компьютерный форум
Вернуться   Компьютерный форум > IT новости > Новости IT индустрии > Security news (безопасность)

Ответ
 
LinkBack Опции темы Опции просмотра
Старый 28.04.2007, 16:13   #1
Пользователи
 
Регистрация: 03.03.2005
Адрес: Киев
Сообщений: 581
По умолчанию



Безмалый Владимир Федорович
Руководитель программы подготовки администраторов информационной безопасности Академии БМС Консалтинг
Vladimir_Bezmaly@ec.bms-consulting.com
http://www.itacademy.com.ua

В настоящее время все больше и больше персональных компьютеров используется в общедоступных местах – учебных заведениях, библиотеках, Интернет-кафе, игровых клубах.
Вместе с тем стоит отметить увеличение числа ПК в маленьких фирмах и офисах, на складах и в прочих местах, на которых держать собственного ИТ-специалиста просто дорого.
В данных местах все острее встает проблема отсутствия грамотного персонала, способного отследить, а главное, исправить ошибки пользователей, связанные с чересчур большими правами и возможностями по реконфигурации настроек программного обеспечения и, в первую очередь, операционной системы. К сожалению, сегодня каждый пользователь мнит себя специалистом по настройке операционной системы. Последствия угадать не сложно, увы.
Предположим, пользователь сменил настройки рабочего стола, перенастроил параметры системы, сохранил или запустил вирус или другое вредоносное программное обеспечение.
Вместе с тем, на компьютерах, расположенных в общедоступных местах (за которыми работает несколько пользователей под одной учетной записью), возникает еще ряд проблем. Так, можно посмотреть кеш интернет-файлов предыдущего пользователя, его документы и т.д.
Каким образом обеспечить безопасность и в то же время сэкономить средства, которые тратятся на устранение ошибок пользователей?
Есть один выход – уменьшить права пользователей до необходимого минимума и в то же время каким-то образом сделать так, чтобы после перезагрузки операционная система восстанавливала свое состояние, теряя все сделанные пользователем в предыдущей сессии изменения.
С учетом этих требований фирмой Microsoft был создан продукт Microsoft Shared Computer Toolkit for Windows XP, о котором и пойдет речь в этой статье.
Microsoft Shared Computer Toolkit for Windows XP – программное обеспечение, предназначенное для защиты общедоступных ПК (вуз, интернет-кафе, библиотеки, игровые залы и т.д.) от действий недоверенных пользователей, различного ПО, доступа недоверенных пользователей к изменению системных ресурсов и т.д. Toolkit обеспечивает безопасность Windows XP Professional Edition, Windows XP Home Edition и Windows XP Tablet PC Edition.
В дальнейшем мы будем называть тех, кто имеет право управлять Shared Computer Toolkit операторами.
Операторами могут выступать учителя, библиотекари, администраторы Интернет-кафе и т.д..
Toolkit включает следующие разделы:


