Читаем Windows Vista. Для профессионалов полностью

Кроме того, раздел Параметры безопасности содержит и такие стандартные подразделы, как Политики открытого ключа и Политики ограниченного использования программ.

С помощью подраздела Политики открытого ключа можно опубликовать сертификаты определенного типа, не используя рассмотренную нами ранее оснастку Сертификаты. Типы сертификатов, которые можно опубликовать, аналогичны типам сертификатов, отображаемых в оснастке Сертификаты, и были рассмотрены ранее. Кроме того, обратите внимание на вложенный подраздел Файловая система EFS. Именно с помощью команды Добавить агент восстановления данных контекстного меню данного подраздела можно добавить агент восстановления (на основе сертификата пользователя).

С помощью подраздела Политики ограниченного использования программ, как и раньше, определяются правила, на основе которых система будет решать, можно пользователю запустить определенный файл или нет. Если вы решили создать такие правила, то сначала в контекстном меню данного подраздела выберите команду Создать политику ограниченного использования программ, после чего в подразделе Политики ограниченного использования программ будут созданы два дочерних подраздела: Уровни безопасности и Дополнительные правила.

Как и раньше, ограничивать доступ к файлам и каталогам можно на основе четырех правил.

• Создать правило для сертификата – позволяет ограничить доступ к сценарию или пакету установщика Windows (расширение MSI) на основе сертификатов, которые были им выданы. Если сценарий или пакет установщика Windows не имеют указанного в правиле сертификата, то их использование будет запрещено. Это правило является наиболее защищенным, хотя и доступно только для сценариев и MSI-файлов.

• Создать правило для хэша – дает возможность ограничить доступ к файлам на основе хэша, которым они подписаны. Правило создается для определенного файла, при этом также создается хэш файла. Если кто-то попытается модифицировать файл, для которого определен хэш с помощью правила, то такой файл больше не будет разрешено запускать, так как его хэш не будет совпадать с тем, который определен правилом.

Если же создается правило на основе хэша, которое будет запрещать запуск определенного файла, то пользователь сможет его довольно легко обойти – достаточно будет изменить содержимое файла, чтобы изменился и его хэш.

• Создать правило для зоны сети – позволяет ограничить доступ к файлам установщика Windows на основе зоны Интернета, из которой был получен данный файл.

• Создать правило для пути – дает возможность ограничить доступ к файлам на основе каталога, в котором они расположены.

Чтобы создать одно из описанных выше правил, нужно воспользоваться контекстным меню подраздела Дополнительные правила.

Но перед этим необходимо изменить общий уровень доступа к файлам, используемый в системе. Возможные уровни определены в подразделе Уровни безопасности, и, чтобы изменить уровень, достаточно в контекстном меню нужного уровня выбрать команду По умолчанию. Если раньше подраздел Уровни безопасности содержал всего два возможных уровня, то в операционной системе Windows Vista их три.

• Запрещено – если вы установите данный уровень доступа, то по умолчанию доступ к любым файлам компьютера для всех пользователей будет запрещен. Не забудьте только после этого создать несколько дополнительных правил, которые разрешали бы пользователям доступ к определенным каталогам.

• Обычный пользователь – если вы установите данный уровень доступа, то по умолчанию доступ к любым файлам компьютера будет разрешен только с правами пользователя. Доступ с правами администратора или опытного пользователя будет запрещен.

• Неограниченный – используется по умолчанию. При этом пользователям разрешен доступ ко всем файлам компьютера без ограничений (естественно, если только доступ к файлам не запрещен с помощью ACL).