 |
Статистика |
 |
|
Онлайн всего: 1 Гостей: 1 Пользователей: 0 |
 |
|
 |
Статьи |
 |
Советы по защите
Удалённое выключение нескольких компьютеров одновременно
(45) Если у Вас в конторе множество машин и Вам надоело каждый раз после рабочего дня ходить и выключать их, используйте утилиту shutdown.exe из Windows NT Resource Kit и bat-файл примерно такого содержания:
========
shutdown \\pdc /t:2 /y /c
shutdown \\bdc /t:2 /y /c
shutdown /l /t:5 /y /c
========
Здесь компьютеры с именами PDC и BDC выключаются через 2 секунды, а локальный — через 5. Задайте строки с именами Ваших компьютеров. Создайте на Рабочем столе ярлык для этого командного файла и выключайте все компьютеры нажатием на этот ярлык.
Андрей Харченко (winfaq AT online.sinor.ru) http://winfaq.com.ru
(45) Для утилиты SHUTDOWN, входящей в состав Windows XP, синтаксис несколько иной:
shutdown -m \\ИмяКомпьютера -t 2 -s -f
shutdown -t 5 -s -f
Александр Рыжов (sovety AT sovety.net) www.sovety.net
Заставка с паролем
(1) Предохранение экрана от выгорания можно совместить с предохранением машины от не в меру любопытных коллег — защитить заставку паролем. Правда, чтобы в Windows 3.1 или 95 добраться до вашего жёсткого диска, злоумышленнику достаточно будет перезагрузиться, но он, по крайней мере, не сможет поработать от вашего имени в сети. В NT, где пароль нужен и для загрузки, заставка с паролем обеспечит надёжную защиту.
В Панели управления Windows 3.1 дважды щёлкните по значку "Оформление" (в английской версии — Desktop), выберите какую-нибудь заставку — годится любая, кроме (Нет) и пустого экрана, — нажмите кнопку "Параметры" и задайте пароль. В Windows 95 и NT щёлкните правой кнопкой мыши в области Рабочего стола, выберите в меню пункт "Свойства", перейдите на страницу "Заставка", выберите заставку, включите режим пароля и задайте пароль, нажав кнопку "Сменить".
Валери Мюррей Райан, Бен Миллер. 100 и 1 совет пользователям Windows 95, NT и 3.x // Мир ПК. 1997. № 5. С.45–58.
(40) Для того чтобы запускать заставку с паролем только тогда, когда это действительно требуется и не тратить на это лишних движений, — установите пароль на заставку, а время срабатывания поставьте максимальным. После этого найдите тот файл, который будет отображать соответствующую заставку (среди файлов с расширением scr в каталоге Windows\System), и поместите его ярлык на Рабочий стол. Теперь, уходя, достаточно кликнуть по этому ярлычку и заставка с паролем будет сразу же активизирована.
http://soobcha.ru/fishka/index.html?page=all
(44) А если взять и поместить ярлык на заставку с паролем в папку Автозагрузка, то получим запароленный вход. Опытного пользователя это не остановит (можно пропустить автозагрузку, удерживая нажатой клавишу <Ctrl> или <Shift>), но простого обывателя это просто приводит в тупик.
Константин Лебедев (lebedev-k AT yandex.ru)
Создание ярлыка для блокировки компьютера в Windows 2000/XP
(43) Если вы большой дока по части использования мыши, то вам, вероятно, удобнее будет блокировать свой ПК щелчком мыши на ярлыке, который можно разместить на Рабочем столе, на панели быстрого запуска или в Главном меню. Создайте новый ярлык и в строке "Объект" (Target) напишите
rundll32.exe user32.dll,LockWorkStation
Назовите ярлык, например, Locker. Блокиратор готов!
Скотт Данн. Защищаем Windows от любопытных глаз // Мир ПК. 2003. № 8.
Прислал Алексей Кочеев (romantik223 AT yandex.ru)
Шифрование паролей, записанных на бумаге
(1) Если, несмотря на все предупреждения системного администратора, вы записываете свои пароли на бумажку или в файл, то хотя бы записывайте их в обратном порядке или добавьте пару цифр в определённые позиции.
Дмитрий Турецкий (dmitri AT listsoft.ru) http://www.listsoft.ru
Взлом паролей
(43) Любая современная операционная система защищает пользовательские пароли, которые хранит в системном файле, при помощи шифрования. Однако, если злоумышленник получит в своё распоряжение этот файл, то он может воспользоваться программами для взлома паролей.
