механизмы контроля доступа в ос windows
Механизмы контроля доступа в ос windows
Реестр Windows – это иерархическая централизованная база данных, используемая для хранения сведений, необходимых для настройки операционной системы для работы с пользователями, программными продуктами и устройствами.
В реестре хранятся данные, которые необходимы для правильного функционирования Windows. К ним относятся профили всех пользователей, сведения об установленном программном обеспечении и типах документов, которые могут быть созданы каждой программой, информация о свойствах папок и значках приложений, а также установленном оборудовании и используемых портах [1].
Стабильность системного реестра и целостность его содержимого являются жизненно важными для функционирования ОС Windows.
Именно поэтому является актуальной задача исследования вопросов контроля доступа к системному реестру ОС Windows.
Модели контроля доступа
На сегодняшний день разработано три общих модели контроля доступа:
Принудительный контроль доступа (англ. Mandatory access control, MAC)
Данная модель изначально разрабатывалась для нужд армии и разведки США [2]. Основное предназначение – обеспечить защиту секретной информации от прочтения пользователями с недостаточным уровнем привилегий.
Принципиальным отличием данной модели от остальных является то, что права доступа определяются единым централизированным органом администрирования с правами суперпользователя и никаким образом не могут быть переопределены обычными пользователями.
Формально, любая система контроля доступа, которая обладает этим свойством, может считаться системой принудительного контроля доступа, однако де-факто, говоря о принудительном контроле доступа, подразумевается система, которая реализует модель многоуровневой безопасности (Multi-Level Security, MLS).
Согласно модели многоуровневой безопасности, заранее определяется упорядоченный набор уровней секретности (например, возможны следующие уровни: «совершенно секретно», «секретно», «для внутреннего пользования», «не секретно»). Из этого набора каждому информационному объекту присваивается классификационная метка, а субъектам системы – уровни доступа.
Общая идея заключается в том, что доступ к объекту заданного уровня секретности могут иметь только субъекты с не меньшим уровнем доступа. Однако, даже в рамках единой модели многоуровневой безопасности, детали алгоритма определения возможности доступа могут отличаться в зависимости от целей системы. И здесь возможны два почти диаметрально противоположных подхода – это модель Белла-Ла Падулы и модель Бибы.
Модель Белла-Ла Падулы (David E. Bell, Leonard J. La Padula, 1973 [3,4]) призвана обеспечить конфиденциальность данных. Модель описывает проблему контроля доступа в терминах переходов между состояниями системы. Каждое состояние описывается совокупностью имеющихся обращений субъектов к объектам. Модель формулирует правила, следование которым гарантирует, что из любого безопасного состояния система может перейти только в другое безопасное состояние.
Суть политики безопасности, определяемой моделью, сводится к двум простым правилам:
Эти два правила полностью гарантируют конфиденциальность в системе многоуровневой безопасности, однако в некоторых случаях приведенное правило «звездочка»-свойства оказывается неприменимым. Причина этого заключается в том, что позволяя запись (дозапись) в объекты большего уровня секретности, это правило может привести к нарушению целостности данных. В этом случае применяется строгая форма «звездочка»-свойства – запись запрещается как вниз, так и вверх; субъектам разрешено писать только в объекты равного уровня секретности.
В отличии от модели Белла-Ла Падулы, модель Бибы (Kenneth J. Biba), также известная как «модель целостности Бибы» (Biba Integrity Model), призвана обеспечить целостность важных данных [5].
В рамках модели Бибы все объекты и субъекты также классифицируются по заранее определенному упорядоченному набору уровней, однако в модели Бибы уровни имеют другое семантическое значение – здесь это уровни «целостности» или «достоверности».
В соответствии с преследуемой целью и семантикой уровней безопасности модель Бибы устанавливает правила, которые являются диаметрально противоположным тем, что устанавливаются моделью Белла-Ла Падулы:
Эти два правила обеспечивают защиту системы от распространения в ней недостоверной информации, которая может нарушить функционирование системы.
