Защита
Создание ярлыка для блокировки компьютера в Windows 2000/XP
(43) Если вы большой дока по части использования мыши, то вам, вероятно, удобнее будет блокировать свой ПК щелчком мыши на ярлыке, который можно разместить на Рабочем столе, на панели быстрого запуска или в Главном меню. Создайте новый ярлык и в строке "Объект" (Target) напишите
rundll32.exe user32.dll,LockWorkStation
Назовите ярлык, например, Locker. Блокиратор готов!
Назначение прав доступа в файловой системе NTFS
(1) По умолчанию Windows NT предоставляет всякому, кто сумеет правильно указать идентификатор и пароль, полный набор прав доступа. Однако в файловой системе NTFS вы можете индивидуально назначать права доступа созданным вами папкам и файлам; если же вы войдёте в систему с правами администратора, то сможете изменить атрибуты доступа любого файла, в том числе и созданного кем-то другим. Щёлкните правой кнопкой мыши по объекту, для которого вы хотите задать права доступа, перейдите в окно свойств, откройте страницу "Защита" и нажмите кнопку "Права доступа". Вы увидите список пользователей, которым разрешён доступ к объекту. Чтобы удалить пользователя, выделите его имя и нажмите кнопку "Удалить". Чтобы добавить группу пользователей (например, сотрудников такого-то отдела), нажмите кнопку "Добавить" и выберите нужную группу из списка зарегистрированных в системе.
По умолчанию в диалоговом окне задания прав доступа NT предлагает добавлять пользователей из списка, включающего только группы. Чтобы увидеть список отдельных пользователей, нужно в диалоговом окне "Добавление пользователей и групп" выбрать группу и нажать кнопку "Показать пользователей". После этого в нижней части списка для каждой группы будут появляться имена всех её членов. Чтобы внести имя в список на добавление, нужно дважды щёлкнуть по нему.
Windows NT позволяет не только предоставить или не предоставить тому или иному пользователю доступ к файлу, но и определить, что он может с этим файлом делать: читать и модифицировать, только читать и т.д. Для этого выделите в списке имя пользователя или группы и выберите нужное значение в меню "Тип доступа".
Запрет запуска определённых программ в Windows XP Pro
(37) На диске NTFS администратор может задать права доступа на папки и файлы. Если диск FAT, то возможностей по защите меньше. Однако в Windows XP Pro появился способ запретить запуск какой-либо программы обычным пользователям с помощью локальной политики безопасности:
1. Панель управления -> Администрирование -> Локальная политика безопасности -> Политики ограниченного использования программ -> Дополнительные правила.
2. Щёлкаем правой кнопкой мыши и выбираем пункт "Создать правило для хеша". У этого правила максимальный приоритет и оно будет действовать на файл вне зависимости от его перемещений из каталога в каталог.
3. В открывшемся окне нажимаем кнопку "Обзор" и выбираем выполняемый файл программы, запуск которой хотим запретить.
4. Для пункта "Безопасность" задаём значение "Не разрешено" и закрываем окно.
5. В элементе "Принудительный" Политики ограниченного использования программ указываем, что ограничения должны применяться для всех пользователей, кроме локальных администраторов.
Контроль за файлами с помощью аудита
(1) Если вы куда-то уезжаете и на время своего отсутствия оставляете компьютер коллегам, по возвращении вам, возможно, будет интересно узнать, в какие файлы кто из них залезал. Имея на машине права администратора, вы можете заказать регистрацию таких действий, как удаление, выполнение, чтение, запись и изменение прав доступа. Для этого щёлкните правой кнопкой мыши по значку файла, откройте окно свойств, перейдите на страницу "Аудит" и нажмите кнопку "Добавить", после чего выберите имена пользователей, которые должны работать на вашем компьютере. Отметьте в имеющемся на странице списке действия, которые должны регистрироваться, и укажите, следует ли отмечать также успешность или неуспешность каждого действия.
Как защититься от администратора?