Самый простой метод — подбор пароля путём последовательного перебора. Для этого достаточно задать программе-взломщику длину искомого пароля и набор используемых символов. Например, скорость перебора паролей взломщиком PwlTool для Windows 9x составляет 106 тысяч паролей в секунду на компьютере с процессором Pentium III 550 МГц. Взломать парольную защиту Windows 9x гораздо проще, чем защиту Windows NT/2000/XP, — в Windows 9x пароли хранятся только в верхнем регистре букв, и поэтому их проще подобрать. В следующей таблице показано, сколько времени требуется PwlTool на подбор пароля определённой длины для разных наборов символов:
Длина Набор 26 символов Набор 36 символов Набор 70 символов
пароля (только буквы) (буквы и цифры) (все печатаемые символы)
4 немедленно немедленно 3 минуты
5 2 минуты 9 минут 3 часа
6 50 минут 6 часов 11 дней
7 22 часа 9 дней 2 года
8 24 дня 314 дней 138 лет
9 2 года 30 лет 9360 лет
Как видно, атака "в лоб" (поиск всех возможных паролей) не подходит для длинных паролей, потому что требуется слишком много времени. Однако большинство людей используют в качестве паролей одни и те же слова. Наиболее распространённые из них собраны в специальных списках — частотных словарях, которые могут содержать сотни тысяч слов. Взлом с помощью словаря обычно требует очень мало времени, даже если используемый словарь огромен. Кроме простого перебора по словарю, программы-взломщики могут учитывать некоторые маленькие хитрости пользователей:
– производится попеременное изменение буквенного регистра, в котором набрано слово;
– порядок следования букв в слове меняется на обратный;
– в начало и в конец каждого слова приписывается цифра;
– некоторые буквы изменяются на близкие по начертанию цифры (в результате, например, из слова password получается pa55w0rd);
– используется метод "гибридного исследования" для взлома паролей типа john43: перебираются все варианты вроде wordXXX, где word — это слово из словаря, а XXX — это суффикс, получаемый прямым перебором.
Всё вышесказанное относится и к паролям, которыми защищают архивы (ARJ, ZIP, RAR), документы MS Office, PDF-файлы. Для их взлома достаточно воспользоваться программами Advanced ARJ Password Recovery, Advanced ZIP Password Recovery, Advanced RAR Password Recovery, Advanced Office XP Password Recovery, Advanced PDF Password Recovery и др.
Таким образом, чтобы предотвратить взлом паролей, можно посоветовать следующее:
– не пускайте посторонних пользователей к вашему компьютеру;
– включайте экранную заставку с паролем сразу же, если вы ненадолго отходите от своего ПК;
– отключите загрузку компьютера с гибких и компакт-дисков;
– установите пароли BIOS на включение компьютера и на изменение настроек BIOS;
– периодически меняйте пароли на особо важные файлы и программы;
– задавайте пароли длиной не менее 8 символов и состоящие из букв, цифр и специальных символов, избегая тривиальных комбинаций символов;
– запретите кэширование паролей;
– если возможно, то перейдите на гораздо более защищённую Windows NT/2000/XP.
Владимир Безмалый (wladkerch AT mail.ru) http://www.zahist.narod.ru
Простое создание сложных паролей
(31) Открывая доступ к папке по сети, ставьте два пароля: "Для чтения" и "Полный", но "Полный" обязательно длиннее и сложнее, поскольку программы подбора паролей находят наименьший и успокаиваются, а ведь если до вас добрались, то пусть хоть не поганят информацию. Создавайте пароли с наибольшим разнообразием символов, например, возьмите какую-нибудь формулу и добавьте своё имя, где хотите. Скажем, можно воспользоваться формулой разности квадратов: (x@-y@)=(x-y)(x+y)VaSyA Правда, хороший пароль? (Как вы поняли — степень указана с помощью <Shift>.) Формул полно, запомнить легко, а догадаться... А если вы её ещё и с ошибками запомнили :)
Dima (Eger) (dima AT iz.freenet.kiev.ua)
Создание предупреждающего окна перед входом в систему
(45) Вы можете создать диалоговое окно, которое будет отображено для любого пользователя перед входом в систему. Например, это полезно, когда, согласно закона, требуется предупредить людей, что попытка подключиться к системе, не будучи зарегистрированным пользователем, является незаконной.
Найдите в реестре раздел:
для Windows 95/98/Me
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
для Windows NT/2000/XP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
и измените значение строкового параметра "LegalNoticeCaption" на нужный заголовок диалогового окна (например: "ПРЕДУПРЕЖДЕНИЕ!"), а значение параметра "LegalNoticeText" на нужное содержание диалогового окна (например: "Не пытайтесь подключиться к системе, если Вы не являетесь зарегистрированным пользователем!").
