Запрещение запуска программ
Материалы этой статьи, я думаю, очень пригодятся начальникам, которым надо быть твердо уверенным, что их подчиненные на компьютере работают только с нужными программами, а не гоняют в игрушки, когда этого никто не видит. Так что НИ ЗА ЧТО не показывайте им ее
. Также она будет весьма интересна многим админам. А если у Вас на компьютере работает маленький, но очень талантливый ребенок, который норовит запустить format c:, то эта статья точно для Вас.
Знаете ли Вы, что Windows позволяет запретить запуск всех программ, кроме разрешенных в специальном списке? А это действительно так, и порой эта возможность бывает очень полезна.
Итак, для ограничения запускаемых программ надо открыть раздел
HKEY_CURRENT_USERSOFTWARE_MicrosoftWindowsCurrentVersonPoliciesExplorer реестра и создать там ключ
RestrictRun типа
DWORD со значением
0х00000001. Затем тут же надо создать подраздел с аналогичным именем и в нем перечислить список РАЗРЕШЕННЫХ к запуску программ. Для этого заходим в раздел и создаем для каждой программы строковый ключ с названием "1" (без кавычек) - для первой разрешенной программы, "2" - для второй и т.д. в качестве значений которых надо указать имена файлов разрешенных к запуску программ. Файлы должны быть с расширением, путь указывать не обязательно. Например, Word.exe, Excel.exe ...
Не забудьте указать файл Regedit.exe, иначе Вы сами не сможете больше запустить редактор реестра
. Если на компьютере есть несколько пользователей, то это не страшно: можно зайти под другим именем и оттуда изменить записи реестра, но если пользователь один - это может составить серьезную проблему. Спасти в такой ситуации может только создание файла с расширением REG, в котором будут отменены настройки. Чтобы снять ограничения надо установить значение ключа RestrictRun в ноль или удалить его. С помощью REG-файла удалить ключ невозможно, а вот установить его в 0 не составит труда. Вот пример такого файла:
Цитата | Quote
REGEDIT4
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer]
"RestrictRun"=dword:00000000
Давайте разберем его подробнее. В первой строке должна обязательно присутствовать строка REGEDIT4, после нее должна быть пустая строка, а затем идут записи реестра. В квадратных скобках указывается раздел реестра, а под ним перечисляются ключи, которые в него входят: имя ключа в кавычках и после знака "=" его значение.
Можно, конечно, воспользоваться и версией редактора реестра под DOS.
Все эти настройки вступают в силу только после перезагрузки компьютера.
Чтобы окончательно заблокировать систему от постороннего вмешательства можно запретить запуск пользователем редактора реестра. Для этого надо в разделе
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersonPoliciesSystem добавить ключ
DisableRegistryTools со значением
0х00000001. Запуск редактора реестра будет запрещен, однако останется возможность вносит изменения с помощью программного обеспечения сторонних разработчиков и с помощью REG- файлов, как описано выше.
Главное, при использовании материалов этой статьи на практике, быть внимательными и не ограничить запуск программ настолько, что потом самим не удастся ничего сделать.
» Стало интересно? Ущемим ещё несколько свобод избавив себя от ненужных хлопот? Жмём сюда и читаем | Press to open the spoiler «
А вот ещё немного о запретах:
Рассматриваемые настройки хранятся в ветви
HKEY_LOCAL_MACHINE реестра. В этой ветви надо открыть раздел
SoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork. Для начала условимся о некоторых критериях работы: все ключи имеют тип DWORD, если это не обговорено отдельно; значение ключа равное 1 включает данную опцию, 0 выключает, если это не обговорено отдельно. Отмечу, что рассматриваться различные настройки будут по их месторасположению в реестре (т.е. приводятся сведения о ключах, расположенных в одном разделе).
Для запрещения кэширования паролей к различным ресурсам в сети служит ключ
DisablePwdCaching. Если вы опасаетесь за свою безопасность и не хотите, чтобы ваша информация стала доступна всем подряд, то лучше выставить значение этого ключа равным 1.
Ключ
HideSharePwds определяет, показывать ли пароли к расшаренным ресурсам (имеющим общий доступ) открытым текстом или заменять их звездочками.
Минимальную длину пароля можно выставить с помощью двоичного (BINARY) ключа
MinPwdLen.
Ключ
NoDialIn запрещает соединение удаленного доступа.
Ключ
NoEntireNetwork запрещает отображение папки "Вся сеть".
Для запрещения доступа к файлам служит ключ
NoFileSharing, а для запрета управления доступом к файлам - ключ
NoFileSharingControl.
Запрет доступа к принтерам устанавливается ключом
NoPrintSharing. Ключ
NoPrintSharingControl устанавливает запрет на управление доступом к принтерам.
Для того чтобы запретить перечисление содержимого рабочей группы, надо установить значение ключа
NoWorkgroupContents равным 1.
На этом, пожалуй, рассмотрение дальнейших настроек сети временно прекращу, и перейду к настройкам различных параметров оболочки операционной системы расположенных в ветви
HKEY_CURRENT_USER в разделе
SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem. Если вы обратили внимание на то, что настройки проводятся в ветви HKCU, то должны понять, что они будут относиться только к текущему пользователю. Для установки этих параметров для других пользователей надо пользоваться ветвью
HKEY_USERSName (здесь Name - имя нужного вам пользователя). Впрочем, об этом уже не раз упоминалось ранее.
Для начала запретим пользователю поменять пароль в диалоге входа в систему. Для этого достаточно установить у ключа
DisableChangePassword значение 1.
Если вы хотите запретить блокировку компьютера в диалоге входа в систему, воспользуйтесь ключом
DisableLockWorkstation.
DisableTaskMgr - запрещает запуск менеджера задач.
Все эти настройки, конечно, могут помочь оградить систему от глупых пользователей, пытающихся всюду сунуть нос, но от более опытных юзеров это не спасет - ведь они могут точно так же открыть реестр и поменять 1 на 0. Как заблокировать старт RegEdit описано выше... [/B]Однако самые умные все равно смогут это обойти, воспользовавшись reg-файлом
. Единственно, как сказал поэт: ..."Но ходят неторной тропой мудрецы, и уж не толпою, тем более..."
Теперь давайте посмотрим, как можно ограничить свободу пользователей по настройке свойств экрана. Для запрета вызова свойств экрана воспользуйтесь ключом
NoDispCPL.
NoDispBackgroundPage запрещает вызов страницы свойств фона дисплея. Запретить вызов страницы свойств хранителя экрана можно ключом
NoDispScrSavPage. Для запрета вызова страницы свойств оформления экрана надо присвоить значение 1 ключу NoDispAppearancePage. Запрет вызова страницы настроек дисплея осуществляется ключом
NoDispSettingsPage.
Ключ
EnableProfileQuota включает ограничение профиля в размерах.
В финале статьи приведу настройки, запрещающие командную строку MS-DOS и RealMode. Для этого надо установить в 1 ключи
Disabled и
NoRealMode соответственно в разделе
SoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp ветви
HKEY_LOCAL_MACHINE.
Спокойной вам жизни!
утащено с _www.polezno.com