|
|
Biztonsági trükkök
10. rész
|
|
Példaprogram letöltése
9889 bájt
|
A regisztrációs adatbázisban végrehajtható számos apró trükk, amivel korlátozni lehet a felhasználó ténykedését a gépén és a hálózatban is, ezzel potenciális hibalehetőségeket megszüntetve. Cikkünkben ezek közül válogattunk ki néhányat.
Cikkünkhöz mellékelten megtalálhatók a tárgyalt regisztrációs adatbázis bejegyzések exportállományai. Futtassuk az Intézőben és ezzel végrehajthatók a benne foglalt módosítások. A fájlok a következők:
"EnableRegedit.reg" - Engedélyezi a registry szerkesztését.
"DisableRegedit.reg" - Letiltja a registry szerkesztését.
"Autologon.reg" - Megvalósítja egy felhasználó automatikus bejelentkeztetését.
"NoEntireNetwork.reg" - Letiltja a Teljes hálózat és más munkacsoportok kijelzését a Windows Intézőben.
"NoConnect.reg" - Letiltja a hálózati meghajtók csatlakoztatását és leválasztását végző menüpontokat az Intézőben.
Az első tipp mindjárt magával a regisztrációs adatbázis szerkesztéssel kapcsolatos. Bosszantó egy rendszergazda számára, ha a "bátor" felhasználók megváltoztatják a regisztrációs adatbázist és ezzel részben vagy egészében, tönkreteszik az operációs rendszert. Lehet, hogy ilyenkor más segítség nincs, mint az újratelepítés. A helyi gépen a következő bejegyzés felvételével lehet letiltani a registry szerkesztését:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools"=dword:00000001
Ha most megpróbálkozunk a hagyományos REGEDIT.EXE vagy REGEDT32.EXE programokkal egy "A rendszergazda letiltotta az adatbázis szerkesztését" hibaüzenetet kapunk. Szerkeszteni a *.REG állományokkal lehet, ezért mellékeltünk egy "EnableRegedit.reg" exportállományt, amellyel kétszeri rákattintással ismét elérhetővé válik az adatbázis.
A következő bejegyzés megvalósítja a felhasználó automatikus bejelentkezését, akár a tartományba is. Gyakorlati haszna akkor van, ha olyan hálózatot építünk, ahol nincs igény arra, hogy minden felhasználó a nevével és jelszavával lépjen be és ezt több gépen kell beállítani. Az "Autologon.reg" lefuttatásával néhány kattintással elérhető a kívánt eredmény és nem kell a grafikus felületet használni, ezzel időt takarítva meg. Kiküszöböli azt a problémát is, hogy egy esetleges jelszó elfelejtés mennyi plusz munkával jár a rendszergazda számára.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"DefaultUserName"="felhasznalo"
"AutoAdminLogon"="1"
"DefaultPassword"="jelszo"
"DefaultDomain"="tartomanynev"
A REG állomány szerkesztésével a fenti beállításokat az alábbiak szerint kell személyre szabni:
"DefaultUserName" - A bejelentkező felhasználó neve.
"DefaultPassword" - Jelszava
"AutoAdminLogon" - Ha az érték = 1, engedélyezetté válik az automatikus bejelentkezés, ha 0, a felhasználónak kell bejelentkeznie.
"DefaultDomain" - Melyik tartományba. Ez nem kötelező paraméter, ha nincs tartomány, egyszerűen ne adjunk meg semmit.
A fentieket fordítva is lehet használni. Ha egy hálózat minden gépén engedélyezve van az automatikus bejelentkezés és biztonsági okokból ezt meg akarjuk szüntetni, akkor futtassuk le a REG állományt úgy, hogy az "AutoAdminLogon"="0". Van még egy fontos biztonsági szempont: a jelszó ugyanúgy kódolás nélkül tárolódik a regisztrációs adatbázisba, mint a REG fájlban. Így könnyen illetéktelenek kezébe kerülhet és esetleg máshol is felhasználhatják.
Következő tippünk ismét a felhasználó ténykedésével kapcsolatos. Alapértelmezésben az Intéző a hálózatoknál megjelenít olyan elemeket, amelyek nem szigorúan a gép munkacsoportjához kapcsolódnak. Ezek a "Teljes hálózat" ("Entire Network") és más munkacsoportok kijelzése. Ha nem akarjuk, hogy a felhasználó "elkalandozzon" ezekre a helyekre (jogosultság hiányában úgyis csak a hálózatot terheli vele), tiltsuk le a megjelenítésüket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network
"NoEntireNetwork"=dword:00000001
"NoWorkgroupContents"=dword:00000001
Ehhez hasonló utolsó tippünk is: tiltsuk le az Intéző Eszközök > Hálózati meghajtó csatlakoztatása (Tools > Map network drive) és Eszközök > Hálózati meghajtó (Tools > Disconnect network drive) leválasztása menüpontokat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoNetConnectDisconnect"=dword:00000001
Ismét engedélyezni a dword:00000000 értékkel lehet.
|
Felhasználási feltételek
A Software Online szoftverfejlesztői magazin mindegyik cikke, minden megjelent képe, és egyéb publikált anyaga szerzői jog védelme alatt áll! Bármilyen formában történő másodlagos terjesztésük, közzétételük vagy felhasználásuk kizárólag a kiadó előzetes írásbeli engedélyével történhet!
|