FAQ Безопасность в xp

1. Как сделать недоступными для общего пользования определенные файлы и папки на одном компьютере при условии, что файловая система на диске FAT32.
Только по сети. для локальных пользователей это возможно только при файловой системе на диске NTFS.
Конвертировать файловую систему диска с FAT32 в NTFS можно с помощью команды
Примечание: Выбор файловой системы лучше производить во время установки системы. Конвертация файловой системы не всегда проходит нормально при наличии данных на конвертируемом разделе.

2. Как организовать запрет доступа к папкам (файлам) для локальных пользователей на одном компьютере.
Установка, просмотр, изменение и удаление разрешений на доступ к файлам и папкам

Чтобы установить, просмотреть, изменить или удалить разрешения на доступ к файлам и папкам, выполните следующие действия.

1. Нажмите кнопку Пуск, выберите команду Мой компьютер и найдите файл или папку, для которых необходимо установить разрешения на доступ.
2. Щелкните выбранный файл или папку правой кнопкой мыши, выберите команду Свойства и перейдите на вкладку Безопасность.
3. Воспользуйтесь одним из следующих способов.
   • Чтобы установить разрешение для группы или пользователя, не отображаемых в списке Группы или пользователи, нажмите кнопку Добавить, введите имя пользователя или группы, для которых необходимо установить разрешения, и нажмите кнопку ОК.
   • Чтобы изменить или удалить разрешения для имеющейся группы или пользователя, выберите имя группы или пользователя.
4. Воспользуйтесь одним из следующих способов.
   • Чтобы предоставить или отменить разрешение, установите флажок Разрешить или Запретить в поле Разрешения для пользователь_или_группа, где пользователь_или_группа — имя пользователя или группы.
   • Чтобы удалить группу или пользователя из списка Группы или пользователи, нажмите кнопку Удалить.
5. Нажмите кнопку ОК.

Внимание! Если компьютер не входит в состав домена или работает под управлением Windows XP Home Edition, для того чтобы получить доступ к вкладке Безопасность, выполните описанные ниже действия в зависимости от установленной операционной системы.
Windows XP Professional

1. Нажмите кнопку Пуск и выберите пункт Панель управления.
2. Щелкните элемент Оформление и темы, а затем — Свойства папки.
3. Откройте вкладку Вид и снимите флажок Использовать простой общий доступ к файлам (рекомендуется) в поле Дополнительные параметры.
4. Нажмите кнопку ОК.

Windows XP Home Edition
Загрузите компьютер в безопасном режиме и войдите в систему с учетной записью «Администратор» или учетной записью, обладающей правами администратора. После этого для файлов и папок, находящихся на томах NTFS, будет доступна вкладка Безопасность.

Примечания

• Группе «Все» не предоставляется разрешение «Анонимный вход».
• Разрешения можно установить только для дисков, использующих файловую систему NTFS.
• Чтобы изменить разрешения, необходимо быть владельцем или иметь права владельца на изменение разрешений.
• Группы или пользователи, которым предоставлено разрешение «Полный доступ» для доступа к какой-либо папке, могут удалять файлы и подпапки этой папки, независимо от наличия защищающих их разрешений.
• Если флажки в окне Разрешения для пользователь_или_группа недоступны или недоступна кнопка Удалить, значит, файл или папка унаследовали разрешения от родительской папки. Дополнительные сведения о том, как наследование влияет на файлы и папки, см. в справочной системе Windows.
• При добавлении нового пользователя или группы они по умолчанию получают разрешения «Чтение и выполнение», «Список содержимого папки» и «Чтение».

Влияние наследования на разрешения на доступ к файлам и папкам

После установки разрешений для родительской папки создаваемые в ней файлы и папки наследуют эти разрешения. Чтобы отключить наследование разрешений для файлов и папок, необходимо при установке особых разрешений для родительской папки выбрать в окне Применять вариант Только для этой папки. Чтобы отключить наследование разрешений только для некоторых файлов и папок, выполните следующие действия.

1. Щелкните требуемый файл или папку правой кнопкой мыши.
2. Выберите пункт Свойства.
3. Перейдите на вкладку Безопасность.
4. Нажмите кнопку Дополнительно.
5. Снимите флажок Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.

Если флажки установки разрешений недоступны, значит, файл или папка унаследовали разрешения от родительской папки. Существует три способа изменить унаследованные разрешения.

• Изменить разрешения для родительской папки, чтобы нужные файл или папка унаследовали измененные разрешения.
• Установить в столбце Разрешить или Запретить другое значение, чтобы переопределить унаследованное разрешение.
• Снять флажок Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне. После этого можно изменить разрешения либо удалить пользователя или группу из списка разрешений. Однако при этом файл или папка не наследуют разрешения от родительской папки.