Дискреционный контроль доступа (англ. Discretionary access control, DAC)
Как было сказано выше, в системах MAC-модели пользователи не имеют возможности самостоятельно определять права доступа к своим собственным файлам. Это свойство является и главным и преимуществом MAC-модели и ее же главным недостатком. Подобный тоталитарный контроль оказывается эффективным и оправданным для нужд военных ведомств и крупных корпораций, однако оказывается крайне неудобным для среднего и малого бизнеса и домашних пользователей.
Поэтому возникает необходимость в более гибкой модели контроля доступа. Такой моделью является модель дискреционного контроля доступа. Суть дискреционности заключается в том, что любой субъект может по своему усмотрению передать часть своих прав на некоторый объект любому другому субъекту [6].
Возможны несколько подходов к построению дискреционного управления доступом:
Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и/или изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем, например, в классических UNIX-системах или в системах Windows семейства NT.
Описание прав доступа должно в явном и недвусмысленном виде задавать для каждой пары субъект-объект все допустимые режимы доступа. Поскольку набор возможных режимов доступа зависит от типа объекта, а количество объектов обычно значительно превосходит количество субъектов, то описание прав доступа закрепляется за объектами.
Отдельное описание прав доступа для каждой учетной записи, имеющейся в системе, является крайне неэффективным как с точки зрения обработки прав доступа системой, так и с точки зрения вопросов администрирования. Во избежание этого, во всех популярных системах контроля доступа по DAC-модели вводятся группы пользователей как субъекты. С использованием групп права доступа могут быть описаны более компактно, а выполнение задач администрирования упрощено путем сведения необходимых изменений к манипуляциям с пользователями и группами, без необходимости в обновлении прав доступа всех защищенных объектов.
Дальнейшее развитие идея групп пользователей получила в модели управления доступом на основе ролей, которая будет рассмотрена далее.
Типичным представителем реализации DAC-модели является механизм ACL (Access Control List) применяющийся в системах Windows семейства NT [7]. В рамках этого механизма, с каждым защищенным объектом ассоциируется дескриптор безопасности (ACL-запись). В дескрипторе безопасности хранится следующая информация:
Если список прав доступа не оговаривает определенный случай доступа, то он считается запрещенным по умолчанию.
Право редактирования дескриптора безопасности как отдельное право доступа описывается самим дескриптором. По умолчанию этим правом обладают владелец, системная учетная запись и пользователи из группы «Администраторы».
Параметры наследования дескриптора определяют наследует ли данный объект свой дескриптор от родительского объекта и будет ли дескриптор унаследован дочерними объектами. По умолчанию наследование активно для большинства системных объектов и вновь созданные дочерние объекты (файл в каталоге, подключ в реестре и т.п.) наследуют дескриптор безопасности родительского объекта.
Другим примером реализации DAC-модели является система прав доступа традиционная для UNIX-подобных систем [8,9]. Эта система имеет ряд принципиальных отличий от Windows ACL:
По первым двум пунктам система прав доступа UNIX, несомненно, проигрывает Windows ACL по гибкости и широте возможностей; однако на практике нередко оказывается более эффективной именно в силу своей простоты и предсказуемости.
Касательно третьего пункта, здесь ни один из представленных подходов не имеет явного преимущества – для обеих систем предоставляемое решение является вполне приемлемым источником значений по умолчанию. Более сложные схемы параметров безопасности в любом случае требуют явного задания прав доступа.
Управление доступом на основе ролей (англ. Role-base access control, RBAC)
Данная модель является новейшей и весьма перспективной альтернативой для MAC- и DAC-моделей. До разработки модели управления доступом на основе ролей, MAC и DAC рассматривались как два единственно возможных варианта системы контроля доступа – модель не была MAC-моделью, то она считалась DAC-моделью и наоборот. Однако исследования конца 90-х показали, что модель RBAC не является ни MAC-моделью, ни DAC-моделью [10,11].
Для определения модели RBAC используются следующие соглашения:
Привилегии не назначаются пользователям непосредственно, и приобретаются ими только через свои роли. Таким образом, управление индивидуальными правами пользователя, по сути, сводится к назначению ему ролей. Это упрощает такие операции, как добавление пользователя или смена подразделения пользователем.
