Компьютеры публичного доступа, например, в интернет-кафе, библиотеках и школах, нуждаются в повышенной защите. Инсталляционный диск Windows 9х предлагает инструмент для создания ограничений на подобных машинах. Речь идет о приложении Policy Editor (POLEDIT).

К сожалению, в Наборе ресурсов (Resource Kit) не говорится о том, как использовать POLEDIT для одиночных компьютеров, поэтому вам придется разобраться в этом самостоятельно (хотя кое-что я подскажу).

1. Подготовим систему.

Используйте Explorer и создайте копии USER.DAT и SYS- TEM.DAT на случай непредвиденных обстоятельств. Убедитесь, что у вас имеется, по крайней мере, ЮМЬ свободной памяти на диске, чтобы сохранить информацию о пользовательском профайле.

2. Активируем Пользовательские профайлы (User Profiles).

Запускаем апплет «Пароли» (Password) на панели управления. Кликаем в таблице на кнопку «Профайлы пользователей» (User Profiles), затем на опции «Каждый пользователь устанавливает личные настройки» (Users Can Customize) и ставим «галочки» на двух окнах. После этого нажимаем ОК и производим рестарт Windows.

3. Создаем профайлы.

После рестарта Windows записываемся как Пользователь (User) и позволяем Windows создать папки для хранения информации о вашем профайле.

Выйдите из программы и запишитесь снова, но уже как Администратор (Administrator), с соответствующим скрытым паролем и вновь позвольте Windows создать папки профайла.

Оч-чень ценный совет!

Запомните (а еще лучше запишите) этот пароль!

4. Ограничьте доступ пользователя к программам.

Пока вы прописаны, как Администратор, воспользуйтесь Explorer и перейдите к

С:\WINDOWS\PROFILES\USER\STARTMENU.

В этой папке и в папках ниже ее удалите любые ссылки на программы, которые пользователю не разрешается выполнять, включая ссылку на папку «Последнее» (Recent).

Обязательно удалите ссылки на POLEDIT, Regedit и Explorer.

5. Инсталлируем Policy Editor.

Запустите апплет «Установка и удаление…» (Add/Remove Software) на панели управления, кликните «Установка Windows» и нажмите на кнопку «Установить с диска» (Have). Перейдите к папке ADMIN\APPTOOLS\POLEDIT на инсталляционном диске Windows 9х и установите POLEDIT.INF.

Это инсталлирует POLEDIT и введет его в субменю Стан- дартные\Служебные (Accessqries\System Tools) в меню «Программы» (Programs) и разместит важный файл ADMIN.ADM в директорию C:\WINDOWS\INF.

Если у вас не имеется инсталляционного диска, то скачайте POLEDIT с www.microsoft.com.

6. Определяем режим доступа пользователя в режиме по умолчанию.

Запустите POLEDIT, создайте новый файл, добавьте новых пользователей с именами Пользователь и Администратор. Дважды кликните по ярлыку Default User, выберите System|Restrictions и активируйте все четыре опции, чьи надписи начинаются с «Переместить» (Remove), и еще две: «Скрыть все предметы на рабочем столе» (Hide All Items on Desktop) и «Не сохранять настройки при выходе» (Don’t Save Settings on Exit). He отмечайте команду «Деактивировать команду остановки» (Disable Shutdown).

Используйте Explorer и создайте папку с именем C:\WIN- DOWS\ PROFILE\DUMMY. Вернитесь в POLEDIT, выберите Shell|Custom Folders и отметьте все опции, записав во временной папке имена, которые вы только что создали. Кликните ОК и сохраните файл, как CONFIG.POL.

7. Определяем доступ пользователя.

Введите пробный файл MAXIMUM.POL, кликните на ярлыке Default User и выберите Сору из меню Edit.

Перезапустите CONFIG.POL, кликните на ярлыке User и выберите Paste из меню Edit. Дважды кликните по ярлыку User и выберите папки Shell|Custom.

Кликните поочередно на тексте каждой опции и, если ниже появится окно редакции, замените C:\WINDOWS на C:\WIN- DOWS\PROFILES\USER. Убедитесь, что все опции активированы.