Если папка не наследует конфликтующие настройки от различных родительских папок, то, в большинстве случаев установка параметр «Запретить» переопределяет установку параметра «Разрешить». При наличии конфликтующих настроек имеют приоритет параметры, наследуемые от родителя, который находится ближе к данному объекту в поддереве.

Примечания

• Параметр «Разрешить» является накопительным. Это означает, что результирующие пользовательские разрешения представляют собой совокупность разрешений всех групп, в которые входит данный пользователь.
• Параметр «Запретить» переопределяет параметр «Разрешить», поэтому при использовании параметра «Запретить» следует соблюдать осторожность.
• Разрешения могут наследоваться только дочерними объектами. При установке разрешений для родительского объекта можно в окне Применять указать, будут ли папки и подпапки наследовать эти разрешения. Чтобы определить разрешения доступа к данному объекту, установленные для пользователя или группы, следует просмотреть действующие разрешения.

Просмотр действующих разрешений на доступ к файлам и папкам

Чтобы просмотреть действующие разрешения на доступ к файлам и папкам, выполните следующие действия.

1. Нажмите кнопку Пуск, выберите пункт Все программы, а затем — Стандартные и Проводник.
2. Найдите файл или папку, для которых нужно просмотреть разрешения доступа.
3. Щелкните выбранный файл или папку правой кнопкой мыши, выберите команду Свойства и перейдите на вкладку Безопасность.
4. Нажмите кнопку Дополнительно, а затем откройте вкладку Действующие разрешения.
5. Выберите команду Выбрать.
6. В поле Имя введите имя пользователя или группы и нажмите кнопку ОК. Установленные флажки соответствуют действующим разрешениям на доступ к данному файлу или папке для выбранного пользователя или группы.

Примечания

• При подсчете не учитываются следующие параметры Идентификаторов безопасности.
• Анонимный вход.
• Прошедшие проверку.
• Пакетные файлы.
• Группа-создатель.
• Создатель-владелец.
• Удаленный доступ.
• Контроллеры домена предприятия.
• Все.
• Сеть.
• Прокси.
• Ограниченные.
• Self.
• Служба.
• System.
• Пользователь сервера терминалов.

Например, пользователь пытается получить удаленный доступ к файлу.
На вкладке Действующие разрешения отображаются сведения, определяемые на основании имеющихся элементов разрешений. Поэтому эти сведения нельзя изменить. Кроме того, на данной вкладке нельзя изменять разрешения доступа с помощью установки или снятия флажков разрешений.

Управление общими папками с помощью средства «Управление компьютером»

Оснастка «Управление компьютером» предоставляет удобные средства просмотра и управления параметрами безопасности для файлов и папок. Для получения дополнительных сведений о безопасности и разрешениях нажмите кнопку Справка на панели инструментов средства «Управление компьютером».

Чтобы запустить средство «Управление компьютером», выполните следующие действия.

1. В меню Пуск выберите пункт Панель управления, затем — Администрирование.
2. Щелкните элемент Управление компьютером и выберите элемент Общие папки.
3. Чтобы просмотреть список общих папок, дважды щелкните элемент Ресурсы.
4. Примечание. Для каждого тома, для которого включен общий доступ, создается общий ресурс, имя которого заканчивается знаком доллара («$»). Это скрытые административные общие ресурсы, которые недоступны для изменения.
5. Чтобы просмотреть параметры безопасности общей папки, дважды щелкните требуемую общую папку.

Вы также можете использовать утилиту командной строки CACLS для просмотра и модификации списков управления доступом (ACL) к файлам и папкам, при условии использования файловой системы NTFS.
Параметры, которые доступны при использовании Cacls:
Примеры использования Cacls:
В результате выполнения команды указанному пользователю будет предоставлен полный доступ к папке System Volume Information.
В результате выполнения команды полномочия указанного пользователя будут аннулированы.

3. Как ограничить пользователя определенным перечнем программ разрешенных для запуска.
Вариант 1.
Войдите в систему с учетной записью пользователя, которому необходимо установить ограничение запуска программ и в реестре в разделе
Например:
Обратите внимание, что если вы укажете запрет запуска редактора реестра (Regedit.exe), то Вы сами не сможете больше запустить его в этой учетной записи, а следовательно не сможете отменить запрет.

