Компьютеры публичного доступа, например, в интернет-кафе, библиотеках и школах, нуждаются в повышенной защите. Инсталляционный диск Windows 9х предлагает инструмент для создания ограничений на подобных машинах. Речь идет о приложении Policy Editor (POLEDIT).
К сожалению, в Наборе ресурсов (Resource Kit) не говорится о том, как использовать POLEDIT для одиночных компьютеров, поэтому вам придется разобраться в этом самостоятельно (хотя кое-что я подскажу).
1. Подготовим систему.
Используйте Explorer и создайте копии USER.DAT и SYS- TEM.DAT на случай непредвиденных обстоятельств. Убедитесь, что у вас имеется, по крайней мере, ЮМЬ свободной памяти на диске, чтобы сохранить информацию о пользовательском профайле.
2. Активируем Пользовательские профайлы (User Profiles).
Запускаем апплет «Пароли» (Password) на панели управления. Кликаем в таблице на кнопку «Профайлы пользователей» (User Profiles), затем на опции «Каждый пользователь устанавливает личные настройки» (Users Can Customize) и ставим «галочки» на двух окнах. После этого нажимаем ОК и производим рестарт Windows.
3. Создаем профайлы.
После рестарта Windows записываемся как Пользователь (User) и позволяем Windows создать папки для хранения информации о вашем профайле.
Выйдите из программы и запишитесь снова, но уже как Администратор (Administrator), с соответствующим скрытым паролем и вновь позвольте Windows создать папки профайла.
Оч-чень ценный совет!
Запомните (а еще лучше запишите) этот пароль!
4. Ограничьте доступ пользователя к программам.
Пока вы прописаны, как Администратор, воспользуйтесь Explorer и перейдите к
С:\WINDOWS\PROFILES\USER\STARTMENU.
В этой папке и в папках ниже ее удалите любые ссылки на программы, которые пользователю не разрешается выполнять, включая ссылку на папку «Последнее» (Recent).
Обязательно удалите ссылки на POLEDIT, Regedit и Explorer.
5. Инсталлируем Policy Editor.
Запустите апплет «Установка и удаление…» (Add/Remove Software) на панели управления, кликните «Установка Windows» и нажмите на кнопку «Установить с диска» (Have). Перейдите к папке ADMIN\APPTOOLS\POLEDIT на инсталляционном диске Windows 9х и установите POLEDIT.INF.
Это инсталлирует POLEDIT и введет его в субменю Стан- дартные\Служебные (Accessqries\System Tools) в меню «Программы» (Programs) и разместит важный файл ADMIN.ADM в директорию C:\WINDOWS\INF.
Если у вас не имеется инсталляционного диска, то скачайте POLEDIT с www.microsoft.com.
6. Определяем режим доступа пользователя в режиме по умолчанию.
Запустите POLEDIT, создайте новый файл, добавьте новых пользователей с именами Пользователь и Администратор. Дважды кликните по ярлыку Default User, выберите System|Restrictions и активируйте все четыре опции, чьи надписи начинаются с «Переместить» (Remove), и еще две: «Скрыть все предметы на рабочем столе» (Hide All Items on Desktop) и «Не сохранять настройки при выходе» (Don’t Save Settings on Exit). He отмечайте команду «Деактивировать команду остановки» (Disable Shutdown).
Используйте Explorer и создайте папку с именем C:\WIN- DOWS\ PROFILE\DUMMY. Вернитесь в POLEDIT, выберите Shell|Custom Folders и отметьте все опции, записав во временной папке имена, которые вы только что создали. Кликните ОК и сохраните файл, как CONFIG.POL.
7. Определяем доступ пользователя.
Введите пробный файл MAXIMUM.POL, кликните на ярлыке Default User и выберите Сору из меню Edit.
Перезапустите CONFIG.POL, кликните на ярлыке User и выберите Paste из меню Edit. Дважды кликните по ярлыку User и выберите папки Shell|Custom.
Кликните поочередно на тексте каждой опции и, если ниже появится окно редакции, замените C:\WINDOWS на C:\WIN- DOWS\PROFILES\USER. Убедитесь, что все опции активированы.
