<<  главная    ¦    рубрики    ¦    форумы  >>





1.4. Windows NT/2000/XP. Защита






Заставка с паролем

(1) Предохранение экрана от выгорания можно совместить с предохранением машины от не в меру любопытных коллег — защитить заставку паролем. Правда, чтобы в Windows 3.1 или 95 добраться до вашего жёсткого диска, злоумышленнику достаточно будет перезагрузиться, но он, по крайней мере, не сможет поработать от вашего имени в сети. В NT, где пароль нужен и для загрузки, заставка с паролем обеспечит надёжную защиту.
В Панели управления Windows 3.1 дважды щёлкните по значку "Оформление" (в английской версии — Desktop), выберите какую-нибудь заставку — годится любая, кроме (Нет) и пустого экрана, — нажмите кнопку "Параметры" и задайте пароль. В Windows 95 и NT щёлкните правой кнопкой мыши в области Рабочего стола, выберите в меню пункт "Свойства", перейдите на страницу "Заставка", выберите заставку, включите режим пароля и задайте пароль, нажав кнопку "Сменить".
Валери Мюррей Райан, Бен Миллер. 100 и 1 совет пользователям Windows 95, NT и 3.x // Мир ПК. 1997. № 5. С.45–58.

(40) Для того чтобы запускать заставку с паролем только тогда, когда это действительно требуется и не тратить на это лишних движений, — установите пароль на заставку, а время срабатывания поставьте максимальным. После этого найдите тот файл, который будет отображать соответствующую заставку (среди файлов с расширением scr в каталоге Windows\System), и поместите его ярлык на Рабочий стол. Теперь, уходя, достаточно кликнуть по этому ярлычку и заставка с паролем будет сразу же активизирована.
soobcha.ru/fishka/index.html?page=all

(44) А если взять и поместить ярлык на заставку с паролем в папку Автозагрузка, то получим запароленный вход. Опытного пользователя это не остановит (можно пропустить автозагрузку, удерживая нажатой клавишу <Ctrl> или <Shift>), но простого обывателя это просто приводит в тупик.
Константин Лебедев (lebedev-k AT yandex.ru)




Создание ярлыка для блокировки компьютера в Windows 2000/XP

(43) Если вы большой дока по части использования мыши, то вам, вероятно, удобнее будет блокировать свой ПК щелчком мыши на ярлыке, который можно разместить на Рабочем столе, на панели быстрого запуска или в Главном меню. Создайте новый ярлык и в строке "Объект" (Target) напишите
rundll32.exe user32.dll,LockWorkStation
Назовите ярлык, например, Locker. Блокиратор готов!
Скотт Данн. Защищаем Windows от любопытных глаз // Мир ПК. 2003. № 8.
Прислал Алексей Кочеев (romantik223 AT yandex.ru)




Шифрование паролей, записанных на бумаге

(1) Если, несмотря на все предупреждения системного администратора, вы записываете свои пароли на бумажку или в файл, то хотя бы записывайте их в обратном порядке или добавьте пару цифр в определённые позиции.
Дмитрий Турецкий (dmitri AT listsoft.ru)




Взлом паролей

(43) Любая современная операционная система защищает пользовательские пароли, которые хранит в системном файле, при помощи шифрования. Однако, если злоумышленник получит в своё распоряжение этот файл, то он может воспользоваться программами для взлома паролей.
Самый простой метод — подбор пароля путём последовательного перебора. Для этого достаточно задать программе-взломщику длину искомого пароля и набор используемых символов. Например, скорость перебора паролей взломщиком PwlTool для Windows 9x составляет 106 тысяч паролей в секунду на компьютере с процессором Pentium III 550 МГц. Взломать парольную защиту Windows 9x гораздо проще, чем защиту Windows NT/2000/XP, — в Windows 9x пароли хранятся только в верхнем регистре букв, и поэтому их проще подобрать. В следующей таблице показано, сколько времени требуется PwlTool на подбор пароля определённой длины для разных наборов символов:
 Длина       Набор 26 символов        Набор 36 символов             Набор 70 символов
пароля           (только буквы)             (буквы и цифры)        (все печатаемые символы)
    4                  немедленно                   немедленно                          3 минуты
    5                    2 минуты                         9 минут                                3 часа
    6                    50 минут                         6 часов                               11 дней
    7                     22 часа                           9 дней                                 2 года
    8                      24 дня                          314 дней                              138 лет
    9                      2 года                            30 лет                               9360 лет
Как видно, атака "в лоб" (поиск всех возможных паролей) не подходит для длинных паролей, потому что требуется слишком много времени. Однако большинство людей используют в качестве паролей одни и те же слова. Наиболее распространённые из них собраны в специальных списках — частотных словарях, которые могут содержать сотни тысяч слов. Взлом с помощью словаря обычно требует очень мало времени, даже если используемый словарь огромен. Кроме простого перебора по словарю, программы-взломщики могут учитывать некоторые маленькие хитрости пользователей:
– производится попеременное изменение буквенного регистра, в котором набрано слово;
– порядок следования букв в слове меняется на обратный;
– в начало и в конец каждого слова приписывается цифра;
– некоторые буквы изменяются на близкие по начертанию цифры (в результате, например, из слова password получается pa55w0rd);
– используется метод "гибридного исследования" для взлома паролей типа john43: перебираются все варианты вроде wordXXX, где word — это слово из словаря, а XXX — это суффикс, получаемый прямым перебором.
Всё вышесказанное относится и к паролям, которыми защищают архивы (ARJ, ZIP, RAR), документы MS Office, PDF-файлы. Для их взлома достаточно воспользоваться программами Advanced ARJ Password Recovery, Advanced ZIP Password Recovery, Advanced RAR Password Recovery, Advanced Office XP Password Recovery, Advanced PDF Password Recovery и др.
Таким образом, чтобы предотвратить взлом паролей, можно посоветовать следующее:
– не пускайте посторонних пользователей к вашему компьютеру;
– включайте экранную заставку с паролем сразу же, если вы ненадолго отходите от своего ПК;
– отключите загрузку компьютера с гибких и компакт-дисков;
– установите пароли BIOS на включение компьютера и на изменение настроек BIOS;
– периодически меняйте пароли на особо важные файлы и программы;
– задавайте пароли длиной не менее 8 символов и состоящие из букв, цифр и специальных символов, избегая тривиальных комбинаций символов;
– запретите кэширование паролей;
– если возможно, то перейдите на гораздо более защищённую Windows NT/2000/XP.
Владимир Безмалый (wladkerch AT mail.ru) zahist.narod.ru




