Защищаем Windows 9x

Невропаразитолог · 06-06-10 16:15:51

Давайте представим себе такую ситуацию: к вашем компьютеру имеет доступ кто-либо кроме вас, причем этот кто-то — жутко безответственная личность. Это может быть как дома, так и на работе. Например, младший брат, который достал своими идиотскими игрушками, обоями с покемонами и т.д., а лишить его доступа нельзя — ему нужен какой-нибудь Basic для школьной программы по информатике. Самые умные уже закричали: «Ставь Win2000 или WinXP!». А если ваши любимые/необходимые игры/программы идут только под Win9x, или машина дохловата и не вытянет 2000, а тем более XP? Не слышу реплик...

Ага, робкий голос говорит, что есть всякие разные утилитки, закрывалки, запароливалки и т.д. А вы их себе ставили? Правильно, одни сильно глючные, другие денег стоят :-), третьи жрут много ресурсов, которых и так не хватает, а эти утилитки еще и из Сети надо выкачивать... Так вот — выход есть, причем без всяких лишних программ. Итак, начинаем настраивать 9x для нормальной работы нескольких человек.

Делаем Пользователей :-)
Желательно для каждого пользователя сделать свою конфигурацию. Тихо в зале, про Esc при входе в систему я знаю, об этом потом. Открываем Пуск\Настройка\Панель управления\Пароли, заходим на закладку Профили пользователей и устанавливаем каждому пользователю собственные настройки, в том числе настройки рабочего стола и меню Пуск. Теперь в Панели управления открываем Пользователи. Наконец, тут то мы и начинаем создавать пользователей. Для этого просто необходимо нажать кнопку Добавить и следовать инструкции мастера. Главное не забыть поставить Создавать новые элементы и указать эти элементы, желательно все. Так, никого не забыли, создали даже настройку для любимого кота Василия. Теперь уж я больше не увижу на своем рабочем столе ярлычков к пасьянсам и дебильных рисунков...

Нет новым пользователям!
Наверное, каждый знает, как обойти систему идентификации Windows, настроенную по умолчанию. Правильно, тот самый Esc. Лезем в настройки сети — Пуск\Настройка\Панель управления\Сеть. Это ничего, что сети нет, и даже модемный Интернет планируется только в следующем полугодии. А если и есть сеть, то наши манипуляции ей не помешают. А если у вас сеть с доменом и злой администратор, так эта статья вас не касается, он и так уже закрыл все что можно :-). Нам необходимо установить Семейный вход в систему. Элементарно, жмем кнопку Добавить, выбираем тип компонента Клиент, а затем Microsoft — Семейный вход в систему. Теперь устанавливаем способ входа в сеть — правильно, семейный. Здесь главное случайно не поставить Входить в домен NT. Ну а мы к нему и не лазили. Итак, чего мы добились? Перегружаемся и смотрим.

Нового пользователя без моего разрешения уже не создадут. Как всегда, самый умный из зала уже кричит: «А кто помешает этим самым несознательным пользователям загрузиться из своей конфигурации и скопировать настройки администратора в нового пользователя?» Как кто, мы, и прямо сейчас. Открываем редактор реестра и создаем следующее (здесь и далее Lamer — имя пользователя): раздел HKEY_USERS\Lamer\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, ключ NoSetFolders (тип dword), значение 1. Для остальных делаем аналогичные ключи, естественно, поменяв имя пользователя. К чему это приведет, посмотрите сами. Правильно, у пользователя Lamer исчезла Панель управления, и из Explorer'а тоже. Вот теперь он ничего не перенастроит. А теперь пришло время Esc. В том же редакторе реестра создаем: раздел HKEY_LOCAL_MACHINE\Network\Logon, ключ MustBeValidated (тип dword), значение 1. Пробуем перезагрузиться и вместо пароля жмем Отмена — фигушки!

Безопасен ли Safe
Закрывать ли доступ в Safe-mode, решать вам. Только зачем было все делать, если останется такая здоровенная дыра. Делается это просто: в файле c:\msdos.sys в разделе [Options] создаем строку BootKeys=0. Теперь при загрузке, сколько ни жми F8, ничего не выйдет. Правда, если система упадет, то мы сами в Safe-mode не войдем, я предупреждал. Можно сделать backup системы, но это тема не для этой статьи.

