Ограничение прав пользователя в Windows 9x

Тему этой статьи мне подсказали описанные в Upgrade #11 (25) за 2001 год мучения с чрезмерно прыткой сестрёнкой Remo и советы Александра Долинина («Дети и Компьютеры») из того же номера. Действительно, дети и прочая домашняя живность — одна из серьёзнейших опасностей для устойчивости операционной системы и сохранности важных файлов. Идеальным вариантом было бы купить им на растерзание второй компьютер и разрешить его мучить сколько влезет, пока что-нибудь не сломается, после чего в целях профилактики заставить всё починить и переустановить самостоятельно, но далеко не каждый может позволить себе такую роскошь. К тому же, в жизни дело не ограничивается только лишь опасностью разрушительного воздействия неуёмной детской энергии и не имеющего пределов простого человеческого любопытства на многострадальную ОС. Большинство пользователей ПК вынуждены делить «персональный компьютер» не только с малоопытными домочадцами, но ещё и с «любимыми» коллегами по работе. Если оставить в стороне вероятность механического повреждения ПК от рук неумелого пользователя (или, наоборот, страданий самого пользователя от воздействия ПК из-за удара током, например) и разобраться только лишь с программной защитой от случайного или преднамеренного удаления/изменения файлов на диске и нарушения настроек либо работоспособности ОС, то, мне думается, на компьютерах, к которым имеют доступ несколько человек, существует несколько основных типов пользователей, строгое разграничение прав которых — архиважная задача (как говорил один позабытый уже товагищь) для любого заботящегося о беспроблемной работе владельца ПК:

  1. Администратор — опытный пользователь, оперирующий с любыми настройками ОС и следящий за её работоспособностью. Как следствие этого — отсутствие любых ограничений при обязательной надёжной защите пароля учётной записи от использования другими пользователями или взлома специализированными утилитами.
  2. Законопослушный пользователь — пользователь, опыта которого недостаточно для полноценного администрирования, но который также заинтересован в сохранении надёжной работы ОС. Имеет право работать с документами, папками, осуществлять ряд настроек и запускать определённые прикладные программы.
  3. Зловредный «ламер» — самоуверенный пользователь, поверхностные знания которого об ОС или полное отсутствие оных чрезвычайно опасны для системы. Имеет право запускать строго ограниченный круг проверенных программ, запрещён доступ ко всем настройкам ОС.
  4. Опытный вандал или считающий себя хакером пользователь — этот вариант характерен для Интернет- или игровых клубов, где требуется максимальный уровень защиты и полная закрытость всех потенциальных «дыр» в операционной системе.

К счастью, подавляющее большинство юзеров вполне психически адекватны, а потому организация многопользовательских систем с жёсткими правилами доступа не является очень уж распространённой задачей для домашних ПК. В быту, как правило, достаточно просто провести пару доходчивых занятий, чтобы начинающий пользователь всей отшлепанной задницей осознал, что ему разрешается делать, а куда лучше не влезать. Поэтому, собственно, основная масса домашних ПК имеет учётную запись единственного пользователя — администратора, а разграничение прав и защита ОС осуществляется исключительно высокой сознательностью всех членов семьи.

Но из любого правила есть исключения, в стаде всегда найдется паршивая овца, а в семье — не без урода… Если вам не повезло, и висящий на видном месте ремень перестал быть сдерживающим средством для ваших гиперактивных отпрысков, то есть смысл серьёзно задуматься о переводе Windows 9x в многопользовательский режим.

Конечно, Windows 9x абсолютно не приспособлена для качественного разграничения полномочий пользователей, поэтому при наличии очень серьёзных требований к безопасности системы и защите конфиденциальных данных разумный выход только один — использовать специализированную многопользовательскую ОС, например, Windows 2000 вкупе с её файловой системой NTFS — их возможностей гораздо больше, а интерфейс и ПО не отличаются от Windows 9x. Однако, требования к домашнему ПК и к банковскому серверу всё же несколько различаются, а потому для персонального компьютера вполне допустимо и в Windows 9x предпринять ряд достаточно действенных мер для контроля загрузки ОС, запуска и работы приложений, доступа пользователей к ресурсам ПК, а также для защиты от вирусов и сетевых вторжений.

