Защита от "дурака" или
как противостоять любопытному пользователю
Безмалый В.Ф.
Отсутствие какой-либо защиты в операционной
системе Windows 95/98/ME
давно уже ни для кого не секрет.Однако с помощью некоторыхпрограмм
можно, по крайней мере, установить «защиту от дурака».
Беззащитность Windows 95/98/ME
Ни для кого не секрет, что в Windows NT/2000 существует
целая система безопасности, с помощью которой можно защитить ваш
компьютер практически от любых несанкционированных действий. Специальный
сервер безопасности предотвращает возможность проникновения на ваш
компьютер любого другого пользователя как с вашего же компьютера,
так и по сети. Предположим, что вы полностью закрыли доступ гражданину
С. на свой компьютер. В этом случае никакие ухищрения данного гражданина
в открытии оного доступа ему уже не помогут (подразумевается, что
в доступе отказано не только гражданину С., но и System).
К сожалению, не все в этом мире так прекрасно, и
значительная часть пользователей вынуждена в силу каких-либо объективных
причин работать под Windows 95/98/ME. Системы эти абсолютно беззащитны,
а папка "Пароль" и сам парольный доступ в систему, в сущности, представляют
собою откровенную пародию на защиту.
Последнее означает, что любой неподготовленный пользователь
может так "развлечься" на компьютере, что машину будет совершенно
не узнать. Особенно страдают в этом плане компьютеры в учебных заведениях,
где доступ к ним совершенно не ограничен (я думаю, меня прекрасно
поймут администраторы и преподаватели, вынужденные ликвидировать
последствия действий слишком любопытных пользователей). Приведу
лишь один простой пример: изменение свойств "Сетевого окружения"
(предположим, непрерывное удаление и добавление всевозможных протоколов)
запросто может отключить компьютер от сети. После этого существует
только один- единственный способ возвращения компьютера обратно
в сеть: удалить все компоненты "Сетевого окружения", перезагрузить
компьютер и установить все заново. И подобных примеров можно привести
сотни.
Наверное, от безысходности в этом вопросе постепенно
начали появляться утилиты, которые в той или иной степени могли
бы гарантировать определенную степень защиты. Одной из первых утилит
подобного плана в 1996 году стала Secur-iT, неплохо защищающая файлы
от запуска, изменения, копирования, переименования и удаления. Защищенные
файлы были видны, но воспользоваться ими не было никакой возможности.
Однако этого было явно недостаточно, хотя бы уже потому, что папка,
содержащая защищенные файлы, могла быть спокойно удалена с диска,
а защитить саму папку было невозможно. Утилитой Secur-iT предусматривался
и еще один вариант защиты файлов - их шифрование. При попытке чтения
зашифрованных файлов на экране появлялась "нечитабельная" смесь
всевозможных символов, но зато с этими файлами можно было делать
все, что душе угодно: копировать, переименовывать, изменять, удалять.
Иными словами, защита была крайне относительной.
Про защиту панели задач, панели управления, сетевого
окружения, экрана и т.д. даже говорить не приходилось.
Однако наконец-то программисты порадовали и пользователей
Windows 95/98/ME. В 2000г. появилась утилита "Панель управления
RESTrick", которая, правда, не обеспечивает ту же степень надежной
защиты, что и Windows NT/2000, но, несомненно, много чего может.
Рис. 1 Панель управления RESTrick
Чем же нас порадует утилита RESTrick?
Речь идет о первой версии программы - 1.1. Это очень
простая и удобная русифицированная утилита для конфигурирования
компьютера и настройки системной защиты. Найти ее можно на сайте
разработчика (http://www.rtsecurity.com/)
(размер zip-архива - 285K). Обязательна бесплатная регистрация программы.
Для регистрации нужно, подключившись к Интернет, щелкнуть на команде
"Зарегистрировать!". В результате вам будут предложены имя регистрации
и регистрационный номер, которые и нужно будет внести в соответствующие
окна.
RESTrick можно считать полнофункциональной утилитой
для настройки среды Windows 95/98/ME и повышения безопасности работы
в ней. Это приложение является апплетом "Панели управления Windows"
(т.е. запускается из стандартной Панели управления) и позволяет
настраивать различные параметры среды Windows.
Рис. 2 Настройка параметров
Можно выделить два направления защиты: запреты на
изменения каких-либо параметров системы и скрытие тех или иных закладок,
дисков и т.д.