Простое создание сложных паролей

(31) Открывая доступ к папке по сети, ставьте два пароля: "Для чтения" и "Полный", но "Полный" обязательно длиннее и сложнее, поскольку программы подбора паролей находят наименьший и успокаиваются, а ведь если до вас добрались, то пусть хоть не поганят информацию. Создавайте пароли с наибольшим разнообразием символов, например, возьмите какую-нибудь формулу и добавьте своё имя, где хотите. Скажем, можно воспользоваться формулой разности квадратов: (x@-y@)=(x-y)(x+y)VaSyA  Правда, хороший пароль? (Как вы поняли — степень указана с помощью <Shift>.) Формул полно, запомнить легко, а догадаться... А если вы её ещё и с ошибками запомнили :)
Dima (Eger) (dima AT iz.freenet.kiev.ua)




Создание предупреждающего окна перед входом в систему

(45) Вы можете создать диалоговое окно, которое будет отображено для любого пользователя перед входом в систему. Например, это полезно, когда, согласно закона, требуется предупредить людей, что попытка подключиться к системе, не будучи зарегистрированным пользователем, является незаконной.
Найдите в реестре раздел:
для Windows 95/98/Me
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
для Windows NT/2000/XP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
и измените значение строкового параметра "LegalNoticeCaption" на нужный заголовок диалогового окна (например: "ПРЕДУПРЕЖДЕНИЕ!"), а значение параметра "LegalNoticeText" на нужное содержание диалогового окна (например: "Не пытайтесь подключиться к системе, если Вы не являетесь зарегистрированным пользователем!").
Windows Registry Guide




Пустое имя пользователя в окне ввода при входе в сеть

(33) Чтобы при входе в сеть в окне ввода имени пользователя было пусто, надо в разделе реестра
HKEY_LOCAL_MACHINE\Network\Logon
присвоить dword-параметру "DontShowLastUser" значение 1.
Николай Мальцев (malets AT sbrf.kurgan.ru)




Запрещение запуска редактора реестра

(9) Если за вашим компьютером работает ещё кто-то, такой же, как и вы, любитель покопаться в системном реестре с помощью всем известного Regedit.exe, то вы можете запретить запуск этой программы, создав или изменив значение dword-параметра "DisableRegistryTools" (0 — можно, 1 — нельзя) в разделе
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Если у вас нет где-нибудь запрятанного редактора реестра, то вы сами не сможете отредактировать реестр после изменения этого параметра.
Стаsик

(30) "Запрятанным" редактором реестра должен быть редактор, отличный от "всем известного Regedit.exe", поскольку установка данного параметра в 1 блокирует возможность использования Regedit.exe и Regedt32.exe для правки реестра. Можно, например, воспользоваться плагином Registry browser (доступен на сайте Far PlugRinG) для файлового и архивного менеджера FAR.
Александр Рыжов (sovety AT sovety.net)  www.sovety.net

(30) Происходит только блокировка на работу с Regedit.exe и Regedt32.exe в диалоговом режиме, однако не блокируется возможность внесения изменений в реестр с помощью reg-файлов. Поэтому для разблокирования стандартного редактора реестра достаточно создать и запустить следующий reg-файл:
===============
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:0

===============
Олег Лукъянчиков (p903 AT simbir.ru)

(37) С помощью reg-файла разблокировать стандартный редактор реестра можно только в операционных системах Windows 9x/NT/2000. В Windows XP этот номер не пройдёт. Там нужно либо воспользоваться альтернативным редактором реестра, либо, поскольку блокировка распространяется не на всех пользователей, а только на текущего в момент её установки, загрузиться под именем другого пользователя и осуществить по всему реестру поиск параметра "DisableRegistryTools", у которого значение 1, и исправить это значение на 0.
Александр Рыжов (sovety AT sovety.net)  www.sovety.net