Windows Registry Guide
Пустое имя пользователя в окне ввода при входе в сеть
(33) Чтобы при входе в сеть в окне ввода имени пользователя было пусто, надо в разделе реестра
HKEY_LOCAL_MACHINE\Network\Logon
присвоить dword-параметру "DontShowLastUser" значение 1.
Николай Мальцев (malets AT sbrf.kurgan.ru)
Запрещение запуска редактора реестра
(9) Если за вашим компьютером работает ещё кто-то, такой же, как и вы, любитель покопаться в системном реестре с помощью всем известного Regedit.exe, то вы можете запретить запуск этой программы, создав или изменив значение dword-параметра "DisableRegistryTools" (0 — можно, 1 — нельзя) в разделе
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Если у вас нет где-нибудь запрятанного редактора реестра, то вы сами не сможете отредактировать реестр после изменения этого параметра.
Стаsик
(30) "Запрятанным" редактором реестра должен быть редактор, отличный от "всем известного Regedit.exe", поскольку установка данного параметра в 1 блокирует возможность использования Regedit.exe и Regedt32.exe для правки реестра. Можно, например, воспользоваться плагином Registry browser (доступен на сайте "Far PlugRinG") для файлового и архивного менеджера FAR.
Александр Рыжов (sovety AT sovety.net) www.sovety.net
(30) Происходит только блокировка на работу с Regedit.exe и Regedt32.exe в диалоговом режиме, однако не блокируется возможность внесения изменений в реестр с помощью reg-файлов. Поэтому для разблокирования стандартного редактора реестра достаточно создать и запустить следующий reg-файл:
===============
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:0
===============
Олег Лукъянчиков (p903 AT simbir.ru)
(37) С помощью reg-файла разблокировать стандартный редактор реестра можно только в операционных системах Windows 9x/NT/2000. В Windows XP этот номер не пройдёт. Там нужно либо воспользоваться альтернативным редактором реестра, либо, поскольку блокировка распространяется не на всех пользователей, а только на текущего в момент её установки, загрузиться под именем другого пользователя и осуществить по всему реестру поиск параметра "DisableRegistryTools", у которого значение 1, и исправить это значение на 0.
Александр Рыжов (sovety AT sovety.net) www.sovety.net
Запрещение различных функций и ресурсов в Windows
(45) Если вы хотите запретить на компьютерах, работающих под управлением Windows, выполнение некоторых функций, то можете отредактировать соответствующим образом параметры реестра, отвечающие за них. Установка для параметров типа DWORD значения в 1 включает ограничение, установка в 0 или удаление параметра — снимает. Если параметр имеет другой тип или другое значение, то это указано в его описании. Ряд параметров можно задавать как в ветви реестра HKEY_CURRENT_USER (ограничение действует для данного пользователя), так и в HKEY_LOCAL_MACHINE (ограничение действует для всех пользователей), причём значение параметра в последней ветви имеет приоритет. Если нужный параметр или раздел в реестре отсутствует, то его надо создать. Если в описании параметра не указано, для каких версий Windows он действителен, то он верен для всех версий Windows.
Запустите редактор реестра regedit и используйте следующие параметры:
Разделы
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoRun" — скрывает команду "Выполнить" в меню "Пуск", что не позволяет пользователям запускать программы или процессы из меню "Пуск", однако если пользователь имеет доступ к командной строке MS-DOS, он всё равно сможет запускать любые программы;
"RestrictRun" — при установке в 1 будет разрешён только запуск программ, определённых в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun] с помощью строковых параметров с именами в виде чисел по возрастанию, например:
"1"="notepad.exe"
"2"="winword.exe"
"NoDrives" — определяет, какие из дисков скрыть в "Моём компьютере". Порядок устанавливается с самого низкого бита — диск A: до 26-го бита — диск Z:. Чтобы скрыть диск, надо включить его бит. Если Вы не умеете работать с шестнадцатеричными числами, установите в regedit переключатель на десятичную систему исчисления и задайте следующие десятичные числа для скрытия диска:
A: 1, B: 2, C: 4, D: 8, E: 16, F: 32, G: 64, H: 128, I: 256, J: 512, K: 1024, L: 2048, M: 4096, N: 8192, O: 16384, P: 32768, Q: 65536, R: 131072, S: 262144, T: 524288, U: 1048576, V: 2097152, W: 4194304, X: 8388608, Y: 16777216, Z: 33554432, все: 67108863
Для скрытия нескольких дисков надо задавать сумму соответствующих чисел.