Что касается всевозможных запретов, то в этом вопросе
спектр возможностей программы достаточно широк. Можно запретить
изменение следующих параметров:
1. Настройка панели задач. Подобный запрет обезопасит
вас от удаления из панели задач нужных программ и появления в ней
неограниченного количества игрушек, а это - беда всех учебных заведений.
2. Доступ к панели управления. Этой опцией воспользоваться
также неплохо, слишком уж много в панели управления вызывающих невольный
интерес папок. Например, несанкционированная работа с папкой "Почта"
может полностью расстроить вашу почтовую систему, а какие-либо изменения
в папке "Телефонные соединения" избавят вас от необходимости использования
Интернет.
3. Установка и удаление принтера. Если вам не очень
нравится, когда ваши подопечные периодически промахиваются мышкой
и вместо кнопки "Сохранить" щелкают на кнопке "Печать" с вытекающими
из этого последствиями, то вам лучше позаботиться об этом сразу.
4. Запуск редактора реестра. Я думаю, что здесь какие-либо
комментарии в принципе излишни.
5. Изменение свойств экрана. Данный запрет, с моей
точки зрения, становится актуальным из-за неприятной возможности
установки пароля на заставку экрана. Если вам не доставляет труда,
увидев появление подобной заставки, перезагружать компьютер и караулить
появление рабочего стола, чтобы успеть нажать правую кнопку мыши
и изменить свойства экрана, то без данного запрета можно и обойтись.
Рис. 3 Настройка монитора
6. Настройка сети. Неприятные казусы, связанные с
настройкой сети, я уже описывал выше, поэтому повторяться не буду.
Считаю, что данный запрет нужно устанавливать в обязательном порядке,
иначе ваша сеть никогда не будет работать так, как ей положено.
7. Запуск программы изменения паролей. Если вы установили
запрет на доступ к панели управления, то, естественно, это уже излишне.
Если же, в силу каких-то причин, вам неудобно запрещать открытие
панели управления, то данный запрет поставить не помешает, т.к.
это обеспечит вам работу всех пользователей с единой конфигурацией
рабочего стола, что в ряде случаев очень удобно.
Я перечислил лишь некоторые из наиболее важных, с
моей точки зрения, запретов. В действительности возможности программы
намного шире.
Вместе с тем, часть устройств или закладок можно
просто скрывать, что тоже небезынтересно. Перечислю наиболее привлекательные
возможности в этом плане.
1. Скрытие гибких дисков. Данная возможность избавит
вас от заражения вирусами через дискеты, что само по себе уже приятно.
В большинстве организаций, при условии сети этот вариант очень удобен.
Гибкий диск перестает быть виден в проводнике и папке "Мой компьютер",
но по-прежнему оказывается доступен через Far Manager или Norton
Commander. К счастью, значительная часть начинающих пользователей
предпочитают "Мой компьютер". Поэтому можно считать, что защита
"от дурака" работает.
2. Скрытие компакт-дисков. Этот вариант был бы очень
полезен тогда, когда невозможно проконтролировать появление новых
игрушек. К сожалению, в данной версии он не работает. Хочется надеяться,
что в следующей версии эта ошибка будет исправлена.
3. Скрытие определенных приложений в панели управления.
Эта возможность крайне полезна, если вы не считаете удобным для
себя скрывать панель управления полностью. В первую очередь это
касается папок "Панель управления параметрами сети", "Панель управления
параметрами системы", "Пароли", "Телефонные соединения", "Установка
и удаления программ". Для ряда других актуальных папок панели управления
подобные возможности пока еще не предусмотрены.
Однако, на мой взгляд, более широкие возможности по защите информации
при работе под Windows 9x представляет другая программа российских
разработчиков - WinDefender 2.1 (http://www.rtsecurity.com).
Эта программа для защиты вашего компьютера позволит безопасно хранить
файлы в компьютере в зашифрованном виде, а также предоставит вам
возможность для разграничения доступа на компьютер.
WinDefender устанавливает в системе драйвер реального времени
для осуществления автоматического шифрования файлов, при записи
на диск и их автоматического расшифровывания при считывании с диска.
При этом данная защита будет абсолютно "прозрачной" для остальных
программ и вам, с точки зрения пользования, не будет заметно никакой
разницы, работаете вы с файлами, защищенными программой WinDefender,
или же вы работаете с обычными незащищенными файлами. Но до тех
пор, пока не будет запущена программа WinDefender и не будет введен
правильный пароль на ее использование, никто не сможет обратиться
к защищенным файлам и просмотреть их содержимое. При этом очень
важно, что файлы шифруются именно физически на диске, поэтому в
любом случае файлы будут надежно защищены от посторонних глаз. Алгоритм
шифрования, используемый в программе WinDefender базируется на широко
известном криптостойком симметричном алгоритме шифрования ГОСТ 28147-89.