1. Администратор

Если вы до сих пор не задумывались о многопользовательском режиме, то следует зарегистрировать в системе две учётные записи — Администратора и Пользователя. В дальнейшем по аналогии можно ещё больше расширить количество пользователей, у каждого из которых будут свои собственные полномочия и настройки. Администратор — главная учётная запись со всеми возможными правами, а потому важнейшей задачей является исключение вероятности несанкционированного входа в систему чужака под именем администратора либо вообще в обход процедуры аутентификации пользователя. В Windows 9x, к сожалению, необходимо не только зарегистрировать учетную запись админа, но и позаботиться о повышении надёжности опознавания пользователя, поскольку без некоторых превентивных мер система будет дырявой, как решето.

Итак, первым делом сделайте свежую резервную копию реестра, так как некоторые ошибочные настройки могут привести к полной невозможности входа в систему! Далее, в Панели Управления откройте диалог «Пароли» и на вкладке «Профили Пользователей» установите режим, при котором каждый пользователь имеет свои собственные настройки, а также установите оба флажка, разрешающие включить в профиль пользователя структуру меню «Пуск» и значки Рабочего Стола. Затем щёлкните по значку «Пользователи» Панели Управления — появится окно мастера настройки многопользовательской конфигурации. Создавайте пользователя с именем, например, Admin. Кириллическими шрифтами желательно не пользоваться, так как это может вызвать лишние проблемы. Пароли типа «12345», «qwerty» или «Вася» категорически не рекомендуются. Далее таким же способом создадим учётную запись User. В списке пользователей для каждой учётной записи необходимо нажать кнопку «Изменить параметры» и отметить все перечисленные элементы профиля, дабы каждый пользователь имел свои личные настройки, ни в чём не пересекающиеся с настройками других пользователей. Там же должна быть включена опция «Создавать новые элементы». Теперь открывайте диалог «Свойства Сети» и в качестве входа в систему выбирайте «Семейный вход в Windows», после чего добавьте в реестр параметр

[HKEY_LOCAL_MACHINE\Network\Logon]
"MustBeValidated"=dword:00000001

Тем самым вы сделаете невозможным загрузку ОС без ввода пароля — кнопка «Отмена» диалогового окна ввода пароля не будет срабатывать. Учтите, что если вы в качестве способа входа выберете клиента сетей Microsoft, то этот параметр сделает невозможным вход в систему, если ваш ПК не является частью сетевого домена Windows NT. Постоянно рекламируемое в компьютерной прессе отключение кэширования паролей добавлением в реестр параметра

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"DisablePwdCaching"=dword:00000001

предохраняет от кражи паролей, но в многопользовательской конфигурации тоже не даст загрузить Windows — будьте внимательны.

Продолжим латание дыр Windows 9x. Как известно, достаточно загрузить альтернативную ОС, например, MS-DOS, как перед взором хакера предстанет содержимое всех дисков. Поэтому обязательно запретите в CMOS Setup загрузку с флоппи-дисков или CD-ROM, после чего установите неочевидный пароль на вход в настройки BIOS, чтобы никто, кроме вас, не мог включить загрузку с дискеты. Если вы не хотите, чтобы компьютер включали в ваше отсутствие, то крайне рекомендуется поставить пароль ещё и на загрузку ПК. К сожалению, абсолютной защитой это всё равно не станет, так как существуют так называемые инженерные пароли и программы, вскрывающие пароли CMOS за доли секунды, поэтому при необходимости придётся пойти дальше — удалить из корпуса ПК или отключить питание флопповода и привода CD-ROM. Желательно также посетить сайты типа www.password-crackers.com/ [1], www.bios.ru [2], чтобы выяснить, подходят ли известные на сегодня инженерные пароли к вашему BIOS и насколько хорошо справляются с ним всяческие «крякалки». Получите примерное представление о том, насколько действенна такая защита. Если же отключить диски нельзя, и есть вероятность попытки запуска «крякалок» паролей CMOS и утилит типа PWL-Tool, с лёгкостью взламывающих пароли Windows 9x, то необходимо перекрыть все лазейки для запуска подобных программ, либо скрыв флоппи-диски и CD-ROM от всех пользователей кроме администратора с помощью программы TweakUI, либо ещё и жёстко задав Windows список разрешённых к запуску приложений — в этом поможет одна из рассматриваемых ниже программ. Но такой способ — тоже не панацея, так как достаточно переименовать файл «крякалки» по названию разрешённой программы и Windows на него не среагирует. Учтите также, что пароли CMOS можно сбросить вместе со всеми настройками BIOS специальной перемычкой на материнской плате либо обесточиванием микросхемы BIOS на некоторое время. При этом, правда, админ легко догадается о произошедшем взломе, но если надо исключить и такую возможность, то могу посоветовать только опломбировать и запереть на амбарный замок корпус ПК, ну и не оставлять его без присмотра на длительное время. Полезно будет установить пароль и на заставку-скринсейвер, чтобы никто не мог сунуть дискету в компьютер, пока вы отошли покурить.

