Держи компьютер на замке№35(154)/03.09.2001
Владимир ВОЛОДИН, Инна ВОЛОДИНА voin_2001@mail.ru
В этой работе мы рассмотрим особенности настройки компьютеров в
учебной аудитории и программы, позволяющие разграничивать доступ к
ресурсам ПК и блокировать возможность изменения настроек. Сначала
необходимо разобраться, что же нужно защищать, от кого или от чего и
каким образом. Рассмотрим все эти вопросы по порядку и подробнее.
Когда за компьютером работает один-два человека, то необходимость в
какой-либо защите отпадает вообще. Совсем по-другому обстоит дело в
учебных заведениях, когда за любым рабочим местом в течение дня
может работать более десяти человек. Как тут уследить за соблюдением
интересов всех пользователей, за сохранностью информации каждого из
них? Итак, прежде всего необходимо следить за сохранностью
информация.
Что еще защищать? Параметры настройки ОС и основных программ. Ведь
не секрет, что большая часть пользователей не является хорошими
специалистами в системном реестре Windows. Вполне вероятна ситуация,
когда кто-то из них просто из любопытства или по какой-либо другой
причине запустит программу редактирования реестра. Что последует
дальше? Может быть, все закончится хорошо, а может, и не совсем.
Кроме этого, в школьном компьютерном классе по различным причинам
возникает необходимость просто отключить дисководы на ученических
компьютерах. Вот, по крайней мере, две причины применения таких мер:
первая — вставляя принесенную дискету, далеко не каждый пользователь
вспоминает о необходимости проверить ее на наличие вирусов; вторая,
не менее важная причина — когда информация попадает на компьютеры
учеников через машину учителя, существенно снижается возможность
появления в классе игровых и других программ, наличие которых
нежелательно на ПК учеников. Кроме этого, нужно настроить сеть таким
образом, чтобы ученики не могли самостоятельно копировать файлы по
сети, чтобы это было возможно только с машины учителя (такой шаг
позволит блокировать обмен работами по сети во время контрольной
работы).
Подведем итоги того, что необходимо сделать:
1. «закрыть» дисководы;
2. настроить сеть так, чтобы преподаватель имел доступ ко всем
компьютерам, а ученики могли работать только с ресурсами своей
машины или с ресурсами, открытыми для доступа преподавателем;
3. заблокировать возможность изменения параметров системы и основных
приложений.
Первые два вопроса решить достаточно просто. Дисководы можно
отключить просто средствами BIOS. Достаточно указать Drive A: None
и, конечно, поставить на доступ к BIOS пароль, а на компьютере
учителя целесообразно установить пароль и на вход. Но в этом случае
вполне вероятно, что через месяц-другой достаточно любознательные
ученики найдут способ узнать или даже заменить :-) установленный
пароль. Избежать такой ситуации можно, не закрывая на пароли
настройки BIOS, а, например, во время очередного техобслуживания
просто отключив кабели питания дисководов (сделать это возможно,
только если у вашей техники уже закончился гарантийный срок ).
Первый пункт нашего списка мы успешно выполнили, идем дальше. На
следующем этапе у Вас может возникнуть вопрос, почему бы просто не
установить Windows NT с ее возможностями по разграничению ресурсов
между группами пользователей. Отвечаем: «Пробовали. Но возникает ряд
других проблем, одна из них — некоторые из необходимых обучающих
программ, написанных под DOS (а кое-какие и под Windows), не совсем
корректно работают под управлением Windows NT. А вот в Windows 9x
они работают хорошо». Возвращаемся к нашему плану действий. Вполне
естественно разрешить доступ преподавателю к ученическим компьютерам
с помощью такой возможности, как «удаленное управление» (доступ к
дисковым ресурсам другого компьютера по сети). Настроим его, что,
кстати, сделать достаточно просто. На каждом ученическом компьютере
в «Панели управления» выберите пункт «Пароли» . В появившемся окне
должна быть закладка «Удаленное управление». Достаточно включить
флажок «Разрешить удаленное управление» и ввести пароль для доступа.
Если нет закладки «удаленное управление», проверьте, разрешен ли
доступ к файлам компьютера в настройках сети. На ПК преподавателя,
во избежание неожиданностей, удостоверьтесь в том, что «удаленное
управление» отключено. Когда все настроено, переходите к проверке.
Для получения удаленного управления каким-либо компьютером в сети,
откройте на центральной машине «Сетевое окружение» , выберите нужный
компьютер и, открыв его свойства, нажмите кнопку «Управление»,
которая находится на закладке «Сервис».
В первый раз появится окно с запросом на ввод пароля. Обязательно
включите флажок «Сохранить пароль» . После этого вы получите доступ
ко всем дискам компьютера независимо от настроек доступа к диску. В
начале работы введите пароли ко всем компьютерам, и в дальнейшем вы
сможете быстро открыть доступ ко всем дискам любого ПК, просто нажав
кнопку «Управление». Следует отметить интересную особенность этого
режима. Если пользователь подключил зашифрованный диск (например,
созданный программой BestCrypt), то, подключаясь к нему в режиме
«удаленного управления», вы получаете полный доступ и к этому диску.
Проанализируем, чего мы добились: вся информация попадает на машины
учеников только через центральный компьютер (так как дисководы
закрыты), обмен данными по сети тоже осуществляется исключительно
через ПК преподавателя, а когда нужно открыть папку или диск для
общего пользования, просто изменяем в его свойствах правила доступа.