Обратите внимание: эти диски будут всё равно отображены в Диспетчере файлов (а также в файловых менеджерах, например, FAR), для удаления Диспетчера файлов удалите файл winfile.exe;
"NoFind" — скрывает команду "Найти" в меню "Пуск";
"NoCommonGroups" — скрывает группу "Стандартные" в меню "Пуск" – "Программы";
"NoFavoritesMenu" — скрывает группу "Избранное" в меню "Пуск";
"NoRecentDocsMenu" — скрывает группу "Документы" в меню "Пуск";
"NoSetFolders" — скрывает пункты "Панель управления", "Принтеры", "Удаленный доступ к сети " в меню "Пуск" – "Настройка" и в папке "Мой компьютер";
"NoSetTaskbar" — скрывает пункт "Панель задач" в меню "Пуск" – "Настройка" и блокирует доступ к свойствам Панели задач через её контекстное меню;
"NoLogOff" — скрывает команду "Завершение сеанса" в меню "Пуск";
"NoClose" — отключает команду "Выключить компьютер";
"NoSaveSettings" — отключает сохранение изменений параметров настройки настольной конфигурации (расположение значков, вид и т.д.) при выходе из Windows, чтобы другие люди не смогли изменить любимый вид Вашего Рабочего стола;
"NoDesktop" — скрывает все элементы и программы на Рабочем столе Windows;
"NoInternetIcon" — скрывает значок "Интернет" на Рабочем столе Windows;
"NoNetHood" — скрывает значок "Сетевое окружение" на Рабочем столе Windows;
"NoControlPanel" — скрывает пункт "Панель управления" в меню "Пуск" (в Windows Me/2000/XP);
"NoChangeStartMenu" — предотвращает изменение меню "Пуск" методом drag-and-drop и отключает контекстное меню в меню "Пуск" (в Windows 98/Me/2000/XP);
"NoSMHelp" — скрывает пункт "Справка" в меню "Пуск" (в Windows Me/2000/XP);
"NoFolderOptions" — скрывает пункт "Свойства папки" в меню Проводника, в меню "Пуск" – "Настройка" и Панели управления (в Windows 98/Me/2000/XP);
"ClassicShell" — отключает различные расширенные возможности оболочки Windows, которые добавлены в новых версиях Windows (с версии 98) и Internet Explorer (с версии 4.0): в Windows 95/98/Me/NT/2000 отключает Активный Рабочий стол, просмотр папок как веб-страниц, режим просмотра эскизов, панель быстрого запуска, меню "Избранное" и "Переход" в Проводнике и др.; в Windows XP отключает отображение списка типичных задач в папках, меню "Избранное" в Проводнике, вкладку "Рабочий стол" в свойствах Экрана;
"NoNetConnectDisconnect" — скрывает кнопки "Подключить сетевой диск" и "Отключить сетевой диск" из инструментальной панели Проводника, а также соответствующие пункты контекстного меню "Моего компьютера" и меню "Сервис" Проводника, что не даёт пользователям создавать дополнительные сетевые подключения (в Windows NT/2000/XP);
"NoPropertiesMyComputer" — блокирует доступ к экрану "Свойства системы" через контекстное меню "Мой компьютер" и элемент "Система" в Панели управления (только в Windows XP);
"ForceStartMenuLogoff" — вынуждает кнопку "Завершение сеанса" появляться в Главном меню и предотвращает удаление или скрытие её пользователями (в Windows 2000/XP);
"NoInstrumentation" — запрещает Windows записывать информацию о том, какие приложения пользователь запускал и к каким файлам и документам обращался (в Windows 2000/XP). Обратите внимание: если это ограничение включено, то настраиваемые меню и другие возможности, для которых нужна информация об обращении пользователя к приложениям и файлам, будут заблокированы;
"NoCDBurning" — запрещает использование встроенной функции записи CD в Windows XP.
Разделы
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network
"NoEntireNetwork" — скрывает элемент "Вся сеть" в Сетевом окружении, что не позволяет пользователям видеть все Рабочие группы и Домены в сети, а только собственную Рабочую группу или Домен;
"NoWorkgroupContents" — скрывает всё содержание Рабочей группы в Сетевом окружении;
"HideSharePwds" — определяет, показывать пароль, напечатанный при доступе к совместно используемым файлам, обычным текстом или звёздочками;
"MinPwdLen" — определяет минимальную длину пароля (этот параметр двоичного типа!), что заставляет Windows отклонять пароли меньшей длины, чтобы предотвратить использование тривиальных паролей там, где важна защита (это изменение не затрагивает существующие пароли, а воздействует только на новые или замену старых);
"AlphanumPwds" — требует создания только алфавитно-цифровых паролей, т.е. паролей, состоящих из комбинации букв и цифр;
"DisablePwdCaching" — отключает кэширование пароля (пароль пользователя не запоминается на его компьютере), а также удаляет повторное поле ввода пароля Windows и отключает возможность синхронизации сетевых паролей.