Необходимо также отключить доступ к загрузочному меню Windows, иначе, выбрав при загрузке ОС режим «Safe Mode», взломщик сможет получить почти полный доступ к дискам и настройкам ОС. Для этого добавьте в раздел [Options] файла MSDOS.SYS параметры BootKeys=0 и BootMulti=0. Первый запретит «горячие» клавиши вызова загрузочного меню, а второй скроет пункт «Предыдущая версия MS-DOS» этого меню. Но опять-таки не надейтесь на абсолютную защиту — при неправильном выключении ПК Windows сама иногда выводит загрузочное меню, желая запуститься в режиме защиты от сбоев — как от этого избавиться, мне не известно.

2. Законопослушный юзер

Случай с «законопослушным пользователем», по большому счёту, нужен только в свете сохранения душевного спокойствия админа, так как нормальные люди не стремятся что-либо намеренно испортить, или же попросту боятся изменять настройки, в которых ничего не понимают. Обычно в таких случаях хорошим профилактическим средством является простое резервирование реестра. Но если, всё-таки, хочется спать спокойно, не опасаясь досадных недоразумений, или же надо, чтобы у такого пользователя были свои собственные настройки, например, Рабочего Стола и меню «Пуск», то есть смысл заняться созданием второго профиля. Да и при необходимости скрыть от постороннего взгляда личные файлы или почтовую корреспонденцию такой метод будет оптимален.

Таким образом, после вышеописанной процедуры настройки учётной записи админа, которая в зависимости от конкретной ситуации может быть и более щадящей, следует определить, какие опции ОС и диски следует скрыть от греха подальше для учётной записи User. Для такой настройки желательно воспользоваться специализированными утилитами, редактирующими некоторые параметры системного реестра, поскольку ручное изменение реестра потребует неразумно много времени. Как ни странно, идеальной, удобной и всё что нужно делающей утилиты, я не нашёл. А потому наилучшим вариантом (если не учитывать всё то же ручное редактирование реестра), полагаю, будет совместное использование сразу трёх программ:

  1. TweakUI — лучше всего подходит для удаления ненужных команд меню «Пуск», элементов Рабочего Стола и Панели Управления, скрытия дисков, очистки всяческих списков MRU, хранящих следы вашей деятельности. Ей примерно аналогичен другой продукт от Microsoft — Редактор Системных Политик (System Policy Editor), но он менее удобен. Обе утилиты находятся на компакт-диске Windows 98 в папке WIN98\TOOLS\RESKIT\.
  2. WinBoost 2001 Gold [3] — самая универсальная программа настройки Windows, «знает» наиболее полный список параметров реестра, предназначенных для ограничения прав пользователей; вот только не умеет скрывать команду «Рабочий Стол Active Desktop» в разделе «Настройка» меню «Пуск» — для этого придётся прописать вручную параметр

    [HKEY_USERS\ИМЯ ПОЛЬЗОВАТЕЛЯ\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoSetActiveDesktop"=dword:00000001

