Windows Контроль пользователей с помощью реестра

Тема в разделе "FAQ по работе с реестром", создана пользователем Dragokas, 1 мар 2014.

  1. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.493
    Симпатии:
    4.310
    Одним из основных правил безопасности является наличие у пользователя минимального набора полномочий, необходимого ему для выполнения его работы. Другими словами, пользователю надо позволить без осложнений войти в систему и обеспечить его всеми нужными для работы программными средствами и полномочиями, но при этом осуществлять жесткий контроль для избежания нежелательных последствий.

    Установки реестра, предназначенные для пользователей, расположены в разделе HKEY_CURRENT_USER.

    На самом деле этот раздел не хранит никаких настроек, а содержит только указатели к ключам текущего пользователя в разделе HKEY_USERS. Текущий пользователь идентифицируется своим идентификатором безопасности (SID), который присутствует в названии раздела. Каждый раз, когда пользователь входит в систему, раздел HKEY_CURRENT_USER создается заново.

    В первую очередь ограничим доступ пользователей к настройкам системы. Поскольку большинство настроек сосредоточено в Панели управления, то займемся ей в первую очередь.

    Самый простой способ избавить пользователя от соблазна поковыряться в настройках системы — это убрать все лишнее из панели управления. Для удаления апплетов из панели управления воспользуемся разделом реестра HKEY_CURRENT_USER\Control Panel\don’t load. Этот раздел существует специально для хранения названий апплетов панели управления, которые вы не хотите загружать.

    regpan2.gif


    Для добавления апплета к списку нужно создать новый параметр реестра REG_SZ и назвать его именем апплета, который мы хотим запретить. Значение параметра должно быть No.

    regpan3.gif


    Поскольку вам нужно знать имена апплетов, которые вы хотите спрятать, вот их список:
    • Access.cpl – специальные возможности
    • Appwiz.cpl – установка и удаление программ
    • Desk.cpl – свойства экрана
    • Firewall.cpl – брандмауэр Windows
    • Hdwwiz.cpl – установка оборудования
    • Inetcpl.cpl – свойства Интернет (IE)
    • Intl.cpl – язык и региональные стандарты
    • Joy.cpl – игровые устройства
    • Main.cpl – свойства мыши
    • Mmsys.cpl – звуки и аудиоустройства
    • Ncpa.cpl – сетевые подключения
    • Netsetup.cpl – мастер настройки сети
    • Nusrmgr.cpl – учетные записи пользователей
    • Odbccp32.cpl – администратор источников данных ODBC
    • Powercfg.cpl – управление электропитанием
    • Sysdm.cpl – свойства системы
    • Timedate.cpl – дата и время
    • Wscui.cpl – центр обеспечения безопасности Windows
    • Wuaucpl.cpl – настройка автоматического обновления
    Имейте ввиду, что при использовании этого метода мы всего лишь убираем значки из окна панели управления. Пользователи все равно смогут получить доступ к панели управления путем ввода имени файла в меню Пуск — Выполнить или из сокращенного меню значков рабочего стола, которое открывает апплет панели управления если выбрать пункт Свойства .

    При необходимости более полного контроля мы можем изменить некоторые из апплетов панели управления, удалив из них соответствующие вкладки, или вообще запретить их запуск.

    В разделе реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer создаем параметры типа REG_DWORD :

    regpan4.gif


    NoHardwareTab — определяет доступность вкладки Оборудование (Hardware). Значение параметра, равное 1, убирает эту вкладку из следующих апплетов панели управления:
    • Клавиатура
    • Мышь
    • Звуки и аудиоустройства
    Также вкладка Оборудование удаляется из диалогового окна Свойства для всех локальных дисков.

    NoAddPrinter - управляет возможностью добавления нового принтера. Значение равное 0 запрещает добавление нового принтера, равное 1 — разрешает.

    NoDeletePrinters — определяет, могут ли пользователи удалять установленные принтеры. Значение равное 0 запрещает удаление принтера, равное 0 — разрешает.

    NoControlPanel — полный запрет на запуск панели управления. Если задать значение этого параметра равным 1, то при попытке открыть панель управления пользователю будет выдано сообщение об ошибке:

    regpan1.gif



    Для управления апплетом Установка и удаление программ (Add/Remove Programs) есть целый раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Uninstall

    regpan10.gif


    Изначально этот раздел может отсутствовать в реестре. В этом случае его прийдется создать. В этом разделе создаем параметры типа REG_DWORD :

    NoAddRemovePrograms — значение параметра равное 1 запрещает запуск апплета из панели управления, равное 0 — разрешает

    regpan5.gif



    NoAddPage — определяет наличие кнопки Установка программ (Add Programs) в окне Установка и удаление программ. Значение 0 делает кнопку доступной, 1 — удаляет.

