Слово «безопасность» всегда было излюбленным термином компании Microsoft, и это не изменилось с появлением Windows7. Настройки безопасности Windows оказываются более полезными при защите компьютера от самого себя, чем от любых подозрительных «злоумышленников».
Система прав доступа не просто защищает файлы и папки, она устанавливает ограничения на то, кто может читать и видоизменять элементы реестра. Это свойство очень полезно, но большинство людей даже не знают о его существовании. Можно заблокировать раздел реестра для того, чтобы служащие не устанавливали программное обеспечение на офисном компьютере, или для того, чтобы дети не смогли обойти функцию «родительский контроль». Права доступа позволяют блокировать сопоставления типов файлов, чтобы другие приложения не смогли их изменить. А блокируя разделы, содержащие список программ автозагрузки, можно защитить компьютер от вредоносных программ. Вот как это делается:
1. Откройте редактор реестра и перейдите к разделу, который вы хотели бы защитить.
Вы можете защищать только разделы, а не отдельные значения. Если вы заблокируете раздел для защиты одного из его значений, все значения в этом разделе будут заблокированы.
2. Щелкните правой кнопкой мышки на имени раздела и выберите пункт меню Разрешения.
3. Нажмите Дополнительно, а затем Добавить.
Если кнопка Добавить неактивна, вам необходимо взять этот раздел «в собственность», закрыть окно Разрешения и повторно открыть его для внесения изменений в права доступа для этого объекта.
4. В поле Введите имена объектов напечатайте Все, а затем нажмите ОК.
5. В следующем окне Ввод права доступа для... укажите действия, которые вы хотите запретить.
6. Когда все готово, нажмите ОК в каждом из трех открытых диалоговых окон.
Изменения вступят в силу сразу же. Возможно, вам понадобится ограничить права доступа определенного пользователя, но не добавлять элемент Запретить, как показано на рисунке. Проблема заключается в том, что таким способом не защитить приложение от изменений прав доступа другим пользователем и взлома. К тому же вам будет сложнее восстанавливать старые права доступа.
Windows дает приоритет столбцу Запретить над столбцом Разрешить, что означает возможность заблокировать раздел при помощи одного элемента столбца Запретить, даже если другое значение в столбце Разрешить дает пользователю разрешение на видоизменение элемента.
Итак, какие же разделы нужно блокировать и какие действия запрещать? Вот несколько примеров:
Разрешите только чтение
После блокировки значений все же можно позволить приложениям и Windows их считывать, поставив флажок в столбце Запретить напротив строк Задание значения, Удаление и Смена владельца.
Создайте полную блокировку
Чтобы ни одно приложение не могло считывать, видоизменять или удалять значение, поставьте флажок в столбце Запретить напротив строки Полный доступ.
Избегайте создания новых оболочек
Чтобы приложения не создавали новые разделы внутри указанных, поставьте флажок в столбце Запретить напротив строки Создание подраздела. Так можно поступить с разделами типа файла, чтобы Проводник не добавлял эти приложения в список Создать.
Укрепите безопасность на многопользовательских компьютерах
Чтобы другой пользователь не смог изменить политику безопасности, используйте процедуру, описанную в разделе «Расположение раздела настроек реестра», чтобы найти соответствующий раздел в реестре. Затем, вместо того чтобы поставить флажок в столбце Запретить, как это описано ранее, отмените все права доступа, которые позволяют кому-либо, кроме администратора, удалять, изменять или добавлять подразделы в раздел. Убедитесь, что существует по крайней мере одно правило для группы Администраторы, которое разрешает Полный доступ. Блокировка типов файла
Утилита File Type Doctor позволяет блокировать типы файлов, чтобы избежать «кражу» их приложениями.
Защита типов файлов от свойства UserChoice
Windows проигнорирует настройки пользовательского типа файла, если определенный раздел находится в HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\FileExts разделе. Чтобы такое не случилось снова, поставьте флажок в столбце Запретить напротив строки Создание подраздела. Это сразу же защитит все ваши типы файла, но еще необходимо будет удалить один или более из существующих элементов в разделе FileExts для восстановления индивидуальных типов файла.