1. Getting Started – организация доступа к настройкам компьютера, утилитам и первоначальная помощь при быстром доступе к Shared Computer Toolkit;
2. Windows Disk Protection – защита Windows-раздела (обычно диск C, содержащего операционную систему Windows и другие программы от модификации во время пользовательской сессии. Изменения на диске будут удалены при каждой перезагрузке до тех пор, пока администратор или кто-то другой, не сохранит их;
3. Windows Restrictions – изменение прав доступа пользователя к программам, установкам, опциям главного меню и закрывает общий профиль локального пользователя от возможных изменений (этот инструмент специально предназначен для использования в окружении, не использующем Active Directory® и Group Policy.);
4. User Profiles – создание и удаление профилей пользователей;
5. Windows Disk Protection is on – вы также можете удалять профили, закрытые с помощью Windows Restrictions tool;
6. Accessibility – делает доступными Windows и утилиты типа StickyKeys, FilterKeys и Magnifier доступными пользователям, которым был ограничен доступ к Панели управления и другим системным параметрам настройки.
Toolkit также обладает некоторыми утилитами командной строки. В дополнение к командным версиям каждой графической утилиты, Toolkit позволяет следующее:
1. AutoDemo – конфигурирует компьютер с учетными записями и профилями так, чтобы вы могли демонстрировать Инструментарий. Эта команда должна быть выполнена только на демонстрации компьютера, потому что она конфигурирует учетные записи и исполняет другие функции Toolkit;
2. AutoLogon – конфигурирует учетную запись для автоматического логона на компьютер. Этот инструмент полезен, если вы используете стороннее программное обеспечение вместо Windows-идентификации (это типично в некоторых библиотеках и Интернет-кафе);
3. AutoRestart – конфигурирует учетную запись так, чтобы программа выполнялась автоматически во время входа в систему с соответствующей учетной записью;
4. AutoRunOnce – конфигурирует учетную запись так, чтобы программа выполнилась один раз автоматически при следующем входе в систему с соответствующей учетной записью;
5. CriticalUpdates – вынуждает компьютер загружать и устанавливать критические модификации не ожидая цикла последующих критических модификаций в Windows Disk Protection;
6. SCTReport – создает отчет Shared Computer Toolkit, который может использоваться службой поддержки Microsoft для поиска неисправностей Toolkit;
7. SleepWakePC – помещает общедоступный компьютер в состояние бездействия в определенное время (для сохранения энергии) и затем загружает его, чтобы исполнить намеченные критические модификации;
8. Welcome – удаляет учетные записи, перечисленные на экране приглашения.
Поддерживаемое окружение
Рабочие группы
Все инструменты в Toolkit работают и на индивидуальных компьютерах и на компьютерах, объединенных в рабочие группы Windows. Toolkit не нуждается в выделенном сервере. Вы можете управлять как одним компьютером, так и сотнями без наличия любых серверных приложений управления. Для использования на нескольких компьютерах Toolkit должен быть инсталлирован на каждом из них.
Домен
Некоторые из инструментов Toolkit могут применяться на компьютерах-членах Active Directory домена.
Windows Disk Protection может использоваться в доменном окружении для защиты компьютера от нежелательных изменений.
Windows Restrictions не может работать в доменном окружении. Если вы используете Active Directory с Group Policy, то лучшим выбором будет использование Group Policy для централизованного управления, так как Windows Restrictions предназначен для управления только локальными учетными записями.
Установка программного обеспечения
Требования к операционной системе
Microsoft® Shared Computer Toolkit for Windows® XP – бесплатное ПО и работает под управлением следующих операционных систем:
1. Windows XP Professional;
2. Windows XP Home Edition;
3. Windows XP Tablet PC Edition.
Должен быть установлен Service Pack 2 (SP2).
Для загрузки программного обеспечения из Интернет необходима проверка лицензионности вашей ОС Windows и регистрации программного обеспечения.
Установка Toolkit с Microsoft Download Center
Вы можете загрузить Toolkit с Microsoft Download Center.
Для загрузки и установки Toolkit необходимо:
1. Загрузиться под учетной записью с правами локального администратора;
2. Провести проверку легальности вашей копии Windows XP с использованием Windows Genuine Advantage;
3. Загрузить инсталляционный файл (Shared_Computer_Toolkit_ENU.msi) со страницы Shared Computer Toolkit Download Page;
