Сегодня персональные компьютеры все чаще устанавливаются в общественных местах — учебных заведениях, библиотеках, Internet-кафе, игровых клубах. Увеличивается и число компьтеров в небольших фирмах и филиалах крупных компаний.
В подобных местах, где держать специалиста по ИT дорого, остро встает проблема отсутствия грамотного персонала, способного отслеживать, а главное, исправлять ошибки пользователей, связанные с превышением прав, слишком широкими возможностями настройки программного обеспечения и, прежде всего, операционной системы. Зачастую пользователь мнит себя специалистом по настройке операционной системы, и последствия его действий угадать несложно. Это может быть простое изменение настроек рабочего стола и некритичных параметров системы, а может быть и запуск вируса или другого вредоносного программного обеспечения.
На компьютерах, расположенных в общедоступных местах (за которыми под одной учетной записью работает несколько пользователей), возникает еще ряд проблем. Так, любой пользователь может просмотреть кэш Internet-файлов предыдущего пользователя, его сохраненные или неудаленные документы и т. д.
Каким же образом обеспечить безопасность и в то же время сэкономить средства, которые тратятся на устранение ошибок пользователей?
Есть один выход — урезать права пользователей до необходимого минимума и сделать так, чтобы после перезагрузки состояние операционной системы восстанавливалось и все сделанные в предыдущей сессии изменения уничтожались.
Именно для этих нужд разработчики Microsoft создали продукт Microsoft Shared Computer Toolkit for Windows XP, о котором и пойдет речь в этой статье.
Microsoft Shared Computer Toolkit for Windows XP — программное обеспечение, предназначенное для защиты общедоступных компьютеров от действий пользователей, ведущих к изменению системных ресурсов и т. д.
Microsoft Shared Computer Toolkit for Windows XP предоставляется бесплатно и работает под управлением операционных систем Windows XP Professional и XP Home Edition, а также Windows XP Tablet PC Edition, с установленным пакетом обновлений Service Pack 2 (SP2).
При загрузке программного обеспечения из Internet проводится проверка лицензионности установленной версии Windows и регистрация.
Загрузить Toolkit можно с Microsoft Download Center (http://www.microsoft.com/Rus/download/).
Для загрузки и установки Toolkit необходимо:
- Зарегистрироваться под учетной записью с правами локального администратора.
- Выполнить проверку легальности копии Windows XP с использованием Windows Genuine Advantage.
- Загрузить установочный файл Shared_Computer_Toolkit_ ENU.msi со страницы Shared Computer Toolkit Download Page.
- Запустить установочный файл.
- На странице регистрации зарегистрировать свою копию программного обеспечения и получить регистрационный ключ. Этот ключ можно использовать для регистрации всех копий программы в своей организации.
Экран 1. Графический интерфейс Shared Computer Toolkit |
После запуска появляется диалоговое окно Toolkit с режимами работы программы, которое включает следующие разделы (см. экран 1):
- Getting Started — организация доступа к настройкам компьютера и утилитам и первоначальная помощь при быстром доступе к Shared Computer Toolkit.
- Windows Disk Protection — защита раздела (обычно диск C:), содержащего операционную систему Windows и другие программы, от модификации во время пользовательской сессии. Изменения на диске будут удаляться при каждой перезагрузке до тех пор, пока администратор или кто-то другой не сохранит их.
- Windows Restrictions — изменение прав доступа пользователя к программам, установкам, пунктам главного меню и блокировка общего профиля локального пользователя от возможных изменений (этот инструмент специально предназначен для окружений, не использующих Active Directory и Group Policy).
- User Profiles — создание и удаление профилей пользователей.
- Windows Disk Protection is on — также можно удалять профили, закрытые с помощью Windows Restrictions tool.
- Accessibility — делает Windows и утилиты типа StickyKeys, FilterKeys и Magnifier доступными пользователям, для которых был ограничен доступ к панели управления и другим системным параметрам настройки.
Вместе с Toolkit устанавливаются некоторые утилиты командной строки. В дополнение к соответствующим версиям каждой графической утилиты Toolkit предоставляет следующие:
- AutoDemo — настраивает компьютер с учетными записями и профилями так, чтобы можно было демонстрировать работу утилиты. Эта команда должна быть выполнена только на демонстрационном компьютере, потому что она настраивает учетные записи и исполняет другие функции Toolkit.