Выберите Control Panel | Passwords и активируйте опцию Restrict (Ограничения), затем активируйте четыре других опции, которые появятся ниже.

Под Shell | Restrictions активируйте опции Remove Run command, Remove Find command, Hide Drives in My Computer и Don’t Save Settings on Exit.

Ознакомьтесь с подсказкой Windows Resource Kit и решите, какие еще ограничения вы хотите задействовать, но не активируйте опцию Disable ShutDown Command.

Далее перейдите к the Shell | Restrictions и System | Restrictions, а затем измените все серые окна для «галочек» на пустые.

8. Определяем доступ Администратора.

Дважды кликните на ярлыке Администратор и пройдите по всему списку ограничений, выставляя каждое окно активации на черный цвет, а не серый.

Это защитит доступ Администратора от влияний доступа пользователя в режиме по умолчанию.

9. Определяем параметры «без пользователя».

Снова запишитесь в журнал, но нажмите ESC, чтобы закрыть подсказку лога. Начните выполнение POLEDIT, выберите «Открыть реестр» (Open Registry) из меню «Файл» и дважды кликните на «Локальном пользователе» (Local User).

Примените те же ограничения, которые назначили для Default User. Затем снова пропишитесь как Администратор.

10. Активация доступа к загрузке.

Загрузите CONFIG.POL в POLEDIT, откройте ярлык Default Computer, выберите «Систему» (System) и отметьте «галочкой» опцию «Активировать профайлы пользователей» (Enable User Profiles). Под Network\Update отметьте Remote Update.

Выберите Manual для Режима обновления (Update Mode) и введите путь C:\WIINDOWS\ CONFIG.POL.

Сохраните CONFIG.POL.

Далее в меню «Файл»выберите «Открыть реестр» (Open Registry), дважды кликните на Local Computer и сделайте то же изменение для Режима сетевого обновления.

Сохраните изменения и выйдите из POLEDIT.

11. Проверяем доступ.

Пропишитесь как Пользователь и убедитесь, что определенные вами ограничения доступа к командам действуют так, как нужно. Пропишитесь как Администратор и убедитесь, что никакие ограничения не действуют.

Теперь отключитесь и пропишитесь снова, используя новые имя и пароль.

На рабочем столе не должно быть ярлыков и программ, доступных из стартового меню.

Далее нажмите ESC в подсказке лога, чтобы обойти ввод пользовательского имени. И снова не должно быть никакого выбора. Если это так, то выйдите из программы и пропишитесь еще раз.

12. Защищаем доступ.

Пропишитесь как Пользователь и убедитесь, что не можете запустить в действие POLEDIT.

Для большей безопасности измените файл ADMIN.ADM (в папке C:\WINDOWS\INF) на другое название.

Используйте DOS-чсоманду ATTRIB, чтобы переместить скрытые системные и только читаемые атрибуты из файла C:\MSDOS.SYS и загрузите его в редактор.

Найдите заголовок [Options] и измените bootkeys= key на bootkeys~0.

Если такого ключа не имеется под [Options], то добавьте его. Сохраните файл и восстановите его скрытые, системные и только читаемые атрибуты.

Это изменение помешает пользователю прерывать процесс запуска системы.

Если BIOS позволяет, используйте его программу SETUP, чтобы деактивировать запуск с дискеты.

2. Отключение правого клика на кнопке «Пуск»

Обычно, когда вы кликаете правой кнопкой «мыши» на кнопке «Пуск», это позволяет вам открывать папку программ, Explorer и выполнять «Найти» (Find). Если вы не хотите разрешать пользователям такие операции, то защитите компьютер следующим образом:

1. Стартуйте Regedit

2. Осмотрите рабочий стол

3. Это приведет вас к HKEY_Classes_Root\Directory

4. Раскройте эту часть

5. Под заголовком Shell имеется Find (Найти)

6. Удалите Find

7. Спуститесь в реестре к заголовку Folder (Папка)

8. Раскройте эту часть и удалите Explorer й Open (От- крыть).

Теперь, когда вы кликните правой кнопкой «мыши», ничего не произойдет. Вы можете удалять только те предметы, которые хотите.