При этом назначение пользователем ролей и редактирование разрешений для ролей может производиться только уполномоченными органами (пользователями с административными правами) и не доступно для рядовых пользователей. В этом смысле RBAC-модель также обладает свойством мандатности.
В отличии от DAC-модели, разрешения задаются не на режим доступа к объекту, а на транзакции с объектом. Это позволяет описывать разрешения для сложных операций с составными данными.
Нужно отметить, что в RBAC-модели операции редактирования параметров контроля доступа также являются транзакциями, а значит, могут контролироваться самой системой.
Использование механизма наследования ролей позволяет эффективно описывать разрешения для сущностей реального мира. При этом на возможность наследования разрешений от противоположных ролей может накладываться ограничительная норма, которая позволяет достичь надлежащего разделения режимов. Например, одному и тому же лицу может быть не позволено создать учетную запись для кого-то, а затем авторизоваться под этой учетной записью.
Анализ существующего контроля доступа к реестру ОС Windows
Стандартным средством контроля доступа к реестру ОС Windows является механизм ACL реализующий DAC-модель. Объектами, которые находятся под защитой, являются ключи реестра. Отдельные значения в ключе не существуют как самостоятельные объекты и соответственно не могут иметь дескриптор безопасности.
Для каждого ключа определен следующий набор возможных прав доступа:
В исходной конфигурации ключи реестра, которые являются глобальными для всей системы, имеют дескриптор безопасности, согласно которому полный доступ предоставляется учетной записи системы и пользователям в группе «Администраторы», а доступ только для чтения предоставляется пользователям в группе «Опытные пользователи».
Ключи, влияние которых распространяется только на отдельного пользователя, открыты для полного доступа со стороны этого пользователя, системы и пользователей из группы «Администраторы», а доступ только для чтения предоставляется пользователям в группе «Ограниченные».
В рамках DAC-модели такая конфигурация является оптимальной для системы общего назначения. Возложение на систему предметно-специфичных функций в общем случае требует индивидуального подхода для каждого конкретного случая, и рассмотрение подобных ситуация выходит за рамки магистерской работы.
Имеющаяся конфигурация исключает порчу важных системных ключей реестра пользователями с низким уровнем привилегий. Потенциальными опасными остаются следующие сценарии:
Для защиты системного реестра Windows от атаки по одному из этих сценариев целесообразно внедрить механизм защиты, который бы дополнил имеющийся механизм ACL.
Реализовывать альтернативный механизм на базе DAC-модели, означает фактическое дублирование стандартного механизма защиты. Это временно снизит вероятность успешной атаки, но в конечном итоге не решает указанные проблемы уязвимости.
Таким образом, перспективным является использование MAC-модели либо RBAC-модели.
Поскольку целью защиты системного реестра является сохранение целостности его содержимого, но не обеспечение его конфиденциальности, то в рамках MAC-модели целесообразно использовать модель Бибы.
В рамках RBAC-модели особый интерес представляют описание прав доступа в терминах «умных» транзакций – т.е. контроль не только фактов доступа, но содержимого оперируемых данных.
Анимация 1. Система защиты блокирует вредоносный запрос
(7 кадров × 1500мс, 10 повторений, 52 Кб)
Выводы
На сегодняшний день разработано три основных модели контроля доступа – MAC-модель, DAC-модель и RBAC-модель. Для контроля доступа к реестру Windows имеются стандартные средства, реализующие DAC-модель. В рамках DAC-модели конфигурация имеющихся средств контроля доступа является оптимальной для системы общего назначения и не требует модификаций. Однако остаются возможные сценарии атаки, которые в рамках DAC-модели полностью исключить невозможно. Для защиты от этих атак целесообразно разработать альтернативный механизм защиты на базе MAC-модели либо RBAC-модели, дополняющий возможности стандартного механизма контроля доступа к реестру ОС Windows.
