Контроль пользователей с помощью реестра

Одним из основных правил безопасности является наличие у пользователя минимального набора полномочий, необходимого ему для выполнения его работы. Другими словами, пользователю надо позволить без осложнений войти в систему и обеспечить его всеми нужными для работы программными средствами и полномочиями, но при этом осуществлять жесткий контроль для избежания нежелательных последствий.

Установки реестра, предназначенные для пользователей, расположены в разделе HKEY_CURRENT_USER .

На самом деле этот раздел не хранит никаких настроек, а содержит только указатели к ключам текущего пользователя в разделе HKEY_USERS . Текущий пользователь идентифицируется своим идентификатором безопасности ( SID ), который присутствует в названии раздела. Каждый раз, когда пользователь входит в систему, раздел HKEY_CURRENT_USER создается заново.

В первую очередь ограничим доступ пользователей к настройкам системы. Поскольку большинство настроек сосредоточено в Панели управления, то займемся ей в первую очередь.

Самый простой способ избавить пользователя от соблазна поковыряться в настройках системы - это убрать все лишнее из панели управления. Для удаления апплетов из панели управления воспользуемся разделом реестра  HKEY_CURRENT_USER\Control Panel\don"t load . Этот раздел существует специально для хранения названий апплетов панели управления, которые вы не хотите загружать.

Для добавления апплета к списку нужно создать новый параметр реестра REG_SZ   и назвать его именем апплета, который мы хотим запретить. Значение параметра должно быть No.

Поскольку вам нужно знать имена апплетов, которые вы хотите спрятать, вот их  список:

• Access.cpl - специальные возможности
• Appwiz.cpl - установка и удаление программ
• Desk.cpl - свойства экрана
• Firewall.cpl - брандмауэр Windows
• Hdwwiz.cpl - установка оборудования
• Inetcpl.cpl - свойства Интернет (IE)
• Intl.cpl - язык и региональные стандарты
• Joy.cpl - игровые устройства
• Main.cpl - свойства мыши
• Mmsys.cpl - звуки и аудиоустройства
• Ncpa.cpl - сетевые подключения
• Netsetup.cpl - мастер настройки сети
• Nusrmgr.cpl - учетные записи пользователей
• Odbccp32.cpl - администратор источников данных ODBC
• Powercfg.cpl - управление электропитанием
• Sysdm.cpl - свойства системы
• Timedate.cpl - дата и время
• Wscui.cpl - центр обеспечения безопасности Windows
• Wuaucpl.cpl - настройка автоматического обновления

Имейте ввиду, что при использовании этого метода мы всего лишь убираем значки из окна панели управления. Пользователи все равно смогут получить доступ к панели управления путем ввода имени файла в меню Пуск - Выполнить или из сокращенного меню значков рабочего стола, которое открывает апплет панели управления если выбрать пункт Свойства  .

При необходимости более полного контроля мы можем изменить некоторые из апплетов панели управления, удалив из них соответствующие вкладки, или вообще запретить их запуск.

В разделе  реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer создаем параметры типа REG_DWORD :

NoHardwareTab - определяет доступность вкладки Оборудование (Hardware) . Значение параметра, равное 1, убирает эту вкладку из следующих апплетов панели управления:

• Клавиатура
• Мышь
• Звуки и аудиоустройства

Также вкладка Оборудование удаляется из диалогового окна Свойства для всех локальных дисков.

NoAddPrinter - управляет возможностью добавления нового принтера. Значение равное 0 запрещает добавление нового принтера, равное 1 - разрешает.

NoDeletePrinters - определяет, могут ли пользователи удалять установленные принтеры. Значение равное 0 запрещает удаление принтера, равное 0 - разрешает.