Запрещение различных функций и ресурсов в Windows

(45) Если вы хотите запретить на компьютерах, работающих под управлением Windows, выполнение некоторых функций, то можете отредактировать соответствующим образом параметры реестра, отвечающие за них. Установка для параметров типа DWORD значения в 1 включает ограничение, установка в 0 или удаление параметра — снимает. Если параметр имеет другой тип или другое значение, то это указано в его описании. Ряд параметров можно задавать как в ветви реестра HKEY_CURRENT_USER (ограничение действует для данного пользователя), так и в HKEY_LOCAL_MACHINE (ограничение действует для всех пользователей), причём значение параметра в последней ветви имеет приоритет. Если нужный параметр или раздел в реестре отсутствует, то его надо создать. Если в описании параметра не указано, для каких версий Windows он действителен, то он верен для всех версий Windows.
Запустите редактор реестра regedit и используйте следующие параметры:
Разделы
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoRun" — скрывает команду "Выполнить" в меню "Пуск", что не позволяет пользователям запускать программы или процессы из меню "Пуск", однако если пользователь имеет доступ к командной строке MS-DOS, он всё равно сможет запускать любые программы;
"RestrictRun" — при установке в 1 будет разрешён только запуск программ, определённых в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun] с помощью строковых параметров с именами в виде чисел по возрастанию, например:
  "1"="notepad.exe"
  "2"="winword.exe"
"NoDrives" — определяет, какие из дисков скрыть в "Моём компьютере". Порядок устанавливается с самого низкого бита — диск A: до 26-го бита — диск Z:. Чтобы скрыть диск, надо включить его бит. Если Вы не умеете работать с шестнадцатеричными числами, установите в regedit переключатель на десятичную систему исчисления и задайте следующие десятичные числа для скрытия диска:
A: 1, B: 2, C: 4, D: 8, E: 16, F: 32, G: 64, H: 128, I: 256, J: 512, K: 1024, L: 2048, M: 4096, N: 8192, O: 16384, P: 32768, Q: 65536, R: 131072, S: 262144, T: 524288, U: 1048576, V: 2097152, W: 4194304, X: 8388608, Y: 16777216, Z: 33554432, все: 67108863
Для скрытия нескольких дисков надо задавать сумму соответствующих чисел.
Обратите внимание: эти диски будут всё равно отображены в Диспетчере файлов (а также в файловых менеджерах, например, FAR), для удаления Диспетчера файлов удалите файл winfile.exe;
"NoFind" — скрывает команду "Найти" в меню "Пуск";
"NoCommonGroups" — скрывает группу "Стандартные" в меню "Пуск" – "Программы";
"NoFavoritesMenu" — скрывает группу "Избранное" в меню "Пуск";
"NoRecentDocsMenu" — скрывает группу "Документы" в меню "Пуск";
"NoSetFolders" — скрывает пункты "Панель управления", "Принтеры", "Удаленный доступ к сети " в меню "Пуск" – "Настройка" и в папке "Мой компьютер";
"NoSetTaskbar" — скрывает пункт "Панель задач" в меню "Пуск" – "Настройка" и блокирует доступ к свойствам Панели задач через её контекстное меню;
"NoLogOff" — скрывает команду "Завершение сеанса" в меню "Пуск";
"NoClose" — отключает команду "Выключить компьютер";
"NoSaveSettings" — отключает сохранение изменений параметров настройки настольной конфигурации (расположение значков, вид и т.д.) при выходе из Windows, чтобы другие люди не смогли изменить любимый вид Вашего Рабочего стола;
"NoDesktop" — скрывает все элементы и программы на Рабочем столе Windows;
"NoInternetIcon" — скрывает значок "Интернет" на Рабочем столе Windows;
"NoNetHood" — скрывает значок "Сетевое окружение" на Рабочем столе Windows;
"NoControlPanel" — скрывает пункт "Панель управления" в меню "Пуск" (в Windows Me/2000/XP);
"NoChangeStartMenu" — предотвращает изменение меню "Пуск" методом drag-and-drop и отключает контекстное меню в меню "Пуск" (в Windows 98/Me/2000/XP);
"NoSMHelp" — скрывает пункт "Справка" в меню "Пуск" (в Windows Me/2000/XP);
"NoFolderOptions" — скрывает пункт "Свойства папки" в меню Проводника, в меню "Пуск" – "Настройка" и Панели управления (в Windows 98/Me/2000/XP);
"ClassicShell" — отключает различные расширенные возможности оболочки Windows, которые добавлены в новых версиях Windows (с версии 98) и Internet Explorer (с версии 4.0): в Windows 95/98/Me/NT/2000 отключает Активный Рабочий стол, просмотр папок как веб-страниц, режим просмотра эскизов, панель быстрого запуска, меню "Избранное" и "Переход" в Проводнике и др.; в Windows XP отключает отображение списка типичных задач в папках, меню "Избранное" в Проводнике, вкладку "Рабочий стол" в свойствах Экрана;
"NoNetConnectDisconnect" — скрывает кнопки "Подключить сетевой диск" и "Отключить сетевой диск" из инструментальной панели Проводника, а также соответствующие пункты контекстного меню "Моего компьютера" и меню "Сервис" Проводника, что не даёт пользователям создавать дополнительные сетевые подключения (в Windows NT/2000/XP);
"NoPropertiesMyComputer" — блокирует доступ к экрану "Свойства системы" через контекстное меню "Мой компьютер" и элемент "Система" в Панели управления (только в Windows XP);
"ForceStartMenuLogoff" — вынуждает кнопку "Завершение сеанса" появляться в Главном меню и предотвращает удаление или скрытие её пользователями (в Windows 2000/XP);
"NoInstrumentation" — запрещает Windows записывать информацию о том, какие приложения пользователь запускал и к каким файлам и документам обращался (в Windows 2000/XP). Обратите внимание: если это ограничение включено, то настраиваемые меню и другие возможности, для которых нужна информация об обращении пользователя к приложениям и файлам, будут заблокированы;