Обзор управления доступом
Область применения
В этом разделе для ИТ-специалистов описывается управление доступом в Windows, который является процессом разрешения пользователям, группам и компьютерам доступа к объектам в сети или на компьютере. Ключевыми понятиями, которые составляют управление доступом, являются разрешения, владение объектами, наследование разрешений, права пользователей и аудит объектов.
Описание компонента
Компьютеры с поддерживаемой версией Windows могут управлять использованием системных и сетевых ресурсов с помощью взаимосвязанных механизмов проверки подлинности и авторизации. После проверки подлинности пользователя операционная система Windows использует встроенные технологии авторизации и управления доступом для реализации второго этапа защиты ресурсов: определения того, имеет ли пользователь с проверкой подлинности правильные разрешения на доступ к ресурсу.
Общие ресурсы доступны пользователям и группам, кроме владельца ресурса, и они должны быть защищены от несанкционированного использования. В модели управления доступом пользователи и группы (также именуемые директорами безопасности) представлены уникальными идентификаторами безопасности (SID). Им назначены права и разрешения, которые информируют операционную систему о том, что может сделать каждый пользователь и группа. У каждого ресурса есть владелец, который предоставляет разрешения директорам безопасности. Во время проверки контроля доступа эти разрешения проверяются, чтобы определить, какие принципы безопасности могут получить доступ к ресурсу и каким образом они могут получить к нему доступ.
Принципы безопасности выполняют действия (в том числе чтение, записи, изменение или полный контроль) на объектах. Объекты включают файлы, папки, принтеры, ключи реестра и объекты служб домена Active Directory (AD DS). Общие ресурсы используют списки управления доступом (ACLs) для назначения разрешений. Это позволяет руководителям ресурсов применять управление доступом следующими способами:
Отказ в доступе к несанкционированным пользователям и группам
Установите четко определенные ограничения доступа, предоставляемого уполномоченным пользователям и группам
Владельцы объектов обычно выдают разрешения группам безопасности, а не отдельным пользователям. Пользователи и компьютеры, добавленные в существующие группы, принимают разрешения этой группы. Если объект (например, папка) может удерживать другие объекты (например, подмостки и файлы), он называется контейнером. В иерархии объектов связь между контейнером и его контентом выражается, ссылаясь на контейнер в качестве родительского. Объект в контейнере называется ребенком, и ребенок наследует параметры управления доступом родителя. Владельцы объектов часто определяют разрешения для контейнерных объектов, а не отдельных детских объектов, чтобы облегчить управление управлением доступом.
Система управления доступом
Введение
Основной вывод из анализа применяемых в ОС Windows моделей контроля доступа (комбинация дискреционной и ролевой): нельзя формально обосновать безопасность ИС в случаях, представляющих практический интерес. Необходимо обосновывать безопасность конкретной системы путем ее активного исследования.
Инструментальные средства управления безопасностью
Прежде чем начать изучение API системы, имеет смысл сказать несколько слов об имеющихся полезных утилитах и инструментальных средствах.
Для управления системой безопасности в ОС Windows имеются разнообразные и удобные инструментальные средства. В частности, в рамках данной темы потребуется умение управлять учетными записями пользователей при помощи панели «Пользователи и пароли». Кроме того понадобится контролировать привилегии пользователей при помощи панели «Назначение прав пользователям». Рекомендуется также освоить работу с утилитой просмотра данных маркера доступа процесса WhoAmI.exe, утилитами просмотра и редактирования списков контроля доступа (cacls.exe, ShowACLs.exe, SubInACL,exe, SvcACL.exe), утилитой просмотра маркера доступа процесса PuList.exe и рядом других.
Обилие интерактивных средств не устраняет необходимости программного управления различными объектами в среде ОС Windows. Применение API системы позволяет лучше изучить ее особенности и создавать приложения, соответствующие сложным требованиям защиты. Примером могут служить различные сценарии ограничения доступа (применение ограниченных маркеров доступа, перевоплощение, создание объектов, не связанных с конкретным пользователем, и т.д.). Тем не менее, встроенные инструментальные возможности системы будут активно использоваться в качестве вспомогательных средств при разработке разнообразных программных приложений.