Разделы
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}" — скрывает "Мой компьютер" на Рабочем столе и в меню "Пуск" (в Windows Me/2000/XP).
Разделы
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
"NoDispCPL" — отключает доступ к значку "Экран" в Панели управления и не позволяет пользователям изменять параметры дисплея;
"NoDispAppearancePage" — скрывает вкладку "Оформление" в окне свойств экрана;
"NoDispBackgroundPage" — скрывает вкладку "Фон" в окне свойств экрана;
"NoDispScrSavPage" — скрывает вкладку "Заставка" в окне свойств экрана;
"NoDispSettingsPage" — скрывает вкладку "Настройка" в окне свойств экрана;
"DisableTaskMgr" — отключает возможность пользователя запускать Диспетчер задач для наблюдения за процессами, выполнением программ, а также созданием изменений в приоритете или в состоянии индивидуальных процессов (в Windows NT/2000/XP).
Раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
"DontDisplayLastUserName" — скрывает последнее имя пользователя (отображается пустое поле "Имя пользователя") при входе в систему (в Windows 2000/XP).
Раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"DontDisplayLastUserName" — скрывает последнее имя пользователя (отображается пустое поле "Имя пользователя") при входе в систему (в Windows NT);
"PasswordExpiryWarning" — определяет, за какое количество дней (по умолчанию 14) до истечения срока пароля пользователя отобразится предупреждающее сообщение (в Windows NT/2000/XP);
"AllocateCDRoms",
"AllocateFloppies" — определяют, являются ли данные на компакт-дисках и гибких дисках соответственно доступными для сетевых пользователей (значение "0" по умолчанию) или только для локального пользователя (значение "1") (параметры строкового типа!), что не позволяет получить другим пользователям доступ к диску во время работы локального пользователя за компьютером, причём диск снова становится доступным, когда локальный пользователь выходит из системы (в Windows NT/2000/XP).
Разделы
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Power
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Power
"PromptPasswordOnResume" — заставляет запрашивать пароль пользователя при возвращении к работе из спящего режима (hibernate) или режима ожидания (suspend) (только в Windows XP).
Раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
"RestrictAnonymous" — запрещает анонимным пользователям при входе в систему получить список имён пользователей домена и список совместно используемых ресурсов (в Windows NT4 SP3/2000/XP).
Раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
"AutoShareServer",
"AutoShareWks" — при установке значения в 0 отключают совместное использование скрытых административных общих ресурсов (локальные логические диски NT-систем, доступные по умолчанию администраторам по сети через обращение типа \\server\c$) сервера и рабочей станции соответственно (в Windows NT/2000/XP);
"Hidden" — скрывает сервер или рабочую станцию в общем списке ресурсов сети (тот же самый результат может быть получен выполнением команды "NET CONFIG SERVER /HIDDEN:YES") (в Windows NT/2000/XP). Примечание: надо перезагрузить компьютер и может потребоваться до часа, чтобы сервер исчез из списка просмотра сетевых ресурсов, однако доступ к ресурсам этого компьютера по-прежнему будет возможен через пути формата UNC.
Раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
"DisableSavePassword" — отключает возможность использования опции "Сохранить пароль" в Удалённом доступе к сети (в Windows NT/2000/XP).
Раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters
"AuthenticateRetries" — определяет число попыток идентификации пользователя (от 1 до 10) для подключения к системе с помощью Удалённого доступа (в Windows NT/2000/XP);
"AuthenticateTime" — определяет максимальный срок в секундах (от 20 до 600), во время которого может быть произведена идентификация входа в систему через Удалённый доступ (в Windows NT/2000/XP);
"CallbackTime" — определяет время задержки в секундах (от 2 до 12) перед инициализацией отзыва при Удалённом подключении (в Windows NT/2000/XP);
"AutoDisconnect" — определяет время задержки в минутах перед тем, как неактивный пользователь Удалённого доступа будет отключен (в Windows NT/2000/XP).
Данный совет составлен на основе двух источников:
1. Александр Ежов (admin AT leader.ru) http://www.leader.ru
2. Windows Registry Guide
(40) Я заметил одну интересную особенность после очередного блуждания по реестру Windows 98. Установка параметру "NoDesktop" значения 1, кроме скрытия ярлыков и отключения всплывающего меню на Рабочем столе, приводит и к отключению автозапусков CD, но все галки в настройках Windows, отвечающие за это, остаются на месте.
Gres (gres_go AT inbox.ru)
Блокировка сочетаний с клавишей <Win> в Windows Me/2000/XP
(44) В Windows Me/2000/XP можно заблокировать использование "горячих" сочетаний с клавишей <Win>. Для этого надо в разделе реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
создать dword-параметр "NoWinKeys" и присвоить ему значение 1.