    однако она, как и TweakUI, вносит в реестр установки только для текущего пользователя, так что для ограничения прав профиля User надо сначала войти в систему под его именем и уже после этого запускать WinBoost, что не очень удобно. Да и параметры, относящиеся к настройкам пользовательских привилегий, разбросаны по всем разделам «многоцелевого» WinBoost. В данном случае самая подходящая замена этой программе — бесплатный X-Tech Setup [4], его возможности практически такие же. Если же нужен русский аналог этих утилит, то взгляните на Редактор Настроек Windows [5] — для работы с ним знание английского языка не требуется.

  3. И программы, предназначенной для быстрого управления учётными записями и ограничения доступа к файлам. Здесь сложно выделить что-то наилучшее, поскольку у каждой программы есть свои достоинства и недостатки. В использовании они немного удобнее WinBoost, обладают дополнительными возможностями, но параметров реестра, предусмотренных для скрытия от пользователя всевозможных элементов интерфейса Windows, они почему-то знают заметно меньше. Неплох Windows Security Officer [6] — он умеет устанавливать индивидуальные ограничения отдельно для каждого зарегистрированного в системе пользователя, скрывая тот или иной элемент интерфейса Windows и задавая список разрешаемых к запуску программ. При этом для настройки привилегий любого пользователя вы можете запускать его из-под учётной записи администратора. Ключи реестра, касающиеся привилегий пользователей, ему известны почти все за редким исключением, плюс, работая в фоновом режиме, он способен предотвращать копирование, перемещение, удаление и переименование папок. Но вот файлы почему-то вниманием обойдены — удаляй сколько хочешь. Windows Security Officer умеет также ограничивать работу юзера временными рамками и отслеживать некоторые его действия, ведя файл протокола. Возможно, немного мощнее Protector 2 [7], который помимо установки параметров реестра тоже умеет вести протокол подозрительных событий, задавать временные рамки, ограничивать операции с файлами и папками. Плюс ко всему, он заменяет диалоговое окно ввода пароля при загрузке ОС на своё, более продвинутое и защищённое, а механизм контроля за запуском приложений у него поинтереснее. Security Administrator [8] — не менее умная программа, но она тоже упускает несколько параметров (так что, без WinBoost никак не обойтись), хотя и имеет такую изюминку, как возможность отключения клавиатурных комбинаций CTRL-ALT-DEL, ALT-TAB, CTRL-ESC. Кстати говоря, есть утилиты исключительно для запрета файловых операций — Device Lock Me [9] и Security Department [10] — с их помощью вы для любой учётной записи зададите правила работы с любым диском, папкой или даже конкретным файлом, легко сделав так, что пользователь получит к ним доступ в режиме «только чтение», либо не получит вовсе.

Таким образом, после инсталляции этих утилит входите в систему под именем User, запускайте каждую из них по порядку, пройдитесь по всем меню, чтобы узнать все возможности каждой программы и приступайте к великой чистке. Очищайте меню «Пуск» и Рабочий Стол — ничего лишнего, отвлекающего пользователя от работы, а тем более потенциально опасного там не должно остаться. Пользователь должен видеть ярлыки только тех программ, с которыми он реально работает. Прячьте от пользователя элементы Панели Управления — максимум, что ему нужно, это управление темами Рабочего Стола, да иногда принтером. Правда, при этом будут внесены изменения в единственный для всех учётных записей файл CONTROL.INI, и скрытые значки не увидит и сам админ. Но CPL-файл любого элемента Панели Управления по-прежнему будет доступен в папке C:\WINDOWS\SYSTEM, так что если нужно, чтобы пользователь ни при каких условиях до него не добрался, скрывайте от него системный диск или удаляйте этот CPL-файл. Скрыть диск с операционной системой вообще крайне желательно в любом случае, пользователю же лучше всего оставить доступ только к его собственному абсолютно чистому разделу диска, куда он будет складировать свои документы и файлы. Этот же раздел можно сделать одновременно и папкой Рабочего Стола и папкой «Мои документы» — с этим прекрасно справляется TweakUI.