- AutoLogon — настраивает учетную запись для автоматической регистрации на компьютере. Этот инструмент полезен, если вы используете программное обеспечение независимого производителя вместо идентификации Windows (это часто бывает в библиотеках и Internet-кафе).
- AutoRestart — настраивает учетную запись так, чтобы программа выполнялась автоматически во время регистрации в системе с соответствующей учетной записью.
- AutoRunOnce — настраивает учетную запись так, чтобы программа выполнилась один раз автоматически при следующем входе в систему с соответствующей учетной записью.
- CriticalUpdates — предписывает системе загружать и устанавливать критические исправления, не ожидая цикла последующих критических исправлений в Windows Disk Protection.
- SCTReport — создает отчет Shared Computer Toolkit, который может использоваться службой поддержки Microsoft для поиска неисправностей Toolkit.
- SleepWakePC — помещает общедоступный компьютер в состояние бездействия в определенное время (для сохранения энергии), а затем загружает его, чтобы развернуть намеченные критические исправления.
- Welcome — удаляет учетные записи, перечисленные на экране регистрации.
Все инструменты в Toolkit работают и на отдельных компьютерах, и на компьютерах, объединенных в рабочие группы Windows. Toolkit не нуждается в выделенном сервере. Вы можете управлять как одной машиной, так и сотнями без наличия любых серверных приложений управления. Для использования на нескольких компьютерах Toolkit должен быть установлен на каждом из них.
Некоторые из инструментов Toolkit могут применяться на компьютерах, которые являются членами Active Directory домена. Windows Disk Protection может использоваться в доменном окружении для защиты компьютера от нежелательных изменений. Windows Restrictions не может работать в доменном окружении. Если вы используете Active Directory с Group Policy, то лучше всего задействовать Group Policy для централизованного управления, так как Windows Restrictions предназначен для управления только локальными учетными записями.
Начинаем работу
После окончания процедуры установки откроется стартовое окно настройки инструмента (если вы не сбросили флажок Show Getting Started во время работы программы установки). Стартовое окно также открывается по умолчанию каждый раз, когда вы входите на общедоступный компьютер с учетной записью, под которой был установлен данный инструмент. Стартовое окно обеспечивает краткий обзор и ссылки на программы и функции, доступные в наборе инструментов. В стартовом окне описаны следующие шаги, которые могут помочь освоить работу с инструментарием:
1. Подготовка диска для работы с Windows Disk Protection. В этом разделе определяется, настроен ли диск общедоступного компьютера для работы с функцией Windows Disk Protection. Если нет, на экране появится подсказка по настройке диска. Вы также сможете увидеть, в каком состоянии находится функция Windows Disk Protection.
2. Computer Security Settings. Этот раздел обеспечивает улучшение защиты общедоступного компьютера. В отличие от ограничений, доступных в Windows, данный инструмент накладывает ограничения на действия любого человека, который использует общедоступный компьютер. Варианты защиты, которые пользователь может выбрать в данном разделе, включают следующие запреты:
- запрет на сохранение имен учетных записей в окне регистрации в системе при нажатии CTRL+ALT+DEL. По умолчанию Windows отображает имя последнего пользователя, регистрировавшегося в Windows в диалоговом окне, когда вы нажимаете CTRL+ALT+DEL в экране Windows Welcome;
- запрет Windows на кэширование имени домена в параметрах настройки пользователя. Когда этот флажок выбран, пользователи должны вводить свое доменное имя каждый раз, когда это требуется. Windows не сохраняет эти имена между пользовательскими сеансами;
- предотвращение регистрации в системе с профилем пользователя. Обычно Windows создает новый (и потенциально без ограничений) профиль пользователя, когда тот пробует зарегистрироваться с профилем, местонахождение которого Windows не может определить. Данный параметр препятствует этому;
- удаление кэшируемых копий профилей пользователей, чтобы сохранить конфиденциальность и освободить дисковое пространство. Когда этот режим выбран, Windows не сохраняет профиль пользователя. Это препятствует возможности просмотреть профили регистрировавшихся ранее пользователей;
- удаление пунктов меню Shut Down и Turn Off Computer в окне регистрации. Эта функция устраняет возможность выключения компьютера из меню Start и из экрана Windows Welcome;
- использование экрана Windows Welcome. Эта функция включает экран Windows Welcome, который отображает список доступных учетных записей пользователей на компьютере при запуске Windows;
- сокрытие учетной записи администратора на экране Welcome. Вы можете нажать CTRL+ALT+DEL дважды, чтобы обратиться к традиционному диалоговому окну регистрации в системе, в котором можно ввести имя пользователя и пароль непосредственно, чтобы войти с любой учетной записью пользователя, не показанной на экранe Welcome.