NoControlPanel - полный запрет на запуск панели управления. Если задать значение этого параметра равным 1, то при попытке открыть панель управления пользователю будет выдано сообщение об ошибке:

Для управления апплетом Установка и удаление программ ( Add/Remove Programs ) есть целый раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Uninstall

Изначально этот раздел может отсутствовать в реестре. В этом случае его прийдется создать. В этом разделе создаем параметры типа REG_DWORD :

NoAddRemovePrograms - значение параметра равное 1 запрещает запуск апплета из панели управления, равное 0 - разрешает

NoAddPage - определяет наличие кнопки Установка программ ( Add Programs ) в окне Установка и удаление программ . Значение 0 делает кнопку доступной, 1 - удаляет.

NoRemovePage - определяет наличие кнопки Изменение или удаление программ ( Change or remove programs ). Значение равное 0 делает кнопку доступной, 1 - удаляет.

NoWindowsSetupPage - отвечает за наличие кнопки Установка компонентов Windows ( Add Windows Components ). Значение равное 0 оставляет кнопку, 1 - удаляет.

В разделе реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer ограничим также доступ к настройкам экрана. Для этого создаем параметры реестра  типа REG_DWORD :

NoDispCpl - запрет на запуск апплета Экран ( Display ). Значение, равное 1, запрещает редактирование настроек экрана, 0 - разрешает. При этом сам апплет не убирается из панели управления, а при попытке его запуска выдается ошибка.

 NoDispAppearencePage - удаляем вкладку Оформление ( Appearrence ) из окна свойств экрана. Значение 1 убирает вкладку, 0 - оставляет.

NoDispSettingsPage - удаляем вкладку Настройка ( Settings ) из окна свойств экрана. Значение 1 убирает вкладку, 0 - оставляет.

NoDispScrSavPage - удаляем вкладку Заставка ( Screen Saver ) из окна свойств экрана. Значение 1 убирает вкладку, 0 - оставляет.

Уберем некоторые пункты, отвечающие за настройки системы, из меню Пуск. Для этого создаем в разделе  реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer параметры типа REG_DWORD:

NoRun - определяет, отображена ли команда Выполнить ( Run ) в меню Пуск. Значение параметра, равное 1, удаляет этот пункт из меню. Также не работает сочетание клавиш Win+R и убирается команда Новая задача ( New Task) из диспетчера задач.

NoSetFolders - значение равное 1 убирает из меню Пуск следующие пункты:

• панель управления
• сетевые подключения
• принтеры

Для того, чтобы пользователь не смог просматривать системные папки и файлы (и попытаться их изменить), в этом же разделе создаем параметры типа REG_DWORD :

NoFolderOption - определяет, доступна ли опция Свойства папки ( Folder Option ) в проводнике Windows . Значение, равное 1, запрещает пользователям изменять свойства папок и файлов (например сделать видимыми скрытые и системные файлы).

NoFileAssociate - запрещаем пользователям управлять файловыми ассоциациями. Значение 0 разрешает добавлять, изменять и удалять ассоциации, 1 - только просматривать.

NoViewOnDrive - определяем диски, которые пользователь может выбрать в окне Мой компьютер. Значение параметра определяет, какие диски запрещены. При попытке открыть в Проводнике запрещенный диск или его папку будет выдана ошибка.  Ограничение не действует на "сторонние" файловые менеджеры типа Total Commander .

 В качестве значения параметра  выступает битовая маска дисков, для которых нужно запретить доступ. Каждому диску соответствует свой код: A - 1, B - 2, C - 4, D - 8, E - 16, F - 32, G - 64 и так далее. Если нужно запретить доступ к какому-либо конкретному диску,  просто указываем соответствующий ему код. Чтобы запретить доступ сразу к нескольким дискам нужно указать сумму кодов дисков. Например, диск C имеет код 4, диск D - код 8. Чтобы запретить доступ к обоим дискам, нужно в качестве значения параметра указать 12 (4+8). Чтобы запретить все диски,  выставляем значение равное 67108863.

NoDrives - параметр, аналогичный предыдущему, но в отличие от него скрывает значки дисков из окна Мой компьютер.  

И напоследок запретим различные контекстные меню. Для этого создаем в том же разделе  HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer создаем параметры типа REG_DWORD:

NoFileMenu - управляет отображением меню файлов в Проводнике. При значении равном 0 показывает меню файлов, 1- удаляет его.