Sunday, October 21st, 2018

Защита публичных компьютеров с помощью Windows SteadyState, Часть 2

Published on Февраль 4, 2009 by   ·   Комментариев нет

Если вы пропустили первую часть этой статьи, то, пожалуйста, прочитайте Защита публичных компьютеров с помощью Windows SteadyState, Часть 1

Первая часть этой статьи была кратким вступлением в Windows SteadyState (WSS). В этой статье мы увидим, как легко с ним работать.

В следующей и последней части этой статьи мы расскажем вам о версии 2.5 этого замечательного инструмента – первой версии, которая поддерживает операционную систему Windows Vista.

Перед установкой WSS

Перед установкой Windows SteadyState вы должны удалить предыдущие версии набора Microsoft Shared Computer Toolkit и более ранние версии Windows SteadyState (это касается лишь установки версии 2.5, которая в настоящее время в бета варианте).

В моем случае я начинаю с нуля, с абсолютно чистой установки Windows XP с последним пакетом обновления Service Pack, новейшими драйверами и всеми необходимыми обновлениями (с веб сайте Windows Update). Вы можете использовать существующую установку Windows XP, удалить все ненужные приложения, профили пользователей, временные файлы и т.п., но вместо очистки старой системы я рекомендую начать с чистого листа (тогда вы ничего не упустите и не оставите дыр в безопасности). Для начала виртуальная машина Windows XP превосходно подойдет для тестирования или демонстрации.

Хотя Windows SteadyState предлагает великолепную защиту от изменений, вы все равно должны установить поддерживаемое антивредоносное программное обеспечение. Также не забудьте задать сложные пароли для учетных записей локальных администраторов.

Я рекомендую установить все приложения, возможности, службы, необходимые пользователю для работы перед установкой WSS, или, по крайней мере, перед включением защиты диска Windows Disk Protection (WDP).

Также перед установкой WSS (и включением WDP) проведите дефрагментацию ваших системных дисков, чтобы улучшить производительность. Помните, что лишь когда WDP полностью включена (смотри ниже в этой статье), вы можете считать вашу систему безопасной.

Первые шаги

Теперь вы должны приготовиться к установки загруженного установочного пакета. Сначала согласитесь с лицензионным соглашением, если вы с ним согласны, затем лицензия Windows будет проверена с помощью Windows Genuine Advantage (WGA), а после этого начнется установка (больше не будет задано никаких вопросов), которая займет несколько минут. Нажмите на кнопку Finish (завершить) после завершения установки.

На вашем рабочем столе и в меню All Programs (Все программы) должен появиться новый программный ярлык ‘Windows SteadyState’. При первом запуске автоматически запустится руководство по использованию (смотри Рисунок 1), а также основное окно WSS (смотри Рисунок 2).

Windows steady state

Рисунок 1: WSS: Руководство по использованию

На экране ‘Global Computer Settings (глобальные настройки компьютера)’ (Рисунок 2) присутствуют три основных параметра, о которых мы расскажем в этой статье:

  1. Установка ограничений для компьютера (Set Computer Restrictions)
  2. Планирование обновлений программного обеспечения (Schedule Software Updates)
  3. Защита жесткого диска (Protect the Hard Disk)

Кроме этого в левом меню у вас есть доступ к ресурсам WSS, а в правом меню представлены учетные записи пользователей, которыми можно управлять, экспортировать и импортировать. В этой статье мы также расскажем о настройки свойств пользователей и ограничений.

Vodeo

Рисунок 2: WSS: Глобальные настройки компьютера

Сперва давайте зададим ограничения для компьютера (Computer Restrictions). Как следует из названия – это настройки компьютерной политики (можно сказать HKLM), которые касаются всех входящих пользователей. Я не буду рассказывать обо всех настройках, которые здесь есть, но, как вы можете увидеть из рисунка 3, они связаны с диалоговым окном ‘Log On to Windows (вход в Windows)’, окном приветствия, профилями, паролями, созданием файлов/папок, устройствами хранения USB и т.д.

Windows steadystate

Рисунок 3: Установка ограничений для компьютера

В главном окне WSS выберите настройку ‘Schedule Software Updates (Планирование обновлений программного обеспечения)’. Это одна из действительно крутых возможностей WSS – возможность «заморозить» систему, но по-прежнему получать последние обновления (OS, AV и т.п.) и устанавливать их. Если вы когда-нибудь пробовали использовать аппаратные контроллеры для блокировки состояния аппаратного обеспечения, то вы, вероятно, знаете, что при этом сложно обновлять компьютеры. С помощью WSS это становиться автоматической задачей!

На рисунке 4 показано диалоговое окно Schedule Software Updates, где вы можете запланировать установку обновлений в определенный интервал, разрешить обновления программ, отвечающих за безопасность (AV/Anti-Malware и т.п.) или даже выполнить специальный сценарий для обновления программного обеспечения, которое не поддерживается или не находится по умолчанию WSS.

Более подробно об обновлениях программного обеспечения позднее в этой статье (смотрите раздел о раздельной WDP).

