Если вы пропустили первую часть этой статьи, то, пожалуйста, прочитайте Защита публичных компьютеров с помощью Windows SteadyState, Часть 1
Первая часть этой статьи была кратким вступлением в Windows SteadyState (WSS). В этой статье мы увидим, как легко с ним работать.
В следующей и последней части этой статьи мы расскажем вам о версии 2.5 этого замечательного инструмента – первой версии, которая поддерживает операционную систему Windows Vista.
Перед установкой Windows SteadyState вы должны удалить предыдущие версии набора Microsoft Shared Computer Toolkit и более ранние версии Windows SteadyState (это касается лишь установки версии 2.5, которая в настоящее время в бета варианте).
В моем случае я начинаю с нуля, с абсолютно чистой установки Windows XP с последним пакетом обновления Service Pack, новейшими драйверами и всеми необходимыми обновлениями (с веб сайте Windows Update). Вы можете использовать существующую установку Windows XP, удалить все ненужные приложения, профили пользователей, временные файлы и т.п., но вместо очистки старой системы я рекомендую начать с чистого листа (тогда вы ничего не упустите и не оставите дыр в безопасности). Для начала виртуальная машина Windows XP превосходно подойдет для тестирования или демонстрации.
Хотя Windows SteadyState предлагает великолепную защиту от изменений, вы все равно должны установить поддерживаемое антивредоносное программное обеспечение. Также не забудьте задать сложные пароли для учетных записей локальных администраторов.
Я рекомендую установить все приложения, возможности, службы, необходимые пользователю для работы перед установкой WSS, или, по крайней мере, перед включением защиты диска Windows Disk Protection (WDP).
Также перед установкой WSS (и включением WDP) проведите дефрагментацию ваших системных дисков, чтобы улучшить производительность. Помните, что лишь когда WDP полностью включена (смотри ниже в этой статье), вы можете считать вашу систему безопасной.
Теперь вы должны приготовиться к установки загруженного установочного пакета. Сначала согласитесь с лицензионным соглашением, если вы с ним согласны, затем лицензия Windows будет проверена с помощью Windows Genuine Advantage (WGA), а после этого начнется установка (больше не будет задано никаких вопросов), которая займет несколько минут. Нажмите на кнопку Finish (завершить) после завершения установки.
На вашем рабочем столе и в меню All Programs (Все программы) должен появиться новый программный ярлык ‘Windows SteadyState’. При первом запуске автоматически запустится руководство по использованию (смотри Рисунок 1), а также основное окно WSS (смотри Рисунок 2).
Рисунок 1: WSS: Руководство по использованию
На экране ‘Global Computer Settings (глобальные настройки компьютера)’ (Рисунок 2) присутствуют три основных параметра, о которых мы расскажем в этой статье:
Кроме этого в левом меню у вас есть доступ к ресурсам WSS, а в правом меню представлены учетные записи пользователей, которыми можно управлять, экспортировать и импортировать. В этой статье мы также расскажем о настройки свойств пользователей и ограничений.
Рисунок 2: WSS: Глобальные настройки компьютера
Сперва давайте зададим ограничения для компьютера (Computer Restrictions). Как следует из названия – это настройки компьютерной политики (можно сказать HKLM), которые касаются всех входящих пользователей. Я не буду рассказывать обо всех настройках, которые здесь есть, но, как вы можете увидеть из рисунка 3, они связаны с диалоговым окном ‘Log On to Windows (вход в Windows)’, окном приветствия, профилями, паролями, созданием файлов/папок, устройствами хранения USB и т.д.
Рисунок 3: Установка ограничений для компьютера
В главном окне WSS выберите настройку ‘Schedule Software Updates (Планирование обновлений программного обеспечения)’. Это одна из действительно крутых возможностей WSS – возможность «заморозить» систему, но по-прежнему получать последние обновления (OS, AV и т.п.) и устанавливать их. Если вы когда-нибудь пробовали использовать аппаратные контроллеры для блокировки состояния аппаратного обеспечения, то вы, вероятно, знаете, что при этом сложно обновлять компьютеры. С помощью WSS это становиться автоматической задачей!
На рисунке 4 показано диалоговое окно Schedule Software Updates, где вы можете запланировать установку обновлений в определенный интервал, разрешить обновления программ, отвечающих за безопасность (AV/Anti-Malware и т.п.) или даже выполнить специальный сценарий для обновления программного обеспечения, которое не поддерживается или не находится по умолчанию WSS.
Более подробно об обновлениях программного обеспечения позднее в этой статье (смотрите раздел о раздельной WDP).
