OSzone.net: Защищаем Windows 9х…

Давайте представим себе такую ситуацию: к вашем компьютеру имеет доступ кто-либо кроме вас, причем этот кто-то — жутко безответственная личность. Это может быть как дома, так и на работе. Например, младший брат, который достал своими идиотскими игрушками, обоями с покемонами и т.д., а лишить его доступа нельзя — ему нужен какой-нибудь Basic для школьной программы по информатике. Самые умные уже закричали: «Ставь Win2000 или WinXP!». А если ваши любимые/необходимые игры/программы идут только под Win9x, или машина дохловата и не вытянет 2000, а тем более XP? Не слышу реплик... Ага, робкий голос говорит, что есть всякие разные утилитки, закрывалки, запароливалки и т.д. А вы их себе ставили? Правильно, одни сильно глючные, другие денег стоят :-), третьи жрут много ресурсов, которых и так не хватает, а эти утилитки еще и из Сети надо выкачивать... Так вот — выход есть, причем без всяких лишних программ. Итак, начинаем настраивать 9x для нормальной работы нескольких человек.

Делаем Пользователей :-)

Желательно для каждого пользователя сделать свою конфигурацию. Тихо в зале, про Esc при входе в систему я знаю, об этом потом. Открываем Пуск\Настройка\Панель управления\Пароли, заходим на закладку Профили пользователей и устанавливаем каждому пользователю собственные настройки, в том числе настройки рабочего стола и меню Пуск (рис. 1). Теперь в Панели управления открываем Пользователи. Наконец, тут то мы и начинаем создавать пользователей. Для этого просто необходимо нажать кнопку Добавить и следовать инструкции мастера. Главное не забыть поставить Создавать новые элементы и указать эти элементы, желательно все (рис. 2). Так, никого не забыли, создали даже настройку для любимого кота Василия. Теперь уж я больше не увижу на своем рабочем столе ярлычков к пасьянсам и дебильных рисунков...

Нет новым пользователям!

Наверное, каждый знает, как обойти систему идентификации Windows, настроенную по умолчанию. Правильно, тот самый Esc. Лезем в настройки сети — Пуск\Настройка\Панель управления\Сеть. Это ничего, что сети нет, и даже модемный Интернет планируется только в следующем полугодии. А если и есть сеть, то наши манипуляции ей не помешают. А если у вас сеть с доменом и злой администратор, так эта статья вас не касается, он и так уже закрыл все что можно :-). Нам необходимо установить Семейный вход в систему. Элементарно, жмем кнопку Добавить, выбираем тип компонента Клиент, а затем Microsoft — Семейный вход в систему (рис. 3). Теперь устанавливаем способ входа в сеть — правильно, семейный (рис. 4). Здесь главное случайно не поставить Входить в домен NT. Ну а мы к нему и не лазили. Итак, чего мы добились? Перегружаемся и смотрим (рис. 5).

Нового пользователя без моего разрешения уже не создадут. Как всегда, самый умный из зала уже кричит: «А кто помешает этим самым несознательным пользователям загрузиться из своей конфигурации и скопировать настройки администратора в нового пользователя?» Как кто, мы, и прямо сейчас. Открываем редактор реестра и создаем следующее (здесь и далее Lamer — имя пользователя): раздел HKEY_USERS\Lamer\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, ключ NoSetFolders (тип dword), значение 1. Для остальных делаем аналогичные ключи, естественно, поменяв имя пользователя (рис. 6). К чему это приведет, посмотрите сами. Правильно, у пользователя Lamer исчезла Панель управления, и из Explorer`а тоже. Вот теперь он ничего не перенастроит. А теперь пришло время Esc. В том же редакторе реестра создаем: раздел HKEY_LOCAL_MACHINE\Network\Logon, ключ MustBeValidated (тип dword), значение 1 (рис. 7). Пробуем перезагрузиться и вместо пароля жмем Отмена — фигушки!

Безопасен ли Safe

Закрывать ли доступ в Safe-mode, решать вам. Только зачем было все делать, если останется такая здоровенная дыра. Делается это просто: в файле c:\msdos.sys в разделе [Options] создаем строку BootKeys=0. Теперь при загрузке, сколько ни жми F8, ничего не выйдет. Правда, если система упадет, то мы сами в Safe-mode не войдем, я предупреждал. Можно сделать backup системы, но это тема не для этой статьи.

Финальная шлифовка

Каждому пользователю — только те программы, которые ему нужны, и не больше! Элементарно. Опять редактор реестра, и пишем, пишем, пишем... Раздел HKEY_USERS\Lamer\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, ключ RestrictRun (тип dword), значение 1. Раздел HKEY_USERS\Lamer\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun, ключи 1, 2 и т.д. (тип string), значения (соответственно — имена исполняемых файлов, которые пользователю Lamer МОЖНО запускать). И только. Для остальных пользователей все то же самое (рис. 8). Себе, конечно, ничего не добавляем. Пусть теперь кто-нибудь запустит то, чего ему нельзя. Для полного счастья создаем пользователям кнопки в панели быстрого запуска для разрешенных программ, удаляем все из меню Пуск\Программы и убираем все с рабочего стола. Легко сказать убираем, легко и сделать: опять лезем в реестр, раздел HKEY_USERS\Lamer\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, ключ NoDesktop (тип dword), значение 1 (опять рис. 6). И так для всех, кроме себя, любимого.

Итог

Чего мы добились в результате всех эти издевательств над Windows 9x? Безопасность Win2000 мы не получили, но все же лучше, чем было. Враг (смотри начало статьи) скрипит зубами, ищет новые пути, но ничего пока сделать не может, перед глазами ничего лишнего, в системе тоже, совесть чиста, правда, вечно кто-нибудь достает с просьбами разрешить что-нибудь сделать. А кто говорил, что быть администратором легко...

Ссылка: http://www.oszone.net/101/