Защита публичного компьютера

Рисунок 4: WSS: Планирование обновлений программного обеспечения

В главном окне WSS выберите ‘Protect the Hard Disk (защита жесткого диска)’. Отсюда можно запустить классный и очень полезный инструмент под названием Windows Disk Protection (защита диска Windows) или просто WDP. Как вы, вероятно, увидели из рисунка ниже (Рисунок 5), по умолчанию WDP выключена. Как упоминалось ранее, перед подключением WDP необходимо выполнить несколько важных вещей, поэтому вы должны немного подождать и вернутся сюда позднее для ее включения.

Обратите внимание, что у вас несколько различных настроек здесь, но лучше всего воспользоваться настройкой ‘Remove all changes at restart’ (удалить все изменения после перезагрузки). Она не имеет важного влияния на производительность и кэш файл (где хранятся все изменения), все очищается за несколько секунд во время запуска. Подробнее об этом позднее.

Windows xp для пупбличного ПК

Рисунок 5: WSS: Защита жесткого диска

Поле ‘Do not warn the administrator about losing changes before log off, restart, or shutdown (не предупреждать администратора об утере изменений перед выходом, выключением или рестартом)’ ссылается на следующее диалоговое окно (смотри Рисунок 6) – которое по умолчанию появится на 30 секунд, и которое напоминает администратору, что в настоящее время включена WDP. Итак, WDP действует для всех пользователей — администраторов и не администраторов, что очень эффективно! Подробнее о WDP позднее в этой статье.

Windows steadystate

Рисунок 6: WSS: WDP предупреждение для администраторов

Мы коснулись трех глобальных настроек компьютера для WSS, теперь пришло время взглянуть на создание различных ограничений для пользователей.

Далее пользователи

Все администраторы знают это, нравиться нам это или нет, но пользователи нуждаются в нашей ручной работе. Поэтому давайте нажмем на ‘Add a New User (добавить нового пользователя)’ в основном окне WSS. На рисунке 7 изображено очень простое и интуитивно понятное диалоговое окно, которое предстает перед нами. Выберите имя пользователя (User name), пароль (password) (если нужно), выберете размещение пользователя и, наконец, изображение для профиля. После этого нажмите на кнопку OK.

Защита жесткого диска от изменений

Рисунок 7: WSS: Добавление нового пользователя

Теперь пришло время настоящей забавы, теперь можно подергать настройки пользователя более детально. Другими словами – время блокировки! Большинство из этого вы можете сделать с помощью комбинации локальной политики группы Group Policy (но помните, то до Vista локальная политика применяется ко всем пользователям, включая администраторов), NTFS безопасности, обязательных профилей, родительского контроля (только для Vista) и т.п. Однако, WSS позволяет сделать все это чрезвычайно просто, без особых усердий со стороны администратора.

В закладке General (общие) в настройках пользователя User Settings (смотри Рисунок 8) есть параметр для блокировки профиля (‘Lock’), наподобие создания обязательного профиля (переименование User.Dat на User.Man). Здесь также можно настроить таймеры сессии, включая возможность перезагрузки компьютера после выхода, что позволит (в зависимости от настроек WDP) сбросить систему обратно в «чистое» состояние.

Windows steadystate ru

Рисунок 8: Настройки пользователя WSS: закладка General

В закладке Windows Restrictions (ограничения Windows) в настройках пользователя User Settings (смотри Рисунок 9) дает нам возможность выбора из 4 уровней ограничений Windows, настроенных по умолчанию: High (высокий), Medium (средний), Low (низкий), No restrictions (без ограничений), или можно перейти к выборочному набору ограничений Windows. Я не могу рассказать о всех возможных ограничениях Windows в этой статье, но могу подсказать вам, что это позволяет вам спрятать диски, удалить объекты в меню Пуск (Start Menu), отключить системные инструменты и т.п.

Windows steady state

Рисунок 9: Настройки пользователя WSS: Закладка Windows Restrictions (ограничения Windows)

В закладке Feature Restrictions (ограничения возможностей) в настройках пользователей User Settings (смотри Рисунок 10) есть возможность выбора из 4 уровней ограничения возможностей, настроенных по умолчанию: High (высокий), Medium (средний), Low (низкий), No restrictions (без ограничений), или можно перейти в выборочному набору ограничения возможностей. Я не могу рассказать обо всех возможных ограничениях возможностей в этой статье, но могу подсказать, что они позволяют вам ограничить параметры Internet Explorer и некоторые параметры Microsoft Office.

Одно очень полезное ограничение для Internet Explorer – это возможность запретить доступ к Интернет, за исключением сайтов, представленных ниже (‘Prevent Internet access (except Web sites below’)). В поле ‘Web Addresses Allowed’ (разрешенные веб адреса) просто напечатайте, какой веб сайт вы хотите разрешить для посещения (без префикса протокола http:// или https://) и разделите их через точку с запятой. Многие люди спрашивали о такой возможности на протяжении многих лет и теперь наконец мы можем предложить вам такое решение.