(34) Одно из преимуществ NTFS состоит в том, что можно создать разграничение доступа к файлам и каталогам. Пользователь не сможет посмотреть папку "Мои документы" другого пользователя, если этот пользователь не является администратором. Как же защититься от администратора? Запретить ему доступ к своим данным нельзя, а вот узнать, копался ли администратор по вашим личным папкам и документам, можно. Допустим, вы решили закрыть файл или папку для всех и разрешить доступ только себе. Щёлкните правой кнопкой мыши по файлу/папке, выберите из меню команду "Свойства", на вкладке "Безопасность" удалите всех, кроме себя. Теперь система не позволит администратору посмотреть этот файл/папку. Так как он администратор, ему не составит особого труда проделать то же самое, что и вы, и добавить для себя разрешение на полный доступ к этому файлу/папке
, а затем удалить себя, дабы никто не узнал. Но текущим владельцем этого файла/папки теперь станет администратор, в чём вы сможете убедиться, нажав на вкладке "Безопасность" кнопку "Дополнительно", в новом диалоговом окне перейдя на вкладку "Владелец" и посмотрев на поле "Текущий владелец для этого элемента". До этого им были вы.
Запрещение различных функций и ресурсов в Windows NT/2000/XP
(43) Если вы хотите запретить на компьютерах, работающих под управлением Windows NT/2000/XP, выполнение некоторых функций, то можете отредактировать соответствующим образом параметры реестра, отвечающие за них. Установка для параметров типа DWORD значения в 1 включает ограничение, установка в 0 или удаление параметра — снимает. Ряд параметров можно задавать как в ветви реестра HKEY_CURRENT_USER (ограничение действует для данного пользователя), так и в HKEY_LOCAL_MACHINE (ограничение действует для всех пользователей), причём значение параметра в последней ветви имеет приоритет.
Запустите редактор реестра regedit и используйте следующие имена:
Раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
"RestrictAnonymous" — запрещает анонимным пользователям при входе в систему получить список имён пользователей домена и список совместно используемых ресурсов (только начиная с Windows NT 4.0 Service Pack 3).
Раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"DontDisplayLastUserName" — скрывает последнее имя пользователя (отображается пустое поле в блоке "Имя пользователя") при входе в систему, что позволяет предотвратить вход в систему людей, использующих последнее имя пользователя системы;
"PasswordExpiryWarning" — определяет, за какое количество дней (по умолчанию 14) до истечения срока пароля пользователя отобразится предупреждающее сообщение;
"AllocateCDRoms",
"AllocateFloppies" — определяют, являются ли данные на диске CD-ROM и гибких дисках соответственно доступными для других пользователей (значение "1" по умолчанию) или только для текущего пользователя (значение "0"), что не позволяет получить другим пользователям доступ к диску во время использования текущим пользователем компьютера, причём диск снова становится доступным, когда текущий пользователь выходит из компьютера (параметры строкового типа!).
Раздел
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
"AutoShareServer",
"AutoShareWks" — отключают совместную администрацию (c$ и d$) Сервера и Рабочей станции соответственно;
"Hidden" — скрывает Ваш Сервер или Рабочую станцию в общем списке Окна просмотра (тот же самый результат может быть получен выполнением команды
"NET CONFIG SERVER /HIDDEN:YES" на Рабочей станции).
Раздел
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoNetConnectDisconnect" — скрывает кнопки "Подключить сетевой диск" и "Отключить сетевой диск" из инструментальной панели Проводника, а также соответствующие пункты контекстного меню "Моего компьютера" и меню "Сервис" Проводника, что не даёт пользователям создавать дополнительные сетевые подключения.
Раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
"DisableSavePassword" — отключает возможность использования опции "Сохранить пароль" в Удаленном доступе к сети.
Раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters
"AuthenticateRetries" — определяет число повторений опознавания (от 1 до 10) прежде, чем подключение с помощью Удалённого доступа будет отключено;
"AuthenticateTime" — определяет срок в секундах (от 20 до 600), во время которого может быть произведена идентификация входа в систему через Удаленный доступ;
"CallbackTime" — определяет время задержки в секундах (от 2 до 12), как долго ждать перед инициализацией отзыва при подключении;
"AutoDisconnect" — определяет время задержки в минутах перед тем, как неактивный пользователь RAS будет отключен.
