Настройки безопасности в Windows

Еще с первых версий ОС Microsoft Windows большинство пользователей привыкли к однопользовательскому режиму работы в этой системе. Тем не менее, современные ОС Windows, основанные на ядре NT имеют достаточно много возможностей для разграничения прав пользователей, которые редко используются домашними пользователями. Однако, достаточно много угроз безопасности Windows имеют место быть именно из-за использования «политики безопасности по умолчанию», наделяющей пользователей, созданных при установке Windows правами администратора. Стандартный менеджер пользователей в «Панели управления» Windows не отличается высокой функциональностью и предлагает нам либо права «Администратора» либо «Ограниченной учетной записи», которые являются далеко не единственными правами пользователя, доступными в системе. Потому, в данной записи хотелось бы описать некоторые настройки безопасности Windows, позволяющие не находиться в системе с правами администратора постоянно (как следствие, иметь более безопасную систему), и, в то же время иметь доступ ко многим функциям системы, недоступным в режиме «ограниченной учетной записи». Данные советы в большинстве своем актуальны только для Professional и Ultimate (а, возможно, и некоторых других, отличных от «базовых» и «домашних») версий операционных систем Windows версий не ниже XP, хотя некоторые настройки (имеются в виду настройки «групповых политик», права пользователей можно разграничить во всех NT-системах) должны быть доступны и в Windows 2000. Также, желательно проводить описанные ниже действия над свежеустановленной системой. В случае, если уже имелись какие-либо проявления активности вредоносных программ, рекомендуется для начала переустановить систему.

Несмотря на то, что описанные ниже действия теоретически не представляют серьезной опасности для Windows и являются вполне обратимыми, будьте осторожны и внимательны при настройке! Перед началом настройки создайте точку восстановления, в случае сомнений в необходимости той или иной опции групповой политики обращайтесь к дополнительным справочным материалам в интернете! За последствия ваших действий автор данного материала ответственности не несет!
Базовые меры безопасности
В первую очередь, в системе необходимо иметь заданный пароль администратора. По умолчанию, пользователь «Администратор» сам по себе скрыт. Если при установке Windows пароль администратора был не задан, его нужно задать. Сделать это можно несколькими способами:

• При появлении экрана входа в систему («приветствия») Windows нажмите Ctrl+Alt+Del. Должно появиться окно с вводом имени пользователя и пароля. В поле «Имя пользователя» введите «Администратор», поле «Пароль» оставьте пустым.
• Если в предыдущем случае окно ввода пароля не появилось (а такое может быть), воспользуйтесь загрузочным меню Windows и загрузитесь в «Безопасный режим» или в «Безопасный режим с загрузкой сетевых драйверов». В списке пользователей в «Приветствии» должен будет появиться «Администратор». Загрузившись под администратором, зайдите в стандартный менеджер пользователей в «Панели управления» и задайте пароль для пользователя «Администратор».
• Этим способом следует пользоваться, только если пароль администратора в системе задан, но был забыт или неизвестен по каким-либо причинам! Для изменения пароля выберите «Выполнить» в меню «Пуск» и введите в строку запуска: lusrmgr.msc

В появившемся окне выберете «Пользователи», после чего в контекстном меню для пользователя «Администратор» выберете «Задать пароль».
В выборе пароля вы не ограничены, но, желательно все же не употреблять в нем символов отличных от латиницы и знаков препинания.
Также, рекомендуется наличие в системе регулярно обновляемого антивируса, что, впрочем, сейчас достаточно распространено. Обнаруженные антивирусом вирусы рекомендуется удалять! Лечить следует лишь в крайнем случае, если зараженный файл системный или представляет какую-либо ценность!
Настройка групповых политик
Для начала, уточню, что основной группой в которою в дальнейшем будет добавлена учетная запись «обычного» пользователя будет группа «Опытные пользователи». Данная группа по умолчанию позволяет выполнять достаточно много действий, включая установку некоторых приложений, не требующую администраторского доступа.
Для начала, уточню, что основной группой в которою в дальнейшем будет добавлена учетная запись «обычного» пользователя будет группа «Опытные пользователи». Данная группа по умолчанию позволяет выполнять достаточно много действий, включая установку некоторых приложений, не требующую администраторского доступа.
Для настройки доступа нам потребуется редактор групповой политики Windows. Для его запуска выберите «Выполнить» в меню «Пуск» и введите в строку запуска: gpedit.msc
Перед вами появится окно примерно следующего вида:


В различных подкатегориях имеется достаточно большое количество параметров. Нас интересуют лишь некоторые из них.
Для начала, разрешим для «опытных пользователей» расширенные настройки сетевых подключений.
Для этого, в редакторе групповой политики выбираем:
Конфигурация пользователя - Административные шаблоны - Сеть - Сетевые подключения
Настройки будут выглядеть примерно как показано на рисунке ниже. Для установки конкретного параметра просто используйте двойной щелчок мыши. В окне свойств параметра помимо его значения есть вкладка «Объяснение параметра» с достаточно подробным описанием и ссылкой на описание этого параметра в документации Microsoft.
Чтобы не выбирать каждый параметр из списка по новой, в окне свойств на вкладке «Параметр локальной безопасности» есть кнопки «Предыдущий параметр» и «Следующий параметр», для перехода между параметрами одной категории. Перед тем как перейти к следующему параметру, не забывайте сохранять каждое установленное значение кнопкой «Применить».

После настройки сетевых подключений, отключим автозапуск для съемных носителей, ныне часто используемый для запуска различного Malware в систему. Для этого нужно включить параметр «Отключить автозапуск», располагающийся, почему-то в двух местах:
Конфигурация пользователя - Административные шаблоны - Система - Отключить автозапуск и Конфигурация компьютера - Административные шаблоны - Система - Отключить автозапуск
В Windows 7 для этих целей появился апплет в «Панели управления», предоставляющий более расширенные настройки автозапуска для сменных носителей.
Помимо этого, следует просмотреть настройки безопасности Windows и включить или отключить те, которые сочтете нужными в категории:
Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Параметры безопасности
В принципе, наиболее актуальные (в нашем случае) тут настройки, начинающиеся со следующих слов:
Завершение работы
Сетевой доступ
Сетевая безопасность
Устройства
Примерный вид уже установленных настроек в этой категории будет такой:

В случае, если назначение опции вам непонятно, пользуйтесь вкладкой «Объяснение параметра»:

Также, некоторые опции содержат список групп, которые могут совершать те или иные действия в системе. Добавим туда группу «Опытные пользователи». Для этого, выберем один из таких параметров и в нажмем «Добавить пользователя или группу». По умолчанию, поиск групп для добавления не осуществляется, потому нажмем «Типы объектов» и установим флажок «Группы», после чего в большом текстовом поле («имена выбираемых объектов») следует написать:
Опытные пользователи
После чего, группа «Опытные пользователи» будет добавлена в список объектов, имеющих доступ к действиям, определяемым данным параметром. Остается лишь нажать «Применить»:


Также, следует перебрать опции в категории:
Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя
После установки всех необходимых параметров просто закройте окно редактора групповой политики. Теперь нужно настроить права доступа для своего пользователя или пользователей.
Настройка прав пользователей
Для расширенной настройки прав воспользуемся редактором локальных пользователей Windows. Для его вызова выберите «Выполнить» в меню «Пуск» и введите в строку запуска:
lusrmgr.msc
Появится окно редактора пользователей, в котором нужно выбрать категорию «Пользователи». В списке пользователей находим своего пользователя, заходим в его «Свойства» и переходим на вкладку «Членство в группах». Выделяем имеющуюся там группу «Администраторы» и нажимаем «Удалить». После чего нажимаем кнопку «Добавить» и с появившемся окно в поле «имена объектов» пишем:
Опытные пользователи
В случае, если новая группа успешно появилась в списке групп (см. рисунок ниже), сохраняем изменения для пользователя и закрываем редактор пользователей.