"NoCDBurning" — запрещает использование встроенной функции записи CD в Windows XP.
Разделы
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network
"NoEntireNetwork" — скрывает элемент "Вся сеть" в Сетевом окружении, что не позволяет пользователям видеть все Рабочие группы и Домены в сети, а только собственную Рабочую группу или Домен;
"NoWorkgroupContents" — скрывает всё содержание Рабочей группы в Сетевом окружении;
"HideSharePwds" — определяет, показывать пароль, напечатанный при доступе к совместно используемым файлам, обычным текстом или звёздочками;
"MinPwdLen" — определяет минимальную длину пароля (этот параметр двоичного типа!), что заставляет Windows отклонять пароли меньшей длины, чтобы предотвратить использование тривиальных паролей там, где важна защита (это изменение не затрагивает существующие пароли, а воздействует только на новые или замену старых);
"AlphanumPwds" — требует создания только алфавитно-цифровых паролей, т.е. паролей, состоящих из комбинации букв и цифр;
"DisablePwdCaching" — отключает кэширование пароля (пароль пользователя не запоминается на его компьютере), а также удаляет повторное поле ввода пароля Windows и отключает возможность синхронизации сетевых паролей.
Разделы
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}" — скрывает "Мой компьютер" на Рабочем столе и в меню "Пуск" (в Windows Me/2000/XP).
Разделы
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
"NoDispCPL" — отключает доступ к значку "Экран" в Панели управления и не позволяет пользователям изменять параметры дисплея;
"NoDispAppearancePage" — скрывает вкладку "Оформление" в окне свойств экрана;
"NoDispBackgroundPage" — скрывает вкладку "Фон" в окне свойств экрана;
"NoDispScrSavPage" — скрывает вкладку "Заставка" в окне свойств экрана;
"NoDispSettingsPage" — скрывает вкладку "Настройка" в окне свойств экрана;
"DisableTaskMgr" — отключает возможность пользователя запускать Диспетчер задач для наблюдения за процессами, выполнением программ, а также созданием изменений в приоритете или в состоянии индивидуальных процессов (в Windows NT/2000/XP).
Раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
"DontDisplayLastUserName" — скрывает последнее имя пользователя (отображается пустое поле "Имя пользователя") при входе в систему (в Windows 2000/XP).
Раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"DontDisplayLastUserName" — скрывает последнее имя пользователя (отображается пустое поле "Имя пользователя") при входе в систему (в Windows NT);
"PasswordExpiryWarning" — определяет, за какое количество дней (по умолчанию 14) до истечения срока пароля пользователя отобразится предупреждающее сообщение (в Windows NT/2000/XP);
"AllocateCDRoms",
"AllocateFloppies" — определяют, являются ли данные на компакт-дисках и гибких дисках соответственно доступными для сетевых пользователей (значение "0" по умолчанию) или только для локального пользователя (значение "1") (параметры строкового типа!), что не позволяет получить другим пользователям доступ к диску во время работы локального пользователя за компьютером, причём диск снова становится доступным, когда локальный пользователь выходит из системы (в Windows NT/2000/XP).
Разделы
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Power
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Power
"PromptPasswordOnResume" — заставляет запрашивать пароль пользователя при возвращении к работе из спящего режима (hibernate) или режима ожидания (suspend) (только в Windows XP).
Раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
"RestrictAnonymous" — запрещает анонимным пользователям при входе в систему получить список имён пользователей домена и список совместно используемых ресурсов (в Windows NT4 SP3/2000/XP).
Раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
"AutoShareServer",
"AutoShareWks" — при установке значения в 0 отключают совместное использование скрытых административных общих ресурсов (локальные логические диски NT-систем, доступные по умолчанию администраторам по сети через обращение типа \\server\c$) сервера и рабочей станции соответственно (в Windows NT/2000/XP);
"Hidden" — скрывает сервер или рабочую станцию в общем списке ресурсов сети (тот же самый результат может быть получен выполнением команды "NET CONFIG SERVER /HIDDEN:YES") (в Windows NT/2000/XP). Примечание: надо перезагрузить компьютер и может потребоваться до часа, чтобы сервер исчез из списка просмотра сетевых ресурсов, однако доступ к ресурсам этого компьютера по-прежнему будет возможен через пути формата UNC.
Раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
"DisableSavePassword" — отключает возможность использования опции "Сохранить пароль" в Удалённом доступе к сети (в Windows NT/2000/XP).
Раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters
"AuthenticateRetries" — определяет число попыток идентификации пользователя (от 1 до 10) для подключения к системе с помощью Удалённого доступа (в Windows NT/2000/XP);
"AuthenticateTime" — определяет максимальный срок в секундах (от 20 до 600), во время которого может быть произведена идентификация входа в систему через Удалённый доступ (в Windows NT/2000/XP);
"CallbackTime" — определяет время задержки в секундах (от 2 до 12) перед инициализацией отзыва при Удалённом подключении (в Windows NT/2000/XP);
"AutoDisconnect" — определяет время задержки в минутах перед тем, как неактивный пользователь Удалённого доступа будет отключен (в Windows NT/2000/XP).
Данный совет составлен на основе двух источников:
1. Александр Ежов (admin AT leader.ru)
2. Windows Registry Guide