Также можно использовать запрет запуска всех приложений кроме указанных. Сделать это можно в том же разделе реестра
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
только теперь нужно создать параметр RestrictRun и установить его значение 1.
Далее, как и в прошлом примере, создаем подраздел с тем же именем (RestrictRun) и в нем перечисляем приложения разрешенные для запуска.
Например:
Обратите внимание, что в данном случае достаточно указать имена исполняемых файлов, а полный путь указывать необязательно.
Не забудьте указать файл regedit.exe, иначе вы сами не сможете больше запустить редактор реестра.

Вариант 2:
Пуск -> Выполнить -> Secpol.msc -> Политики ограниченного использования программ -> Дополнительные правила -> Правый клик в правом поле -> Создать правило для хэша -> Обзором задаём требуемый исполняемый файл -> Применить -> Затем снова Политики ограниченного использования программ -> в правом поле вызываем свойства объекта "Принудительный" (выделяем правым кликом), верхний чекбокс на ...кроме DLL, нижний на ...кроме локальных администраторов.

4. Папка была зашифрована средствами Windows, но сертификат не сохранился после переустановки системы. Как получить доступ к зашифрованной папке.
Снять с папки шифрование можно только при условии, что компьютер на момент шифрования и после переустановки системы являлся членом домена

Отмена шифрования файла
Данную процедуру могут выполнить только следующие пользователи:

• Пользователь, выполнявший шифрование файла.
• Любой пользователь, указанный в качестве агента восстановления до отмены шифрования.
• Любой пользователь, владеющий открытым ключом (public key) или закрытым ключом пользователя, являющегося агентом восстановления, или пользователя, выполнявшего шифрование файла.
• Любой пользователь, которому предоставлен доступ к зашифрованному файлу.

Члены группы "Администраторы" не смогут отменить шифрование файла, за исключением пользователей, включенных в данную группу и указанных в качестве агентов восстановления до отмены шифрования.
Примечание. Чтобы выполнить отмену шифрования файла, зарегистрируйтесь в системе под учетной записью пользователя, выполнявшего шифрование файла, или указанного в качестве агента восстановления. Если Вы не имеете полномочий отмены шифрования файла, при выполнении данных действий появится следующее сообщение об ошибке:
Для отмены шифрования файла выполните следующие действия:

1. В Проводнике Windows перейдите в папку, содержащую файл, для которого требуется отменить шифрование.
2. Щелкните правой кнопкой мыши по зашифрованному файлу и запустите команду "Свойства".
3. Перейдите на вкладку "Общие" и в разделе "Атрибуты" нажмите кнопку "Другие".
4. В разделе "Атрибуты сжатия и шифрования" снимите флажок "Шифрование содержимого для защиты данных", нажмите кнопку "ОК", а затем повторно нажмите кнопку "ОК" в следующем окне.

Отмена шифрования папки

Примечание. Чтобы выполнить отмену шифрования файла, зарегистрируйтесь в системе под учетной записью пользователя, выполнявшего шифрование файла, или указанного в качестве агента восстановления. Если Вы не имеете полномочий отмены шифрования файла, при выполнении данных действий появится следующее сообщение об ошибке:

1. В Проводнике Windows выберите папку, для которой требуется отменить шифрование.
2. Щелкните правой кнопкой мыши по зашифрованной папке и запустите команду "Свойства".
3. Перейдите на вкладку "Общие" и в разделе "Атрибуты" нажмите кнопку "Другие".
4. В разделе "Атрибуты сжатия и шифрования" снимите флажок "Шифрование содержимого для защиты данных", нажмите кнопку "ОК", а затем повторно нажмите кнопку "ОК" в следующем окне.
5. В окне "Подтверждение изменения атрибутов" Вы можете установить следующие параметры отмены шифрования, выбрав соответствующий переключатель:
   • Только к этой папке, что позволяет отменить шифрование только данной папки. После установки переключателя нажмите кнопку "ОК".
   • К этой папке и ко всем вложенным папкам и файлам, что позволяет отменить шифрование для всего содержимого папки. После установки переключателя нажмите кнопку "ОК".

Отмена шифрования файлов и папок сторонними программами

Вы можете отменить шифрование файлов и папок не являясь агентом шифрования и не владея ключами агента шифрования при помощи программы Advanced EFS Data Recovery.

5. Как получить доступ к файлу или папке после переустановки системы.
Чтобы получить доступ к файлу или папке, не имея на это соответствующих разрешений, необходимо стать владельцем такого файла или папки. Это позволяет компенсировать отсутствие разрешений на доступ.

Как стать владельцем папки

Примечание. Необходимо войти в систему с помощью учетной записи, обладающей полномочиями администратора. Чтобы получить доступ к вкладке Безопасность в Windows XP Home Edition, загрузите компьютер в безопасном режиме и войдите в систему с помощью учетной записи администратора.
На компьютере под управлением Windows XP Professional необходимо отключить простой общий доступ к файлам. По умолчанию простой общий доступ к файлам используется на всех компьютерах под управлением Windows XP Professional, которые не являются членами домена.

