Одним з основних правил безпеки є наявність у користувача мінімального набору повноважень, необхідного йому для виконання його роботи. Іншими словами, користувачеві треба дозволити без ускладнень увійти в систему і забезпечити його всіма потрібними для роботи програмними засобами та повноваженнями, але при цьому здійснювати жорсткий контроль для уникнення небажаних наслідків.

Установки реєстру, призначені для користувачів, розташовані в розділі HKEY_CURRENT_USER.

Примітка. Насправді цей розділ не зберігає ніяких налаштувань, а містить тільки покажчики до ключів поточного користувача в розділі HKEY_USERS. Поточний користувач ідентифікується своїм ідентифікатором безпеки (SID), який присутній в назві розділу.Кожен раз, коли користувач входить в систему, розділ HKEY_CURRENT_USER створюється заново.

В першу чергу обмежимо доступ користувачів до налаштувань системи. Оскільки більшість налаштувань зосереджено в Панелі управління, то займемося їй в першу чергу.

Найпростіший спосіб позбавити користувача від спокуси поколупатися в настройках системи - це прибрати все зайве з панелі управління.Для видалення аплетів з панелі управління скористаємося розділом реєстру HKEY_CURRENT_USER \ Control Panel \ don`t load. Цей розділ існує спеціально для зберігання назв аплетів панелі управління, які ви не хочете завантажувати.

Для додавання аплету до списку потрібно створити новий параметр реєстру REG_SZ і назвати його ім'ям аплету, який ми хочемо заборонити.Значення параметра має бути No.

Оскільки вам потрібно знати імена аплетів, які ви хочете заховати, ось їх список:

• Access.cpl - більш доступного режиму
• Appwiz.cpl - установка і видалення програм
• Desk.cpl - властивості екрану
• Firewall.cpl - брандмауер Windows
• Hdwwiz.cpl - установка обладнання
• Inetcpl.cpl - властивості Інтернет (IE)
• Intl.cpl - мова і регіональні стандарти
• Joy.cpl - ігрові пристрої
• Main.cpl - властивості миші
• Mmsys.cpl - звуки та аудіопристрої
• Ncpa.cpl - мережеві підключення
• Netsetup.cpl - майстер настройки мережі
• Nusrmgr.cpl - облікові записи користувачів
• Odbccp32.cpl - адміністратор джерел даних ODBC
• Powercfg.cpl - управління електроживленням
• Sysdm.cpl - властивості системи
• Timedate.cpl - дата і час
• Wscui.cpl - центр забезпечення безпеки Windows
• Wuaucpl.cpl - настройка автоматичного оновлення

Майте на увазі, що при використанні цього методу ми всього лише прибираємо значки з вікна панелі управління.Користувачі все одно зможуть отримати доступ до панелі управління шляхом введення імені файлу в меню Пуск - Виконати або з скороченого меню піктограм на робочому столі, яке відкриває аплет панелі управління якщо вибрати пункт Властивості.

При необхідності більш повного контролю ми можемо змінити деякі з аплетів панелі управління, видаливши з них відповідні вкладки, або взагалі заборонити їх запуск.

В розділі реєстру HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Current Version \ Policies \ Explorer створюємо параметри типу REG_DWORD:

NoHardwareTab - визначає доступність вкладки Устаткування (Hardware). Значення параметра, рівне 1, прибирає цю вкладку з наступних аплетів панелі управління:

• Клавіатура
• Миша
• Звуки та аудіопристрої

Також вкладка Обладнання видаляється з діалогового вікна Властивості для всіх локальних дисків.

NoAddPrinter - управляє можливістю додавання нового принтера. Значення рівне 0 забороняє додавання нового принтера, рівне 1 - дозволяє.

NoDeletePrinters - визначає, чи можуть користувачі видаляти встановлені принтери. Значення рівне 0 забороняє видалення принтера, рівне 0 - дозволяє.

NoControlPanel - повна заборона на запуск панелі управління. Якщо задати значення цього параметра рівним 1, то при спробі відкрити панель управління користувачеві буде видане повідомлення про помилку:

Для управління апплетом Установка і видалення програм (Add/Remove Programs) є цілий розділ реєстру HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Current Version \ Uninstall

Спочатку цей розділ може бути відсутнім в реєстрі.В цьому випадку його доведеться створити. В цьому розділі створюємо параметри типу REG_DWORD:

NoAddRemovePrograms - значення параметра рівне 1 забороняє запуск аплету з панелі управління, рівне 0 - дозволяє

NoAddPage - визначає наявність кнопки Установка програм (Add Programs) у вікні Установка і видалення програм.Значення 0 робить кнопку доступною, 1 - видаляє.

