Mishuttka
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:| реально физическую машину не защитить ни как. если есть физ. доступ к пк |
 Все очень даже реально защитить!!! Как отец пятерых юных к(х)акеров, ответственно заявляю - проблема решаема и достаточно легко.
Само собой - админ на компьютере один (угадайте кто?  :D). Плюс один админ запасной, ограниченный насколько надо - от его аккаунта ребенком запускаются отдельные программки с помощью AdmiLink (если программка полезная и нужная, но просит админских прав). Адмилинк дает возможность запустить программу от запасного администратора не сообщая пользователю пароль, который зашифрован в ярлыке. Аналог АдмиЛинку - SuRun (супер юзер запускатель) также позволяет простому юзеру запускать отдельные проги с админскими правами. Какие программы и игры может запускать ребенок решаете сами при создании ярлыка или списка програм су(пе)ране.  
 !!! Решение таково.
1. Устанавливаем TimeBoss, там есть SomeOne (т.е. некто - пользователь по умолчанию, его настройки применяются ко всякому вновь создаваемому пользователю). Этому SomeOne назначаем максимальное время работы - 0 минут. Поэтому всякий, вновь созданный локальный администратор будет выгружен, не успев войти в систему (это оч. интересно наблюдать - попробуйте!). Т.о. создание новых учетных записей с правами администратора утратит всякий смысл, доступ к системе они не получат.
2. У юного игрока остается возможность, загрузившись с LiveCD, назначить права админа любому локальному пользователю . Соответственно, нужно этих, ранее прописанных пользователей (локальные учетные записи) проверять на нахождение в группе администраторов и удалять оттуда. Для этого существует утилита cusrmgr.exe - осталось поставить ее в автозагрузку или запускать в виде службы.
Итого. Всякий новый локальный (нелегальный) админ просто не войдет в Винду. Всякий обычный пользователь, подняв свои права, автоматом их утрачивает. Если не додумается загрузившись с LiveCD прибить утилиту cusrmgr.exe (ее наверное можно переименовать и закамуфлировав под системный процесс). Но это ж еще понять надо, как это вся защита устроена. Так что ничего невозможного нет! И ничего не надо бетонировать.
3. Ну а с помощью TimeBoss устанавливаем временные ограничения и запреты запуска чего не положено. У ТаймБосса есть прекрасная опция - Админу дается 5 минут на ввод пароля (не учетной записи админа, а пароля ТаймБосса). Т.о. смена пароля сисадмина, если удастся загрузиться с лазерного привода, тоже ничего не дает.
4. Ну и наверное еще настройки фаерволла - куда можно ходить, а куда нет.
|
Всего записей: 13 | Зарегистр. 06-12-2006 | Отправлено: 13:31 14-02-2010 | Исправлено: Mishuttka, 13:58 06-06-2012 |
|
засовываем руку внутрь 