Steadystate как отключить проверку

Рисунок 10: Настройки пользователей WSS: Закладка Feature Restrictions

В закладке Block Programs (заблокировать программу) в настройках пользователя User Settings (смотри Рисунок 11) мы можем заблокировать некоторые исполняемые модули. Список исполняемых модулей на локальном компьютере автоматически формируется WSS, но вы можете добавить определенные файлы вручную. Эта возможность работает, как политика ограничения программного обеспечения Software Restriction Policies (SRP).

Windows steadystate

Рисунок 11: Настройки пользователя WSS: Закладка Block Programs

Процедура проста. Просто выберите программный файл, который вы хотите заблокировать и нажмите на ‘Block (блокировать)’ (или, если хотите заблокировать все найденные программы, на кнопку ‘Block All (заблокировать все)’. Если пользователя попытается открыть программу, которая заблокирована, то он получить сообщение об ошибке.

Защита диска Windows Disk Protection (WDP)

WDP – это классная технология, которая позволяет кэшировать все изменения сделанные в любые файлы в системном разделе Windows. Кэш – это физический файл (C:\Cache.WDP), который по умолчанию заберет до 50% вашего системного раздела (или до 40 GB, как максимум), Но его можно урезать до минимума 2 GB, нажав на ‘Change cache file size (изменить размер кэш-файла)’ в окне ‘Protect the Hard Disk’. Кэш очищается с определенным интервалом – я рекомендую очищать кэш после каждой перезагрузки (во время процесса загрузки). Уменьшение размера файла КЭШа, может потребовать дополнительных перезагрузок.

По сравнению с Windows System Restore (WSR) – она гораздо эффективней, т.к. WSR отслеживает лишь в базовом наборе системы и программных файлах (например, важные файлы реестра). А WSS с включенной WDP позволяет даже восстановить состояние личных данных и профилей пользователя (Рабочий стол, Избранное, история, документы и т.п.). Это выполняется автоматически без вмешательства пользователя или администратора!

Очень важно понимать, как работает планирование обновления программного обеспечения (Schedule Software Updates) с включенной WDP. В общем, это процедура обновления в скорлупе ореха:

  1. Завершается работа активных пользователей, когда наступает запланированное время обновления.
  2. Компьютер перезагружается, поэтому все изменения, произошедшие с диском, удаляются.
  3. Общие ученые записи пользователей отключаются, чтобы избежать несанкционированных изменений на диске.
  4. Автоматически включается режим WDP: ‘Retain all changes permanently (сохранить все изменения)’, чтобы сохранить все изменения.
  5. Загружаются и устанавливаются обновления (выполняются ручные сценарии).
  6. Компьютер перезагружается.
  7. WDP входит в режим ‘Remove all changes at restart’ (Удалить все изменения после перезагрузки).

С помощью сценарием вы можете гарантировать, что ваша система чистая и в то же время вовремя обновляется. Это главное различие между WDP и аппаратными средствами защиты.

Несколько ответов на вопросы

Есть несколько вопросов, которые я получил после выхода предыдущей части этой статьи: Поддерживает ли WSS WSUS? Да, WDP загружает и устанавливает обновления с Microsoft Update, Windows Update или Windows Server Update Services (WSUS) – в зависимости от клиентских настроек.

Поддерживает ли WSS членство в домене? Да, WSS машина может быть членом домена Active Directory.

Поддерживает ли WSS использование SYSPREP? Да, но не забудьте отключить WDP и разблокировать всех заблокированных пользователей.

Поддерживает ли WSS Windows Vista? Нет, но публичная бета версия программы (WSS version 2.5) доступна бесплатно от Microsoft прямо здесь, также возьмите книгу здесь.

Если я задал ограничения для пользователей, заблокировал программы и т.д и хочу использовать те же самые настройки на другом компьютере с WSS, как мне можно это сделать, вручную? Нет, просто воспользуйтесь возможностью экспорта (Export) в главном окне WSS, сохраните файл с расширением .SSU (смотрите Рисунок 12), скопируйте файл на другую машину и используйте на ней возможность импорта (Import)!

Что такое окно всс в Windows?

Рисунок 12: WSS: Успешно экспортированные в файл настройки пользователей

Могу ли я управлять WSS с помощью политик группы Group Policies в моем домене Active Directory? Да, файл ADM (SCTSettings.adm) является частью комплекта WSS, смотрите ниже ‘<Program Files>\Windows SteadyState\ADM‘, добавив его в ваши административные шаблоны ‘Administrative Templates’ в GPO у вас появится полный контроль над всеми параметрами WSS.

Заключение

Windows SteadyState – это классный набор средств, который предлагает одновременно великолепный контроль и гибкость. Он имеет дружественный и красивый графический интерфейс и очень полную систему помощи (также прочитайте книги). Я могу рекомендовать всем администраторам публичных компьютеров, как Интернет киоски, публичные библиотеки и т.п., взглянуть на этот инструмент прямо сейчас.

Даже домашние пользователи могут воспользоваться преимуществами этого инструмента, чтобы убедиться, что дети могут безопасно использовать семейный компьютер, без возможности что-либо испортить. После следующей перезагрузки вы точно знаете, что ваш компьютер будет в рабочем состоянии!

Источник www.windowsecurity.com


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]