[Главная] [Советы] [Настройка] [Ссылки]
(1) По умолчанию Windows NT предоставляет всякому, кто сумеет правильно указать идентификатор и пароль, полный набор прав доступа. Однако в файловой системе NTFS вы можете индивидуально назначать права доступа созданным вами папкам и файлам; если же вы войдете в систему с правами администратора, то сможете изменить атрибуты доступа любого файла, в том числе и созданного кем-то другим. Щёлкните правой кнопкой мыши по объекту, для которого вы хотите задать права доступа, перейдите в окно свойств, откройте страницу "Защита" и нажмите кнопку "Права доступа". Вы увидите список пользователей, которым разрешён доступ к объекту. Чтобы удалить пользователя, выделите его имя и нажмите кнопку "Удалить". Чтобы добавить группу пользователей (например, сотрудников такого-то отдела), нажмите кнопку "Добавить" и выберите нужную группу из списка зарегистрированных в системе. По умолчанию в диалоговом окне задания прав доступа NT предлагает добавлять пользователей из списка, включающего только группы. Чтобы увидеть список отдельных пользователей, нужно в диалоговом окне "Добавление пользователей и групп" выбрать группу и нажать кнопку "Показать пользователей". После этого в нижней части списка для каждой группы будут появляться имена всех её членов. Чтобы внести имя в список на добавление, нужно дважды щёлкнуть по нему. Windows NT позволяет не только предоставить или не предоставить тому или иному пользователю доступ к файлу, но и определить, что он может с этим файлом делать: читать и модифицировать, только читать и т.д. Для этого выделите в списке имя пользователя или группы и выберите нужное значение в меню "Тип доступа". (2) Если вы куда-то уезжаете и на время своего отсутствия оставляете компьютер коллегам, по возвращении вам, возможно, будет интересно узнать, в какие файлы кто из них залезал. Имея на машине права администратора, вы можете заказать регистрацию таких действий, как удаление, выполнение, чтение, запись и изменение прав доступа. Для этого щёлкните правой кнопкой мыши по значку файла, откройте окно свойств, перейдите на страницу "Аудит" и нажмите кнопку "Добавить", после чего выберите имена пользователей, которые должны работать на вашем компьютере. Отметьте в имеющемся на странице списке действия, которые должны регистрироваться, и укажите, следует ли отмечать также успешность или неуспешность каждого действия. (3) Как защититься от администратора? Одно из преимуществ NTFS состоит в том, что можно создать разграничение доступа к файлам и каталогам. Пользователь не сможет посмотреть папку "Мои документы" другого пользователя, если этот пользователь не является администратором. Как же защититься от администратора? Запретить ему доступ к своим данным нельзя, а вот узнать, копался ли администратор по вашим личным папкам и документам, можно. Допустим, вы решили закрыть файл или папку для всех и разрешить доступ только себе. Щёлкните правой кнопкой мыши по файлу/папке, выберите из меню команду "Свойства", на вкладке "Безопасность" удалите всех, кроме себя. Теперь система не позволит администратору посмотреть этот файл/папку. Так как он администратор, ему не составит особого труда проделать то же самое, что и вы, и добавить для себя разрешение на полный доступ к этому файлу/папке, а затем удалить себя, дабы никто не узнал. Но текущим владельцем этого файла/папки теперь станет администратор, в чём вы сможете убедиться, нажав на вкладке "Безопасность" кнопку "Дополнительно", в новом диалоговом окне перейдя на вкладку "Владелец" и посмотрев на поле "Текущий владелец для этого элемента". До этого им были вы. (4) Запрещение различных функций и ресурсов (см. также совет с тем же названием в рубрике "1.4. Защита"). Если Вы хотите запретить на клиентских машинах, работающих под управлением Windows NT, выполнение некоторых функций, то можете отредактировать соответствующим образом реестр. Запустите regedit и используйте следующие имена (установка для параметров типа DWORD значения в 1 включает ограничение, установка в 0 - снимает): Ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA "RestrictAnonymous" - запрещает анонимным пользователям при входе в систему получить список имён пользователей домена и список совместно используемых имён (выполнение этой операции возможно только после установки Сервисного пакета 3 для Windows NT 4.0); Ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "DontDisplayLastUserName" - скрывает последнее имя пользователя (отображается пустое поле в блоке "Имя пользователя") при входе в систему, что позволяет предотвратить вход в систему людей, использующих последнее имя пользователя системы; "PasswordExpiryWarning" - определяет, за какое количество дней (по умолчанию 14) до истечения срока пароля пользователя отобразится предупреждающее сообщение; "AllocateCDRoms", "AllocateFloppies" - определяют, являются ли данные на диске CD-ROM и гибких дисках соответственно доступными для других пользователей (значение "1" по умолчанию) или только для текущего пользователя (значение "0"), что не позволяет получить другим пользователям доступ к диску во время использования текущим пользователем компьютера, причём диск снова становится доступным, когда текущий пользователь выходит из компьютера (параметры строкового типа!). Ключ HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters "AutoShareServer", "AutoShareWks" - отключают совместную администрацию (c$ и d$) Сервера и Рабочей станции соответственно; "Hidden" - скрывает Ваш Сервер или Рабочую станцию в общем списке Окна просмотра (тот же самый результат может быть получен выполнением команды "NET CONFIG SERVER /HIDDEN:YES" на Рабочей станции). Ключ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoNetConnectDisconnect" - скрывает кнопки "Подключить сетевой диск" и "Отключить сетевой диск" из инструментальной панели Проводника, а также соответствующие пункты контекстного меню "Моего компьютера" и меню "Сервис" Проводника, что не даёт пользователям создавать дополнительные сетевые подключения. Ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters "DisableSavePassword" - отключает возможность использования опции "Сохранить пароль" в Удаленном доступе к сети. Ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters "AuthenticateRetries" - определяет число повторений опознавания (от 1 до 10) прежде, чем подключение с помощью Удалённого доступа будет отключено; "AuthenticateTime" - определяет срок в секундах (от 20 до 600), во время которого может быть произведена идентификация входа в систему через Удалённый доступ; "CallbackTime" - определяет время задержки в секундах (от 2 до 12), как долго ждать перед инициализацией отзыва при подключении; "AutoDisconnect" - определяет время задержки в минутах перед тем, как неактивный пользователь RAS будет отключен. Ключ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" - отключает возможность пользователя запускать Администратор задач для наблюдения за процессами, выполнением программ, а также созданием изменений в приоритете или в состоянии индивидуальных процессов. (5) Начиная с SP4, у вас есть возможность скрыть от пользователей пункт "Options" меню "View" в Windows NT Explorer'е. Это поможет вам уменьшить вероятность: несанкционированного доступа к скрытым и системным файлам; изменения привязки расширений файлов к тем или иным приложениям и параметров этой привязки. Для этого необходимо в раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer добавить параметр "NoOptions" (REG_DWORD) и присвоить ему значение 1. Изменения вступят в силу после перезагрузки. (6) Как Вы уже знаете, своп - это часть информации из оперативной памяти, которая хранится на винчестере. В том числе, в свопе может сохраняться Ваша конфиденциальная информация (например, пароли), которую, в принципе, можно оттуда достать. Чтобы этого не произошло, включите функцию очистки свопа при выключении компьютера: 1. Откройте редактор реестра (regedit.exe). 2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management 3. Если параметр ClearPageFileAtShutdown в данном разделе отсутствует, создайте его (New - DWORD). 4. Установите его значение в 1. 5. Перезагрузите машину. Теперь своп будет удаляться при выключении, и создаваться заново при включении. (7) Разрешение применения только сложных паролей. В Windows NT 4.0 Service Pack 2 содержится новый фильтр для паролей passfilt.dll, который вводит новые ограничения для выбора паролей: 1. Пароль должен быть длиной не менее 6 знаков. 2. В пароле должно быть не менее трех символов, удовлетворяющих следующим критериям: - заглавные буквы A-Z; - маленькие буквы a-z; - числа 0-9; - символы (например, "!"). 3. Пароль не может содержать имя пользователя или любую его часть. Для включения этой возможности на PDC (и одиночном сервере) (это не надо делать на BDC, но при поднятии его до PDC, сделать надо), выполните следующее: 1. Откройте редактор реестра (regedt32.exe, не используйте regedit.exe). 2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 3. Даблкликните на "Notification Packages". 4. Введите PASSFILT в новой строке (если там находится FPNWCLNT, добавьте после него). OK. 5. Закройте редактор реестра. 6. Перезагрузитесь. (8) Ограничение удалённого доступа к реестру. Доступ к удалённому редактированию реестра контролируется ACL-ключом winreg реестра. 1. Откройте редактор реестра (regedt32.exe). 2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers 3. Найдите ключ с именем winreg. Если его нет, создайте (Edit - Add Key). 4. Выделите ключ winreg (нажмите на нём). 5. В меню Security выберите permissions. 6. Нажмите Add и дайте пользователю, которого хотите ограничить, доступ read (чтение). 7. После добавления, нажмите на пользователе и выберите "Special Access". 8. Даблкликнув на пользователе, можно ещё выбрать, какие действия он сможет выполнять. 9. OK. Можно установить, чтобы некоторые ключи были доступны для пользователя, даже если ему не дали прав на редактирование: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths\Machine С помощью regedt32 добавьте необходимые пути в список. (9) Проведение аудита изменений реестра. Используя regedt32.exe можно установить аудит изменений отдельных частей реестра. Ведение аудита - очень чувствительная мера, позволяющая выводить предупреждающие сообщения людям, нарушающим установленные Вами правила редактирования реестра. 1. Откройте редактор реестра (regedt32.exe). 2. Выберите ключ, на который хотите назначить аудит (например, HKEY_LOCAL_MACHINE\Software) 3. Из меню Security (Безопасность) выберите Auditing (Аудит). 4. Пометьте "Audit Permission on Existing Subkeys" (Разрешение аудита для существующих разделов), если Вы хотите проводить аудит и подразделов. 5. Нажмите Add (Добавить) и выберите пользователей, которые будут подвержены аудиту, нажмите Add и OK. 6. В разделе "Names" можно выбрать, аудит каких событий будет проводиться. 7. После заполнения всей информации нажмите OK. Убедитесь, что у Вас включен Auditing for File and Object (воспользуйтесь User Manager - Polices - Audit). Для просмотра результатов аудита, воспользуйтесь Event Viewer (Просмотр событий), раздел Security. (10) В операционной системе MS Windows 2000 любой файл или папка, расположенная на логическом диске с файловой системой NTFS, может быть зашифрована. Эта процедура описана в разделе "Шифрование файла или папки" справочной системы MS Windows 2000 Professional. При необходимости, команду "Зашифровать" ("Encrypt") / "Расшифровать" ("Decrypt") можно встроить в контекстное меню для файлов и папок. В случае если файл или папка не зашифрованы, будет доступна команда "Зашифровать". В обратном случае - команда "Расшифровать". Для этого: 1. Запустите редактор реестра regedt32. 2. Откройте раздел: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 3. Создайте параметр типа REG_DWORD с именем EncryptionContextMenu и значением 1. 4. Закройте редактор реестра и перезагрузите компьютер. |