Чтобы стать владельцем папки, выполните следующие действия.

1. Щелкните правой кнопкой значок папки, владельца которой необходимо сменить, и выберите команду Свойства.
2. Откройте вкладку Безопасность и нажмите кнопку OК , если появится сообщение безопасности.
3. Нажмите кнопку Дополнительно и перейдите на вкладку Владелец.
4. В столбце Имя выделите свое имя пользователя, запись Администратор (если вход в систему был выполнен с помощью учетной записи «Администратор») или группу Администраторы. Чтобы стать владельцем содержимого папки, установите флажок Заменить владельца субконтейнеров и объектов.
5. Нажмите кнопку OК, а после появления указанного ниже сообщения — кнопку Да.
   

   Вы не имеете разрешения на чтение содержимого папки имя_папки. Хотите заменить разрешения для этой папки так, чтобы иметь права полного доступа?
   Все разрешения будут заменены, если нажать кнопку «Да»
            

6. Нажмите кнопку ОК и настройте параметры безопасности для папки и ее содержимого.

Как стать владельцем файла

Примечание. Необходимо войти в систему с помощью учетной записи, обладающей полномочиями администратора.

Чтобы стать владельцем файла, выполните следующие действия.

1. Щелкните правой кнопкой значок файла, владельца которого необходимо сменить, и выберите команду Свойства.
2. Откройте вкладку Безопасность и нажмите кнопку OК , если появится сообщение безопасности.
3. Нажмите кнопку Дополнительно и перейдите на вкладку Владелец.
4. В столбце Имя выделите запись Администратор или группу Администраторы, и нажмите кнопку OК.
5. Теперь право собственности на файл принадлежит учетной записи администратора или членам группы «Администраторы». Чтобы изменить разрешения на доступ к файлам и папкам, которые расположены в текущей папке, перейдите к выполнению следующего действия.
6. Нажмите кнопку Добавить.
7. В списке Введите имена выбираемых объектов (примеры) введите пользователя или группу, которые должны обладать правом доступа к этому файлу (например, Администратор).
8. Нажмите кнопку ОК.
9. В списке Группы или пользователи выделите нужную учетную запись и установите флажки соответствующих разрешений.
10. По окончании нажмите кнопку OК.

Вы также можете использовать возможности команды CACLS, параметры и синтаксис которой описаны в предыдущем вопросе.

6. При подключении к интернет появляется сообщение: "Система завершает работу, отключение вызвано NT\AUTHORITY SYSTEM. Перезагрузите Windows, поскольку произошла непредвиденная остановка службы Удалённый вызов процедур" и через минуту компьютер перезагружается.
Вероятнее всего система заражена вирусом lovesan (msblast), для решения проблемы выполните следующие действия:
1. Скачать утилиту для поиска и удаления червя. Например, утилиту от Лаборатории Касперского или от Symantec.
2. Сразу после удаления необходимо защитить интернет соединение межсетевым экраном (фаерволом). Достаточно включить встроенный в ХР брэндмауэр в свойствах подключения. Можно воспользоваться межсетевым экраном сторонних производителей. Если этого не сделать, то новое заражение произойдет сразу после подключения к сети Интернет.
3. Скачать обновление для операционной системы с сайта Microsoft, предотвращающее повторное заражение.

7. Как закрыть порты средствами Windows XP.
В Windows XP SP2 есть встроенная система сетевой защиты - Брандмауэр подключения к Интернет (Internet Connection Firewall, ICF).
Чтобы включить брандмауэр для Интернет-соединений, выполните следующие действия:
Откройте Панель управления -> Сетевые подключения
Выделите соединение, которое требуется защитить брандмауэром -> Свойства -> Дополнительные параметры -> Брандмауэр подключения к Интернет -> установите флажок Защитить мое подключение к Интернет - брандмауэр будет включен.
Подробнее о настройках брандмауэра в составе Windows XP SP2 вы можете узнать из этой статьи MS:
Manually Configuring Windows Firewall in Windows XP Service Pack 2

8. Появляется окно службы сообщений с рекламным объявлением из Интернета.
В качестве временного решения проблемы можно отключить службу сообщений. Для этого выполните следующие действия.
1. Нажмите кнопку Пуск и выберите пункт Панель управления (или Настройки, а затем – Панель управления).
2. Дважды щелкните значок Администрирование.
3. Дважды щелкните значок Службы.
4. Дважды щелкните запись Служба сообщений.
5. В поле Тип запуска выберите значение Отключено.
6. Нажмите кнопку Стоп, а затем – ОК.