(40) Я заметил одну интересную особенность после очередного блуждания по реестру Windows 98. Установка параметру "NoDesktop" значения 1, кроме скрытия ярлыков и отключения всплывающего меню на Рабочем столе, приводит и к отключению автозапусков CD, но все галки в настройках Windows, отвечающие за это, остаются на месте.
Gres (gres_go AT inbox.ru)




Блокировка сочетаний с клавишей <Win> в Windows Me/2000/XP

(44) В Windows Me/2000/XP можно заблокировать использование "горячих" сочетаний с клавишей <Win>. Для этого надо в разделе реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
создать dword-параметр "NoWinKeys" и присвоить ему значение 1.
Перезагрузите сеанс Windows, чтобы изменения вступили в силу.
Через ветвь HKEY_LOCAL_MACHINE нужный способ можно задать для всех пользователей сразу.
Данный совет составлен на основе двух источников:
1. Алексей Кочеев (romantik223 AT yandex.ru)
2. Windows Registry Guide




Отключение контекстного меню на панели задач и Рабочем столе

(32) Отключить срабатывание правой кнопки мыши — одна из самых передовых задач при защите компьютера от неопытного чайника. Вот два двоичных параметра, отвечающие за это:
Раздел
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
отключить меню, вызываемое правой кнопкой мыши на панели задач:
"NoTrayContextMenu"=hex:01,00,00,00
отключить меню, вызываемое правой кнопкой мыши на Рабочем столе:
"NoViewContextMenu"=hex:01,00,00,00
Чтобы включить обратно, надо 01 заменить на 00.
Алексей Ломовских (lomovskih AT yandex.ru) vallkor.chat.ru




Скрытие пункта "Options" меню "View" в Windows NT Explorer

(21) Начиная с Windows NT 4.0 Service Pack 4, у вас есть возможность скрыть от пользователей пункт "Options" меню "View" в Windows NT Explorer'е. Это поможет вам уменьшить вероятность: несанкционированного доступа к скрытым и системным файлам; изменения привязки расширений файлов к тем или иным приложениям и параметров этой привязки. Для этого необходимо в раздел реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
добавить dword-параметр "NoOptions" и присвоить ему значение 1.
Изменения вступят в силу после перезагрузки.
Александр Зорич (zalex AT orc.ru) orc.ru/~zalex




Очистка списка ранее выполненных команд в окне "Выполнить" меню "Пуск"

(11) В разделе реестра
HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
содержатся кэшированные командные строки диалогового окна "Выполнить" меню "Пуск". Вы можете удалить параметры, соответствующие командам, которые хотите удалить из списка окна.
Simon Clausen (info AT regedit.com)
Перевод: Андрей Зенченко (vaz AT solaris.ru) crimsoft.newmail.ru




Предотвращение попадания открываемых документов в меню "Пуск" – "Документы"

(27) Меню "Пуск" – "Документы" содержит ярлыки недавно использовавшихся файлов или документов. Если в системе работает несколько пользователей с одной и той же конфигурацией, и, при этом, нежелательно предоставлять пользователям быстрый доступ к ярлыкам недавно использовавшихся файлов или документов, с которыми работали другие пользователи, то можно включить автоматическую очистку содержимого меню "Документы" при завершении работы Windows. Для этого в разделе системного реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
создайте двоичный параметр "ClearRecentDocsOnExit" и присвойте ему значение "01,00,00,00".
Примечание: ярлыки меню "Документы" хранятся на жёстком диске в папке %WinDir%\Recent, где %WinDir% — это папка, в которую установлена Windows.
Статья R10984 сборника технических статей Microsoft
microsoft.ru/catalog

(43) При включении этого параметра реестра при завершении работы Windows также очищается история ввода в меню "Пуск" – "Выполнить".
Александр Жарков (chipset AT penza.net)

(43) Кроме того, очищается также история ввода в раскрывающемся списке "Адрес" в Internet Explorer.
Александр Рыжов (sovety AT sovety.net)  www.sovety.net

(44) Чтобы избежать очистки историй ввода, можно использовать в том же разделе реестра параметр "NoRecentDocsHistory", вместо "ClearRecentDocsOnExit". Тогда открываемые пользователем документы не будут добавляться в список "Пуск" – "Документы".
Алексей Кочеев (romantik223 AT yandex.ru)




