Интернет-журнал 'Домашняя лаборатория', 2008 №2 - Журнал «Домашняя лаборатория»

1. В разделе HKEY_LOCAL_MACHINESYSТЕМSelect смотрим значение параметра "LastKnownGood", указывающее на номер N набора управляющих опций (control sets), с помощью которого был произведён последний беспроблемный запуск системы.

2. Открываем раздел

HKEY_LOCAL_MACHINESYSTEMControlSetOONControlProductOptions

и устанавливаем нужные значения параметров "ProductType" и "ProductSuite".

3. В разделе HKEY_LOCAL_MACHINESYSТЕМSelect смотрим значение параметра "Default" и назначаем его параметру "LastKnownGood", а параметру "Default" присваиваем значение, которое было у "LastKnownGood".

4. Перезагружаем компьютер.

В результате загрузка произойдёт с новыми параметрами. А при проблемах нажимаем клавишу <F8>, как только начинается загрузка Windows, и в появившемся меню вариантов загрузки выбираем пункт "Загрузка последней удачной конфигурации" ("Last Known Good Configuration").

Чтобы из рабочей станции получить сервер и наоборот, надо дополнительно изменить ещё один параметр реестра (до перезагрузки!): двоичный параметр "SystemPrefix" в разделе HKEY_LOCAL_MACHINESystemSetup. Для сервера шестой по порядку бит последнего байта должен быть установлен, а для рабочей станции очищен. Нужное значение этого байта можно получить, прибавляя (если хотим получить сервер) в шестнадцатеричной системе исчисления к текущему значению байта число 4, или отнимая (если хотим получить из сервера рабочую станцию).

Вместо исправления всех этих параметров вручную, можно использовать специальные программы: NTSwitch или TweakNT.

В любом случае имейте в виду, что такие преобразования вы проводите только на свой страх и риск.

2.4. Защита

Создание ярлыка для блокировки компьютера в Windows 2000/ХР

Если вы большой дока по части использования мыши, то вам, вероятно, удобнее будет блокировать свой ПК щелчком мыши на ярлыке, который можно разместить на Рабочем столе, на панели быстрого запуска или в Главном меню.

Создайте новый ярлык и в строке "Объект" (Target) напишите rundll32.exe user32.dll,LockWorkStation. Назовите ярлык, например, Locker. Блокиратор готов!

Назначение прав доступа в файловой системе NTFS

По умолчанию Windows NT предоставляет всякому, кто сумеет правильно указать идентификатор и пароль, полный набор прав доступа. Однако в файловой системе NTFS вы можете индивидуально назначать права доступа созданным вами папкам и файлам; если же вы войдёте в систему с правами администратора, то сможете изменить атрибуты доступа любого файла, в том числе и созданного кем-то другим. Щёлкните правой кнопкой мыши по объекту, для которого вы хотите задать права доступа, перейдите в окно свойств, откройте страницу "Защита" и нажмите кнопку "Права доступа". Вы увидите список пользователей, которым разрешён доступ к объекту. Чтобы удалить пользователя, выделите его имя и нажмите кнопку "Удалить". Чтобы добавить группу пользователей (например, сотрудников такого-то отдела), нажмите кнопку "Добавить" и выберите нужную группу из списка зарегистрированных в системе.

По умолчанию в диалоговом окне задания прав доступа NT предлагает добавлять пользователей из списка, включающего только группы. Чтобы увидеть список отдельных пользователей, нужно в диалоговом окне "Добавление пользователей и групп" выбрать группу и нажать кнопку "Показать пользователей". После этого в нижней части списка для каждой группы будут появляться имена всех её членов.

Чтобы внести имя в список на добавление, нужно дважды щёлкнуть по нему.

Windows NT позволяет не только предоставить или не предоставить тому или иному пользователю доступ к файлу, но и определить, что он может с этим файлом делать: читать и модифицировать, только читать и т. д. Для этого выделите в списке имя пользователя или группы и выберите нужное значение в меню "Тип доступа".

Запрет запуска определённых программ в Windows ХР Pro

На диске NTFS администратор может задать права доступа на папки и файлы.

Если диск FAT, то возможностей по защите меньше. Однако в Windows ХР Pro появился способ запретить запуск какой-либо программы обычным пользователям с помощью локальной политики безопасности:

1. Панель управления —> Администрирование —> Локальная политика безопасности —> Политики ограниченного использования программ —> Дополнительные правила.

2. Щёлкаем правой кнопкой мыши и выбираем пункт "Создать правило для хеша". У этого правила максимальный приоритет, и оно будет действовать на файл вне зависимости от его перемещений из каталога в каталог.

3. В открывшемся окне нажимаем кнопку "Обзор" и выбираем выполняемый файл программы, запуск которой хотим запретить.

4. Для пункта "Безопасность" задаём значение "Не разрешено" и закрываем окно.

5. В элементе "Принудительный" Политики ограниченного использования программ указываем, что ограничения должны применяться для всех пользователей, кроме локальных администраторов.

Контроль за файлами с помощью аудита

Если вы куда-то уезжаете и на время своего отсутствия оставляете компьютер коллегам, по возвращении вам, возможно, будет интересно узнать, в какие файлы кто из них залезал. Имея на машине права администратора, вы можете заказать регистрацию таких действий, как удаление, выполнение, чтение, запись и изменение прав доступа. Для этого щёлкните правой кнопкой мыши по значку файла, откройте окно свойств, перейдите на страницу "Аудит" и нажмите кнопку "Добавить", после чего выберите имена пользователей, которые должны работать на вашем компьютере. Отметьте в имеющемся на странице списке действия, которые должны регистрироваться, и укажите, следует ли отмечать также успешность или неуспешность каждого действия.

Как защититься от администратора?

Одно из преимуществ NTFS состоит в том, что можно создать разграничение доступа к файлам и каталогам. Пользователь не сможет посмотреть папку "Мои документы" другого пользователя, если этот пользователь не является администратором. Как же защититься от администратора? Запретить ему доступ к своим данным нельзя, а вот узнать, копался ли администратор по вашим личным папкам и документам, можно. Допустим, вы решили закрыть файл или папку для всех и разрешить доступ только себе. Щёлкните правой кнопкой мыши по файлу/папке, выберите из меню команду "Свойства", на вкладке "Безопасность" удалите всех, кроме себя. Теперь система не позволит администратору посмотреть этот файл/папку. Так как он администратор, ему не составит особого труда проделать то же самое, что и вы, и добавить для себя разрешение на полный доступ к этому файлу/папке, а затем удалить себя, дабы никто не узнал. Но текущим владельцем этого файла/папки теперь станет администратор, в чём вы сможете убедиться, нажав на вкладке "Безопасность" кнопку "Дополнительно", в новом диалоговом окне перейдя на вкладку "Владелец" и посмотрев на поле "Текущий владелец для этого элемента". До этого им были вы.

Запрещение различных функций и ресурсов в Windows NT/2000/XP

Если вы хотите запретить на компьютерах, работающих под управлением Windows NT/2000/XP, выполнение некоторых функций, то можете отредактировать соответствующим образом параметры реестра, отвечающие за них. Установка для параметров типа DWORD значения в 1 включает ограничение, установка в 0 или удаление параметра — снимает. Ряд параметров можно задавать как в ветви реестра HKEY_CURRENT_USER (ограничение действует для данного пользователя), так и в HKEY_LOCAL_MACHINE (ограничение действует для всех пользователей), причём значение параметра в последней