9. Что такое функция DEP и как проверить включена ли она
Предотвращение выполнения данных (DEP) — это набор программных и аппаратных технологий, позволяющих выполнять дополнительные проверки содержимого памяти и предотвращать запуск вредоносного программного кода.

Аппаратная функция DEP помечает все области памяти процесса как области, которые не содержат исполняемого кода, если иное не указано явным образом. Существуют атаки, основанные на помещении исполняемого кода в области памяти, не содержащие исполняемого кода, и последующем запуске этого кода. Функция DEP предотвращает подобные атаки, перехватывая их и вызывая исключение.

Чтобы убедиться, что аппаратная функция DEP работает в Windows, воспользуйтесь одним из следующих способов.

Способ 1. Использование средства командной строки Wmic

С помощью средства командной строки Wmic можно проверить параметры DEP. Чтобы определить, доступна ли аппаратная функция DEP, выполните следующие действия:
1. В меню Пуск выберите пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК
2. В командной строке введите следующую команду
Если в результате будет получено значение TRUE, аппаратная функция DEP включена.

Чтобы определить текущую политику поддержки DEP, выполните следующие действия:
1. В меню Пуск выберите пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК
2. В командной строке введите следующую команду
В результате выполнения команды будет возвращено значение 0, 1, 2 или 3. Эти значения соответствуют политикам поддержки DEP, описанным в приведенной ниже таблице.

Примечание. Чтобы убедиться в том, что аппаратная функция DEP включена в Windows, проверьте свойство DataExecutionPrevention_Drivers класса Win32_OperatingSystem. В некоторых конфигурациях аппаратную функцию DEP можно отключить с помощью параметра /nopae или /execute в файле Boot.ini. Чтобы проверить это свойство, введите в командной строке

Способ 2. Использование графического интерфейса пользователя

Чтобы с помощью графического интерфейса пользователя определить, доступна ли аппаратная функция DEP, выполните следующие действия:

1. В меню Пуск выберите пункт Выполнить, в поле Открыть введите команду wbemtest и нажмите кнопку ОК.
2. В диалоговом окне Тестер инструментария управления Windows нажмите кнопку Подключиться.
3. В поле в верхней части окна Подключение введите root\cimv2 и нажмите кнопку Подключиться.
4. Нажмите кнопку Экземпляры...
5. В диалоговом окне Сведения о классе в поле Введите имя суперкласса введите Win32_OperatingSystem и нажмите кнопку OK.
6. В диалоговом окне Результат запроса дважды щелкните верхний элемент. (Этот элемент начинается с Win32_OperatingSystem.Name=Microsoft...)
7. В диалоговом окне Редактор объектов найдите в группе Свойства пункт DataExecutionPrevention_Available.
8. Дважды щелкните свойство DataExecutionPrevention_Available.
9. В диалоговом окне Редактор свойств проверьте значение в поле Значение.

Если это значение TRUE, аппаратная функция DEP включена.

Дополнительная информация

• Чтобы определить режим, в котором работает функция DEP, проверьте значение свойства DataExecutionPrevention_SupportPolicy класса Win32_OperatingSystem. Значения, соответствующие каждой политике поддержки, перечислены в таблице, приведенной в конце способа 1.
• Чтобы определить, включена ли аппаратная функция DEP в Windows, проверьте значение свойства DataExecutionPrevention_Drivers класса Win32_OperatingSystem. В некоторых конфигурациях аппаратную функцию DEP можно отключить с помощью параметра /nopae или /execute в файле Boot.ini.

10. Как запустить программу от имени другого пользователя
Для выполнения запуска программы от имени другого пользователя есть несколько способов, рассмотрим их.

Способ 1 - RunAs

Использование команды RUNAS:
Примеры:
Примечания:
вводите пароль пользователя только тогда, когда он запрашивается.
формат записи USER@DOMAIN несовместим с параметром /netonly.
параметр /profile несовместим с параметром /netonly.

Способ 2 - Скрипт AutoIt

Пример скрипта для программы AutoIt, с помощью которого будет произведен запуск редактора реестра (regedit.exe) от имени пользователя Администратор.

При этом удобно будет в скрипте зашифровать пароль учетной записи администратора, сделать это можно специальными утилитами, например Script Encoder (freeware), Scripts Encryptor (shareware), ExeScript (shareware) и vbs2exe (shareware).

Способ 3 - Сторонние утилиты

1. PsExec от Sysinternals
2. Encrypted RunAs
3. ExecAs
4. AdminLnk