Скрытие элементов Панели управления

(1) Для того чтобы удалить некоторые элементы из Панели управления, можно переместить соответствующие cpl-файлы из каталога WINDOWS\SYSTEM куда-нибудь ещё. А можно и просто вписать их имена в раздел [don't load] файла control.ini. Т.е. написать что-то вроде system.cpl=no.
Дмитрий Турецкий (dmitri AT listsoft.ru) 

(42) Чтобы скрыть какой-либо элемент в Панели управления Windows NT/2000/XP, надо в разделе реестра
HKEY_CURRENT_USER\Control Panel\don't load
создать строковый параметр с именем соответствующего cpl-файла (например, "fax.cpl") и присвоить ему значение "No". Если удалить параметр, то элемент опять будет доступен.
Windows Registry Guide




Скрытие папок в меню "Пуск" – "Программы"

(11) Возможно, Вам захочется скрыть на время какие-то папки в меню "Пуск" – "Программы". Чтобы не удалять их, надо просто задать им атрибут "Скрытый". Нужно открыть папку Главного меню (обычно это C:\Windows\Главное меню), выделить нужную папку, открыть её свойства (в контекстном меню) и задать атрибут.
Виталий Гречанюк (farpost.com/vit/)




Скрытие дополнительных папок в меню "Пуск"

(35) Чтобы скрыть все дополнительные папки в меню "Пуск", которые вы сами добавляли в каталог "C:\Windows\Главное меню", надо в разделе реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
создать dword-параметр "NoStartMenuSubFolders" и присвоить ему значение 1.
Алексей Ломовских (lomovskih AT yandex.ru) vallkor.chat.ru




Скрытие настройки приложения "System Restore" в Windows XP

(36) С помощью правки реестра в Windows XP можно отключить пользовательский интерфейс настройки приложения "System Restore", чтобы предотвратить изменение настройки этого приложения пользователем, а также отключение и включение этого свойства для системных и несистемных дисков. Для этого надо в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT
создать подраздел "SystemRestore", а в нём dword-параметр "DisableConfig" со значением 1.
Статья RU283073 сборника технических статей Microsoft
search.support.microsoft.com/kb/c.asp




Очистка файла подкачки

(18) Как Вы уже знаете, своп — это часть информации из оперативной памяти, которая хранится на винчестере. В том числе, в свопе может сохраняться Ваша конфиденциальная информация (например, пароли), которую, в принципе, можно оттуда достать. Чтобы этого не произошло, включите функцию очистки свопа при выключении компьютера:
1. Откройте редактор реестра (regedit.exe).
2. Найдите раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
3. Если параметр "ClearPageFileAtShutdown" в данном разделе отсутствует, то создайте его (New – DWORD).
4. Установите значение этого параметра в 1.
5. Перезагрузите машину.
Теперь своп будет удаляться при выключении и создаваться заново при включении.
Андрей Харченко (winfaq AT online.sinor.ru) winfaq.com.ru

(35) Этот параметр не стирает своп-файл с диска, а заполняет его весь нулями, т.е. очищает. Сам файл на диске остаётся.
Алексей Шашков (lehmen AT 3dnews.ru). 3dnews.ru/reviews/software/win-xp-faq




Разрешение применения только сложных паролей

(18) В Windows NT 4.0 Service Pack 2 содержится новый фильтр для паролей passfilt.dll, который вводит новые ограничения для выбора паролей:
1. Пароль должен быть длиной не менее 6 знаков.
2. В пароле должно быть не менее трех символов, удовлетворяющих следующим критериям:
– заглавные буквы A–Z;
– маленькие буквы a–z;
– числа 0–9;
– символы (например, "!").
3. Пароль не может содержать имя пользователя или любую его часть.
Для включения этой возможности на PDC и одиночном сервере (это не надо делать на BDC, но при поднятии его до PDC, сделать надо), выполните следующее:
1. Откройте редактор реестра regedt32.exe (не используйте regedit.exe).
2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Дважды щёлкните мышью на "Notification Packages".
4. Введите PASSFILT в новой строке (если там находится FPNWCLNT, добавьте после него). Нажмите "OK".
5. Закройте редактор реестра.
6. Перезагрузитесь.
Андрей Харченко (winfaq AT online.sinor.ru) winfaq.com.ru




Ограничение удалённого доступа к реестру

(17) Доступ к удалённому редактированию реестра контролируется ACL-ключом winreg реестра.
1. Откройте редактор реестра regedt32.
2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
3. Найдите подраздел с именем winreg. Если его нет, создайте (Edit – Add Key).
4. Выделите подраздел winreg (нажмите на нём).
5. В меню "Security" выберите "Permissions".
6. Нажмите "Add" и дайте пользователю, которого хотите ограничить, доступ "read" (чтение).
7. После добавления нажмите на пользователе и выберите "Special Access".
8. Дважды щёлкнув мышью на пользователе, можно ещё выбрать, какие действия он сможет выполнять.
9. Нажмите "OK".
Можно установить, чтобы некоторые разделы были доступны для пользователя, даже если ему не дали прав на редактирование:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths\Machine
С помощью regedt32 добавьте необходимые пути в список.
Андрей Харченко (winfaq AT online.sinor.ru) winfaq.com.ru




