Настройка свойств сети, оболочки Windows NT
Предложенный вашему вниманию материал открывает цикл статей, посвященных настройке различных параметров и элементов Windows NT,2000. Информация для статьи взята с сайта , автором которого является Васкецов Сергей, с его любезного разрешения, и немного переработана, с целью сделать ее более понятной для малоподготовленных пользователей, не очень хорошо владеющих этой операционной системой.
И начнем мы рассмотрение настроек, пожалуй, с самой важной темы, от которой зависит безопасность работы с операционной системой: настройки различных параметров и установок работы в сети. Рассматриваемые настройки хранятся в ветви HKEY_LOCAL_MACHINE реестра. В этой ветви надо открыть раздел Software\Microsoft\Windows\CurrentVersion\Policies\Network. Для начала условимся о некоторых критериях работы: все ключи имеют тип DWORD, если это не обговорено отдельно; значение ключа равное 1 включает данную опцию, 0 выключает, если это не обговорено отдельно. Отмечу, что рассматриваться различные настройки будут по их месторасположению в реестре (т.е. приводятся сведения о ключах, расположенных в одном разделе).
Для запрещения кэширования паролей к различным ресурсам в сети служит ключ DisablePwdCaching. Если вы опасаетесь за свою безопасность и не хотите, чтобы ваша информация стала доступна всем подряд, то лучше выставить значение этого ключа равным 1.
Ключ HideSharePwds определяет, показывать ли пароли к расшаренным ресурсам (имеющим общий доступ) открытым текстом или заменять их звездочками.
Минимальную длину пароля можно выставить с помощью двоичного (BINARY) ключа MinPwdLen.
Ключ NoDialIn запрещает соединение удаленного доступа.
Ключ NoEntireNetwork запрещает отображение папки "Вся сеть".
Для запрещения доступа к файлам служит ключ NoFileSharing, а для запрета управления доступом к файлам - ключ NoFileSharingControl.
Запрет доступа к принтерам устанавливается ключом NoPrintSharing. Ключ NoPrintSharingControl устанавливает запрет на управление доступом к принтерам.
Для того чтобы запретить перечисление содержимого рабочей группы, надо установить значение ключа NoWorkgroupContents равным 1.На этом, пожалуй, рассмотрение дальнейших настроек сети временно прекращу, и перейду к настройкам различных параметров оболочки операционной системы расположенных в ветви HKEY_CURRENT_USER в разделе Software\Microsoft\Windows\CurrentVersion\Policies\System. Если вы обратили внимание на то, что настройки проводятся в ветви HKCU, то должны понять, что они будут относиться только к текущему пользователю. Для установки этих параметров для других пользователей надо пользоваться ветвью HKEY_USERS\Name (здесь Name - имя нужного вам пользователя). Впрочем, об этом уже не раз упоминалось ранее.
Для начала запретим пользователю поменять пароль в диалоге входа в систему. Для этого достаточно установить у ключа DisableChangePassword значение 1.
Если вы хотите запретить блокировку компьютера в диалоге входа в систему, воспользуйтесь ключом DisableLockWorkstation.
DisableTaskMgr - запрещает запуск менеджера задач.
Все эти настройки, конечно, могут помочь оградить систему от глупых пользователей, пытающихся всюду сунуть нос, но от более опытных юзеров это не спасет - ведь они могут точно так же открыть реестр и поменять 1 на 0. Для того чтобы они не смогли этого сделать, надо запретить запуск редакторов реестра Regedit и Regedt32 с помощью ключа DisableRegistryTools. Однако самые умные все равно смогут это обойти, воспользовавшись reg-файлом :).
Теперь давайте посмотрим, как можно ограничить свободу пользователей по настройке свойств экрана. Для запрета вызова свойств экрана воспользуйтесь ключом NoDispCPL. NoDispBackgroundPage запрещает вызов страницы свойств фона дисплея. Запретить вызов страницы свойств хранителя экрана можно ключом NoDispScrSavPage. Для запрета вызова страницы свойств оформления экрана надо присвоить значение 1 ключу NoDispAppearancePage. Запрет вызова страницы настроек дисплея осуществляется ключом NoDispSettingsPage.
Ключ EnableProfileQuota включает ограничение профиля в размерах.
В финале статьи приведу настройки, запрещающие командную строку MS-DOS и RealMode. Для этого надо установить в 1 ключи Disabled и NoRealMode соответственно в разделе Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp ветви HKEY_LOCAL_MACHINE.
Пожалуй, для начала хватит :). Тема эта очень обширна, и впереди будет немало статей, посвященных настройке Windows NT. Так что, как говорится, следите за новостями :).
© 2003 К. Тарасов, И. Чеботарев