К сожалению, ни одна из известных мне программ не может полностью очистить папку «Мой Компьютер» от системных элементов, содержащихся в ней помимо ярлыков к дискам. Исключить из неё, например, значок «Назначенные Задания» или «Удаленный Доступ к Сети» можно только через реестр, удалив там параметры

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\
MyComputer\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}]
@="Назначенные задания"

и

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\
MyComputer\NameSpace\{992CFFA0-F557-101A-88EC-00DD010CCC48}]
@="Удаленный доступ к сети"

Однако это скажется на всех пользователях, поэтому не забудьте сделать экспорт этой ветви реестра, чтобы при необходимости быстро вернуть всё на место. Аналогично чистится контекстное меню кнопки «Пуск», если оно не отключено — его команды такие же, как и для обычных папок, и находятся в разделах HKEY_CLASSES_ROOT\Directory и HKEY_CLASSES_ROOT\Folder.

Отключайте автозапуск компакт-дисков — перекроете ещё одну лазейку для вирусов. Желательно сделать так, чтобы пользователь не мог запустить такие опасные типы файлов, как BAT, REG, VBS. Поэтому для этих файлов нужно установить действие по умолчанию «Изменить» вместо «Открыть». Программа WinBoost 2001 Gold изменяет свойства BAT и REG-файлов, для VBS-скриптов же придётся сделать это вручную — в Свойствах Папок на вкладке «Типы Файлов». Также неплохо установить, чтобы неизвестные типы файлов открывались Блокнотом, а не запускался апплет «Открыть с помощью» с перечнем установленных в системе программ — это тоже делает WinBoost. К сожалению, многие настройки невозможно проделать применительно только к одной учётной записи — они сказываются на всей системе, и все пользователи вплоть до админа оказываются немного ущемлёнными, но надёжность требует жертв, так что с этим придётся смириться.

Ограничивать круг запускаемых программ в данном случае следует только при необходимости, главная же задача создания и настройки аккаунта «законопослушного юзера» — максимальное удобство использования одного ПК двумя пользователями.

Нельзя только забывать о таких программах, как антивирус и файерволл, особенно, если вы разрешаете подопечному пользователю выходить в Интернет. Тут прекрасно подойдут популярный отечественный Kaspersky Anti-Virus [11] и буржуйский брандмауэр Norton Internet Security 2001 FE [12], который, помимо всего прочего, перекроет детям доступ к нежелательным Интернет-ресурсам. Можно в приступе паранойи по тихому поставить ещё и клавиатурный шпион и дисковый ревизор, чтобы пользователь и его действия находились под тотальной слежкой. При этом вы даже будете в курсе всех его базаров в чате, но удовольствие это весьма сомнительное.

3. Ламер

Несколько сложнее вариант, при котором приходится делить доступ к ПК с рвущимся всюду сунуть свой нос «ламером» или любопытным ребёнком, давно забившим на все запреты взрослых. При таком раскладе придётся максимально ужесточить режим доступа, скрыв от пользователя почти всё, что только можно, сохранив за ним лишь доступ к специально отданному на растерзание разделу жёсткого диска и разрешив запуск только строго заданных программ. Желательно также время от времени контролировать работу неблагонадёжного пользователя с помощью программ, ведущих подробную статистику всего, что происходит на компьютере. Для этого подойдёт, например, утилита StatWin [13] — она протоколирует почти все действия пользователя для последующего допроса с пристрастием и полного изобличения его неблаговидных поступков.

