Интернет-журнал "Домашняя лаборатория", 2008 №2
Шрифт:
Примечание: см. также статью "Запрещение различных функций и ресурсов в Windows" рубрики "1.4. Windows 95/98/Ме. Защита".
Разделы
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoPropertiesMyComputer" — блокирует доступ к экрану "Свойства системы" через контекстное меню "Мой компьютер" и элемент "Система" в Панели управления (только в Windows ХР);
"ForceStartMenuLogoff" —
"ClassicShell" — отключает некоторые расширенные возможности оболочки Windows: отображение списка типичных задач в папках, меню "Избранное" в "Проводнике", вкладка "Рабочий стол" в свойствах Экрана (в Windows ХР, значение этого параметра для Windows NT/2000 см. в статье "Запрещение различных функций и ресурсов в Windows" рубрики "1.4. Windows 95/98/Ме. Защита");
"Noinstrumentation" — запрещает Windows записывать информацию о том, какие приложения пользователь запускал и к каким файлам и документам обращался (только в Windows 2000/ХР). Обратите внимание: если это ограничение включено, то настраиваемые меню и другие возможности, для которых нужна информация об обращении пользователя к приложениям и файлам, будут заблокированы.
Разделы
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Power
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Power
"PromptPasswordOnResume" — заставляет запрашивать пароль пользователя при возвращении к работе из спящего режима (hibernate) или режима ожидания (suspend) (только в Windows ХР).
Скрытие пункта "Options" меню "View" в Windows NT Explorer
Начиная с Windows NT 4.0 Service Pack 4, у вас есть возможность скрыть от пользователей пункт "Options" меню "View" в Windows NT Explorer'е. Это поможет вам уменьшить вероятность: несанкционированного доступа к скрытым и системным файлам; изменения привязки расширений файлов к тем или иным приложениям и параметров этой привязки. Для этого необходимо в раздел реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
добавить dword-параметр "NoOptions" и присвоить ему значение 1.
Изменения вступят в силу после перезагрузки.
Скрытие элементов в "Панели управления"
Чтобы скрыть какой-либо элемент в Панели управления Windows NT/2000/XP, надо в разделе реестра HKEY_CURRENT_USER\Control Panel\don't load создать строковый параметр с именем соответствующего cpl-файла (например, "fax.cpl") и присвоить ему значение "No". Если удалить параметр, то элемент опять будет доступен.
Скрытие настройки приложения "System Restore" в Windows ХР
С помощью правки реестра в Windows ХР можно отключить пользовательский интерфейс настройки приложения "System Restore", чтобы предотвратить изменение настройки этого приложения
пользователем, а также отключение и включение этого свойства для системных и несистемных дисков. Для этого надо в разделе реестраHKEY_LOCAL_MA.CHINE\SOFTWARE\Policies\Microsof t\Windows NT
создать подраздел "SystemRestore", а в нём dword-параметр "DisableConfig" со значением 1.
Очистка файла подкачки
Как Вы уже знаете, своп — это часть информации из оперативной памяти, которая хранится на винчестере. В том числе, в свопе может сохраняться Ваша конфиденциальная информация (например, пароли), которую, в принципе, можно оттуда достать. Чтобы этого не произошло, включите функцию очистки свопа при выключении компьютера:
1. Откройте редактор реестра (regedit.exe).
2. Найдите раздел
HKEY_LOCAL_MA.CHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management
3. Если параметр "ClearPageFileAtShutdown" в данном разделе отсутствует, то создайте его (New — DWORD).
4. Установите значение этого параметра в 1.
5. Перезагрузите машину.
Теперь своп будет удаляться при выключении и создаваться заново при включении.
Этот параметр не стирает своп-файл с диска, а заполняет его весь нулями, т. е. очищает. Сам файл на диске остаётся.
Разрешение применения только сложных паролей
В Windows NT 4.0 Service Pack 2 содержится новый фильтр для паролей passfilt.dll, который вводит новые ограничения для выбора паролей:
1. Пароль должен быть длиной не менее 6 знаков.
2. В пароле должно быть не менее трех символов, удовлетворяющих следующим критериям: — заглавные буквы A-Z; — маленькие буквы a-z; — числа 0–9; — символы (например, "!").
3. Пароль не может содержать имя пользователя или любую его часть.
Для включения этой возможности на PDC и одиночном сервере (это не надо делать на BDC, но при поднятии его до PDC, сделать надо), выполните следующее:
1. Откройте редактор реестра regedt32.exe (не используйте regedit.exe).
2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Дважды щёлкните мышью на "Notification Packages".
4. Введите PASSFILT в новой строке (если там находится FPNWCLNT, добавьте после него). Нажмите "ОК".
5. Закройте редактор реестра.
6. Перезагрузитесь.
Ограничение удалённого доступа к реестру
Доступ к удалённому редактированию реестра контролируется ACL-ключом winreg реестра.
1. Откройте редактор реестра regedt32.
2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
3. Найдите подраздел с именем winreg. Если его нет, создайте (Edit — Add Key).
4. Выделите подраздел winreg (нажмите на нём).
5. В меню "Security" выберите "Permissions".
6. Нажмите "Add" и дайте пользователю, которого хотите ограничить, доступ "read" (чтение).
7. После добавления нажмите на пользователе и выберите "Special Access".
8. Дважды щёлкнув мышью на пользователе, можно ещё выбрать, какие действия он сможет выполнять.