Финальная шлифовка
Каждому пользователю — только те программы, которые ему нужны, и не больше! Элементарно. Опять редактор реестра, и пишем, пишем, пишем... Раздел HKEY_USERS\Lamer\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, ключ RestrictRun (тип dword), значение 1. Раздел HKEY_USERS\Lamer\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun, ключи 1, 2 и т.д. (тип string), значения (соответственно — имена исполняемых файлов, которые пользователю Lamer МОЖНО запускать). И только. Для остальных пользователей все то же самое (рис. 8). Себе, конечно, ничего не добавляем. Пусть теперь кто-нибудь запустит то, чего ему нельзя. Для полного счастья создаем пользователям кнопки в панели быстрого запуска для разрешенных программ, удаляем все из меню Пуск\Программы и убираем все с рабочего стола. Легко сказать убираем, легко и сделать: опять лезем в реестр, раздел HKEY_USERS\Lamer\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, ключ NoDesktop (тип dword), значение 1 (опять рис. 6). И так для всех, кроме себя, любимого.

Итог
Чего мы добились в результате всех эти издевательств над Windows 9x? Безопасность Win2000 мы не получили, но все же лучше, чем было. Враг (смотри начало статьи) скрипит зубами, ищет новые пути, но ничего пока сделать не может, перед глазами ничего лишнего, в системе тоже, совесть чиста, правда, вечно кто-нибудь достает с просьбами разрешить что-нибудь сделать. А кто говорил, что быть администратором легко...

Автор: Евгений ДРОБЫШЕВ Источник: www.oszone.net

Copy-pasted из www.hardtek.ru/sistem/win9x_protection.shtml

Ну и? Хто тут говорит, что Win9x совсем плохо (ну, просто северный песец) с разделением прав? big_smile

spoilt · 06-06-10 17:07:22

Кошмар. И это в те времена когда POSIX'у уже стукнуло 10 лет. Вообще все эти инсенуации с запрещенным запусокм можно тупо обойти если узнать какие имена файлов допущены для запуска. Не система, а дыра. Даже папки не прикроешь.
P.S. Мыши плакали...

Отредактировано spoilt (06-06-10 17:22:27)

Невропаразитолог · 06-06-10 17:43:39

spoilt пишет:

если узнать какие имена файлов допущены для запуска

Если бы да кабы... Хрен вы войдёте в систему - будете вечно дежурить у окошка " введите имя пользователя и пароль"... Тестировал я такую систему - если не знать пароля и не иметь возможности загрузиццо со сменного носителя (в виду отключенности в БИОС) ... Ну а ежли открыть корпус - то любой ЮНИКС ничем не поможет...

spoilt · 06-06-10 17:48:14

Невропаразитолог пишет:

Хрен вы войдёте в систему

Я не про сам вход в систему. Я про обход этих тщедушных ограничений уже внутри системы. То есть мало-мальски грамотный пользователь сможет обойти ограничение на запуск приложений просто тупо поменяв имена запускаемых файлов на разрешенные (учитывая, что FAT его в этом ограничить не сможет).

Невропаразитолог · 06-06-10 18:01:26

spoilt пишет:

То есть мало-мальски грамотный пользователь сможет обойти ограничение на запуск приложений просто тупо поменяв имена запускаемых файлов на разрешенные (учитывая, что FAT его в этом ограничить не сможет).

Где поменяв? У вас не будет ни панели управления, ни редактора реестра. Вы увидете только "Системный администратор компьютера запретил это действие" с красивым белым диагональным крестиком на фоне красного круга.

spoilt · 06-06-10 18:31:38

Невропаразитолог пишет:

Где поменяв? У вас не будет ни панели управления, ни редактора реестра. Вы увидете только "Системный администратор компьютера запретил это действие" с красивым белым диагональным крестиком на фоне красного круга.

Обьясняю еще раз. Допустим есть допущенная для запуска программа winword.exe. И есть игрушка quake3.exe, которая не запускается. Так как FAT не ограничивает пользователя в операциях в ФС, то он просто тупо переименнует quake3.exe в winword.exe.
Можно конечно указать путь к разрешенному исполняемому файлу, но особо наглых это не остновит. Без ограничения операций с системными папками ни о какой защите речь идти никак не может.

