понедельник, 15 ноября 2010 г.

Windows - готовим рабочую станцию.

Задача: подготовить рабочую станцию XP таким образом, что бы не возникало конфликта у программ требующих административных прав, но в то же время пользователь не смог бы изменить систему.
P.S. На дурака конечно, ведь пользователь остается администратором. Нужны только знания и он сможет практически все.



Решение: для решения используем стандартную XP SP2 с заплаткам:
  • 958644
  • 957097
  • 957095
  • 956841
  • 956803
  • 924270
  • 923414
  • 921883
 и стандартным набором софта.
Все знают что такое политики безопасности. И можно было бы использовать групповые политики но беда в том, что машина вряд ли когда то попадет в домен. Политики это записи в реестре, поэтому мы можем смело их экспортировать в файл и потом импортировать на новую машину, что делает метод весьма универсальным и быстрым.
И так, для того что бы саму систему можно было бы отогнать (имеется ввиду вернуть системный раздел в исходное состояние) переносим все пользовательские директории на раздел отличный от С:\, пусть это будет D:\. Создадим на чистом диске папку, обзовем ее так же как и пользователя (сотрудник). Из-под учетки администратора скопируем все файлы сотрудника из C:\document and settings\сотрудник в D:\сотрудник.   Дальше можно смело логиниться под сотрудником и наблюдать изменения "на лету" (для успешного перемещения профиля необходимо включить отображение скрытых файлов и папок).
  1. Перемещаем профиль.
    Открываем regedit и переходим к ветке - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList разворачиваем и ищем нашего сотрудника по значению ключа ProfileImagePath, меняем значение на нужное нам D:\сотрудник. Рекомендуется так же заменить все подобные значения (но работает и так, глюков не замечал. Если кто заметит отпишитесь в комментах).
  2. Принудительно класическая тема оформления.
    Создаем раздел System в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ в нем создаем строковый параметр SetVisualStyle и для класической темы значение оставляем пустым, для совей темы оформления прописываем путь к теме.
  3. Запретим пользователю менять оформление и все что с ним связанно.
    Устанавливаем нужный нам wallpapers.
    Отключаем вкладки темы и оформление в свойствах экрана:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System создаем DWORD параметр NoDispAppearancePage значение = 1
    Отключаем вкладки "Рабочий стол" и "Заставка" в свойствах экрана:
    Рабочий стол:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System добавляем пораметр DWORD NoDispBackgroundPage значение = 1
    Заставка: параметр DWORD NoDispScrSavPage значене = 1
  4. Твикнем explorer:
    Запретим менть путь к папке "Мои документы": HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer параметр DWORD DisablePersonalDirChange значение = 1
    Запретим контекстное меню панели пуск: параметр DWORD LockTaskbar значение = 1
    Отключиv мастер очистки рабочего стола: NoDesktopCleanupWizard значение = 1
    Скроем локальные диски: NoDrives значение = 3ffffff
    Отключаем автозапуск: NoDriveTypeAutoRun значение = ff
    Запретим перемещение Tsk bar'a NoMovingBands значение = 1
    Запретим изменение значка мои документы: NoPropertiesMyDocuments значение = 1
    Скрываем Документы и Общие документы из "Мой компьютер": NoSharedDocuments значение = 1
    Классическое меню пуск: NoSimpleStartMenu Значение = 1
    Отключаем контекстное меню Task bar'a NoTrayContextMenu значение = 1
    Отключаем окно приветсвия: NoWelcomeScreen значение = 1
  5. Скроем некоторые аплеты в панели управления:
    В HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer создаем параметр DWORD DisallowCpl значение = 1
    в этой же ветке создаем одноименный раздел в котором создаем строковые параметры, в качестве имен порядковые номера, в качестве значения названия тех аплетов которые желаем скрыть.
    P.S. Учетные записи пользователей скрыть в обязательном порядке. Иначе оставляем возможность создание нового административного пользователя, администрирование скроем из тех же соображений. Дабы нельзя было получить доступ к скрытым элементам путем смены языка системы, скроем и аплет "язык и региональные стандарты".
  6. Спрячем "Мой компьютер":
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\NonEnum создадим DWORD параметр {20D04FE0-3AEA-1069-A2D8-08002B30309D} значение = 1
  7. Автологин:
    Дабы не вызывать соблазна заглянуть в другие учетки, сделаем нашему пользователю автологин.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    Проверяем наличие параметра DefaultUserName со значением = сотрудник (наш пользователь). Если его нет то создадим. Создаем строковый параметр DefaultPassword значение - пароль к учетке пользователя.
    Создаем два строковых параметра: AutoAdminLogon и ForceAutoLogon со значением 1.
    P.S. Для обхода процедуры автологина можно при загрузке удерживать клавишу Shift либо выбрать "смена пользователя" из стандартного диалога завершения сеанса.
  8. Запретить изменение реестра.
    Закроем доступ к реестру для нашего пользователя:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System создадим параметр DWORD DisableRegistryTools значение = 1

Экспортируем весь раздел Policies в файл, для дальнейшего импорта на машины. В моем конкретном случае получилось следующее

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDrives"=dword:03ffffff
"NoSharedDocuments"=dword:00000001
"NoPropertiesMyDocuments"=dword:00000001
"DisablePersonalDirChange"=dword:00000001
"NoMovingBands"=dword:00000001
"NoDesktopCleanupWizard"=dword:00000001
"NoWelcomeScreen"=dword:00000001
"NoSetTaskbar"=dword:00000001
"NoTrayContextMenu"=dword:00000001
"LockTaskbar"=dword:00000001
"NoSimpleStartMenu"=dword:00000001
"DisallowCpl"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl]
"1"="Учетные записи пользователей"
"2"="Язык и региональные стандарты"
"3"="Автоматическое обновление"
"4"="Речь"
"5"="Шрифты"
"6"="Администрирование"
"7"="Центр обеспечения безопасности"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"SetVisualStyle"=""
"NoDispAppearancePage"=dword:00000001
"NoDispBackgroundPage"=dword:00000001
"NoDispScrSavPage"=dword:00000001
"DisableRegistryTools"=dword:00000001


Для доступа к реестру не прибегая к смене пользователя, можно воспользоваться встроенной консольной утилиткой runas К примеру чтобы запустить regedit с правами администратора в командной строке вводим

runas /user:администратор regedit
P.S. Пустой пароль пользователя администратор в данном случае не приемлем. Вам придется его назначить.

1 комментарий:

Nird комментирует...

UPDT: для полного запрета изменения картинки рабочего стола необходимо запретить пользователю изменять раздел HKCU\Control Panel\Desktop

По мимо этого там же можно руками назначить путь к картинке рабочего стола, путем правки параметра Wallpaper