Назначение прав доступа в файловой системе NTFS

(1) По умолчанию Windows NT предоставляет всякому, кто сумеет правильно указать идентификатор и пароль, полный набор прав доступа. Однако в файловой системе NTFS вы можете индивидуально назначать права доступа созданным вами папкам и файлам; если же вы войдёте в систему с правами администратора, то сможете изменить атрибуты доступа любого файла, в том числе и созданного кем-то другим. Щёлкните правой кнопкой мыши по объекту, для которого вы хотите задать права доступа, перейдите в окно свойств, откройте страницу "Защита" и нажмите кнопку "Права доступа". Вы увидите список пользователей, которым разрешён доступ к объекту. Чтобы удалить пользователя, выделите его имя и нажмите кнопку "Удалить". Чтобы добавить группу пользователей (например, сотрудников такого-то отдела), нажмите кнопку "Добавить" и выберите нужную группу из списка зарегистрированных в системе.
По умолчанию в диалоговом окне задания прав доступа NT предлагает добавлять пользователей из списка, включающего только группы. Чтобы увидеть список отдельных пользователей, нужно в диалоговом окне "Добавление пользователей и групп" выбрать группу и нажать кнопку "Показать пользователей". После этого в нижней части списка для каждой группы будут появляться имена всех её членов. Чтобы внести имя в список на добавление, нужно дважды щёлкнуть по нему.
Windows NT позволяет не только предоставить или не предоставить тому или иному пользователю доступ к файлу, но и определить, что он может с этим файлом делать: читать и модифицировать, только читать и т.д. Для этого выделите в списке имя пользователя или группы и выберите нужное значение в меню "Тип доступа".
Валери Мюррей Райан, Бен Миллер. 100 и 1 совет пользователям Windows 95, NT и 3.x // Мир ПК. 1997. № 5. С.45–58.




Запрет запуска определённых программ в Windows XP Pro

(37) На диске NTFS администратор может задать права доступа на папки и файлы. Если диск FAT, то возможностей по защите меньше. Однако в Windows XP Pro появился способ запретить запуск какой-либо программы обычным пользователям с помощью локальной политики безопасности:
1. Панель управления -> Администрирование -> Локальная политика безопасности -> Политики ограниченного использования программ -> Дополнительные правила.
2. Щёлкаем правой кнопкой мыши и выбираем пункт "Создать правило для хеша". У этого правила максимальный приоритет и оно будет действовать на файл вне зависимости от его перемещений из каталога в каталог.
3. В открывшемся окне нажимаем кнопку "Обзор" и выбираем выполняемый файл программы, запуск которой хотим запретить.
4. Для пункта "Безопасность" задаём значение "Не разрешено" и закрываем окно.
5. В элементе "Принудительный" Политики ограниченного использования программ указываем, что ограничения должны применяться для всех пользователей, кроме локальных администраторов.
Александр Рыжов (sovety AT sovety.net)  www.sovety.net




Контроль за файлами с помощью аудита

(1) Если вы куда-то уезжаете и на время своего отсутствия оставляете компьютер коллегам, по возвращении вам, возможно, будет интересно узнать, в какие файлы кто из них залезал. Имея на машине права администратора, вы можете заказать регистрацию таких действий, как удаление, выполнение, чтение, запись и изменение прав доступа. Для этого щёлкните правой кнопкой мыши по значку файла, откройте окно свойств, перейдите на страницу "Аудит" и нажмите кнопку "Добавить", после чего выберите имена пользователей, которые должны работать на вашем компьютере. Отметьте в имеющемся на странице списке действия, которые должны регистрироваться, и укажите, следует ли отмечать также успешность или неуспешность каждого действия.
Валери Мюррей Райан, Бен Миллер. 100 и 1 совет пользователям Windows 95, NT и 3.x // Мир ПК. 1997. № 5. С.45–58.




Проведение аудита изменений реестра

(17) Используя regedt32.exe можно установить аудит изменений отдельных частей реестра. Ведение аудита — очень чувствительная мера, позволяющая выводить предупреждающие сообщения людям, нарушающим установленные Вами правила редактирования реестра.
1. Откройте редактор реестра regedt32.
2. Выберите раздел, на который хотите назначить аудит (например, HKEY_LOCAL_MACHINE\SOFTWARE).
3. Из меню "Security" (Безопасность) выберите "Auditing" (Аудит).
4. Пометьте "Audit Permission on Existing Subkeys" (Разрешение аудита для существующих разделов), если Вы хотите проводить аудит и подразделов.
5. Нажмите "Add" (Добавить) и выберите пользователей, которые будут подвержены аудиту, нажмите "Add" и "OK".
6. В разделе "Names" можно выбрать, аудит каких событий будет проводиться.
7. После заполнения всей информации нажмите "OK".
Убедитесь, что у Вас включен "Auditing for File and Object" (воспользуйтесь User Manager – Polices – Audit).
Для просмотра результатов аудита, воспользуйтесь Event Viewer (Просмотр событий), раздел Security.
Андрей Харченко (winfaq AT online.sinor.ru) winfaq.com.ru




Как защититься от администратора?

