Читаем Интернет-журнал "Домашняя лаборатория", 2008 №2 полностью

2. Щёлкаем правой кнопкой мыши и выбираем пункт "Создать правило для хеша". У этого правила максимальный приоритет, и оно будет действовать на файл вне зависимости от его перемещений из каталога в каталог.

3. В открывшемся окне нажимаем кнопку "Обзор" и выбираем выполняемый файл программы, запуск которой хотим запретить.

4. Для пункта "Безопасность" задаём значение "Не разрешено" и закрываем окно.

5. В элементе "Принудительный" Политики ограниченного использования программ указываем, что ограничения должны применяться для всех пользователей, кроме локальных администраторов.

Контроль за файлами с помощью аудита

Если вы куда-то уезжаете и на время своего отсутствия оставляете компьютер коллегам, по возвращении вам, возможно, будет интересно узнать, в какие файлы кто из них залезал. Имея на машине права администратора, вы можете заказать регистрацию таких действий, как удаление, выполнение, чтение, запись и изменение прав доступа. Для этого щёлкните правой кнопкой мыши по значку файла, откройте окно свойств, перейдите на страницу "Аудит" и нажмите кнопку "Добавить", после чего выберите имена пользователей, которые должны работать на вашем компьютере. Отметьте в имеющемся на странице списке действия, которые должны регистрироваться, и укажите, следует ли отмечать также успешность или неуспешность каждого действия.

Как защититься от администратора?

Одно из преимуществ NTFS состоит в том, что можно создать разграничение доступа к файлам и каталогам. Пользователь не сможет посмотреть папку "Мои документы" другого пользователя, если этот пользователь не является администратором. Как же защититься от администратора? Запретить ему доступ к своим данным нельзя, а вот узнать, копался ли администратор по вашим личным папкам и документам, можно. Допустим, вы решили закрыть файл или папку для всех и разрешить доступ только себе. Щёлкните правой кнопкой мыши по файлу/папке, выберите из меню команду "Свойства", на вкладке "Безопасность" удалите всех, кроме себя. Теперь система не позволит администратору посмотреть этот файл/папку. Так как он администратор, ему не составит особого труда проделать то же самое, что и вы, и добавить для себя разрешение на полный доступ к этому файлу/папке, а затем удалить себя, дабы никто не узнал. Но текущим владельцем этого файла/папки теперь станет администратор, в чём вы сможете убедиться, нажав на вкладке "Безопасность" кнопку "Дополнительно", в новом диалоговом окне перейдя на вкладку "Владелец" и посмотрев на поле "Текущий владелец для этого элемента". До этого им были вы.

Запрещение различных функций и ресурсов в Windows NT/2000/XP

Если вы хотите запретить на компьютерах, работающих под управлением Windows NT/2000/XP, выполнение некоторых функций, то можете отредактировать соответствующим образом параметры реестра, отвечающие за них. Установка для параметров типа DWORD значения в 1 включает ограничение, установка в 0 или удаление параметра — снимает. Ряд параметров можно задавать как в ветви реестра HKEY_CURRENT_USER (ограничение действует для данного пользователя), так и в HKEY_LOCAL_MACHINE (ограничение действует для всех пользователей), причём значение параметра в последней ветви имеет приоритет.

Запустите редактор реестра regedit и используйте следующие имена: Раздел

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA "RestrictAnonymous"

— запрещает анонимным пользователям при входе в систему получить список имён пользователей домена и список совместно используемых ресурсов (только начиная с Windows NT 4.0 Service Pack 3).

Раздел

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

"DontDisplayLastUserName" — скрывает последнее имя пользователя (отображается пустое поле в блоке "Имя пользователя") при входе в систему, что позволяет предотвратить вход в систему людей, использующих последнее имя пользователя системы;

"PasswordExpiryWarning" — определяет, за какое количество дней (по умолчанию 14) до истечения срока пароля пользователя отобразится предупреждающее сообщение;

"AllocateCDRoms", "AllocateFloppies" — определяют, являются ли данные на диске CD-ROM и гибких дисках соответственно доступными для других пользователей (значение "1" по умолчанию) или только для текущего пользователя (значение "0"), что не позволяет получить другим пользователям доступ к диску во время использования текущим пользователем компьютера, причём диск снова становится доступным, когда текущий пользователь выходит из компьютера (параметры строкового типа!).

Раздел

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

"AutoShareServer", "AutoShareWks" — отключают совместную администрацию (с$ и d$) Сервера и Рабочей станции соответственно;