Выберите Control Panel | Passwords и активируйте опцию Restrict (Ограничения), затем активируйте четыре других опции, которые появятся ниже.
Под Shell | Restrictions активируйте опции Remove Run command, Remove Find command, Hide Drives in My Computer и Don’t Save Settings on Exit.
Ознакомьтесь с подсказкой Windows Resource Kit и решите, какие еще ограничения вы хотите задействовать, но не активируйте опцию Disable ShutDown Command.
Далее перейдите к the Shell | Restrictions и System | Restrictions, а затем измените все серые окна для «галочек» на пустые.
8. Определяем доступ Администратора.
Дважды кликните на ярлыке Администратор и пройдите по всему списку ограничений, выставляя каждое окно активации на черный цвет, а не серый.
Это защитит доступ Администратора от влияний доступа пользователя в режиме по умолчанию.
9. Определяем параметры «без пользователя».
Снова запишитесь в журнал, но нажмите ESC, чтобы закрыть подсказку лога. Начните выполнение POLEDIT, выберите «Открыть реестр» (Open Registry) из меню «Файл» и дважды кликните на «Локальном пользователе» (Local User).
Примените те же ограничения, которые назначили для Default User. Затем снова пропишитесь как Администратор.
10. Активация доступа к загрузке.
Загрузите CONFIG.POL в POLEDIT, откройте ярлык Default Computer, выберите «Систему» (System) и отметьте «галочкой» опцию «Активировать профайлы пользователей» (Enable User Profiles). Под Network\Update отметьте Remote Update.
Выберите Manual для Режима обновления (Update Mode) и введите путь C:\WIINDOWS\ CONFIG.POL.
Сохраните CONFIG.POL.
Далее в меню «Файл»выберите «Открыть реестр» (Open Registry), дважды кликните на Local Computer и сделайте то же изменение для Режима сетевого обновления.
Сохраните изменения и выйдите из POLEDIT.
11. Проверяем доступ.
Пропишитесь как Пользователь и убедитесь, что определенные вами ограничения доступа к командам действуют так, как нужно. Пропишитесь как Администратор и убедитесь, что никакие ограничения не действуют.
Теперь отключитесь и пропишитесь снова, используя новые имя и пароль.
На рабочем столе не должно быть ярлыков и программ, доступных из стартового меню.
Далее нажмите ESC в подсказке лога, чтобы обойти ввод пользовательского имени. И снова не должно быть никакого выбора. Если это так, то выйдите из программы и пропишитесь еще раз.
12. Защищаем доступ.
Пропишитесь как Пользователь и убедитесь, что не можете запустить в действие POLEDIT.
Для большей безопасности измените файл ADMIN.ADM (в папке C:\WINDOWS\INF) на другое название.
Используйте DOS-чсоманду ATTRIB, чтобы переместить скрытые системные и только читаемые атрибуты из файла C:\MSDOS.SYS и загрузите его в редактор.
Найдите заголовок [Options] и измените bootkeys= key на bootkeys~0.
Если такого ключа не имеется под [Options], то добавьте его. Сохраните файл и восстановите его скрытые, системные и только читаемые атрибуты.
Это изменение помешает пользователю прерывать процесс запуска системы.
Если BIOS позволяет, используйте его программу SETUP, чтобы деактивировать запуск с дискеты.
2. Отключение правого клика на кнопке «Пуск»
Обычно, когда вы кликаете правой кнопкой «мыши» на кнопке «Пуск», это позволяет вам открывать папку программ, Explorer и выполнять «Найти» (Find). Если вы не хотите разрешать пользователям такие операции, то защитите компьютер следующим образом:
1. Стартуйте Regedit
2. Осмотрите рабочий стол
3. Это приведет вас к HKEY_Classes_Root\Directory
4. Раскройте эту часть
5. Под заголовком Shell имеется Find (Найти)
6. Удалите Find
7. Спуститесь в реестре к заголовку Folder (Папка)
8. Раскройте эту часть и удалите Explorer й Open (От- крыть).
Теперь, когда вы кликните правой кнопкой «мыши», ничего не произойдет. Вы можете удалять только те предметы, которые хотите.
Комментарии