Этот алгоритм достаточно давно известен, и поэтому достаточно надежен,
кроме того, он обеспечивает высокую скорость работы, что немаловажно
при шифровании "на лету".
Возможности программы WinDefender.
Для любого каталога или файла можно установить ограничение на доступ.
Такой защитой может быть, например, запрет на удаление или запись
в файл. Можно также запретить создание файлов и каталогов в заданном
каталоге. Можно вообще просто спрятать файл или каталог, так что
он не будет виден ни из одной программы под Windows!
Вышеописанные операции (шифрование, ограничение доступа) одинаково
применимы в программе WinDefender как к файлам, так и каталогам,
поэтому в программе и в документации принято их называть объектами.
То есть объект - это либо каталог, либо файл, в зависимости оттого,
что вы настраиваете.
При запуске WinDefender одновременно загружается низкоуровневый
системный драйвер, который осуществляет автоматическое шифрование/расшифровывание
файлов в заданных объектах. Шифрование базируется на заданном вами
пароле. Чтобы запустить WinDefender вы также должны сначала ввести
текущий установленный пароль.
Абсолютно не имеет значения тип файла, для которого осуществляется
шифрование - это может быть как исполняемый файл, так и простой
исполняемый файл или таблица EXCEL. Также не имеет значения атрибуты
файла и способ написания пути у нему (путь может быть как длинным
путем, используемым в Windows, коротким путем MS-DOS, либо даже
смешанным).
В результате, физически файлы на диске будут зашифрованы. То есть
без вашего санкционированного доступа никто не сможет увидеть их
содержание ни в Windows, ни под MS-DOS, ни на другом компьютере,
если переставить жесткий диск. Это принципиальное отличие программы
WinDefender от систем разграничения доступа. Таким образом, при
отсутствии в стандартной комплекции Windows 95/98 каких-либо приемлемых
средств для защиты информации и безопасной работы, WinDefender может
оказаться незаменимым помощником!
Помимо шифрования, для каждого объекта может быть установлена
защита на удаление, создание или открытие объектов. Как комбинацию
этих параметров можно также спрятать объект из файловой системы.
Для любого объекта, защищаемого WinDefender, можно установить
шифрование, либо защиту, либо одновременно и то и другое. Можно
установить общую защиту на все файлы и каталоги, которые не защищаются
отдельно программой WinDefender. Это может быть удобно, что бы быстро
запретить, например, запись и создание файлов на всем диске, за
исключением ряда определенных каталогов.
Шифрование для каждого объекта можно в любое время приостановить
и запустить заново.
WinDefender автоматически добавляет в список защищаемых объектов
два файла системного реестра - user.dat и system.dat. Это сделано
для того, чтобы исключить возможность их шифрования в любом случае,
а также, чтобы не ограничивать доступ на запись в них (Windows периодически
записывает в эти файлы информацию и если запретить запись, то вскоре
вы увидите окошко, в котором Windows напишет о том, о невозможности
записи в реестр и попросит перезагрузить компьютер). Однако добавление
файлов реестра в список WinDefender можно и отменить.
Вы можете также включить возможность автозапуск WinDefender при
старте Windows чтобы автоматически начинала действовать защита.
WinDefender запустится без запроса пароля и минимизируется на панель
задач. При этом не будет автоматически включено шифрование для заданных
объектов, так как оно зависит от пароля, а запрос на ввод пароля
не был выведен при автозагрузке. Однако после того как вы разблокируете
WinDefender паролем, шифрование автоматически запустится для объектов,
для которых оно задано.
Защита «от дурака» с помощью программы
тонкой настройки Windows Tweak UI.
Еще одной программой, с помощью которой возможна
защита от пользователей, является утилита Tweak UI от фирмы Microsoft.
С помощью нее возможно скрыть часть устройств или
программ в панели управления:
1. Скрытие определенных жестких, гибких или компакт-дисков
в панели Мой компьютер
Рис. 4 Панель настройки Tweak UI
2. Скрытие определенных приложений в панели управления.
Рис. 5 Скрытие определенных приложений
в панели управления
Я считаю наиболее оптимальным использование комплексное использование
задач вышеперечисленных программных продуктов на компьютерах под
управлением Windows 9x, что позволит обеспечить защиту файлов и
каталогов от «дурака».
|