Раздел
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableTaskMgr" — отключает возможность пользователя запускать Администратор задач для наблюдения за процессами, выполнением программ, а также созданием изменений в приоритете или в состоянии индивидуальных процессов.
Разделы
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoPropertiesMyComputer" — блокирует доступ к экрану "Свойства системы" через контекстное меню "Мой компьютер" и элемент "Система" в Панели управления (только в Windows XP);
"ForceStartMenuLogoff" — вынуждает кнопку "Завершение сеанса" появляться в Главном меню и предотвращает удаление или скрытие её пользователями (только в Windows 2000/XP).
Скрытие пункта "Options" меню "View" в Windows NT Explorer
(21) Начиная с Windows NT 4.0 Service Pack 4, у вас есть возможность скрыть от пользователей пункт "Options" меню "View" в Windows NT Explorer'е. Это поможет вам уменьшить вероятность: несанкционированного доступа к скрытым и системным файлам; изменения привязки расширений файлов к тем или иным приложениям и параметров этой привязки. Для этого необходимо в раздел реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
добавить dword-параметр "NoOptions" и присвоить ему значение 1.
Изменения вступят в силу после перезагрузки.
Скрытие элементов в Панели управления
(42) Чтобы скрыть какой-либо элемент в Панели управления Windows NT/2000/XP, надо в разделе реестра
HKEY_CURRENT_USER\Control Panel\don't load
создать строковый параметр с именем соответствующего cpl-файла (например, "fax.cpl") и присвоить ему значение "No". Если удалить параметр, то элемент опять будет доступен.
Скрытие настройки приложения "System Restore" в Windows XP
(36) С помощью правки реестра в Windows XP можно отключить пользовательский интерфейс настройки приложения "System Restore", чтобы предотвратить изменение настройки этого приложения пользователем, а также отключение и включение этого свойства для системных и несистемных дисков. Для этого надо в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT
создать подраздел "SystemRestore", а в нём dword-параметр "DisableConfig" со значением 1.
Очистка файла подкачки
(18) Как Вы уже знаете, своп — это часть информации из оперативной памяти, которая хранится на винчестере. В том числе, в свопе может сохраняться Ваша конфиденциальная информация (например, пароли), которую, в принципе, можно оттуда достать. Чтобы этого не произошло, включите функцию очистки свопа при выключении компьютера:
1. Откройте редактор реестра (regedit.exe).
2. Найдите раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
3. Если параметр "ClearPageFileAtShutdown" в данном разделе отсутствует, то создайте его (New – DWORD).
4. Установите значение этого параметра в 1.
5. Перезагрузите машину.
Теперь своп будет удаляться при выключении и создаваться заново при включении.
Разрешение применения только сложных паролей
(18) В Windows NT 4.0 Service Pack 2 содержится новый фильтр для паролей passfilt.dll, который вводит новые ограничения для выбора паролей:
1. Пароль должен быть длиной не менее 6 знаков.
2. В пароле должно быть не менее трех символов, удовлетворяющих следующим критериям:
– заглавные буквы A–Z;
– маленькие буквы a–z;
– числа 0–9;
– символы (например, "!").
3. Пароль не может содержать имя пользователя или любую его часть.
Для включения этой возможности на PDC и одиночном сервере (это не надо делать на BDC, но при поднятии его до PDC, сделать надо), выполните следующее:
1. Откройте редактор реестра regedt32.exe (не используйте regedit.exe).
2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Дважды щёлкните мышью на "Notification Packages".
4. Введите PASSFILT в новой строке (если там находится FPNWCLNT, добавьте после него). Нажмите "OK".
5. Закройте редактор реестра.
6. Перезагрузитесь.
Ограничение удалённого доступа к реестру
(17) Доступ к удалённому редактированию реестра контролируется ACL-ключом winreg реестра.
1. Откройте редактор реестра regedt32.
2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
3. Найдите подраздел с именем winreg. Если его нет, создайте (Edit – Add Key).
4. Выделите подраздел winreg (нажмите на нём).
5. В меню "Security" выберите "Permissions".
6. Нажмите "Add" и дайте пользователю, которого хотите ограничить, доступ "read" (чтение).
