|
Еще раз хочу заострить ваше внимание на том, что территория Профи-консультант предполагает конкретные вопросы и конкретные ответы! Придерживайтесь простого правила: отвечайте именно на вопрос, а не комментируйте ответы других участников! А если Вы не согласны с предыдущими ответами, можно написать авторам лично через SOS.
09.03.11
|
Знаете ли вы...
... что найти вопрос по его номеру можно, указав номер вопроса в графе поиск!
28.11.10
|
|
|
|
|
|
Просмотр ответов на вопрос:
Вернуться
/ Информационные технологии / Системное администрирование /
Как настроить ОС , чтобы у других пользователей не было возможности открывать системные папки и тем более, что-то там сохранять?
|
Есть понятие режим администратора, а есть режим простого пользователя. В нем можно прописать права. И запретить все, что Вам угодно!!! Простой пользователь будет загружаться без пароля, администратор - только под паролем, который знать будет только учитель.
|
|
Заходим в систему под Администратором. Далее Пуск->Настройка->Панель управления->Администрирование->Локальные параметры безопасности->Локальные политики И там выставляете параметры какие Вам заблагорассудятся.
|
|
Если подразумевается Windows XP, то для этой оси существует огромное количество твикеров. Эти программки изумительно прикрывают все нежелательные ресурсы компьютера. Лучше конечно пользоваться руссифицированными вариантами.
|
|
Интерфейс ВинХР целиком графический. Следовательно, речь идёт о том, как ограничить доступ пользователей и их групп (что удобнее:-) к тем или иным элементам интерфейса и что именно ограничивать. Как - понятно, для задания политик групп пользователй с виндового сервера есть соответствующий утиль на сервере, для редактирования встроенных политик и создания новых локально есть poledit. Его надо поискать либо на установочном диске с Виндой, либо в системе, либо где-то по этим адресам: (http://bugtraq.ru/forum/full/2001/sysadmin/32230.html). Главное понять, что именно запрещать. Да так, чтобы после этого ещё и работать можно было:-) Потенциальными угрозами могут быть практически любые элементы интерфейса, мы же в Винде:-)) Так, первым делом необходимо отключить доступ пользователей к локальным дискам через "Мой компьютер", IE и експлоер, можно просто запретить пользователям эти иконки видеть: хватит с них "Моих документов" и съёмных дисков. Отключить автозапуск последних, а заодно - запуск любого софта с них. Далее весьма нелишним будет закрыть доступ к "сеансу MS-DOS", (а заодно проверить, нет ли какого-нить Фара или NC и удалить, если есть) а также запуск всех 16-разрядных приложений (разрешить лишь те, про которые Вы знаете и знаете, что они нужны). Также нужно вырубить правую кнопку мыши в меню "Впуск":-), так как по ней можно в это меню добавлять то, что мы так старательно прячем. Также запретить пользователям менять системное время и вообще - выключать/перезагружать комп от своего имени - некоторые "трюки" работают именно за счёт этого. Само собой, пользователь не должен ничего устанавливать, да и запускать можно то, что "официально" установлено и видится в "Установке и удалении программ" (исключения - то же, что и для 16-разрядных приложений). Хорошо бы запретить всяческие "доступы к Рабочему столу" по сети и историю приложений в "Впуске". ==== Далее - несколько общих моментов. Необходимо запаролить локального встроенного "Администратора" и запретить "Гостя". Ибо нефиг:-)) То же самое - для домена, если в сети есть таковой. В BIOS'е надо запретить загрузку с чего бы то ни было, кроме HDD с Виндой и закрыть паролем хотя бы изменение его настроек (Setup). Ну и антивирусник, фаервол и регулярные обновления, всё, что Билли прописал:-)) ==== ЗЫ Как показывает практика, если всё потенциально опасное в Винде повыключать, работать в ней становится крайне тяжело. Поэтому последний шаг - выключить саму Винду:-))
|
|
Кое-что забыл:-) ---------------- 1. Файловая система изначально должна быть ntfs. Это единственный вариант для Винды, позволяющий сохранять для каждого файла права доступа. При этом ntfs необходимо создавать до установки Винды, так как возможное последующее преобразование fat=>ntfs не присваивает системным файлам "правильные" права, при которых пользователь может их только читать и выполнять. На этот случай был в Винде некий способ быстрого прсвоения таких прав, но как это сделать, не помню. 2. Через редактирование политик необходимо запретить пользователям менять настройки IE. Полагаю, что в школах это всегда будет нелишним. В контексте данной темы это необходимо, дабы пользователь не выставил "страницей по умолчанию" системный диск или каталог. Пользователи просто перестают видеть либо соответствующий пункт меню, либо всё меню. 3. Хорошим правилом может стать регулярная смена паролей. В Винде эту процедуру можно запускать принудительно. Однако, как показывает опыт, пользователи не сразу к этому привыкают и сильно пугаются, когда введённый старый пароль вдруг перестаёт действовать. Поэтому небходимо также настроить соответствующие оповещения. 4. Если сеть сравнительно небольшая и/или стабильная (новые машины подключаются редко), можно отказаться от службы DHCP. Это может осложнить злоумышленнику подключение к сети своего компа, оснащённого "всем необходимым":-)) Вообще не стоит запускать на сервере те службы, которыми никто не пользуется или без которых можно обойтись.