Рисунок 4: WSS: Планирование обновлений программного обеспечения
В главном окне WSS выберите ‘Protect the Hard Disk (защита жесткого диска)’. Отсюда можно запустить классный и очень полезный инструмент под названием Windows Disk Protection (защита диска Windows) или просто WDP. Как вы, вероятно, увидели из рисунка ниже (Рисунок 5), по умолчанию WDP выключена. Как упоминалось ранее, перед подключением WDP необходимо выполнить несколько важных вещей, поэтому вы должны немного подождать и вернутся сюда позднее для ее включения.
Обратите внимание, что у вас несколько различных настроек здесь, но лучше всего воспользоваться настройкой ‘Remove all changes at restart’ (удалить все изменения после перезагрузки). Она не имеет важного влияния на производительность и кэш файл (где хранятся все изменения), все очищается за несколько секунд во время запуска. Подробнее об этом позднее.
Рисунок 5: WSS: Защита жесткого диска
Поле ‘Do not warn the administrator about losing changes before log off, restart, or shutdown (не предупреждать администратора об утере изменений перед выходом, выключением или рестартом)’ ссылается на следующее диалоговое окно (смотри Рисунок 6) – которое по умолчанию появится на 30 секунд, и которое напоминает администратору, что в настоящее время включена WDP. Итак, WDP действует для всех пользователей — администраторов и не администраторов, что очень эффективно! Подробнее о WDP позднее в этой статье.
Рисунок 6: WSS: WDP предупреждение для администраторов
Мы коснулись трех глобальных настроек компьютера для WSS, теперь пришло время взглянуть на создание различных ограничений для пользователей.
Все администраторы знают это, нравиться нам это или нет, но пользователи нуждаются в нашей ручной работе. Поэтому давайте нажмем на ‘Add a New User (добавить нового пользователя)’ в основном окне WSS. На рисунке 7 изображено очень простое и интуитивно понятное диалоговое окно, которое предстает перед нами. Выберите имя пользователя (User name), пароль (password) (если нужно), выберете размещение пользователя и, наконец, изображение для профиля. После этого нажмите на кнопку OK.
Рисунок 7: WSS: Добавление нового пользователя
Теперь пришло время настоящей забавы, теперь можно подергать настройки пользователя более детально. Другими словами – время блокировки! Большинство из этого вы можете сделать с помощью комбинации локальной политики группы Group Policy (но помните, то до Vista локальная политика применяется ко всем пользователям, включая администраторов), NTFS безопасности, обязательных профилей, родительского контроля (только для Vista) и т.п. Однако, WSS позволяет сделать все это чрезвычайно просто, без особых усердий со стороны администратора.
В закладке General (общие) в настройках пользователя User Settings (смотри Рисунок 8) есть параметр для блокировки профиля (‘Lock’), наподобие создания обязательного профиля (переименование User.Dat на User.Man). Здесь также можно настроить таймеры сессии, включая возможность перезагрузки компьютера после выхода, что позволит (в зависимости от настроек WDP) сбросить систему обратно в «чистое» состояние.
Рисунок 8: Настройки пользователя WSS: закладка General
В закладке Windows Restrictions (ограничения Windows) в настройках пользователя User Settings (смотри Рисунок 9) дает нам возможность выбора из 4 уровней ограничений Windows, настроенных по умолчанию: High (высокий), Medium (средний), Low (низкий), No restrictions (без ограничений), или можно перейти к выборочному набору ограничений Windows. Я не могу рассказать о всех возможных ограничениях Windows в этой статье, но могу подсказать вам, что это позволяет вам спрятать диски, удалить объекты в меню Пуск (Start Menu), отключить системные инструменты и т.п.
Рисунок 9: Настройки пользователя WSS: Закладка Windows Restrictions (ограничения Windows)
В закладке Feature Restrictions (ограничения возможностей) в настройках пользователей User Settings (смотри Рисунок 10) есть возможность выбора из 4 уровней ограничения возможностей, настроенных по умолчанию: High (высокий), Medium (средний), Low (низкий), No restrictions (без ограничений), или можно перейти в выборочному набору ограничения возможностей. Я не могу рассказать обо всех возможных ограничениях возможностей в этой статье, но могу подсказать, что они позволяют вам ограничить параметры Internet Explorer и некоторые параметры Microsoft Office.
Одно очень полезное ограничение для Internet Explorer – это возможность запретить доступ к Интернет, за исключением сайтов, представленных ниже (‘Prevent Internet access (except Web sites below’)). В поле ‘Web Addresses Allowed’ (разрешенные веб адреса) просто напечатайте, какой веб сайт вы хотите разрешить для посещения (без префикса протокола http:// или https://) и разделите их через точку с запятой. Многие люди спрашивали о такой возможности на протяжении многих лет и теперь наконец мы можем предложить вам такое решение.