4. Запустить инсталляционный файл;
5. На странице регистрации необходимо зарегистрировать вашу копию программного обеспечения и получить регистрационный код. Вы можете использовать полученный код для регистрации всех копий ПО в вашей организации.
Начало
После окончания инсталляции откроется стартовое окно настройки инструмента (если Вы не очистили переключатель Show Getting Started в течение инсталляции). Стартовое окно также открывается по умолчанию каждый раз, когда вы входите на общедоступный компьютер с учетной записью Администратора Инструментария, которая является учетной записью, под управлением которой вы установили Инструментарий. Стартовое окно обеспечивает краткий обзор и ярлыки к инструментальным средствам и ресурсам, доступным в Инструментарии. В стартовом окне описаны следующие шаги и советы, чтобы помочь вам быстро использовать Инструментарий:
1. Подготовить Диск к Windows Disk Protection. В этом разделе определяется, конфигурирован ли диск общедоступного компьютера должным образом для Windows Disk Protection. Если нет, вы увидите совет по сформированию диска. Вы также увидите, в каком состоянии находится Windows Disk Protection (вкл. или выкл.).
2. Computer Security Settings. Этот раздел обеспечивает улучшение защиты общедоступного компьютера. В отличие от ограничений, доступных в Windows, данный инструмент обращается к любому, кто использует общедоступный компьютер. Варианты защиты, которые вы можете выбрать в этом разделе, включают такие запреты:
 запрет именам учетных записей быть сохраненным в диалоге входа в систему CTRL+ALT+DEL. По умолчанию, Windows отображает имя последнего пользователя, входившего в Windows в традиционном диалоговом окне входа в систему, когда вы нажимаете CTRL+ALT+DEL в экране Windows Welcome;
 запрет Windows кэшировать паспорт или мандат домена в пределах параметров пользователя. Когда этот переключатель выбран, пользователи должны ввести их Паспорт и мандат домена каждый раз, когда они требуются. Windows не сохраняет их между пользовательскими сеансами;
 предотвращение входа в систему к блокированному профайлу пользователя. Обычно, Windows создает новый (и потенциально неограниченный) профайл пользователя, когда человек пробует войти с профилем, местонахождение которого Windows не может определить. Данная опция препятствует этому;
 удаление кэшируемых копий блокированных профайлов пользователя, чтобы улучшить секретность и дисковое пространство. Когда эта опция выбрана, Windows не сохраняет профили блокированного профайла пользователя. Это препятствует возможности другим людям просмотреть профили предварительно входивших пользователей;
 удаление опций Shut Down и Turn Off Computer при входе в систему. Эта опция удаляет возможность выключения компьютера из меню Start и экрана Windows Welcome;
 использование Экрана Windows Welcome. Эта опция включает экран Windows Welcome, который отображает список доступных учетных записей пользователей на компьютере при старте Windows;
 удаление учетной записи Администратора из экрана Welcome. Вы можете нажать CTRL+ALT+DEL дважды, чтобы обратиться к традиционному диалоговому окну входа в систему, в котором Вы можете напечатать имя пользователя и пароль непосредственно, чтобы войти с любой учетной записью пользователя, не показанной на экранe Welcome;
3. Создание учетной записи для общего пользования (Public Account for Shared Access). Этот раздел обеспечивает руководство по созданию локальной ограниченной учетной записи пользователя, которая используется для доступа к компьютеру. На многих общедоступных компьютерах есть только одна учетная запись пользователя, под которой работает каждый, кто использует компьютер. Этот раздел обеспечивает ярлык на инструмент управления учетными записями пользователей, позволяющий Вам создавать учетные записи.
4. Конфигурирование Public User Profile. Этот раздел обеспечивает руководство для входа с новой учетной записью, чтобы конфигурировать параметры настройки Windows, принтеры и программы для учетной записи. После конфигурирования Public User Profile, вы будете должны выйти и зайти под учетной записью Администратора Инструментария, чтобы продолжить настройки.
5. Ограничение и Блокировка Public User Profile. Этот раздел обеспечивает ярлык к Windows Restrictions tool и руководство по использованию данного инструмента.
6. Проверка Public User Profile. Этот раздел обеспечивает руководство по проверке эффективности вашей конфигурации и ограничений для учетной записи Public User Profile. После испытания Public User Profile, вы будете должны выйти и войти как Администратор Инструментария, чтобы продолжить настройку.
