Użytkownik pod kontrolą


Niedozwolony program

Użytkownik pod kontrolą

Windows XP Professional pozwala na wygodne szyfrowanie plików. Wystarczy zaznaczyć odpowiednią opcję, a inni użytkownicy już nie odczytają takiego pliku.

Podobne czynności musisz wykonać, żeby uniemożliwić uruchomienie programu, np. przeglądarki Internet Explorer. W tym celu przejdź do katalogu C:\Program Files\Internet Explorer. Kliknij prawym przyciskiem myszy plik explorer.exe. Dodaj do listy wybranego użytkownika, a następnie w kolumnie Odmów zaznacz opcję Pełna kontrola. W efekcie ten użytkownik nie uruchomi już Internet Explorera - na ekranie zobaczy tylko komunikat o braku dostępu do zasobów. W ten sam sposób możesz zablokować dostęp do innych programów, musisz tylko odszukać odpowiednie pliki wykonywalne.

Suma uprawnień

W Windows XP oprócz kont użytkowników są jeszcze grupy. Każde konto użytkownika do jakiejś należy, np. konta z uprawnieniami administracyjnymi należą do grupy Administratorzy, a konta ograniczone do grupy Użytkownicy. Windows już podczas instalacji tworzy kilka standardowych grup. Jeśli chcesz sprawdzić ich ustawienia w twoim komputerze i którzy użytkownicy do nich należą, w Panelu sterowania przejdź do Narzędzia administracyjne | Zarządzanie komputerem, w nowym oknie odszukaj gałąź Narzędzia systemowe | Grupy i użytkownicy | Grupy i kliknij dwukrotnie tę, która cię interesuje. Jest to zbiór wstępnie zebranych uprawnień, które można nadać użytkownikowi poprzez dodanie go do grupy. Uprawnienia użytkownika są sumą uprawnień grupy, do której należy, oraz uprawnień nadanych mu bezpośrednio. Co więcej, użytkownika można dodać nawet do kilku grup. Jeśli uprawnienia wykluczają się, np. grupa ma dostęp do określonego katalogu, a dany użytkownik nie, to zawsze priorytet ma odmowa dostępu. Dlatego w pierwszym przykładzie, omawiającym nadanie użytkownikowi wyłącznie prawa otwierania plików, dodatkowo zaznaczyliśmy opcję odmowy zapisu. Grupa, do której należy użytkownik, mogłaby mieć takie uprawnienie do zapisu, więc niezaznaczenie opcji odmowy pokrzyżowałoby nasze plany.

Ustalenie faktycznych uprawnień użytkownika do danych zasobów poprzez samodzielne sumowanie uprawnień jest kłopotliwe, ale i na to znajdzie się sposób. Na karcie Zabezpieczenia kliknij przycisk Zaawansowane i w nowym oknie przejdź do karty Czynne uprawnienia. Kliknij Wybierz, wpisz nazwę użytkownika, a otrzymasz informacje o sumie przypisanych mu uprawnień.

System szyfrowania plików

Innym sposobem zabezpieczenia prywatnych plików jest szyfrowanie. Odpowiednio przygotowane pliki będą niedostępne dla innych użytkowników komputera. Windows XP w wersji Professional ma wbudowany Encrypting File System (EFS), czyli system szyfrowania plików. Pozwala on na wygodne kodowanie dokumentów i katalogów, które dla uprawnionego użytkownika są dostępne tak samo, jak niezaszyfrowane zasoby. Możesz je otwierać czy kopiować bez dodatkowych czynności związanych z deszyfrowaniem, bo Windows odkoduje je w locie. Lecz jeśli do systemu zaloguje się inny użytkownik i spróbuje uzyskać dostęp do plików, Windows ich nie otworzy. Warto jeszcze wspomnieć, że w wypadku zaszyfrowanego folderu każdy utworzony w nim lub skopiowany do niego plik zostanie automatycznie zaszyfrowany. EFS działa tylko na partycjach NTFS.