|
|
Поднимаем контроллер домена, на нем создаем пользователей и расписываем политики для них, примерно как описано ниже (запретить доступ к дискам, к сети, к контекстному меню, запуск некоторых программ, изменение экрана и тэдэ и тэпэ, на ваш вкус), далее, еще профили создаем (см. Стивена Тейта, например), в них тоже можно с глаз долой убрать все лишнее. Благодаря таким извращениям мне удалось разрешать детям работать под логином с админскими правами (а что было делать, если программа запускалась ТОЛЬКО из-под админа?). Да ради бога - работайте, все равно, НИЧЕГО, кроме этой одинокой программы не запускается. И никаких ковыряний на каждой машине по отдельности, твикеров, надстроек-пристроек, одинаковые настройки, регулируемые лишь на сервере и определяемые для каждой группы по-разному (началке одно, средним - другое, старшим - третье). Единственно - на всех машинах пришлось править в реестре отказ от сохранения обязательных профилей - не совладала с сервером в этом случае, да еще криво доступ к дискам закрывается (только к авсд и все, если есть Ф, Ж,Е, тоже надо лезть в реестр). И надписи надоедают - "обратитесь к сисадмину".
|
|
Сервера-то оконного может и не быть. Он ведь в пакет ПП1 не входит. А стоит от 30т.р. + около 2т.р. каждые 5 подключений. Для удобства можно на 1 машине poledit'ом насоздавать различных политик, а потом устанавливать их на остальные. Или настроить на любой СПО-шной оси типа службу каталогов (оно же "домен"), прописать из Винды пользователям папки под профили и грузить созданные poledit'ом политики оттуда.
|
|
Устоновите пороль для сисемной папки (Свойства папки). Можно через меню пуск - панель управления.
|
|
C:\WINDOWS\system32\gpedit.msc -есть такой замечательный файл. Это менеджер "групповая политика". Здесь вы найдете очень много полезного для управления правами пользователей. Посмотрите и убедитесь в этом сами. А изучить все можно методом проб и ошибок.
|
|
Создав различные группы пользователей можно управлять и правами доступа к ресурсам для этих групп и конкретных пользователей. Прежде всего включаем режим Сервис =Свойства папки= Вид и убираем флажок "использовать простой общий доступ" Далее в свойстве папки в закладке Безопасность добавлять или удалять группы или пользователей и устанавливать для них те или иные права по доступу. Если вы выберите "дополнительно", то можете в режиме расширенного аудита управлять правами доступа к конкретному ресурсу.
|
|
>>>>Далее в свойстве папки в закладке Безопасность добавлять или удалять группы или пользователей и устанавливать для них те или иные права по доступу. Если вы выберите "дополнительно", то можете в режиме расширенного аудита управлять правами доступа к конкретному ресурсу. ========= Поймите, речь идёт не о любых каталогах (пардон, "папках":-), а именно о сиситемных. В Винде это прежде всего WINDOWS, ProgramFiles. Вся заковыка Винды состоит в том, что иногда пользователям, помимо чтения и исполнения, необходимо в системных каталогах что-то изменять. Поэтому стандартный пользователь такую возможность иметь будет. Следовательно, через групповые политики необходимо отключить те элементы графического интерфейса, кот. в эти каталоги ведут. Это необходимо для того, чтобы пользователь не мог изменять их содержимое сам, непосредственно, а только опосредовано, через запущенный им софт, отнюдь к вандализму не склонный:-) Например, если в "Впуск"/"Программы" есть что-то типа "Командная строка" или "Выполнить", всегда можно ввести что-нить типа cd C:\WINDOWS, и всё, все вандалы счастливы:-)) Что и как отключать в "подоконном" GUI, уже писал.
|
|
|
|
|