Управление пользователями с помощью реестра.

Одним из основных правил безопасности является наличие у пользователя минимального набора полномочий, необходимого ему для выполнения его работы. Другими словами, пользователю надо позволить без осложнений войти в систему и обеспечить его всеми нужными для работы программными средствами и полномочиями, но при этом осуществлять жесткий контроль для избежания нежелательных последствий.

Установки реестра, предназначенные для пользователей, расположены в разделе HKEY_CURRENT_USER.

На самом деле этот раздел не хранит никаких настроек, а содержит только указатели к ключам текущего пользователя в разделе HKEY_USERS. Текущий пользователь идентифицируется своим идентификатором безопасности (SID), который присутствует в названии раздела. Каждый раз, когда пользователь входит в систему, разделHKEY_CURRENT_USER создается заново.

В первую очередь ограничим доступ пользователей к настройкам системы.

Самый простой способ избавить пользователя от соблазна поковыряться в настройках системы — это убрать все лишнее из панели управления. Для удаления апплетов из панели управления воспользуемся разделом реестра HKEY_CURRENT_USER\Control Panel\don’t load. Этот раздел существует специально для хранения названий апплетов панели управления, которые вы не хотите загружать.

Для добавления апплета к списку нужно создать новый параметр реестра REG_SZ и назвать его именем апплета, который мы хотим запретить. Значение параметра должно быть No.

Поскольку нам нужно знать имена апплетов, которые мы хотим спрятать, вот их список:

· Access.cpl – специальные возможности,

· Appwiz.cpl – установка и удаление программ

· Desk.cpl – свойства экрана

· Firewall.cpl – брандмауэр Windows

· Hdwwiz.cpl – установка оборудования

· Inetcpl.cpl – свойства Интернет (IE)

· Intl.cpl – язык и региональные стандарты

· Joy.cpl – игровые устройства

· Main.cpl – свойства мыши

· Mmsys.cpl – звуки и аудиоустройства

· Ncpa.cpl – сетевые подключения

· Netsetup.cpl – мастер настройки сети

· Nusrmgr.cpl – учетные записи пользователей

· Odbccp32.cpl – администратор источников данных ODBC

· Powercfg.cpl – управление электропитанием

· Sysdm.cpl – свойства системы

· Timedate.cpl – дата и время

· Wscui.cpl – центр обеспечения безопасности Windows

· Wuaucpl.cpl – настройка автоматического обновления

При использовании этого метода мы всего лишь убираем значки из окна панели управления. Пользователи все равно смогут получить доступ к панели управления путем ввода имени файла в меню Пуск — Выполнить или из сокращенного меню значков рабочего стола, которое открывает апплет панели управления если выбрать пункт Свойства .

При необходимости более полного контроля мы можем изменить некоторые из апплетов панели управления, удалив из них соответствующие вкладки, или вообще запретить их запуск.

В разделе реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorerсоздаем параметры типа REG_DWORD :

NoHardwareTab — определяет доступность вкладки Оборудование (Hardware). Значение параметра, равное 1, убирает эту вкладку из следующих апплетов панели управления:

· Клавиатура

· Мышь

· Звуки и аудиоустройства

Также вкладка Оборудование удаляется из диалогового окна Свойства для всех локальных дисков.

NoAddPrinter - управляет возможностью добавления нового принтера. Значение равное 0 запрещает добавление нового принтера, равное 1 — разрешает.

NoDeletePrinters — определяет, могут ли пользователи удалять установленные принтеры. Значение равное 0 запрещает удаление принтера, равное 0 — разрешает.

NoControlPanel — полный запрет на запуск панели управления. Если задать значение этого параметра равным 1, то при попытке открыть панель управления пользователю будет выдано сообщение об ошибке.

Для управления апплетом Установка и удаление программ (Add/Remove Programs) есть целый раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Uninstall

Изначально этот раздел может отсутствовать в реестре. В этом случае его прийдется создать. В этом разделе создаем параметры типа REG_DWORD :

NoAddRemovePrograms — значение параметра равное 1 запрещает запуск апплета из панели управления, равное 0 — разрешает

NoAddPage — определяет наличие кнопки Установка программ (Add Programs) в окне Установка и удаление программ. Значение 0 делает кнопку доступной, 1 — удаляет.