Aby zaszyfrować katalog lub pliki na dysku, zaznacz wybrane zasoby i kliknij prawym przyciskiem myszy. W menu kontekstowym kliknij Właściwości i w nowym oknie przycisk Zaawansowane. Zaznacz opcję Szyfruj zawartość, aby zabezpieczyć dane. Kliknij OK. Jeśli zaznaczyłeś katalog, system zapyta, czy zaszyfrować również podkatalogi. Jeśli zaznaczyłeś tylko plik lub pliki, system zapyta, czy zaszyfrować pozostałą zawartość katalogu, w którym są zapisane. W wypadku dużej ilości danych szyfrowanie może potrwać kilka minut. Po jego zakończeniu nazwy zaszyfrowanych plików i katalogów będą wyróżnione w Eksploratorze Windows kolorem niebieskim i chronione 128-bitowym kluczem szyfrującym.

Wstęp wzbroniony

Użytkownik pod kontrolą

Konsola MMC umożliwia zablokowanie dostępu do różnych miejsc w systemie, np. Panelu sterowania, wiersza polecenia czy edytora rejestru.

Ograniczanie dostępu do plików na dysku to nie wszystko, co oferuje Windows XP. Wykorzystując konsolę MMC, można odciąć użytkownika od wybranych elementów systemu, np. apletów Panelu sterowania. W tym celu musisz otworzyć w konsoli MMC przystawkę edycji zasad. Przejdź do Start | Uruchom i wpisz polecenie mmc. W oknie konsoli przejdź do Plik | Dodaj/Usuń przystawkę. W nowym oknie kliknij Dodaj. W kolejnym oknie zaznacz przystawkę Edytor obiektów zasad grupy i kliknij Dodaj. System zapyta jeszcze, jaki obiekt systemowy ma być konfigurowany za pomocą wgrywanej przystawki, domyślnie jest to Komputer lokalny i taki parametr należy pozostawić. Kliknij Zakończ i wróć do okna konsoli MMC. Będzie w niej już otwarta wspomniana przystawka. Pozwala ona kontrolować wiele elementów systemu Windows.

Jeśli chcesz ograniczyć użytkownikowi dostęp do apletów Panelu sterowania i zabezpieczyć się w ten sposób przed zmianami w konfiguracji Windows, przejdź do gałęzi Konfiguracja użytkownika | Szablony administracyjne | Panel sterowania. Z prawej strony pojawi się lista dostępnych ustawień. Możesz całkowicie zablokować dostęp do Panelu sterowania (opcja Zabroń dostępu do Panelu sterowania) lub tylko do wybranych apletów. W tym celu kliknij dwukrotnie opcję Ukryj określone aplety Panelu sterowania lub Pokaż tylko określone aplety Panelu sterowania. W obu wypadkach należy zaznaczyć opcję Włączone, kliknąć przycisk Pokaż, a następnie z wykorzystaniem przycisku Dodaj wpisać na listę nazwy apletów (sprawdź w Panelu sterowania, jak nazywają się poszczególne aplety). W pierwszym wypadku system ukryje aplety umieszczone na liście, a w drugim - ukryje wszystkie poza tymi, które wpiszesz na listę.

Gałąź Konfiguracja użytkownika | Szablony administracyjne to prawdziwe eldorado ustawień. Kliknij w niej gałąź Pulpit, żeby skonfigurować poszczególne elementy tego katalogu. Z kolei w gałęzi Menu Start i pasek zadań możesz m.in. ukryć poszczególne elementy menu Start. Bardzo ciekawe ustawienia są również w gałęzi System. Pozwalają zablokować dostęp do edytora rejestru, wiersza polecenia lub wybranych aplikacji. Interesująca jest opcja Uruchamiaj tylko dozwolone aplikacje systemu Windows. Zamiast blokować użytkownikowi dostęp do różnych programów, możesz po prostu zdefiniować programy, z których wolno mu korzystać.