Безопасность

OSzone.net » Microsoft » Windows Vista » FAQ по Windows Vista » Безопасность
Автор: Павел Кравченко
Опубликована: 22.01.2007
  1. Как отключить контроль учетных записей (UAC)

  2. Как отключить контроль учетных записей (UAC) только для администраторов

  3. Как отключить отображение последних открывавшихся документов в меню Пуск

  4. Как запретить пользователю менять расположение папки Мои документы и других папок профиля

  5. Как запустить командную строку (cmd) с правами администратора

  6. При запуске некоторых команд из командной строки выводится сообщение о том, что у вас нет разрешений для выполнения этой операции

  7. Как настроить запрос учетных данных при запуске приложений с повышением прав ("Запуск от имени администратора")

  8. После обновления Windows XP до Windows Vista не удается получить доступ к некоторым файлам и папкам


Как отключить контроль учетных записей (UAC)

Откройте панель управления, выберите Учетные записи пользователей и нажмите ссылку "Включение и отключение контроля учетных записей"
В открывшемся окне снимите птичку с параметра "Используйте контроль учетных записей для защиты компьютера"

Примечание: крайне не рекомендуется отключать UAC. Эта функция поможет предотвратить несанкционированное выполнение вредоносных или деструктивных функций, поэтому без крайней необходимости не отключайте ее.

вверх


Как отключить контроль учетных записей (UAC) только для администраторов

Как уже упоминалось в предыдущем вопросе, отключать UAC не рекомендуется по причине резкого снижения уровня безопасности системы в связи с его отключением.
Однако многие выбирают отключение UAC из-за его "назойливости", поэтому наиболее корректным вариантом будет отключение UAC только для учетных записей с привилегиями администратора компьютера.
Для осуществления этого проделайте следующие действия:

  1. Нажмите Пуск и в поле поиска введите secpol.msc
  2. Разверните группу Локальные политики и перейдите к разделу Параметры безопасности
  3. Откройте параметр "Контроль учетных записей: поведение запроса повышения привилегий для администраторов в режиме одобрения администратором"
  4. Переведите политику в состояние Повышение без запроса

Для вступления в силу настройки этой политики требуется перезагрузка компьютера.
Примечание. Помните, что такой сценарий должен использоваться только в средах с максимальными ограничениями.

вверх


Как отключить отображение последних открывавшихся документов в меню Пуск

Откройте редактор реестра и перейдите в ветвь HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Создайте параметр типа REG_DWORD и присвойте ему значение 1
Другие доступные настройки скрытия недавно открывавшихся документов:

Удалить пункт Документы из меню Пуск:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Параметр: NoRecentDocsMenu
Тип: REG_DWORD
Значение: 1

Очищать список недавно открывавшихся документов при выходе:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Параметр: ClearRecentDocsOnExit
Тип: REG_DWORD
Значение: 1

Также эти настройки можно применить используя редактор групповых политик:
Пуск - Выполнить - gpedit.msc - Конфигурация пользователя - Административные шаблоны - Панель задач и меню Пуск

вверх


Как запретить пользователю менять расположение папки Мои документы и других папок профиля

Политика, запрещающая пользователю изменять путь к папке "Мои документы" изменена в Windows Vista.
Теперь эта политика в Windows Vista запрещает пользователям переназначать любые папки в профиле и называется "Запретить пользователю переназначение папок профиля"
Когда политика включена в сети пользователи Windows Vista не смогут вручную переназначить пути к любым папкам их профиля. Но пользователям предыдущих версий Windows будет недоступно изменение только расположения папки "Мои документы"
По умолчанию эта политика не включена в Windows Vista и пользователи могут вручную изменить расположение папки "Мои документы". При включенной политике, когда пользователь попытается изменить расположение папок профиля, ему будет показано уведомление о том, что эта возможность ограничена политикой.
Для включения этой политики выполните следующие действия:

  1. Нажмите Пуск, в строке поиска напишите gpedit.msc и нажмите Enter
  2. В левой панели редактора групповой политики разверните "Конфигурация пользователя", далее "Административные шаблоны" и выберите "Рабочий стол"
  3. В правой панели редактора групповой политики откройте параметр "Запретить пользователям изменять путь папок профиля"

По умолчанию пользователь может изменить место папок его личного профиля, таких как «Документы», «Музыка» и т. д., введя новый путь на вкладке «Размещение» диалогового окна «Свойства» этой папки. После включения этого параметра пользователь не сможет изменять путь к папкам профиля.