Перезагрузите сеанс Windows, чтобы изменения вступили в силу.
Через ветвь HKEY_LOCAL_MACHINE нужный способ можно задать для всех пользователей сразу.
Данный совет составлен на основе двух источников:
1. Алексей Кочеев (romantik223 AT yandex.ru)
2. Windows Registry Guide
Отключение контекстного меню на панели задач и Рабочем столе
(32) Отключить срабатывание правой кнопки мыши — одна из самых передовых задач при защите компьютера от неопытного чайника. Вот два двоичных параметра, отвечающие за это:
Раздел
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
отключить меню, вызываемое правой кнопкой мыши на панели задач:
"NoTrayContextMenu"=hex:01,00,00,00
отключить меню, вызываемое правой кнопкой мыши на Рабочем столе:
"NoViewContextMenu"=hex:01,00,00,00
Чтобы включить обратно, надо 01 заменить на 00.
Алексей Ломовских (lomovskih AT yandex.ru) http://vallkor.chat.ru
Скрытие пункта "Options" меню "View" в Windows NT Explorer
(21) Начиная с Windows NT 4.0 Service Pack 4, у вас есть возможность скрыть от пользователей пункт "Options" меню "View" в Windows NT Explorer'е. Это поможет вам уменьшить вероятность: несанкционированного доступа к скрытым и системным файлам; изменения привязки расширений файлов к тем или иным приложениям и параметров этой привязки. Для этого необходимо в раздел реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
добавить dword-параметр "NoOptions" и присвоить ему значение 1.
Изменения вступят в силу после перезагрузки.
Александр Зорич (zalex AT orc.ru) http://www.orc.ru/~zalex
Очистка списка ранее выполненных команд в окне "Выполнить" меню "Пуск"
(11) В разделе реестра
HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
содержатся кэшированные командные строки диалогового окна "Выполнить" меню "Пуск". Вы можете удалить параметры, соответствующие командам, которые хотите удалить из списка окна.
Simon Clausen (info AT regedit.com) http://www.regedit.com
Перевод: Андрей Зенченко (vaz AT solaris.ru) http://crimsoft.newmail.ru
Предотвращение попадания открываемых документов в меню "Пуск" – "Документы"
(27) Меню "Пуск" – "Документы" содержит ярлыки недавно использовавшихся файлов или документов. Если в системе работает несколько пользователей с одной и той же конфигурацией, и, при этом, нежелательно предоставлять пользователям быстрый доступ к ярлыкам недавно использовавшихся файлов или документов, с которыми работали другие пользователи, то можно включить автоматическую очистку содержимого меню "Документы" при завершении работы Windows. Для этого в разделе системного реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
создайте двоичный параметр "ClearRecentDocsOnExit" и присвойте ему значение "01,00,00,00".
Примечание: ярлыки меню "Документы" хранятся на жёстком диске в папке %WinDir%\Recent, где %WinDir% — это папка, в которую установлена Windows.
Статья R10984 сборника технических статей Microsoft
http://www.microsoft.ru/catalog
(43) При включении этого параметра реестра при завершении работы Windows также очищается история ввода в меню "Пуск" – "Выполнить".
Александр Жарков (chipset AT penza.net)
(43) Кроме того, очищается также история ввода в раскрывающемся списке "Адрес" в Internet Explorer.
Александр Рыжов (sovety AT sovety.net) www.sovety.net
(44) Чтобы избежать очистки историй ввода, можно использовать в том же разделе реестра параметр "NoRecentDocsHistory", вместо "ClearRecentDocsOnExit". Тогда открываемые пользователем документы не будут добавляться в список "Пуск" – "Документы".
Алексей Кочеев (romantik223 AT yandex.ru)
Скрытие элементов Панели управления
(1) Для того чтобы удалить некоторые элементы из Панели управления, можно переместить соответствующие cpl-файлы из каталога WINDOWS\SYSTEM куда-нибудь ещё. А можно и просто вписать их имена в раздел [don't load] файла control.ini. Т.е. написать что-то вроде system.cpl=no.
Дмитрий Турецкий (dmitri AT listsoft.ru) http://www.listsoft.ru
(42) Чтобы скрыть какой-либо элемент в Панели управления Windows NT/2000/XP, надо в разделе реестра
HKEY_CURRENT_USER\Control Panel\don't load
создать строковый параметр с именем соответствующего cpl-файла (например, "fax.cpl") и присвоить ему значение "No". Если удалить параметр, то элемент опять будет доступен.