NoRemovePage - визначає наявність кнопки Зміна або видалення програм (Change or remove programs). Значення рівне 0 робить кнопку доступною, 1 - видаляє.

NoWindowsSetupPage - відповідає за наявність кнопки Установка компонентів Windows (Add Windows Components).Значення рівне 0 залишає кнопку, 1 - видаляє.

В розділі реєстру HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Current Version \ Policies \ Explorer обмежимо також доступ до налаштувань екрану. Для цього створюємо параметри реєстру типу REG_DWORD:

NoDispCpl - заборона на запуск аплету Екран (Display) . Значення, рівне 1, забороняє редагування налаштувань екрану, 0 - дозволяє.При цьому сам аплет не прибирається з панелі управління, а при спробі його запуску видається помилка.

NoDispAppearencePage - видаляємо вкладку Оформлення (Appearrence) з вікна властивостей екрана. Значення 1 прибирає вкладку, 0 - залишає.

NoDispSettingsPage - видаляємо вкладку Налаштування (Settings) з вікна властивостей екрана.Значення 1 прибирає вкладку, 0 - залишає.

NoDispScrSavPage - видаляємо вкладку Заставка (Screen Saver) з вікна властивостей екрана. Значення 1 прибирає вкладку, 0 - залишає.

Приберемо деякі пункти, що відповідають за налаштування системи, з меню Пуск. Для цього створюємо в розділі реєстру HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Current Version \ Policies \ Explorer параметри типу REG_DWORD:

NoRun - визначає, відображена чи команда Виконати (Run) в меню Пуск.Значення параметра, рівне 1, видаляє цей пункт з меню. Також не працює поєднання клавіш Win + R і забирається команда Нова задача (New Task) з диспетчера задач.

NoSetFolders - значення рівне 1 прибирає з меню Пуск наступні пункти:

• панель управління
• Мережеві підключення
• Принтери

Для того, щоб користувач не зміг переглядати системні папки і файли (і спробувати їх змінити), в цьому ж розділі створюємо параметри типу REG_DWORD:

NoFolderOption - визначає, чи доступна опція Властивості папки (Folder Option) в провіднику Windows.Значення, рівне 1, забороняє користувачам змінювати властивості папок і файлів (наприклад зробити видимими приховані і системні файли).

NoFileAssociate - забороняємо користувачам управляти файловими асоціаціями. Значення 0 дозволяє додавати, змінювати і видаляти асоціації, 1 - тільки переглядати.

NoViewOnDrive - визначаємо диски, які користувач може вибрати у вікні Мій комп'ютер. Значення параметра визначає, які диски заборонені. При спробі відкрити в Провіднику заборонений диск або його папку буде видана помилка. Обмеження не діє на «сторонні» файлові менеджери типу Total Commander.

В якості значення параметра виступає бітова маска дисків, для яких потрібно заборонити доступ. Кожному диску відповідає свій код: A - 1, B - 2, C - 4, D - 8, E - 16, F - 32, G - 64 і так далі. Якщо потрібно заборонити доступ до будь-якого конкретного диску, просто вказуємо відповідний йому код.Щоб заборонити доступ відразу до декількох дисках потрібно вказати суму кодів дисків. Наприклад, диск C має код 4, диск D - код 8. Щоб заборонити доступ до обох дисках, потрібно в якості значення параметра вказати 12 (4 + 8). Щоб заборонити всі диски, виставляємо значення рівне 67108863.

NoDrives - параметр, аналогічний попередньому, але на відміну від нього приховує значки дисків з вікна Мій комп'ютер.

І наостанок заборонимо різні контекстні меню. Для цього створюємо в тому ж розділі HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Current Version \ Policies \ Explorer створюємо параметри типу REG_DWORD:

NoFileMenu - управляє відображенням меню файлів в Провіднику.При значенні рівному 0 показує меню файлів, 1 видаляє його.

NoManageMyComputerVerb - визначає доступ до пункту Управління (Manage) скороченого меню, що відкривається при натисканні правою кнопкою миші на значку Мій комп'ютер. Значення 1 прибирає цей пункт з меню, 0 - залишає.

Примітка.Команда Управління відкриває оснащення Управління комп'ютером (Computer Management MMC), і хоча більшість налаштувань вимагають адміністративних повноважень, у користувачів все ж залишається можливість небажаних впливів.

NoViewContextMenu - забороняємо висновок скороченого меню при натисканні правою клавішею миші по об'єктах на робочому столі.При значенні 1 скорочені меню не з'являються.

Якщо необхідно налаштувати декілька комп'ютерів, то після закінчення настройки можна експортувати потрібний розділ реєстру в reg- файл, щоб автоматизувати процес налаштування ..