Итак, опять входите в систему под именем User, запускайте описанные выше программы и, проделав все те же операции, что и для законопослушного юзера, на сей раз идите дальше — запрещайте с их помощью доступ вообще ко всем объектам. Пользователю должны быть доступны только несколько ярлыков, запускающих его приложения, да, возможно, чистый раздел жёсткого диска под его файлы. Необходимо отключить все контекстные меню, вызываемые правой кнопкой мыши — это одна из самых больших уязвимостей Windows 9x, так как получив доступ к свойствам ярлыка злоумышленник может проникнуть в закрытую для него область диска, введя вручную путь к любому файлу или нажав кнопку «Обзор», предназначенную для смены значка. Не забудьте запретить «горячие клавиши» Windows, иначе, нажав кнопки WIN+E, юзер запросто запустит Проводник, который равнозначен бензопиле в руках маньяка. На Рабочий Стол ни один значок помещать нельзя, так как даже при отключённом контекстном меню файлов и папок нажатие неотключаемой комбинации ALT-ENTER это меню непременно вызовет, но, поскольку элемент «Мой Компьютер» с десктопа убрать нельзя, то Рабочий Стол придётся отключить полностью. Обязательно отключите и панель Быстрый Запуск (Quick Launch), так как к ней тоже применима комбинация ALT-ENTER.

Если пользователю разрешено работать только с одной или двумя программами, то можно даже поместить их ярлыки в папку «Автозагрузка», либо прописать их запуск в разделе реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

а из «Пуска» вообще все ярлыки убрать. Всё лишнее же из автозагрузки следует убрать, так как некоторые значки, находящиеся в системной области Панели Задач, вызывают меню, которые дают выход на элементы Панели Управления или на жёсткий диск. Проследите, чтобы в «трее» не было значков типа регулятора громкости (SYSTRAY.EXE) или переключателя раскладки клавиатуры (INTERNAT.EXE) — отключить их поможет утилита MSCONFIG. Значок работающего антивируса тоже может открыть путь на диск через своё меню, поэтому нужно выбрать антивирусную программу, вызов настроек которой защищён паролем.

Саму папку «Автозагрузка» в меню «Пуск» придётся скрыть вручную, а поскольку у пользователя своя собственная структура меню «Пуск», то для этого надо открыть в Проводнике папку C:\WINDOWS\Profiles\User\Главное меню\Программы, найти в ней папку «Автозагрузка» и присвоить ей атрибут «скрытая». К сожалению, в меню «Пуск» Windows 98 нельзя убрать команду «Справка» (в «Миллениуме» — можно), при вызове которой юзер может через её меню добраться до скрытых от него областей жёсткого диска, но можно просто переименовать программу, которая вызывается этой командой — H:\WINDOWS\HH.EXE, и тогда «Справка» перестанет работать. Учтите только, что пункты «Выключить компьютер» и «Завершить сеанс» в меню «Пуск» желательно оставить — вреда, скорее всего, они не нанесут. Если после всех манипуляций вы видите, что в «Пуске» что-то осталось кроме папки «Программы» с несколькими ярлыками и команды «Справка» (в «Миллениуме» и её не будет), то проверьте папку C:\Windows\All Users\Start Menu — в ней содержатся общие для всех пользователей ярлыки.

После того, как вы добились девственной чистоты Рабочего Стола путём его полного отключения, запретили все контекстные меню и скрыли всё лишнее в «Пуске», следует позаботиться об ограничении доступа к приложениям, дискам и файлам. Для воинствующего «ламера» надо в обязательном порядке ограничить круг запускаемых программ, задав Windows список разрешённых приложений. Но даже если вы не узаконите запуск файловых менеджеров, самой большой уязвимостью после всех установок станут обычные прикладные программы, вернее их меню, через которые зачастую можно добраться до обзора дисков, элементов Панели Управления или прочих настроек самой системы. Поэтому меню всех программ, которые будет разрешено запускать, необходимо тщательно просмотреть. Желательно запретить запуск Проводника, поскольку даже если в его панели инструментов скрыть меню «Файл», то всё равно там останется немало команд, которые, например, напрямую вызывают диалог Свойства Папок, если соответствующий CPL-файл не удалён с диска. Аналогично возможность запуска Internet Explorer открывает доступ к настройкам Свойств Обозревателя через его меню. Вообще, необходимо тщательным образом просмотреть все меню разрешённых к запуску программ — достаточно всего одного пункта, чтобы свести на нет все усилия по защите системы. Учтите также, что изменение имени программы даст возможность её запустить, поэтому для более надёжного эффекта необходимо воспользоваться утилитами, разграничивающими доступ к файлам на уровне специальных драйверов, например, уже упомянутыми Device Lock Me и Security Department.