(34) Одно из преимуществ NTFS состоит в том, что можно создать разграничение доступа к файлам и каталогам. Пользователь не сможет посмотреть папку "Мои документы" другого пользователя, если этот пользователь не является администратором. Как же защититься от администратора? Запретить ему доступ к своим данным нельзя, а вот узнать, копался ли администратор по вашим личным папкам и документам, можно. Допустим, вы решили закрыть файл или папку для всех и разрешить доступ только себе. Щёлкните правой кнопкой мыши по файлу/папке, выберите из меню команду "Свойства", на вкладке "Безопасность" удалите всех, кроме себя. Теперь система не позволит администратору посмотреть этот файл/папку. Так как он администратор, ему не составит особого труда проделать то же самое, что и вы, и добавить для себя разрешение на полный доступ к этому файлу/папке, а затем удалить себя, дабы никто не узнал. Но текущим владельцем этого файла/папки теперь станет администратор, в чём вы сможете убедиться, нажав на вкладке "Безопасность" кнопку "Дополнительно", в новом диалоговом окне перейдя на вкладку "Владелец" и посмотрев на поле "Текущий владелец для этого элемента". До этого им были вы.
Степа (mesmit AT mail.ru) mso.by.ru




Добавление команды шифрации/дешифрации в контекстное меню файлов и папок

(30) В операционной системе MS Windows 2000 любой файл или папка, расположенная на логическом диске с файловой системой NTFS, может быть зашифрована. Эта процедура описана в разделе "Шифрование файла или папки" справочной системы MS Windows 2000 Professional. При необходимости, команду "Зашифровать" (Encrypt) / "Расшифровать" (Decrypt) можно встроить в контекстное меню для файлов и папок. В случае если файл или папка не зашифрованы, будет доступна команда "Зашифровать". В обратном случае — команда "Расшифровать". Для этого:
1. Запустите редактор реестра regedt32.
2. Откройте раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
3. Создайте параметр типа REG_DWORD с именем "EncryptionContextMenu" и значением 1.
4. Закройте редактор реестра и перезагрузите компьютер.
Статья R10940 сборника технических статей Microsoft
microsoft.ru/catalog




Ключ шифрования

(44) Ключ, с помощью которого шифруются данные в Windows 2000/XP, имеет длину до 128 бит и уникален для каждого пользователя в каждой инсталляции системы. Ключ хранится в профиле пользователя, поэтому после переустановки системы или удалении пользователя он теряется. Расшифровать файлы, зашифрованные этим пользователем, становится невозможно. Пытаться создавать для этого другого пользователя с таким же именем и паролем для входа в систему абсолютно бесполезно. Одно из возможных решений — это создание диска аварийного восстановления (Emergency Repair Disk). Вся необходимая информация по существующим пользователям будет сохранена на ERD-диске, и после переинсталляции системы надо будет только восстановиться с него. Кроме этого, можно заранее сохранить необходимые сертификаты и ключи или заблаговременно создать агента по восстановлению (Encrypted Data Recovery Agent).
Подробнее про это можно почитать здесь: 3dnews.ru/reviews/software/win-xp-encrypting
Алексей Шашков (lehmen AT 3dnews.ru). 3dnews.ru/reviews/software/win2000_faq, 3dnews.ru/reviews/software/win-xp-faq




Включение/выключение системы шифрования

(37) Систему шифрования EFS (Encrypted File System) можно выключать/включать на Windows 2000 и Windows XP Pro. Для этого достаточно в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS key
создать или отредактировать уже существующий dword-параметр "EfsConfiguration". Присвоив этому параметру значение 1, вы выключите EFS, а присвоив 0, включите обратно. Для того чтобы изменения вошли в силу, необходимо перезагрузить компьютер. Очевидно, что, отключив EFS, вы потеряете возможность не только шифровать файлы, но и расшифровывать ранее зашифрованные. Как очевидно и то, что включение/отключение EFS влияет сразу на всех пользователей. Но на ключи пользователей (как открытые, так и личные) это действие не окажет абсолютно никакого влияния, поэтому после того как EFS будет включена вновь, никаких проблем с доступом к своим файлам пользователи не испытают.
Алексей Шашков (lehmen AT 3dnews.ru). 3dnews.ru/reviews/software/win-xp-encrypting




Служба доступа к файлам и принтерам и соединение с Интернет

(43) Отключите службу доступа к файлам и принтерам для TCP/IP соединения, которое вы используете для подключения к Интернет через модем. В противном случае пользователи из Интернета могут получить доступ к данным на вашем компьютере (вероятность этого невелика, но такая возможность может возникнуть). Для отключения этой службы нужно вызвать свойства Сетевого окружения (Network Neighborhood), выбрать в списке "TCP/IP -> Контроллер удаленного доступа" (TCP/IP -> Dial-Up Adapter), нажать на кнопку "Свойства" (Properties), перейти на вкладку "Привязка" (Bindings) и снять галочку для компоненты "Служба доступа к файлам и принтерам сетей Microsoft" (File and Printer Sharing for Microsoft Networks).
Alexandru Cardaniuc (kodea AT mail.ru)



<<  главная    ¦    рубрики    ¦    форумы  >>





если Вы находите подборку советов полезной и интересной, разместите у себя на сайте один из наших баннеров:

Полезные советы по работе с компьютером

Полезные советы по работе с компьютером




Rambler's Top100     Рейтинг@Mail.ru     Яndex цитирования