Невропаразитолог · 06-06-10 18:57:59

spoilt пишет:

Без ограничения операций с системными папками ни о какой защите речь идти никак не может.

Насчёт переименования- смотрите сами, все завистимости прописанные в реестре пойдут лесом, Word ответит, что он не активирован для этого пользователя. Насчёт прав на папки - издревле пользовался WinRARом, который может упаковывать файлы без сжатия, но с шифрованием имён файлов и паролем. Ломайте - "кряки" работают, но не всегда. Итого: возвращаемся к тезису о том, что "на каждую хитрую задницу найдёццо хер с винтом, на каждый хер с винтом - найдёццо задница с лабиринтами." и так далее.. Всё что создано человеком - может им же быть сломано.

winlinuser · 06-06-10 23:34:40

так это ж мертвые системы, че о них вспоминать? вы еще полуось вспомните?)) да и работают ли еще такие железяки, на которых 2к не заработает?

Rorschach · 07-06-10 08:41:22

Невропаразитолог пишет:

Невропаразитолог

,
У мну вопрос? Нафига стаить системы, которые вообще не поддерживаются мс. Нафига они нужны если для них практически не пишутся проги и нафига это именно теюе нужно?

Mike22 · 07-06-10 10:13:37

Как защита от детей - вполне сгодится. До кучи нужно еще запаролить биос, отключить в нем загрузку с чего-либо кроме HDD и опечатать корпус двумя пломбами, пообещав оторвать по уху за каждую вскрытую пломбу :-)

Но я готов предложить свой вариант идеальной детской системы. Итак, нам понадобится MSDOS 6.22, ramdrive.sys, NC/DN и немного остальных нужных программ на дискете. Дискету защищаем от записи выламывая шторку нахрен, при загрузке создаем рамдрайв на пару мегабайт и копируем на него все содержимое дискеты, запускаем нортон и "вуаля!". Ребенок гарантированно не сможет запустить современные игрушки, а так же можно сэкономить на жестких дисках и лицензии на ОС! :-)

Невропаразитолог · 07-06-10 22:37:52

Skynet2015 пишет:

У мну вопрос? Нафига стаить системы, которые вообще не поддерживаются мс. Нафига они нужны если для них практически не пишутся проги и нафига это именно теюе нужно?

Это к вопросу про: "дырявое ведро"," кривые руки" и "ниасилили".
Где-то на ресурсе дважды приводил примеры превращения Win98 в МНОГОПОЛЬЗОВАТЕЛЬСКУЮ систему (до 8 юзеров), да ещё с возможностью, при подключении адаптера, работы этих юзеров на одной ФИЗИЧЕСКОЙ машине (8 клавиатур, 8 мышей, 8 мониторов). Мне задали резонный вопрос: "Как обстоит дело с разделением прав? " Вот, нашёл, ответил. (Вспоминайте тему "Искать не умеете")

Что до "мёртвости", это кому - как, у меня есть весь нужный мне софт под эту платформу. Ничего концептуально нового за 10 лет не изменилось - новые версии программ под новые версии Windows. Из новомодных тачскринов/мультитачей и пр дребедени на старом железе ничего не надо обслуживать (просто нету там такого) Ну, а Ethernet 100M и USB2.0 там есть - пока хватает - лет через 10 ещё проверим...

Для остальных, кому система не интересна - для вас это хороший пример того, КАК нужно знать систему 10-летней давности что бы, ударяя себя пяткой в грудь, говорить "Я про Венду 9х усё знаю!" и поносить её...

Rorschach · 07-06-10 22:46:26

Невропаразитолог пишет:

Это к вопросу про: "дырявое ведро"," кривые руки" и "ниасилили".
Где-то на ресурсе дважды приводил примеры превращения Win98 в МНОГОПОЛЬЗОВАТЕЛЬСКУЮ систему (до 8 юзеров), да ещё с возможностью, при подключении адаптера, работы этих юзеров на одной ФИЗИЧЕСКОЙ машине (8 клавиатур, 8 мышей, 8 мониторов). Мне задали резонный вопрос: "Как обстоит дело с разделением прав? "

А нафига так извращаться если есть готовые современные решения как под винду так и под линь? Это реальное красноглазие.