Пользователи и группы пользователей
Каждый пользователь (и каждая группа пользователей ) системы должен иметь учетную запись ( account ) в базе данных системы безопасности. Учетные записи идентифицируются именем пользователя и хранятся в базе данных SAM ( Security Account Manager ) в разделе HKLM/SAM реестра.
Учетные записи групп, созданные для упрощения администрирования, содержат список учетных записей пользователей, а также включают сведения, аналогичные сведениям учетной записи пользователя ( SID группы, привилегии члена группы и др.).
Создание учетной записи пользователя
Прогон программы создания новой учетной записи
Написание, компиляция и прогон программы, удаляющей из системы учетную запись
На основе предыдущей программы рекомендуется написать программу удаления учетной записи конкретного пользователя.
Идентификатор безопасности SID
Структура идентификатора безопасности
Узнать свой идентификатор безопасности пользователь легко может при помощи утилит whoami или getsid из ресурсов Windows. Например, так:
При помощи команды whoami /all можно получить всю информацию из маркера доступа процесса, см. следующие разделы.
Выполните следующую последовательность действий.
Защита ПК: контролируем доступ к данным
Защита ПК и данных должна состоять из нескольких рубежей. CHIP расскажет, как надежно оградить содержимое своего компьютера от злоумышленников и просто любопытных лиц.
Защита ПК и данных должна состоять из нескольких рубежей. CHIP расскажет, как надежно оградить содержимое своего компьютера от злоумышленников и просто любопытных лиц. 
Зачастую даже те пользователи, которые заботятся о программной защите своей информации, не уделяют должного внимания ограничению физического доступа к ОС и данным. А ведь это не менее серьезная угроза системе, чем вредоносное ПО и хакерские проникновения из Интернета. Опасность потери или кражи данных, повреждения ОС и софта может исходить как в офисе от посторонних лиц или коллег, так и дома от детей или родственников, которые способны по незнанию случайно удалить всю информацию с винчестера. При этом, добравшись до системного блока, при некоторой сноровке злоумышленники могут обойти программную защиту, после чего ваши конфиденциальные данные легко станут их добычей. Так, при отсутствии специальной защиты в системе можно загрузить ПК с помощью переносного HDD или USB-флешки и незаметно скачать информацию, а также внедрить шпионские модули или просто заразить систему вирусом. Для предотвращения вторжений следует создать несколько рубежей защиты, начиная с контроля прямого физического доступа. Для обеспечения надежного хранения информации можно использовать встроенные инструменты Windows, такие как родительский контроль, ограничение прав пользователей, а также сторонние программы, в числе которых комплексные антивирусы, ограничители доступа к портам и приводам ПК.
Помимо этого, существуют и аппаратные системы защиты и контроля доступа, такие, например, как сканеры отпечатков пальцев, сетчатки глаза и программы для идентификации пользователя по лицу (в связке с камерами). CHIP начинает цикл статей о компьютерной безопасности с темы контроля и ограничения физического доступа к компьютеру.
Контроль через учетные записи пользователей
Одним из основных шагов для защиты компьютера является создание учетных записей (аккаунтов) пользователей в Windows.
С помощью аккаунтов можно гибко настроить уровни доступа к системе, а также разграничить работу с ПК так, чтобы каждый владелец аккаунта имел доступ только к своим папкам. Учетная запись также позволяет существенно ограничить права пользователей на внесение изменений в систему и установку стороннего софта. Для ее создания вам потребуются права администратора.
1 ОТКРОЙТЕ ИНСТРУМЕНТ СОЗДАНИЯ И НАСТРОЙКИ УЧЕТНЫХ ЗАПИСЕЙ через меню «Пуск | Панель управления | Учетные записи пользователей и семейная безопасность | Учетные записи пользователей». Для создания аккаунта нового пользователя, не обладающего правами администратора, нажмите «Управление другой учетной записью».