3. Создание учетной записи для общего пользования (Public Account for Shared Access). Этот раздел обеспечивает руководство по созданию локальной ограниченной учетной записи пользователя, которая применяется для доступа к компьютеру. На многих общедоступных машинах есть только одна учетная запись пользователя, под которой работает каждый, кто использует компьютер. Этот раздел обеспечивает ссылку на инструмент управления учетными записями пользователей, позволяющий создавать учетные записи.
4. Настройка общего профиля пользователей Public User Profile. Этот раздел позволяет настроить регистрацию с новой учетной записью для настройки параметров Windows, принтеров и программ для использования этой учетной записи. После настройки Public User Profile необходимо завершить сеанс и зарегистрироваться с учетной записью администратора инструментария, чтобы продолжить настройку.
5. Настройка ограничений и блокировка Public User Profile. Этот раздел обеспечивает ссылку на утилиту Windows Restrictions и руководство по использованию данного инструмента.
6. Проверка Public User Profile. Этот раздел обеспечивает проверку эффективности созданной конфигурации и ограничений для учетной записи Public User Profile. После испытания Public User Profile необходимо завершить сеанс и зарегистрироваться как администратор инструментария, чтобы продолжить настройку.
7. Включить Windows Disk Protection. Данный раздел содержит ссылку на Windows Disk Protection, наряду с инструкцией, как включить инструмент и настроить его, чтобы загружать и устанавливать критические исправления.
8. Завершение. Этот раздел обеспечивает ссылки на документацию Shared Computer Toolkit Handbook и Shared Computer Toolkit Help.
Windows Disk Protection
Функция Windows Disk Protection защищает операционную систему Microsoft Windows XP и программные файлы от изменений в разделе, содержащем папку Windows (обычно диск C:). Когда режим Windows Disk Protection включен, пользователи могут работать как обычно. Однако все изменения на диске фактически совершаются не в разделе Windows — они временно сохранены в другом месте.
При перезагрузке компьютера Windows Disk Protection возвращает раздел Windows к первоначальному состоянию, удаляя изменения, сделанные начиная с предыдущего запуска. Это особенность системы защиты общедоступных компьютеров. Защита диска с Windows требует специальной разметки жесткого диска.
Для работы Windows Disk Protection требуется как минимум 1 Гбайт свободного дискового пространства. Это свободное дисковое пространство необходимо для того, чтобы временно сохранять изменения на диске при функционирующей службе Windows Disk Protection.
Чтобы включить Windows Disk Protection, нужно выполнить следующие требования:
- иметь не менее 1 Гбайт или приблизительно 10% раздела с Windows (обычно C: диск) свободного (неформатированного) дискового пространства;
- свободное (неформатированное) дисковое пространство должно следовать за первичным разделом, оно не может быть в начале диска;
- диск, содержащий свободное дисковое пространство, может иметь не более трех первичных разделов (primary partitions).
Для просмотра текущего разбиения с помощью утилиты Disk Management в Windows XP сделайте следующее: зарегистрируйтесь в системе как администратор инструментария, нажмите Пуск, Выполнить и в диалоговом окне «Выполнить» напечатайте diskmgmt.msc, а затем щелкните OK. Другой способ — щелкнуть правой кнопкой мыши на значке «Мой компьютер», выбрать из контекстного меню «Управление» и затем «Управление дисками».
Параметры пользователя
После подготовки компьютера пришло время подготовить профили для пользователей. Чтобы это сделать, создайте учетные записи пользователей и настройте каждый параметр профиля пользователя.
Вначале нужно создать учетные записи пользователей компьютера. В зависимости от ситуации вы можете создать:
1) отдельную пользовательскую учетную запись для каждого пользователя. Это целесообразно, когда у вас относительно немного пользователей и у каждого различные потребности. Если у вас много пользователей, создание отдельных учетных записей ведет к потере управляемости;
2) отдельную пользовательскую учетную запись, под которой регистрируются все пользователи;
3) несколько категорий учетных записей пользователей, которые применяются всеми пользователями.
Например, в библиотеке можно создать одну учетную запись для детей, другую — для взрослых. Как структурировать учетные записи, зависит от ситуации, но меньшее количество учетных записей подразумевает более простое управление.