    NoRemovePage — определяет наличие кнопки Изменение или удаление программ (Change or remove programs). Значение равное 0 делает кнопку доступной, 1 — удаляет.

    NoWindowsSetupPage — отвечает за наличие кнопки Установка компонентов Windows (Add Windows Components). Значение равное 0 оставляет кнопку, 1 — удаляет.



    В разделе реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer ограничим также доступ к настройкам экрана. Для этого создаем параметры реестра типа REG_DWORD :

    regpan6.gif



    NoDispCpl — запрет на запуск апплета Экран (Display). Значение, равное 1, запрещает редактирование настроек экрана, 0 — разрешает. При этом сам апплет не убирается из панели управления, а при попытке его запуска выдается ошибка.

    NoDispAppearencePage - удаляем вкладку Оформление (Appearrence) из окна свойств экрана. Значение 1 убирает вкладку, 0 — оставляет.

    NoDispSettingsPage - удаляем вкладку Настройка (Settings) из окна свойств экрана. Значение 1 убирает вкладку, 0 — оставляет.

    NoDispScrSavPage - удаляем вкладку Заставка (Screen Saver) из окна свойств экрана. Значение 1 убирает вкладку, 0 — оставляет.



    Уберем некоторые пункты, отвечающие за настройки системы, из меню Пуск. Для этого создаем в разделе реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer параметры типа REG_DWORD:

    NoRun — определяет, отображена ли команда Выполнить (Run) в меню Пуск. Значение параметра, равное 1, удаляет этот пункт из меню. Также не работает сочетание клавиш Win+R и убирается команда Новая задача (New Task) из диспетчера задач.

    NoSetFolders — значение равное 1 убирает из меню Пуск следующие пункты:
    • панель управления
    • сетевые подключения
    • принтеры


    Для того, чтобы пользователь не смог просматривать системные папки и файлы (и попытаться их изменить), в этом же разделе создаем параметры типа REG_DWORD:

    NoFolderOption — определяет, доступна ли опция Свойства папки (Folder Option) в проводнике Windows. Значение, равное 1, запрещает пользователям изменять свойства папок и файлов (например сделать видимыми скрытые и системные файлы).

    NoFileAssociate — запрещаем пользователям управлять файловыми ассоциациями. Значение 0 разрешает добавлять, изменять и удалять ассоциации, 1 — только просматривать.

    NoViewOnDrive — определяем диски, которые пользователь может выбрать в окне Мой компьютер. Значение параметра определяет, какие диски запрещены. При попытке открыть в Проводнике запрещенный диск или его папку будет выдана ошибка. Ограничение не действует на «сторонние» файловые менеджеры типа Total Commander.

    В качестве значения параметра выступает битовая маска дисков, для которых нужно запретить доступ. Каждому диску соответствует свой код: A – 1, B – 2, C – 4, D – 8, E – 16, F – 32, G – 64 и так далее. Если нужно запретить доступ к какому-либо конкретному диску, просто указываем соответствующий ему код. Чтобы запретить доступ сразу к нескольким дискам нужно указать сумму кодов дисков. Например, диск C имеет код 4, диск D – код 8. Чтобы запретить доступ к обоим дискам, нужно в качестве значения параметра указать 12 (4+8). Чтобы запретить все диски, выставляем значение равное 67108863.

    NoDrives — параметр, аналогичный предыдущему, но в отличие от него скрывает значки дисков из окна Мой компьютер.



    И напоследок запретим различные контекстные меню. Для этого создаем в том же разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer создаем параметры типа REG_DWORD:

    NoFileMenu — управляет отображением меню файлов в Проводнике. При значении равном 0 показывает меню файлов, 1- удаляет его.

    NoManageMyComputerVerb — определяет доступ к пункту Управление (Manage) сокращенного меню, открывающегося при щелчке правой клавишей мыши на значке Мой компьютер. Значение 1 убирает этот пункт из меню, 0 — оставляет.

    Команда Управление открывает оснастку Управление компьютером (Computer Management MMC), и хотя большинство настроек требуют административных полномочий, у пользователей все же остается возможность нежелательных воздействий.

    NoViewContextMenu — запрещаем вывод сокращенного меню при щелчке правой клавишей мыши по объектам на рабочем столе. При значении 1 сокращенные меню не появляются.
    Если необходимо настроить несколько компьютеров, то по окончании настройки можно экспортировать нужный раздел реестра в reg- файл, чтобы автоматизировать процесс настройки.

    Источник
     
    Последнее редактирование: 1 мар 2014
    fseto, machito, Сергей и 2 другим нравится это.

Поделиться этой страницей