7. Включить Windows Disk Protection. Этот раздел обеспечивает ярлык к Windows Disk Protection, наряду с руководством для того, чтобы включить инструмент и настроить его, чтобы загружать и устанавливать критические модификации.
8. Завершение. Этот раздел обеспечивает ссылки на документацию Shared Computer Toolkit Handbook и Shared Computer Toolkit Help.
Подготовка диска к использованию Windows Disk Protection
Windows Disk Protection защищает операционную систему Microsoft ® Windows XP и программные файлы от изменений в разделе, содержащем папку Windows (обычно диск C. Когда Windows Disk Protection включен, пользователи могут работать как обычно. Однако, все сделанные дисковые изменения фактически сделаны не в Windows partition – они сохранены временно в другом месте.
При перезагрузке компьютера, Windows Disk Protection возвращает Windows partition к первоначальному состоянию, очищая изменения, сделанные начиная с предыдущего рестарта. Это особенность защиты общедоступных компьютеров.
Защита диска Windows требует специальной разметки жесткого диска.
Требования Windows Disk Protection
Windows Disk Protection требует минимум 1 Гб свободного дискового пространства. Это свободное дисковое пространство станет разделом защиты для того, чтобы временно сохранить дисковые изменения при включенной Windows Disk Protection.
Чтобы включить Windows Disk Protection , вы должны выполнять следующие требования:
• не менее 1 Гб или приблизительно 10 процентов Windows partition (обычно C: диск) должно быть доступно как свободное (неформатированное) дисковое пространство;
• свободное (неформатированное) дисковое пространство должно следовать за первичным разделом (primary partition), оно не может быть в начале диска;
• диск, содержащий свободное дисковое пространство может иметь не более чем три первичных раздела (primary partitions).
Вы можете использовать утилиту Disk Management, чтобы рассмотреть текущее разбиение жесткого диска.
Для просмотра текущего разбиения, используя утилиту Disk Management в Windows XP, сделайте следующее:
1. Войдите как администратор Инструментария.
2. Пуск-Выполнить.
3. В диалоговом окне "Выполнить" напечатайте diskmgmt.msc и затем щелкните OK.
Другой способ – щелкнуть правой кнопкой мыши на "Мой компьютер", выбрать "Управление" и затем выбрать "Управление дисками".
Параметры пользователя
Теперь, когда Вы подготовили компьютер и установили Microsoft® Shared Computer Toolkit for Windows® XP, пришло время создать профили ваших пользователей. Чтобы сделать это, создайте учетные записи пользователей и затем настроите каждый параметр профиля пользователя.
Создание Локальной ограниченной учетной записи пользователя
Вначале нужно создать учетные записи пользователей компьютера. В зависимости от вашего окружения, вы можете создать:
1. отдельную пользовательскую учетную запись каждого пользователя. Это решение полезно, когда у вас относительно немного пользователей, и у каждого различные потребности. Если у вас много пользователей, создание отдельных учетных записей становится неуправляемым;
2. отдельную пользовательскую учетную запись, используемую всеми пользователями;
3. несколько категорий учетных записей пользователей, которые используются всеми пользователями.
Например, в библиотеке, можно создать одну учетную запись для детей и другую для взрослых. Как вы структурируете учетные записи, зависит от вашей ситуации, но меньшее количество учетных записей подразумевает более простое управление.
Windows XP поддерживает два простых типа локальных учетных записей пользователей:
1. Компьютерный администратор. Компьютерная учетная запись администратора имеет право установить и деинсталлировать программное обеспечение и драйверы устройства, параметры настройки конфигурации Windows, создавать и удалять пользователей и параметры настройки безопасности. Вы будете использовать административную учетную запись, чтобы управлять Windows и вариантами Инструментария.
2. Ограниченная. Ограниченная учетная запись, по умолчанию, не имеет прав исполнить любое из действий, перечисленных для учетной записи типа администратора. По умолчанию, ограниченная учетная запись пользователя может выполнить программы, обратиться к Internet и местной сети, изменить настольные параметры настройки, создать папки и файлы, и исполнить другие ежедневные действия.
Когда вы создаете учетные записи, вы должны создать ограниченные учетные записи пользователя. Затем вы будете использовать Windows Restrictions Tool, чтобы далее ограничить действия пользователей.