7. После добавления нажмите на пользователе и выберите "Special Access".
8. Дважды щёлкнув мышью на пользователе, можно ещё выбрать, какие действия он сможет выполнять.
9. Нажмите "OK".
Можно установить, чтобы некоторые разделы были доступны для пользователя, даже если ему не дали прав на редактирование:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths\Machine
С помощью regedt32 добавьте необходимые пути в список.
Проведение аудита изменений реестра
(17) Используя regedt32.exe можно установить аудит изменений отдельных частей реестра. Ведение аудита — очень чувствительная мера, позволяющая выводить предупреждающие сообщения людям, нарушающим установленные Вами правила редактирования реестра.
1. Откройте редактор реестра regedt32.
2. Выберите раздел, на который хотите назначить аудит (например, HKEY_LOCAL_MACHINE\Software).
3. Из меню "Security" (Безопасность) выберите "Auditing" (Аудит).
4. Пометьте "Audit Permission on Existing Subkeys" (Разрешение аудита для существующих разделов), если Вы хотите проводить аудит и подразделов.
5. Нажмите "Add" (Добавить) и выберите пользователей, которые будут подвержены аудиту, нажмите "Add" и "OK".
6. В разделе "Names" можно выбрать, аудит каких событий будет проводиться.
7. После заполнения всей информации нажмите "OK".
Убедитесь, что у Вас включен "Auditing for File and Object" (воспользуйтесь User Manager – Polices – Audit).
Для просмотра результатов аудита, воспользуйтесь Event Viewer (Просмотр событий), раздел Security.
Добавление команды шифрации/дешифрации в контекстное меню файлов и папок
(30) В операционной системе MS Windows 2000 любой файл или папка, расположенная на логическом диске с файловой системой NTFS, может быть зашифрована. Эта процедура описана в разделе "Шифрование файла или папки" справочной системы MS Windows 2000 Professional. При необходимости, команду "Зашифровать" (Encrypt) / "Расшифровать" (Decrypt) можно встроить в контекстное меню для файлов и папок. В случае если файл или папка не зашифрованы, будет доступна команда "Зашифровать". В обратном случае — команда "Расшифровать". Для этого:
1. Запустите редактор реестра regedt32.
2. Откройте раздел:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
3. Создайте параметр типа REG_DWORD с именем "EncryptionContextMenu" и значением 1.
4. Закройте редактор реестра и перезагрузите компьютер.
Ключ шифрования
(37) Ключ, с помощью которого шифруются данные в Windows 2000/XP, имеет длину до 128 байт и уникален для каждого пользователя в каждой инсталляции системы. Ключ хранится в профиле пользователя, поэтому после переустановки системы или удалении пользователя он теряется. Расшифровать файлы, зашифрованные этим пользователем, становится невозможно. Пытаться создавать для этого другого пользователя с таким же именем и паролем для входа в систему абсолютно бесполезно. Одно из возможных решений — это создание диска аварийного восстановления (Emergency Repair Disk). Вся необходимая информация по существующим пользователям будет сохранена на ERD-диске, и после переинсталляции системы надо будет только восстановиться с него. Кроме этого, можно заранее сохранить необходимые сертификаты и ключи или заблаговременно создать агента по восстановлению (Encrypted Data Recovery Agent).
Включение/выключение системы шифрования
(37) Систему шифрования EFS (Encrypted File System) можно выключать/включать на Windows 2000 и Windows XP Pro. Для этого достаточно в разделе реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\EFS key
создать или отредактировать уже существующий dword-параметр "EfsConfiguration". Присвоив этому параметру значение 1, вы выключите EFS, а присвоив 0, включите обратно. Для того чтобы изменения вошли в силу, необходимо перезагрузить компьютер. Очевидно, что, отключив EFS, вы потеряете возможность не только шифровать файлы, но и расшифровывать ранее зашифрованные. Как очевидно и то, что включение/отключение EFS влияет сразу на всех пользователей. Но на ключи пользователей (как открытые, так и личные) это действие не окажет абсолютно никакого влияния, поэтому после того как EFS будет включена вновь, никаких проблем с доступом к своим файлам пользователи не испытают.
