователя. В дальнейшем по аналогии можно еще больше расширить количество пользователей, у каждого из которых будут свои собственные полномочия и настройки. Администратор - главная учетная запись со всеми возможными правами, а потому важнейшей вашей задачей является исключение вероятности несанкционированного входа в систему чужака под именем администратора либо вообще в обход процедуры аутентификации пользователя. В Windows 9x, к сожалению, необходимо не только зарегистрировать учетную запись админа, но и позаботить ся о повышении надежности распознания пользователя, поскольку без некоторых мер система по своим свойствам будет сопоставима с бытовым прибором под названием "решето". Итак, первым делом сделайте свежую резервную копию реестра, так как пара ошибок при настройке системы - и до ОС вам больше не добраться. Далее в "Панели управления" откройте диалог "Пароли" и на вкладке "Профили пользователей" установите режим, при котором каждый пользователь имеет свои собственные настройки, а также установите оба флажка, разрешающие включить в профиль пользователя структуру меню "Пуск" и значки "Рабочего стола". Затем там же, в "Панели управления", щелкните по значку "Пользователи" - появится окно мастера настройки многопользовательской конфигурации. "Создайте" пользователя с именем, например, Admin. (Кириллическими шрифтами желательно не пользоваться, так как это может вызвать лишние проблемы.) Пароли типа "12345", "qwerty" или "Вася" категорически не рекомендуются. Теперь таким же способом создайте учетную запись User. В списке пользователей для каждой учетной записи нажмите кнопку "Изменить параметры" и отметьте все перечисленные элементы профиля, дабы каждый пользователь имел свои личные настройки, ни в чем не пересекающиеся с настройками других пользователей. Там же включите опцию "Создавать новые элементы". Теперь открывайте диалог "Сеть" и в качестве входа в систему выбирайте "Семейный вход в Windows", после чего добавьте в реестр параметр [HKEY_LOCAL_MACHINE\Network\Logon] "MustBeValidated"=dword:00000001. Тем самым вы сделаете невозможным загрузку ОС без ввода пароля - кнопка "Отмена" диалогового окна ввода пароля не будет срабатывать. Учтите, что если вы в качестве способа входа выберете клиента сетей Microsoft, то этот параметр сделает невозможным вход в систему, если ваш ПК не является частью сетевого домена Windows NT. Постоянно рекламируемое в компьютерной прессе отключение кэширования паролей с помощью внесения в реестр параметра [HKEY_LOCAL_MACHINE\Software\Microsoft\ предохраняет от кражи паролей, но в многопользовательской конфигурации тоже не даст загрузить Windows - будьте внимательны. Продолжим латание дыр Windows 9x. Как известно, достаточно загрузить альтернативную ОС, например, MS-DOS, как перед взором хакера предстанет содержимое всех дисков. Поэтому обязательно запретите в CMOS Setup загрузку с флоппи-дисков или CD-ROM, после чего установите мудреный пароль на вход в BIOS, чтобы никто, кроме вас, не мог включить загрузку с дискеты. Если вы не хотите, чтобы компьютер включали в ваше отсутствие, то крайне рекомендуется поставить пароль еще и на загрузку ПК. К сожалению, абсолютной защитой это все равно не станет, так как существуют так называемые инженерные пароли и программы, вскрывающие пароли CMOS за доли секунды, поэтому при необходимости придется пойти дальше - удалить из корпуса ПК флопповод и привод CD-ROM или отключить питание того и другого. Желательно также посетить сайты типа www.bios.ru, чтобы выяснить, подходят ли известные на сегодня инженерные пароли к вашему BIOS и насколько хорошо справляются с ним всяческие "крякалки". Получите примерное представление о том, насколько действенна такая защита. Если же отключить диски нельзя и есть вероятность попытки запуска "крякалок" паролей CMOS и утилит типа PWL-Tool, с легкостью взламывающих пароли Windows 9x, то необходимо перекрыть все лазейки для запуска подобных программ. Или скрыть флоппи-диски и CD-ROM от всех пользователей, кроме администратора, с помощью программы TweakUI. Или жестко задать Windows список разрешенных к запуску приложений - в этом поможет одна из рассматриваемых ниже программ. Но такой способ тоже не панацея, так как достаточно переименовать файл "крякалки" по названию разрешенной программы - и Windows на него не среагирует. Учтите также, что пароли CMOS можно сбросить вместе со всеми настройками BIOS специальной перемычкой на материнской плате либо обесточиванием микросхемы BIOS на некоторое время. При этом, правда, админ легко догадается о произошедшем взломе, но если надо исключить и такую возможность, то могу посоветовать только опломбировать и запереть на амбарный замок корпус ПК и не оставлять его без присмотра на длительное время. Полезно будет установить пароль и на заставку (скринсейвер), чтобы никто не мог сунуть дискету в компьютер, пока вы отошли покурить. Необходимо также отключить доступ к загрузочному меню Windows, иначе, выбрав при загрузке ОС режим Safe Mode, взломщик сможет получить почти полный доступ к дискам и настройкам ОС. Для этого добавьте в раздел [Options] файла msdos.sys параметры BootKeys=0 и BootMulti=0. Первый запретит "горячие" клавиши вызова загрузочного меню, а второй скроет пункт "Предыдущая версия MS-DOS" этого меню. Законопослушный юзер По большому счету, ограничение прав "законопослушного пользователя" нужно только для сохранения душевного спокойствия админа, так как нормальные люди не стремятся что-либо намеренно испортить, да и попросту боятся изменять настройки, в которых ничего не понимают. Обычно в таких случаях хорошим профилактическим средством является простое резервирование реестра. Таким образом, после вышеописанной процедуры настройки учетной записи администратора, которая в зависимости от конкретной ситуации может быть и более щадящей, следует определить, какие опции ОС и диски следует скрыть от греха подальше для учетной записи User. Для такой настройки желательно воспользоваться специализированными утилитами, редактирующими некоторые параметры системного реестра, поскольку ручное изменение реестра потребует излишне много времени. Как ни странно, но идеально подходящей для этого утилиты я не нашел. А потому наилучшим вариантом (если не учитывать все то же ручное редактирование реестра), полагаю, будет совместное использование сразу трех программ.
Неплох Windows Security Officer (http://www.mybestsoft.com/) - он умеет устанавливать индивидуальные ограничения отдельно для каждого зарегистрированного в системе пользователя, скрывая тот или иной элемент интерфейса Windows и задавая список разрешаемых к запуску программ. При этом настройку привилегий любого пользователя вы можете запускать из учетной записи администратора. Ключи реестра, касающиеся привилегий пользователей, ему известны почти все за редким исключением. К тому же при работе в фоновом режиме он способен предотвращать копирование, перемещение, удаление и переименовывание папок. Но вот файлы почему-то вниманием обойдены - удаляй сколько хочешь. Windows Security Officer умеет также ограничивать работу юзера временными рамками и отслеживать некоторые его действия, ведя файл протокола. Утилита Protector 2 (dolinaysoft.20m.com/download.htm) обладает несколько большими возможностями. Помимо установки параметров реестра она умеет вести протокол подозрительных событий, задавать временные рамки, ограничивать операции с файлами и папками. Плюс ко всему она заменяет диалоговое окно ввода пароля при загрузке ОС на свое, более продвинутое и защищенное, да и механизм контроля за запуском приложений у него поинтереснее будет. Security Administrator (www.softheap.com/secagent.html) - не менее умная программа, но она тоже упускает несколько параметров (так что без WinBoost никак не обойтись), хотя и имеет такую изюминку, как возможность отключения клавиатурных комбинаций Ctrl-Alt-Del, Alt-Tab, Ctrl-Esc. Кстати говоря, есть утилиты исключительно для запрета файловых операций - DeviceLock Me (www.ntutility.com) и Security Department (www.rayslab.com) - с их помощью вы для любой учетной записи зададите правила работы с любым диском, папкой или даже конкретным файлом, легко сделав так, что пользователь получит к ним доступ в режиме "только чтение" либо не получит вовсе. Итак, после инсталляции некой комбинации этих утилит войдите в систему под именем User, запустите каждую из них по очереди, пройдитесь по всем меню, чтобы узнать все возможности каждой программы, и приступайте к великой чистке. Очистите меню "Пуск" и "Рабочий стол" - ничего лишнего, отвлекающего пользователя от работы, а тем более потенциально опасного, там не должно остаться. Пользователь должен видеть ярлыки только тех программ, с которыми он реально работает. Спрячьте от пользователя элементы "Панели управления": максимум, что ему нужно, - это управление темами "Рабочего стола" и иногда принтером. (Правда, при этом будут внесены изменения в общий для всех учетных записей файл control.ini, и скрытые значки не увидит и сам админ.) Но cpl-файл любого элемента "Панели управления" по-прежнему будет доступен в папке C:\Windows\System, так что если нужно, чтобы пользователь ни при каких условиях до него не добрался, скрывайте от него системный диск или удаляйте этот cpl-файл. Скрыть диск с операционной системой вообще надо в любом случае, пользователю же лучше всего оставить доступ только к его собственному абсолютно чистому разделу диска, куда он будет складировать свои документы и файлы. Этот же раздел можно сделать одновременно и папкой "Рабочего стола" и папкой "Мои документы" - с этим прекрасно справляется TweakUI.