Windows Registry Guide
Скрытие папок в меню "Пуск" – "Программы"
(11) Возможно, Вам захочется скрыть на время какие-то папки в меню "Пуск" – "Программы". Чтобы не удалять их, надо просто задать им атрибут "Скрытый". Нужно открыть папку Главного меню (обычно это C:\Windows\Главное меню), выделить нужную папку, открыть её свойства (в контекстном меню) и задать атрибут.
Виталий Гречанюк
Скрытие дополнительных папок в меню "Пуск"
(35) Чтобы скрыть все дополнительные папки в меню "Пуск", которые вы сами добавляли в каталог "C:\Windows\Главное меню", надо в разделе реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
создать dword-параметр "NoStartMenuSubFolders" и присвоить ему значение 1.
Алексей Ломовских (lomovskih AT yandex.ru) http://vallkor.chat.ru
Скрытие настройки приложения "System Restore" в Windows XP
(36) С помощью правки реестра в Windows XP можно отключить пользовательский интерфейс настройки приложения "System Restore", чтобы предотвратить изменение настройки этого приложения пользователем, а также отключение и включение этого свойства для системных и несистемных дисков. Для этого надо в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT
создать подраздел "SystemRestore", а в нём dword-параметр "DisableConfig" со значением 1.
Статья RU283073 сборника технических статей Microsoft
http://search.support.microsoft.com/kb/c.asp
Очистка файла подкачки
(18) Как Вы уже знаете, своп — это часть информации из оперативной памяти, которая хранится на винчестере. В том числе, в свопе может сохраняться Ваша конфиденциальная информация (например, пароли), которую, в принципе, можно оттуда достать. Чтобы этого не произошло, включите функцию очистки свопа при выключении компьютера:
1. Откройте редактор реестра (regedit.exe).
2. Найдите раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
3. Если параметр "ClearPageFileAtShutdown" в данном разделе отсутствует, то создайте его (New – DWORD).
4. Установите значение этого параметра в 1.
5. Перезагрузите машину.
Теперь своп будет удаляться при выключении и создаваться заново при включении.
Андрей Харченко (winfaq AT online.sinor.ru) http://winfaq.com.ru
(35) Этот параметр не стирает своп-файл с диска, а заполняет его весь нулями, т.е. очищает. Сам файл на диске остаётся.
Алексей Шашков (lehmen AT 3dnews.ru). WinXP FAQ
Разрешение применения только сложных паролей
(18) В Windows NT 4.0 Service Pack 2 содержится новый фильтр для паролей passfilt.dll, который вводит новые ограничения для выбора паролей:
1. Пароль должен быть длиной не менее 6 знаков.
2. В пароле должно быть не менее трех символов, удовлетворяющих следующим критериям:
– заглавные буквы A–Z;
– маленькие буквы a–z;
– числа 0–9;
– символы (например, "!").
3. Пароль не может содержать имя пользователя или любую его часть.
Для включения этой возможности на PDC и одиночном сервере (это не надо делать на BDC, но при поднятии его до PDC, сделать надо), выполните следующее:
1. Откройте редактор реестра regedt32.exe (не используйте regedit.exe).
2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Дважды щёлкните мышью на "Notification Packages".
4. Введите PASSFILT в новой строке (если там находится FPNWCLNT, добавьте после него). Нажмите "OK".
5. Закройте редактор реестра.
6. Перезагрузитесь.
Андрей Харченко (winfaq AT online.sinor.ru) http://winfaq.com.ru
Ограничение удалённого доступа к реестру
(17) Доступ к удалённому редактированию реестра контролируется ACL-ключом winreg реестра.
1. Откройте редактор реестра regedt32.
2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
3. Найдите подраздел с именем winreg. Если его нет, создайте (Edit – Add Key).
4. Выделите подраздел winreg (нажмите на нём).
5. В меню "Security" выберите "Permissions".
6. Нажмите "Add" и дайте пользователю, которого хотите ограничить, доступ "read" (чтение).
7. После добавления нажмите на пользователе и выберите "Special Access".
8. Дважды щёлкнув мышью на пользователе, можно ещё выбрать, какие действия он сможет выполнять.
9. Нажмите "OK".
Можно установить, чтобы некоторые разделы были доступны для пользователя, даже если ему не дали прав на редактирование:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths\Machine
С помощью regedt32 добавьте необходимые пути в список.
Андрей Харченко (winfaq AT online.sinor.ru) http://winfaq.com.ru
Назначение прав доступа в файловой системе NTFS
(1) По умолчанию Windows NT предоставляет всякому, кто сумеет правильно указать идентификатор и пароль, полный набор прав доступа. Однако в файловой системе NTFS вы можете индивидуально назначать права доступа созданным вами папкам и файлам; если же вы войдёте в систему с правами администратора, то сможете изменить атрибуты доступа любого файла, в том числе и созданного кем-то другим. Щёлкните правой кнопкой мыши по объекту, для которого вы хотите задать права доступа, перейдите в окно свойств, откройте страницу "Защита" и нажмите кнопку "Права доступа". Вы увидите список пользователей, которым разрешён доступ к объекту. Чтобы удалить пользователя, выделите его имя и нажмите кнопку "Удалить". Чтобы добавить группу пользователей (например, сотрудников такого-то отдела), нажмите кнопку "Добавить" и выберите нужную группу из списка зарегистрированных в системе.