NoRemovePage — определяет наличие кнопки Изменение или удаление программ (Change or remove programs). Значение равное 0 делает кнопку доступной, 1 — удаляет.

NoWindowsSetupPage — отвечает за наличие кнопки Установка компонентов Windows (Add Windows Components). Значение равное 0 оставляет кнопку, 1 — удаляет.

В разделе реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer ограничим также доступ к настройкам экрана. Для этого создаем параметры реестра типа REG_DWORD .

NoDispCpl — запрет на запуск апплета Экран (Display). Значение, равное 1, запрещает редактирование настроек экрана, 0 — разрешает. При этом сам апплет не убирается из панели управления, а при попытке его запуска выдается ошибка.

NoDispAppearencePage - удаляем вкладку Оформление (Appearrence) из окна свойств экрана. Значение 1 убирает вкладку, 0 — оставляет.

NoDispSettingsPage - удаляем вкладку Настройка (Settings) из окна свойств экрана. Значение 1 убирает вкладку, 0 — оставляет.

NoDispScrSavPage - удаляем вкладку Заставка (Screen Saver) из окна свойств экрана. Значение 1 убирает вкладку, 0 — оставляет.

Уберем некоторые пункты, отвечающие за настройки системы, из меню Пуск. Для этого создаем в разделе реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer параметры типаREG_DWORD:

NoRun — определяет, отображена ли команда Выполнить (Run) в меню Пуск. Значение параметра, равное 1, удаляет этот пункт из меню. Также не работает сочетание клавиш Win+R и убирается команда Новая задача (New Task) из диспетчера задач.

NoSetFolders — значение равное 1 убирает из меню Пуск следующие пункты:

· панель управления

· сетевые подключения

· принтеры

Для того, чтобы пользователь не смог просматривать системные папки и файлы (и попытаться их изменить), в этом же разделе создаем параметры типа REG_DWORD:

NoFolderOption — определяет, доступна ли опция Свойства папки (Folder Option) в проводнике Windows. Значение, равное 1, запрещает пользователям изменять свойства папок и файлов (например сделать видимыми скрытые и системные файлы).

NoFileAssociate — запрещаем пользователям управлять файловыми ассоциациями. Значение 0 разрешает добавлять, изменять и удалять ассоциации, 1 — только просматривать.

NoViewOnDrive — определяем диски, которые пользователь может выбрать в окне Мой компьютер. Значение параметра определяет, какие диски запрещены. При попытке открыть в Проводнике запрещенный диск или его папку будет выдана ошибка. Ограничение не действует на «сторонние» файловые менеджеры типа Total Commander.

В качестве значения параметра выступает битовая маска дисков, для которых нужно запретить доступ. Каждому диску соответствует свой код: A – 1, B – 2, C – 4, D – 8, E – 16, F – 32, G – 64 и так далее. Если нужно запретить доступ к какому-либо конкретному диску, просто указываем соответствующий ему код. Чтобы запретить доступ сразу к нескольким дискам нужно указать сумму кодов дисков. Например, диск C имеет код 4, диск D – код 8. Чтобы запретить доступ к обоим дискам, нужно в качестве значения параметра указать 12 (4+8). Чтобы запретить все диски, выставляем значение равное 67108863.

NoDrives — параметр, аналогичный предыдущему, но в отличие от него скрывает значки дисков из окна Мой компьютер.

И напоследок запретим различные контекстные меню. Для этого создаем в том же разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer создаем параметры типа REG_DWORD:

NoFileMenu — управляет отображением меню файлов в Проводнике. При значении равном 0 показывает меню файлов, 1- удаляет его.

NoManageMyComputerVerb — определяет доступ к пункту Управление (Manage) сокращенного меню, открывающегося при щелчке правой клавишей мыши на значке Мой компьютер. Значение 1 убирает этот пункт из меню, 0 — оставляет.

Команда Управление открывает оснастку Управление компьютером (Computer Management MMC), и хотя большинство настроек требуют административных полномочий, у пользователей все же остается возможность нежелательных воздействий.

NoViewContextMenu — запрещаем вывод сокращенного меню при щелчке правой клавишей мыши по объектам на рабочем столе. При значении 1 сокращенные меню не появляются.

Если необходимо настроить несколько компьютеров, то по окончании настройки можно экспортировать нужный раздел реестра в reg- файл, чтобы автоматизировать процесс настройки.