К сожалению, ни одна из известных мне программ не может полностью очистить папку "Мой компьютер" от системных элементов, содержащихся в ней помимо ярлыков к дискам. Исключить из нее, например, значок "Назначенные задания" или "Удаленный доступ к сети" можно только через реестр, удалив там параметры Однако действие это скажется на всех пользователях, поэтому не забудьте сделать экспорт этой ветви реестра, чтобы при необходимости быстро вернуть все на место. Отключите автозапуск компакт-дисков - таким образом вы перекроете еще одну лазейку для вирусов. Желательно сделать так, чтобы пользователь не мог запустить файлы с расширениями *.bat, *.reg, *.vbs - установите для этих файлов действием по умолчанию "Изменить" вместо "Открыть". Программа WinBoost 2001 Gold изменяет свойства bat- и reg-файлов, для VB-скриптов же придется сделать это вручную - в диалоге "Свойства папки" на вкладке "Типы файлов". Также неплохо сделать так, чтобы неизвестные типы файлов открывались "Блокнотом", а не запускался апплет "Открыть с помощью" с перечнем установленных в системе программ (это тоже делает WinBoost). К сожалению, многие настройки невозможно проделать применительно только к одной учетной записи - они сказываются на всей системе, и все пользователи вплоть до админа оказываются немного ущемленными в правах, но "надежность требует жертв", так что с этим придется смириться. Ограничивать круг запускаемых программ в данном случае следует только при необходимости, главная же задача создания и настройки аккаунта "законопослушного юзера" - максимальное удобство использования одного ПК двумя пользователями. Нельзя также забывать о таких программах, как антивирусы и файрволлы, особенно если вы разрешаете подопечному пользователю выходить в интернет. Тут прекрасно подойдут популярный отечественный Kaspersky Anti-Virus (www.avp.ru) и буржуйский брандмауэр Norton Internet Security 2001 FE (http://www.symantec.com/), который помимо всего прочего перекроет доступ к нежелательным интернет-ресурсам. Можно поставить еще и клавиатурного шпиона и дискового ревизора, чтобы все действия пользователя постоянно отслеживались. Ламер Несколько сложнее вариант, при котором приходится делить доступ к ПК с пытающимся всюду сунуть свой нос ламером или любопытным ребенком, давно забившим на все запреты взрослых. При таком раскладе придется максимально ужесточить режим доступа и скрыть от пользователя все, что только можно, открыв ему доступ лишь к специально отданному на растерзание разделу жесткого диска и разрешив запуск только строго заданных программ. Желательно также время от времени контролировать работу неблагонадежного пользователя с помощью программ, ведущих подробную статистику всего, что происходит на компьютере. Для этого подойдет, например, утилита StatWin (http://www.statwin.com/) - она протоколирует почти все действия пользователя для последующего допроса с пристрастием и полного изобличения его неблаговидных поступков. Отключите все контекстные меню, вызываемые правой кнопкой мыши: это одна из самых больших "уязвимостей" Windows 9x, так как, получив доступ к свойствам ярлыка, злоумышленник может проникнуть в закрытую для него область диска, введя вручную путь к любому файлу или нажав кнопку "Обзор", предназначенную для смены значка. Не забудьте запретить "горячие клавиши" Windows, иначе, нажав кнопки Win+E, юзер запросто запустит "Проводник", который в его руках равнозначен бензопиле в руках маньяка. На "Рабочий стол" ни один значок помещать нельзя, так как даже при отключенном контекстном меню файлов и папок нажатие неотключаемой комбинации Alt-Enter это меню непременно вызовет; а поскольку элемент "Мой компьютер" с десктопа убрать нельзя, то "Рабочий стол" отключите полностью. Обязательно отключите и панель "Быстрый запуск" (Quick Launch), так как к ней тоже применима комбинация Alt-Enter. Если пользователю разрешено работать только с одной или двумя программами, то поместите их ярлыки в папку "Автозагрузка" или пропишите их запуск в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run, а из меню "Пуск" вообще все ярлыки уберите. Все лишнее же из "Автозагрузки" ликвидируйте, так как некоторые значки, находящиеся в системной области панели задач, вызывают меню, которые дают выход