Рисунок 10: Настройки пользователей WSS: Закладка Feature Restrictions
В закладке Block Programs (заблокировать программу) в настройках пользователя User Settings (смотри Рисунок 11) мы можем заблокировать некоторые исполняемые модули. Список исполняемых модулей на локальном компьютере автоматически формируется WSS, но вы можете добавить определенные файлы вручную. Эта возможность работает, как политика ограничения программного обеспечения Software Restriction Policies (SRP).
Рисунок 11: Настройки пользователя WSS: Закладка Block Programs
Процедура проста. Просто выберите программный файл, который вы хотите заблокировать и нажмите на ‘Block (блокировать)’ (или, если хотите заблокировать все найденные программы, на кнопку ‘Block All (заблокировать все)’. Если пользователя попытается открыть программу, которая заблокирована, то он получить сообщение об ошибке.
WDP – это классная технология, которая позволяет кэшировать все изменения сделанные в любые файлы в системном разделе Windows. Кэш – это физический файл (C:\Cache.WDP), который по умолчанию заберет до 50% вашего системного раздела (или до 40 GB, как максимум), Но его можно урезать до минимума 2 GB, нажав на ‘Change cache file size (изменить размер кэш-файла)’ в окне ‘Protect the Hard Disk’. Кэш очищается с определенным интервалом – я рекомендую очищать кэш после каждой перезагрузки (во время процесса загрузки). Уменьшение размера файла КЭШа, может потребовать дополнительных перезагрузок.
По сравнению с Windows System Restore (WSR) – она гораздо эффективней, т.к. WSR отслеживает лишь в базовом наборе системы и программных файлах (например, важные файлы реестра). А WSS с включенной WDP позволяет даже восстановить состояние личных данных и профилей пользователя (Рабочий стол, Избранное, история, документы и т.п.). Это выполняется автоматически без вмешательства пользователя или администратора!
Очень важно понимать, как работает планирование обновления программного обеспечения (Schedule Software Updates) с включенной WDP. В общем, это процедура обновления в скорлупе ореха:
С помощью сценарием вы можете гарантировать, что ваша система чистая и в то же время вовремя обновляется. Это главное различие между WDP и аппаратными средствами защиты.
Есть несколько вопросов, которые я получил после выхода предыдущей части этой статьи: Поддерживает ли WSS WSUS? Да, WDP загружает и устанавливает обновления с Microsoft Update, Windows Update или Windows Server Update Services (WSUS) – в зависимости от клиентских настроек.
Поддерживает ли WSS членство в домене? Да, WSS машина может быть членом домена Active Directory.
Поддерживает ли WSS использование SYSPREP? Да, но не забудьте отключить WDP и разблокировать всех заблокированных пользователей.
Поддерживает ли WSS Windows Vista? Нет, но публичная бета версия программы (WSS version 2.5) доступна бесплатно от Microsoft прямо здесь, также возьмите книгу здесь.
Если я задал ограничения для пользователей, заблокировал программы и т.д и хочу использовать те же самые настройки на другом компьютере с WSS, как мне можно это сделать, вручную? Нет, просто воспользуйтесь возможностью экспорта (Export) в главном окне WSS, сохраните файл с расширением .SSU (смотрите Рисунок 12), скопируйте файл на другую машину и используйте на ней возможность импорта (Import)!
Рисунок 12: WSS: Успешно экспортированные в файл настройки пользователей
Могу ли я управлять WSS с помощью политик группы Group Policies в моем домене Active Directory? Да, файл ADM (SCTSettings.adm) является частью комплекта WSS, смотрите ниже ‘<Program Files>\Windows SteadyState\ADM‘, добавив его в ваши административные шаблоны ‘Administrative Templates’ в GPO у вас появится полный контроль над всеми параметрами WSS.
Windows SteadyState – это классный набор средств, который предлагает одновременно великолепный контроль и гибкость. Он имеет дружественный и красивый графический интерфейс и очень полную систему помощи (также прочитайте книги). Я могу рекомендовать всем администраторам публичных компьютеров, как Интернет киоски, публичные библиотеки и т.п., взглянуть на этот инструмент прямо сейчас.
Даже домашние пользователи могут воспользоваться преимуществами этого инструмента, чтобы убедиться, что дети могут безопасно использовать семейный компьютер, без возможности что-либо испортить. После следующей перезагрузки вы точно знаете, что ваш компьютер будет в рабочем состоянии!
Источник www.windowsecurity.com
Tags: cache, Windows Vista, Windows XP