В конце концов, допустимо прибегнуть даже к шифрованию файлов и дисков — предназначенные для этого программы PGP [14] или Kremlin [15] известны многим. Ну и, естественно, надо с помощью TweakUI скрыть от юзера все диски, к которым ему запрещён доступ — это будет дополнительной линией обороны. Оставьте ему только тот, на котором будут храниться его документы.

4. Хакер

Совсем плохо, если приходится одновременно совмещать и Windows 9x и доступ к ПК хорошо разбирающегося во всех тонкостях и дырах этой ОС пользователя. Такое, например, сплошь и рядом встречается в интернет- и игровых клубах. (В компьютерных классах школ ситуация несколько отличается — поскольку там необходимо ещё и обучать орду архаровцев работе с Windows, то, следовательно, все подряд настройки и программы скрывать нельзя, поэтому без полного резервирования и периодического восстановления содержимого жёстких дисков там не обойтись.) В таких случаях обычно используется такой же тип жёстких настроек, что и для варианта с «ламером», отличие только в том, что круг запрещённых программ ещё шире. Но тут я могу предложить несколько более надёжный и оригинальный способ «облома» тёмных личностей. Как мы видим, самой большой «дырой» в системе является её оболочка — Explorer и программы для неё. Если, например, в гейм-клубе используется только десяток игр, через которые доступ к диску получить невозможно, то в качестве уязвимой ахиллесовой пяты остаётся лишь пресловутый Explorer. Почему бы не заменить его? Известные «украшательные» альтернативные оболочки типа Aston не годятся, так как в плане безопасности они ничем не лучше Explorer. Но можно сделать собственную альтернативную оболочку, состоящую всего из одного меню с перечнем того самого десятка игр, да кнопки для выключения ПК. При этом даже возиться с настройкой пользовательских полномочий не нужно будет — юзер просто физически не сможет что-то запустить кроме разрешённых безопасных программ, да и пробраться на диск без файлового менеджера или загрузки другой операционной системы будет невозможно. Конечно, далеко не каждый админ знаком с программированием, но это в данном случае и не требуется, так как создать новую оболочку для Windows под силу любому грамотному пользователю. Причём на всё про всё уйдёт минут пять-десять!!! Для этого надо всего лишь использовать утилиту типа AutoPlay Menu Studio [16], предназначенную для изготовления меню компакт-дисков с автозапуском. При этом на выходе получается обычный EXE-файл с несколькими вполне понятными и симпатичными кнопками-командами, каждая из которых будет вызывать одну из разрешённых для работы программ. Отдельную кнопку следует предусмотреть для выключения компьютера, присвоив ей команду «C:\Windows\RUNDLL.EXE user.exe,exitwindows». После того, как вы «нарисуете» таким образом новую программу-оболочку, нужно заменить ею стандартный Explorer в Windows. Для этого в разделе [boot] файла SYSTEM.INI измените строку «shell=Explorer.exe» на «shell=AUTORUN.EXE», если полученная в AutoPlay Menu Studio программа называется AUTORUN.EXE. Саму программу и её сопутствующие файлы и папки желательно поместить в корневую директорию диска С:, либо прописать путь к ней в значении переменной PATH файла AUTOEXEC.BAT. В результате вы полностью исключите и меню «Пуск», и Рабочий Стол, и ярлыки, и контекстные меню, и клавиатурные комбинации вместе с их уязвимостью для взлома. На мой взгляд, это самый простой, надёжный и быстрый способ настройки системы для игрового клуба с небольшим количеством используемых игр.

Таким образом, вполне реально настроить многопользовательскую конфигурацию в Windows 9x так, чтобы несколько человек не только почти не мешали друг другу, но и система была неплохо защищена от многих неожиданностей. Надо только быть готовым к тому, что ваша жена, впервые увидевшая пустой Рабочий Стол и меню «Пуск» с единственным ярлыком для Калькулятора, тут же побежит в суд подавать иск о защите чести и достоинства.




Темы