на элементы "Панели управления" или на жесткий диск. Проследите, чтобы в трее не было также значков типа регулятора громкости или переключателя раскладки клавиатуры (internat.exe) - отключить их поможет утилита "Программа настройки системы" (msconfig.exe). Значок работающего антивируса тоже может открыть путь на диск через свое меню, поэтому выберите антивирусную программу, вызов настроек которой защищен паролем. После того, как вы добились девственной чистоты "Рабочего стола" путем его полного отключения, запретили все контекстные меню и скрыли все лишнее в меню "Пуск", позаботьтесь об ограничении доступа к приложениям, дискам и файлам. Для воинствующего ламера в обязательном порядке ограничьте круг запускаемых программ, задав Windows список разрешенных приложений. Но даже если вы не узаконите запуск файловых менеджеров, проблемой даже после всех установок станут обычные прикладные программы. Вернее, их меню, через которые зачастую можно добраться до обзора дисков, элементов "Панели управления" или прочих настроек самой системы. В конце концов зашифруйте файлы и диски - предназначенные для этого программы PGP (http://www.pgp.com/) или Kremlin (kremlinencrypt.com/kremlin/pc_index.html) известны многим. Ну и, естественно, с помощью TweakUI скройте от юзера все диски, к которым ему запрещен доступ, - это будет дополнительной линией обороны. Оставьте ему только тот, на котором будут храниться его документы. Хакер Совсем плохо, если приходится одновременно совмещать Windows 9x и доступ к ПК хорошо разбирающегося во всех тонкостях и дырах этой ОС пользователя. Такое, например, сплошь и рядом встречается в интернет- и игровых клубах. (В компьютерных классах школ ситуация еще хуже - поскольку там необходимо еще и обучать орду архаровцев работе с Windows, то, следовательно, все подряд настройки и программы скрывать нельзя, и без полного резервирования и периодического восстановления содержимого жестких дисков там не обойтись.) Известные "украшательные" альтернативные оболочки типа Aston не годятся, так как в плане безопасности они ничем не лучше. Но можно сделать собственную альтернативную оболочку, состоящую всего из одного меню с перечнем того самого десятка игр да кнопки для выключения ПК. При этом даже возиться с настройкой пользовательских полномочий не нужно будет - юзер просто физически не сможет что-то запустить, кроме разрешенных безопасных программ, да и пробраться на диск без файлового менеджера или загрузки другой операционной системы будет невозможно. Для этого надо всего лишь использовать утилиту типа AutoPlay Menu Studio (http://www.indigorose.com/), предназначенную для изготовления меню компакт-дисков с автозапуском. При этом на выходе получается обычный exe-файл, интерфейс - несколько вполне понятных и симпатичных кнопок-команд, каждая из которых будет вызывать одну из разрешенных для работы программ. Отдельную кнопку следует предусмотреть для выключения компьютера, присвоив ей команду "C:\Windows\rundll.exe user.exe,exitwindows". После того, как вы "нарисуете" таким образом новую программу-оболочку, нужно заменить ею стандартный Explorer в Windows. Для этого в разделе [boot] файла system.ini измените строку "shell=explorer.exe" на "shell=autorun.exe", если полученная в AutoPlay Menu Studio программа называется autorun.exe. Саму программу и сопутствующие ей файлы и папки желательно поместить в корневую директорию диска С: либо прописать путь к ней в значении переменной PATH файла autoexec.bat. В результате вы полностью исключите и меню "Пуск", и "Рабочий стол", и ярлыки, и контекстные меню, и клавиатурные комбинации вместе с их уязвимостью. На мой взгляд, это самый простой, надежный и быстрый способ настройки системы для игрового клуба с небольшим количеством используемых игр. Вывод Таким образом, вполне реально настроить многопользовательскую конфигурацию в Windows 9x так, чтобы несколько человек не только почти не мешали друг другу, но и система была неплохо защищена от многих неожиданностей. Надо только быть готовым к тому, что ваша жена, впервые увидевшая пустой "Рабочий стол" и меню "Пуск" с единственным ярлыком для "Калькулятора", тут же побежит в суд подавать иск о защите чести и достоинства. Источник: http://www.computery.ru/upgrade/ |
|