вверх


Как запустить командную строку (cmd.exe) с правами администратора

Для запуска командной строки (cmd.exe) сделайте следующее:



Обратите внимание, что заголовок окна командной строки выглядит по разному, в зависимости от того, с какими привилегиями она была запущена.

вверх


При запуске некоторых команд из командной строки выводится сообщение о том, что у вас нет разрешений для выполнения этой операции

При запуске команд из cmd, которые изменяют настройки системы или системных приложений могут потребоваться привилегии встроенной административной учетной записи, иначе команды могут не отрабатываться. Некоторые приложения, которые требуют доступа на запись к реестру или к системным папкам, также из-за этого могут работать некорректно или могут работать с ошибками. Это относится и к играм.
Для решения проблемы производите запуск cmd или приложений от имени администратора. Как это сделать смотрите в предыдущем вопросе.

вверх


Как настроить запрос учетных данных при запуске приложений с повышением прав ("Запуск от имени администратора")

При выборе пункта "Запуск от имени администратора" в контекстном меню исполняемых файлов обычно происходит выполнение файла от имени встроенной учетной записи Администратор с запросом подтверждения действия.



Для того чтобы был выбор учетной записи от имени которой вы хотите произвести выполнение файла необходимо изменить значение двух параметров политики безопасности в редакторе групповой политики (gpedit.msc):

  1. Управление учетными записями пользователей: поведение запроса на повышение прав для обычных пользователей
  2. Управление учетными записями пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором

Эти параметры располагаются по следующему пути: Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Параметры безопасности
В обоих параметрах необходимо выставить значение "Запрос учетных данных" вместо установленного по умолчанию.
После этого как при использовании функции "Запуск от имени администратора" так и для любой операции, требующей повышения прав, выводится приглашение для выполняющего согласование администратора ввести имя пользователя и пароль.
Если вводятся действительные учетные данные, операция будет продолжена с применимыми привилегиями.



В случае если компьютер является членом домена, эти настройки нужно выполнить как часть групповой политики домена из клиента Vista, назначив то же значение в тех же объектах групповой политики.

вверх


После обновления Windows XP до Windows Vista не удается получить доступ к некоторым файлам и папкам

Проблема может быть связана с тем, что при обновлении не были получены все разрешения на такие папки и файлы и владелец этих объектов не был обновлен.
Для получения доступа необходимо сменить владельца этих объектов.
Владелец объекта управляет назначением разрешений на доступ к объекту и определяет, кто может получить разрешения.
Чтобы выполнить смену владельца, требуется, как минимум, разрешение Смена владельца для объекта или пользовательские права Восстановление файлов и папок. Такие разрешения есть у группы пользователей "Администраторы".

Чтобы сменить владельца файла или папки

  1. Откройте проводник Windows и найдите файл или папку, владельца которой надо сменить
  2. Щелкните файл или папку правой кнопкой мыши, выберите команду Свойства, затем откройте вкладку Безопасность
  3. Щелкните Дополнительно, а затем вкладку Владелец
  4. Щелкните Изменить и выполните одно из следующих действий:
    • Чтобы назначить владельцем пользователя или группу, которых нет в списке, щелкните Другие пользователи и группы и в поле "Введите имя выбираемого объекта (примеры)" введите имя пользователя или группы, а затем щелкните ОК
    • Чтобы назначить владельцем пользователя или группу из списка, в окне Сменить владельца на: выберите нового владельца
    • Чтобы сменить владельца всех подконтейнеров и объектов в дереве, установите флажок Сменить владельца вложенных контейнеров и объектов



Передать права владения можно двумя способами

  1. Текущий владелец может предоставить другим пользователям разрешение Смена владельца, после чего те смогут в любой момент стать владельцами объекта. Пользователь, имеющий разрешение Смена владельца, может сам становиться владельцем объектов или назначать владельцем любую группу, членом которой он является.
  2. Пользователь, у которого есть право Восстановление файлов и каталогов может дважды щелкнуть Другие пользователи и группы и выбрать любого пользователя или группу, которым нужно присвоить владение

Вы также можете использовать утилиту командной строки ICACLS, которая позволяет управлять параметрами разрешений объектов.
Параметры применения ICACLS:

ICACLS name /save ACL-файл [/T] [/C] [/L] [/Q]
    сохранить ACL для всех соответствующих имен в ACL-файле для
    последующего использования с командой /restore.

ICACLS directory [/substitute SidOld SidNew [...]] /restore ACL-файл
                 [/C] [/L] [/Q]
    применяет сохраненные ACL к файлам в папке.