Два пункта нашей программы выполнены, мы достаточно много
потрудились над настройкой. Теперь возникает естественное желание,
чтобы эти (и все остальные) параметры оставались неизменными как
можно дольше. Для того чтобы задуманное осуществить, нужно выполнить
третий пункт нашей программы действий: заблокировать возможность
изменения параметров системы и основных приложений. Мы рассмотрим
основные типы программ, способствующих решению этой задачи, и
попробуем подобрать наиболее оптимальный вариант.
Первый класс программ позволяет просто запрещать или разрешать
определенный набор действий (редактирование реестра, изменение
настроек экрана, удаление принтеров…). Это наиболее простые в
использовании программы, такие как «Редактор системных правил»
(далее будем называть его по имени файла программы — Poledit) от
Microsoft и Dr.Salman’s Windows Security Toolkit (далее просто
Security Toolkit) от Dr.Salman Zafar and Digital Millenium Inc.
Poledit — одна из самых простых и, определенно, самая маленькая по
объему программа такого типа. Найти ее можно на лицензионном
компакт-диске с Windows. Изначально предназначалась для Windows NT,
но основные ее возможности действуют и под Windows 9x.
При первом запуске программы необходимо выбрать шаблон. В списке
присутствует только один образец — Admin , поэтому выбираем его.
Чтобы начать редактировать правила (а по сути реестр), в меню «Файл»
выбираем пункт «Открыть реестр». Теперь начинается то, «ради чего мы
сюда пришли». В окне программы появится два компонента: «Локальный
пользователь» и «Локальный компьютер». Нас в данном случае
интересует первый. Открыв этот компонент, получим доступ ко всем
правам пользователя, которые можно изменять. Чтобы активизировать
какой-то пункт, достаточно включить соответствующий флажок. Здесь не
проблема блокировать изменение параметров следующих компонентов
системы: панель управления, рабочий стол, сеть, оболочка, система.
Например, чтобы убрать папки из меню «Настройка» или значок «Сетевое
окружение», достаточно открыть пункт «Оболочка», «Ограничения» и
включить флажки: «Удалить папки из меню «Настройка» и «Скрыть
сетевое окружение». Первоначальная настройка требует внимания и
достаточно много времени, однако в дальнейшем вы сможете включать и
выключать необходимые возможности достаточно быстро.
По окончании работы не забудьте нажать ОК и в меню «Файл» выбрать
пункт «Сохранить». В противном случае, все, что вы так кропотливо
настраивали, сохранено не будет! В результате каждый пользователь,
попробующий изменить заблокированные настройки, получит
красноречивое сообщение о том, что «Системный администратор отключил
возможность настройки параметров…».
Как видите, работать с Poledit довольно просто, что можно считать и
одним из недостатков программы, потому как, кто угодно, кроме вас,
также легко, запустив программу, изменит права пользователей по
своему усмотрению. Данный недостаток исправили создатели программы
Security Toolkit (Dr.Salman’s Windows Security Toolkit). При ее
запуске администратору предлагается ввести пароль (если пассворд еще
не был установлен, сделайте это). Таким образом, изменить права
пользователей удастся только администратору. А теперь по порядку о
самой программе Security Toolkit. Официальный ее сайт:
http://sensor.hypermart.net. По возможностям этот программный
продукт не превосходит Poledit, но работать с Security Toolkit
гораздо приятнее. При запуске сразу бросается в глаза продуманный
интерфейс.
Здесь уже не нужно бродить по бесконечным иерархическим меню в
поисках необходимого параметра, все как бы разложено по полочкам. И
несмотря на то, что программа англоязычная (Poledit, естественно, на
русском, так как это системная утилита Windows), работать с ней
довольно легко. Security Toolkit имеет удобную систему помощи в виде
html-страницы, на которой подробно разобраны порядок регистрации и
установка программы. Основное окно утилиты разделено на две части. В
левой, как и в Poledit, необходимо выбрать раздел, параметры доступа
к которому требуется изменить. Основных разделов пять: панель
управления (Control Panel), рабочий стол (Desktop), сеть (Network),
принтеры и Ms-DOS. Есть и шестой раздел, но он касается сугубо
регистрации программы. Итак, чтобы запретить возможность изменения
какого-либо параметра, выберите соответствующий раздел, тогда в
правой части окна появится список параметров, настройку которых
можно запретить или разрешить. Например, в разделе панель управления
( Section 1 — Control Panel Security ) есть такие возможности:
• заблокировать доступ к закладке «Пароли» (Restrict access to the
passwords settings);
• запретить возможность изменения настроек сети (Restrict access to
the network settings);
• заблокировать возможность настройки экрана (Restrict access to the
Display settings);
• закрыть доступ к параметрам настройки устройств (Restrict access
to the Device Manager);
• запретить возможность изменения параметров виртуальной памяти
(Restrict access to Virtual Memory);
• заблокировать возможность изменения параметров файловой системы
(Restrict access to File System).
Аналогично построены и остальные разделы. Опять же, чтобы запретить
или разрешить какую-то возможность, достаточно соответственно
включить или выключить флажок напротив нужного пункта. Кроме списка
настраиваемых параметров, в каждом разделе выводится дополнительная
информация, например, нужна ли перезагрузка, дабы изменения,
произведенные в данном разделе, вступили в силу.
(Продолжение следует)
Перейти к разделу "ОПЕРАЦИОННЫЕ СИСТЕМЫ"