По умолчанию в диалоговом окне задания прав доступа NT предлагает добавлять пользователей из списка, включающего только группы. Чтобы увидеть список отдельных пользователей, нужно в диалоговом окне "Добавление пользователей и групп" выбрать группу и нажать кнопку "Показать пользователей". После этого в нижней части списка для каждой группы будут появляться имена всех её членов. Чтобы внести имя в список на добавление, нужно дважды щёлкнуть по нему.
Windows NT позволяет не только предоставить или не предоставить тому или иному пользователю доступ к файлу, но и определить, что он может с этим файлом делать: читать и модифицировать, только читать и т.д. Для этого выделите в списке имя пользователя или группы и выберите нужное значение в меню "Тип доступа".
Валери Мюррей Райан, Бен Миллер. 100 и 1 совет пользователям Windows 95, NT и 3.x // Мир ПК. 1997. № 5. С.45–58.
Запрет запуска определённых программ в Windows XP Pro
(37) На диске NTFS администратор может задать права доступа на папки и файлы. Если диск FAT, то возможностей по защите меньше. Однако в Windows XP Pro появился способ запретить запуск какой-либо программы обычным пользователям с помощью локальной политики безопасности:
1. Панель управления -> Администрирование -> Локальная политика безопасности -> Политики ограниченного использования программ -> Дополнительные правила.
2. Щёлкаем правой кнопкой мыши и выбираем пункт "Создать правило для хеша". У этого правила максимальный приоритет и оно будет действовать на файл вне зависимости от его перемещений из каталога в каталог.
3. В открывшемся окне нажимаем кнопку "Обзор" и выбираем выполняемый файл программы, запуск которой хотим запретить.
4. Для пункта "Безопасность" задаём значение "Не разрешено" и закрываем окно.
5. В элементе "Принудительный" Политики ограниченного использования программ указываем, что ограничения должны применяться для всех пользователей, кроме локальных администраторов.
Александр Рыжов (sovety AT sovety.net) www.sovety.net
Контроль за файлами с помощью аудита
(1) Если вы куда-то уезжаете и на время своего отсутствия оставляете компьютер коллегам, по возвращении вам, возможно, будет интересно узнать, в какие файлы кто из них залезал. Имея на машине права администратора, вы можете заказать регистрацию таких действий, как удаление, выполнение, чтение, запись и изменение прав доступа. Для этого щёлкните правой кнопкой мыши по значку файла, откройте окно свойств, перейдите на страницу "Аудит" и нажмите кнопку "Добавить", после чего выберите имена пользователей, которые должны работать на вашем компьютере. Отметьте в имеющемся на странице списке действия, которые должны регистрироваться, и укажите, следует ли отмечать также успешность или неуспешность каждого действия.
Валери Мюррей Райан, Бен Миллер. 100 и 1 совет пользователям Windows 95, NT и 3.x // Мир ПК. 1997. № 5. С.45–58.
Проведение аудита изменений реестра
(17) Используя regedt32.exe можно установить аудит изменений отдельных частей реестра. Ведение аудита — очень чувствительная мера, позволяющая выводить предупреждающие сообщения людям, нарушающим установленные Вами правила редактирования реестра.
1. Откройте редактор реестра regedt32.
2. Выберите раздел, на который хотите назначить аудит (например, HKEY_LOCAL_MACHINE\SOFTWARE).
3. Из меню "Security" (Безопасность) выберите "Auditing" (Аудит).
4. Пометьте "Audit Permission on Existing Subkeys" (Разрешение аудита для существующих разделов), если Вы хотите проводить аудит и подразделов.
5. Нажмите "Add" (Добавить) и выберите пользователей, которые будут подвержены аудиту, нажмите "Add" и "OK".
6. В разделе "Names" можно выбрать, аудит каких событий будет проводиться.
7. После заполнения всей информации нажмите "OK".
Убедитесь, что у Вас включен "Auditing for File and Object" (воспользуйтесь User Manager – Polices – Audit).
Для прос
|
| Категория: Компьютеры | Добавил: Gryphus (15.01.2009)
|
| Просмотров: 2121
| Рейтинг: 0.0/0 |
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ] |
 |
Copyright MyCorp © 2024 |
 |
|
|