2 В СЛЕДУЮЩЕМ ОКНЕ кликните по строке «Создание учетной записи». Можно сгенерировать учетную запись типа «Обычный доступ», в которой будут ограничены действия, направленные на изменения в ОС, но при этом можно будет устанавливать программы, не угрожающие системе. Задайте пароль для входа под этой учетной записью. Для посторонних лиц лучше включить учетную запись типа «Гость». Для нее не требуется пароль, и в ней запрещена установка любого софта, но разрешено пользоваться общими программами, такими как графический и текстовый редакторы, браузер и т. п.
Обязательно создайте учетную запись с обычным доступом для себя и старайтесь работать именно под ней — это существенно повысит защищенность вашей системы. Отметим, что для каждой учетной записи на системном диске автоматически генерируется отдельная папка со всеми рабочими подкаталогами, такими как «Мои документы», «Избранное», «Контакты» и т. д., и для каждого будут доступны свой Рабочий стол и программы (среди которых, конечно, будут и те, которые инсталлированы для всех пользователей). Впоследствии можно отредактировать настройки аккаунта с помощью инструмента «Добавление и удаление учетных записей пользователей».
3 ЕСЛИ ВАША УЧЕТНАЯ ЗАПИСЬ АДМИНИСТРАТОРА ЕЩЕ НЕ ЗАЩИЩЕНА ПАРОЛЕМ, непременно задайте его, иначе это станет существенной «дырой» в безопасности ОС, ведь программы, запущенные в такой учетной записи, имеют право вносить изменения в систему. Для этого зайдите под своим аккаунтом администратора, откройте «Пуск | Панель управления | Учетные записи пользователей и семейная безопасность | Учетные записи пользователей» и кликните по строке «Создание пароля для своей учетной записи». Если возникнет ситуация, когда пароль для входа в систему будет мешать, его можно удалить, кликнув по строке «Удаление своего пароля».
4 СРАЗУ ПОСЛЕ УСТАНОВКИ ПАРОЛЬНОЙ ЗАЩИТЫ в меню слева выберите «Создание дискеты сброса пароля». Для этой цели подойдет и USB-флешка небольшого объема. На одном из шагов мастера забытых паролей вам потребуется ввести пароль текущей учетной записи. Если вы его забудете, в окне входа в систему кликните по строке «Восстановить пароль», вставьте флешку и введите новый ключ.
Контроль доступа к файлам и папкам
Для ограничения доступа пользователей к документам и директориям можно использовать стандартные средства ОС Windows. Для этого кликните в Проводнике правой кнопкой мыши по диску, папке или файлу, выберите в контекстном меню пункт «Свойства», перейдите на вкладку «Безопасность» и с помощью кнопок «Изменить» и «Дополнительно» настройте права для пользователей и групп. Вы можете разрешить определенным лицам только просмотр, а другим вообще запретить доступ к объекту или, напротив, выделить полные права на чтение, редактирование и запись (удаление).
Ограничение доступа к программам
С помощью компонента «Родительский контроль» Windows 7 позволяет ограничивать и контролировать действия других пользователей, в частности детей. Этот инструмент можно использовать и в целях усиления безопасности ПК.
1 ЧТОБЫ ПЕРЕЙТИ К НАСТРОЙКАМ компонента Windows 7 «Родительский контроль», откройте меню «Пуск | Панель управления | Учетные записи пользователей и семейная безопасность | Родительский контроль».
2 КЛИКНИТЕ ПО ИКОНКЕ той учетной записи, к которой вы хотите применить санкции родительского контроля. Выберите опцию «Включить, используя текущие параметры».
3 ЕСЛИ НЕОБХОДИМО, активируйте опцию «Ограничения по времени», «Игры» или настройте допустимые для запуска программы. В открывшемся списке, который разграничен на разделы, представлены как системные инструменты, так и установленные на ПК сторонние приложения и их компоненты. Будьте внимательны: запрет на запуск определенных утилит может привести к конфликтам работы с ПО.
Запрет на использование USB- и DVD-носителей
Для предотвращения утечки данных воспользуйтесь программой My Simple Desktop Home Edition (anfibia-soft.com). С ее помощью можно ограничить доступ к компьютеру, в том числе стационарным, скрытым сетевым и USB-дискам.