Windows XP поддерживает два простых типа локальных учетных записей пользователей:
1. Администратор компьютера. Компьютерная учетная запись администратора дает право устанавливать и удалять программное обеспечение и драйверы устройств, менять параметры настройки Windows, создавать и удалять учетные записи пользователей и параметры настройки системы безопасности. Административную учетную запись следует использовать для управления Windows и работой инструментария.
2. Ограниченная. Ограниченная учетная запись по умолчанию не имеет прав на любое из действий, перечисленных для учетной записи администратора. По умолчанию ограниченная учетная запись пользователя позволяет выполнять программы, выходить в Internet, соединяться по локальной сети, изменять параметры настройки рабочего стола, создавать папки и файлы и выполнять другие обычные действия.
Создавая учетные записи, необходимо создать ограниченные учетные записи пользователя. Затем вы будете применять утилиту Windows Restrictions Tool, чтобы ограничить действия пользователей.
После создания локальной учетной записи пользователя следующим шагом должно быть создание и настройка параметров этих учетных записей. Чтобы это сделать, необходимо зарегистрироваться с созданными учетными записями пользователей, выполнить программы впервые и установить параметры настройки Windows.
Зарегистрируйтесь, используя одну из локальных учетных записей пользователей, которые были созданы. Когда вы впервые войдете в систему под именем этого пользователя, Windows автоматически создаст новый пользовательский профиль.
Запустите операции установки программ, например Microsoft Office и Windows Media Player, так, чтобы потом при регистрации пользователя это делать уже не требовалось. Если вы не запустите программы впервые для каждого пользователя, пользователи должны будут сделать это самостоятельно. Это непросто, если вы будете использовать ограниченные профили, потому что каждый пользователь должен будет повторить соответствующие шаги при выполнении программы. Установите и настройте наиболее важные программы типа Microsoft Office; Windows Media Player; MSN Messenger; MSN Games Loader; Macromedia Flash; другие программы или утилиты, необходимые на общедоступном компьютере.
Задайте любые другие важные параметры настройки, например:
- установка и выбор конфигурации принтеров, к которым будет обращаться пользователь;
- программное обеспечение и параметры настройки драйверов устройств, которые могут потребоваться пользователю;
- параметры рабочего стола (обои, экранная заставка и т. д.).
Повторите все эти шаги для каждой локальной учетной записи пользователя.
Windows Restrictions
Windows Restrictions tool (см. экран 2) позволяет накладывать ограничения на действия пользователя. По умолчанию пользователи, которые имеют ограниченные учетные записи, не могут установить программное обеспечение или аппаратные средства, но в состоянии выполнить программы, которые загружают или приносят с собой на устройствах USB. С помощью Windows Restrictions можно задать ограничения для Microsoft Internet Explorer, операционной системы Microsoft Windows XP, меню Start и указать программное обеспечение, которое может выполняться.
Экран 2. Окно Windows Restrictions |
Чтобы установить ограничения для профиля пользователя, сделайте следующее:
- Зарегистрируйтесь с учетной записью администратора.
- Запустите Windows Restrictions tool.
- Укажите профиль пользователя.
- В окне выбора профиля выберите профиль того пользователя, действия которого хотите ограничить.
- Установите параметр блокировки, чтобы препятствовать возможности изменения настройки параметров при регистрации пользователя с данной учетной записью.
- Выберите рекомендованные ограничения для параметра Shared Accounts.
- В разделе общих параметров настройки задайте домашнюю страницу по умолчанию и proxy-сервер, если это необходимо.
- В разделе таймеров сеанса установите время (в минутах), в течение которого можно использовать компьютер перед принудительным завершением работы.
- Выберите список дисков, к которым пользователь не должен иметь доступа.
- Активизируйте изменения.
Описанные простые процедуры следует применять на всех компьютерах, на которых требуется ограничивать права пользователей, например на компьютерах для обслуживания складов, бухгалтерии (в этом случае документы будут храниться на файловом сервере) и т. д. Данное программное обеспечение заметно облегчит работу администратора безопасности, так как позволит существенно сэкономить время, необходимое для исправления сделанных пользователем ошибок в настройке компьютера.
Владимир Безмалый - руководитель программы подготовки администраторов информационной безопасности Академии «БМС Консалтинг».Vladimir_Bezmaly@ec.bms-consulting.com