ICACLS name /setowner пользователь [/T] [/C] [/L] [/Q]
    изменяет владельца всех соответствующих имен.

ICACLS name /findsid Sid [/T] [/C] [/L] [/Q]
    находит все соответствующие имена, которые включают в себя ACL,
    явно содержащие этот Sid.

ICACLS name /verify [/T] [/C] [/L] [/Q]
    находит все файлы, чьи ACL не являются каноническими или длина которых
    не соответствует количеству ACE.

ICACLS имя /reset [/T] [/C] [/L] [/Q]
    заменяет ACL унаследованными по умолчанию ACL для всех соответствующих
    файлов

ICACLS имя [/grant[:r] Sid:perm[...]]
       [/deny Sid:perm [...]]
       [/remove[:g|:d]] Sid[...]] [/T] [/C] [/L] [/Q]
       [/setintegritylevel Level:policy[...]]

    /grant[:r] Sid:perm предоставляет указанному пользователю права доступа.
        Если используется :r, разрешения заменяют любые ранее предоставленные
        явные разрешения. Если :r не используется, разрешения добавляются
        к любым ранее предоставленным явным разрешениям.

    /deny Sid:perm явно отклоняет права доступа для указанного пользователя.
        ACE явного отклонения добавляется для заявленных разрешений, и
        любое явное предоставление этих же разрешений удаляется.

    /remove[:[g|d]] Sid удаляет все вхождения Sid в ACL. C
        :g, удаляет все вхождения предоставленных прав в этом Sid. C
        :d, удаляет все вхождения отклоненных прав в этом Sid.

    /setintegritylevel [(CI)(OI)]Level явно задает ACE уровня целостности
        для всех соответствующих файлов. Уровень может принимать одно
        из следующих значений:
            L[ow]    - низкий
            M[edium] - средний
            H[igh]   - высокий
        Параметры наследования для ACE целостности могут предшествовать
        уровню и применяются только к папкам.

Примечание.
    Sid могут быть представлены либо в числовой форме, либо в форме понятного
    имени. Если задана числовая форма, то добавьте a * в начало SID.

    /T означает, что это действие выполняется над всеми соответствующими
        файлами и папками ниже уровня папок, указанных в имени.

    /C указывает, что это действие будет продолжено при всех ошибках файла.
        Однако сообщения об ошибках будут выводиться на экран.

    /L означает, что это действие выполняется над самой символической ссылкой,
       а не над ее целью.

    /Q означает, что команда ICACLS подавляет сообщения об успешном выполнении

    ICACLS сохраняет канонический порядок записей ACE:
            Явные отклонения
            Явные предоставления
            Унаследованные отклонения
            Унаследованные предоставления

    perm - это маска разрешения, она может быть указана в одной из двух форм:
        последовательность простых прав:
                F - полный доступ
                M - доступ на изменение
                RX - доступ на чтение и выполнение
                R - доступ только на чтение
                W - доступ только на запись
        в скобках список определенных прав, разделенных запятыми:
                D - удаление
                RC - чтение
                WDAC - запись DAC
                WO - смена владельца
                S - синхронизация
                AS - доступ к безопасности системы
                MA - максимально возможный
                GR - общее чтение
                GW - общая запись
                GE - общее выполнение
                GA - все общие
                RD - чтение данных, перечисление содержимого папки
                WD - запись данных, создание файлов
                AD - добавление данных, создание папок
                REA - чтение дополнительных атрибутов
                WEA - запись дополнительных атрибутов
                X - выполнение файлов, обзор папок
                DC - удаление вложенных папок и файлов
                RA - чтение атрибутов
                WA - запись атрибутов
        права наследования могут предшествовать любой форме и применяются
        только к папкам:
                (OI) - наследуют объекты
                (CI) - наследуют контейнеры
                (IO) - только наследование
                (NP) - не распространять наследование

Примеры использования ICACLS:

icacls c:\windows\* /save Acl-файл /T

в Acl-файле будут сохранены ACL для всех файлов в папке c:\windows и вложенных папках.

icacls c:\windows\ /restore Acl-файл

будут восстановлены Acl для всех файлов из Acl-файла, которые существуют в папке c:\windows и вложенных папках

icacls-файл /grant Администратор:(D,WDAC)

пользователю Администратор будут предоставлены разрешения на удаление и запись DAC для файла

icacls файл /grant *S-1-1-0:(D,WDAC)

пользователю, определенному по sid S-1-1-0, будут предоставлены разрешения на удаление и запись DAC для файла


Ссылка: http://www.oszone.net/4331/