Установка локального профиля пользователя
После того, как вы создали локальные учетные записи пользователя, следующим шагом должно быть создание и конфигурация параметров пользователя для этих учетных записей. Чтобы завершать этот процесс, вы должны войти под учетными записями пользователей, которых вы создали, выполнить программы впервые, и сконфигурировать параметры настройки Windows.
Установка локального профиля пользователя:
1. Войдите, используя одну из локальных учетных записей пользователей, которые вы создавали. Когда вы вошли впервые под именем этого пользователя, Windows автоматически создаст новый профиль пользователя.
2. Исполните в первый раз действия установки для программ типа Microsoft Office и Windows Media Player так, чтобы потом при входе пользователя это уже не требовалось. Если Вы не выполните программы впервые как каждый пользователь, пользователи должны будут исполнить этот шаг самостоятельно. Это проблематично, если вы будете использовать блокированные профили, потому что каждый пользователь должен будет повторить шаги при выполнении программы. Конфигурируйте важные программы типа:
• Microsoft Office;
• Windows Media Player;
• MSN Messenger;
• MSN Games Loader;
• Macromedia Flash;
• другие программы или утилиты, необходимые на общедоступном компьютере.
3. Сконфигурируйте любые важные параметры настройки типа:
• установка и выбор конфигурации принтеров, к которым будет обращаться пользователь;
• программное обеспечение и параметры настройки драйверов устройств, которые могут потребоваться пользователю;
• настольные параметры настройки типа обоев и параметров настройки экранной заставки.
4. Повторите шаги 1-3 для каждой локальной учетной записи пользователя.
Windows Restrictions
Windows Restrictions tool позволяет вам ограничивать пользовательские действия. По умолчанию, пользователи, которые имеют ограниченные учетные записи, не могут установить программное обеспечение или аппаратные средства, но могут выполнить программы, которые они загружают или приносят с собой на диске USB (потенциальное порождение проблем на компьютере). С Windows Restrictions tool, вы можете определить ограничения для Microsoft ® Internet Explorer, операционной системы Microsoft Windows XP, меню Start и определить программное обеспечение, которое сможет выполняться.
Ограничения Набора для Профиля пользователя
Чтобы установить ограничения для профиля пользователя сделайте следующие шаги:
1. Войдите, используя административную учетную запись;
2. Запустите Windows Restrictions tool;
3. Профиль пользователя;
4. В окне Выбора Профиля, выберите профиль того пользователя, которого вы хотите ограничить;
5. Блокируйте переключатель профиля, чтобы препятствовать возможности изменения настройки параметров при входе пользователя с данной учетной записью;
6. Выберите Рекомендованные Ограничения для переключателя Shared Accounts;
7. В Общем разделе Параметров настройки задайте домашнюю страницу по умолчанию и прокси-сервер, если это необходимо;
8. В разделе Таймеров Сеанса установите продолжительность сеанса (в минутах), в течении которого пользователь может использовать компьютер перед принудительным выходом из системы. Вы можете также не заполнять данный раздел;
9. Выберите список дисков, к которым пользователь не должен иметь доступа;
10. Примените изменения.



Вывод
Если посмотреть внимательнее на данное программное обеспечение, то можно увидеть, что возможная сфера его применения значительно шире, чем трактуется Microsoft. То есть, применять данное ПО можно и нужно не только в образовательных учреждениях, Интернет-клубах, библиотеках и т.д.
Данное ПО вполне применимо на всех компьютерах, на которых нужно ограничивать пользователя в правах, то есть на компьютерах для обслуживания складов, бухгалтерии (в этом случае документы, которые нужно хранить, будут храниться на файловом сервере) и т.д. На мой взгляд, данное программное обеспечение существенно облегчит работу администратора безопасности, так как позволит существенно ограничить пользователей.




__________________
MVP Consumer Security
Microsoft Security Trusted Advisor
Kaspersky Lab Certified Trainer
CyberCop вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
28.04.2007, 16:13
Техник
реклама
По умолчанию

Ответ


Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.



Текущее время: 21:51. Часовой пояс GMT.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot
Content Relevant URLs by vBSEO 3.5.0 RC2