Также, можно еще раз нажать «Добавить» и добавить себя в еще одну группу - «Операторы архива» для работы с архивами.
В случае, если пользователей несколько, подобные операции следует проделать над каждым пользователем (кроме «Администратора» и служебных пользователей Windows, не отображающихся на экране «приветствия»!)
Особенности работы в новых условиях
В случае правильной настройки прав, у вашего пользователя будут достаточно большие полномочия в системе, однако, некоторые особенности все же есть. Рассмотрим их подробнее:
1. Установка приложений и драйверов. Работа в приложениях, требующих обязательное наличие прав администратора.
При установке многих приложений и большинства драйверов может появиться сообщение об ошибке, связанной с отсутствием необходимых прав на установку. Тем не менее, это легко поправимо,если запускать инсталлятор от имени администратора. Для этого, в контекстном меню файла установки (т. е., щелкнув на значке правой кнопкой) выберете «Запуск от имени», установите флажок, «Запуск от имени указанного пользователя», после чего введите имя пользователя (Администратор) и пароль администратора. Если пароль администратора пустой, «Запуск от имени» администратора работать не будет! Также, необходимо, чтобы в системе была запущена служба «Вторичный вход в систему»! Проверить ее состояние можно, выполнив команду services.msc все в том же диалоге «Выполнить» в меню «Пуск»!
Также, некоторые приложения запрашивают установку «Для текущего пользователя» или «Для всех пользователей». Такие приложения (если установщик запущен от имени администратора) нужно ставить для всех пользователей!
При помощи средства «Запуск от имени» можно не только устанавливать, но и запускать некоторые приложения, требующие обязательного наличия прав администратора.
К сожалению, в некоторых случаях (не в таких уж и частых, однако все зависит от используемых вами программ), запуск от имени администратора эффекта не дает и приложение постоянно сообщает об отсутствии необходимых прав. В таком случае, для их корректной работы необходимо войти в систему с правами администратора. Сделать это можно (в большинстве случаев) нажатием комбинации клавиш Windows+L, аналогична которой следующая последовательность действий:
Пуск — Выход из системы — Смена пользователя
После этого, в появившемся экране приветствия выбираем пользователя «Администатор» и заходим в систему с его правами. Однако, вход в систему с правами администратора без реальной на то необходимости крайне нежелателен! Также, нежелательно подключать съемные устройства к компьютеру, находясь в системе с правами администратора!
2. Выполнение команд с правами администратора из командной строки.
Некоторые команды, вызываемые из командной строки также требуют наличия прав администратора. Для выполнения необходимой команды с нужными правами используется команда:
runas
Как правило, ее необходимо запустить со следующими параметрами:
runas /profile /user:Администратор "нужная_вам_команда"
Если нужная команда содержит двойные кавычки, поставьте перед ними знак «обратный слеш» (\).
После ввода команды у вас запросит пароль администратора. Введите его (ввод никак не будет отображаться на экране!) и нажмите Enter, после чего (в случае правильного ввода) начнется выполнение команды.
3. Откат ошибочных изменений в групповой политике
Если, при редактировании групповой политики, вы внесли туда ошибочные изменения или просто хотите исправить какие-то настройки, вы всегда можете их изменить, запустив редактор групповой политики либо войдя в систему как администратор, либо выполнив в диалоге «Пуск» - «Выполнить» команду:
runas /profile /user:Администратор "mmc gpedit.msc" После ввода команды у вас запросит пароль администратора, после чего появится окно редактора групповой политики.
Необходимость настройки прав для домашних пользователей
Настройка прав пользователей является не слишком быстрым процессом (на настройку групповой политики может уйти достаточно много времени) и возникает вопрос — нужна ли она вообще для домашних пользователей?
Тем не менее, такая настройка позволяет существенно снизить риск повреждения системы разнообразным Malware — не имея доступа к компонентам системы, у вредоносных программ гораздо меньше возможностей для повреждения системы, и, если отключить автозапуск сменных носителей и проверять подозрительные файлы антивирусом в системе с разграниченным доступом, угроз безопасности Windows будет значительно меньше. Встроенная в последние версии Windows система UAC, запрашивающая разрешения пользователя чуть ли не на любое действие со стороны «не доверенных» программ — не самое хорошее (на мой взгляд) средство контроля — Windows предоставляет гораздо больше возможностей.
Таким образом, потратив какое-то время на настройку и разграничение доступа, вы можете получить защищенную систему, гораздо более стойкую к различным вредоносным программам и угрозам безопасности вообще.

Автор статьи KtoTo AKAim

Для того, чтобы узнать больше информации Вы можете связаться с нами по телефонам:
+38(096)251 35 80
+38(096)825-41-31
+38(063)63-22-308

return_links(10); ?>