1 УСТАНОВИТЕ ПРОГРАММУ и запустите ее. Чтобы оградить внутренние и USB-диски запретить от посторонних пользователей, зайдите в раздел «Advanced restrictions». Поставьте галочку в поле «Disable External USB Drives», а в «Restrict Access to the Folowing Drives» укажите, к каким дискам вы хотите запретить доступ. Нажмите «Save» в верхнем меню. Программа попросит перезагрузить систему.
2 ЧТОБЫ РАЗРЕШАТЬ ДОСТУП к портам и дискам могли только вы, задайте пароль на запуск My Simple Desktop. Для этого в верхнем меню откройте «Options | Password», поставьте галочку в поле «A password is required run this program» и введите свой пароль в обоих полях. Нажмите на «Save».
3 ЧТОБЫ СДЕЛАТЬ БЛОКИРОВКУ БОЛЕЕ ДОСТУПНОЙ, нужно активировать панель быстрого доступа — Agent. Кликните в разделе «Agent» по «Agent setting» и отметьте галочкой пункт «Activate Agent». Нажмите кнопку «Save». Окно агента активируется после перезапуска системы.
Блокировка действий с помощью Kaspersky Internet Security
Более широкий выбор инструментов для контроля пользователей и ограничения их действий предоставляет комплексный антивирусный пакет Kaspersky Internet Security.
1 ОТКРОЙТЕ ОКНО УПРАВЛЕНИЯ KIS и в ленточном меню выберите «Родительский контроль». При запросе пароля нажмите на кнопку «Пропустить».
2 ВЫБЕРИТЕ ПОЛЬЗОВАТЕЛЯ, к которому будут применяться ограничения, и нажмите «Включить». Кликните по кнопке настроек с изображением шестеренки, расположенной напротив указанного пользователя.
3 В ОТКРЫВШЕМСЯ ОКНЕ вы можете обнаружить множество полезных инструментов, таких как ограничение времени доступа к компьютеру и Интернету, запрещение запуска выбранных программ и публикации важных данных в социальных сетях и личной переписке. Кроме того, вы можете, например, запретить загрузку из Интернета программ и архивов, что создаст дополнительный заслон от проникновения вредоносных программ на ПК по вине неопытных пользователей.
Ограничение доступа к BIOS
Защита входа на ПК с помощью пароля BIOS — самая кардинальная мера, запрещающая посторонним доступ к компьютеру через все внешние каналы (использование мобильных HDD, флешек, дисков). Поставить пароль на вход в компьютер через BIOS несложно. После включения ПК зажмите клавишу входа в BIOS. В зависимости от типа BIOS, это может быть «Del», «F2», «F10», «F11» или «F12». Используйте опцию «Supervisor Password» для защиты от изменения настроек BIOS и ее сочетание с «User Password» — для защиты от загрузки ОС посторонними (будет требоваться введение пароля для продолжения загрузки).
Если вы хотите обезопасить свой ПК от автоматического запуска со съемных носителей, зайдите в пункты меню BIOS «Advanced BIOS features» или «Boot» (в зависимости от производителя материнской платы) и установите HDD первым в очереди загрузки своего компьютера. Пароль «Supervisor Password» не позволит посторонним изменить эту настройку. Данный способ защиты следует комбинировать с опечатыванием системного блока.
Использование биометрических датчиков для авторизации и доступа к ПК практикуется уже несколько лет. Сканеры отпечатков пальцев на мышах, клавиатурах и в ноутбуках могут, с одной стороны, препятствовать доступу к системе на аппаратном уровне, а с другой — существенно облегчить жизнь пользователю, ведь ему не придется помнить сложный пароль или бояться его потерять.
Сканеры сетчатки глаза используются, пожалуй, только на секретных объектах, а вот авторизация по лицу с помощью веб-камеры — более простая процедура, для которой нужна лишь сама камера и специальная программа. Внешние веб-камеры легко купить в любом компьютерном магазине по цене от 500 рублей. Встроенными моделями оснащены практически все современные ноутбуки и даже планшеты и смартфоны.