Невропаразитолог пишет:

Что до "мёртвости", это кому - как, у меня есть весь нужный мне софт под эту платформу. Ничего концептуально нового за 10 лет не изменилось - новые версии программ под новые версии Windows. Из новомодных тачскринов/мультитачей и пр дребедени на старом железе ничего не надо обслуживать (просто нету там такого) Ну, а Ethernet 100M и USB2.0 там есть - пока хватает - лет через 10 ещё проверим...

Помнится Бродяга, пользование XP некрофилией называл. Это по моему такое же. И с прогами так же. Где то баги исправили, где-то подрехтовали. И конфэтка получилась.

Невропаразитолог · 07-06-10 22:51:39

Skynet2015 пишет:

Помнится Бродяга, пользование XP некрофилией называл. Это по моему такое же.

Ковыряние древнего Юникса, ИМХО туда же. Я же говорю: "на вкус и цвет - кругом одни враги!!!"

usr_share · 24-07-10 20:31:53

Невропаразитолог пишет:

(в виду отключенности в БИОС)

Если на компе стоит BIOS от Award (а он стоит на 99% компов тех времён и немного времён XP), то он отлично вскрывается пассом "AWARD_SW".

Невропаразитолог · 24-07-10 23:57:52

d1337r пишет:

Если на компе стоит BIOS от Award (а он стоит на 99% компов тех времён и немного времён XP), то он отлично вскрывается пассом "AWARD_SW".

Куды вы его вставлять будете? В CD,USB? Ни то, ни другое не опрашивается. Legacy USB выключено.. Вставить PCI карту с bootloaderом - это понятно, тут никакая защита не поможет....

ikkunan salvataja · 25-07-10 00:04:42

Невропаразитолог пишет:

Куды вы его вставлять будете?

На клавиатуре набивать, после нажатия F5 или чего там уже не помню. Единственное что не согласен по поводу 99%, преувеличение, хотя и небольшое. Впрочем для какой-либо определённой местности это может и не быть преувеличением, там ассортимент мог быть поуже.

Невропаразитолог · 25-07-10 00:07:20

ikkunan salvataja пишет:

На клавиатуре набивать, после нажатия F5 или чего там уже не помню.

Ключи F5 и F8 отключены. см. статью внимательнее...

ikkunan salvataja · 25-07-10 00:12:56

Невропаразитолог пишет:

Ключи F5 и F8 отключены. см. статью внимательнее...

Это для входа в запароленный биос. Вроде при стандартном входе по delete этот универсальный пароль не прокатывал. А может и прокатывал и путаю с другим производителем биоса. Сейчас уже точно не помню.

Форум StopLinux

Объявление

#1 06-06-10 16:15:51

Защищаем Windows 9x

#2 06-06-10 17:07:22

Re: Защищаем Windows 9x

#3 06-06-10 17:43:39

Re: Защищаем Windows 9x

#4 06-06-10 17:48:14

Re: Защищаем Windows 9x

#5 06-06-10 18:01:26

Re: Защищаем Windows 9x

#6 06-06-10 18:31:38

Re: Защищаем Windows 9x

#7 06-06-10 18:57:59

Re: Защищаем Windows 9x

#8 06-06-10 23:34:40

Re: Защищаем Windows 9x

#9 07-06-10 08:41:22

Re: Защищаем Windows 9x

#10 07-06-10 10:13:37

Re: Защищаем Windows 9x

#11 07-06-10 22:37:52

Re: Защищаем Windows 9x

#12 07-06-10 22:46:26

Re: Защищаем Windows 9x

#13 07-06-10 22:51:39

Re: Защищаем Windows 9x

#14 24-07-10 20:31:53

Re: Защищаем Windows 9x

#15 24-07-10 23:57:52

Re: Защищаем Windows 9x

#16 25-07-10 00:04:42

Re: Защищаем Windows 9x

#17 25-07-10 00:07:20

Re: Защищаем Windows 9x

#18 25-07-10 00:12:56

Re: Защищаем Windows 9x

Подвал форума