Si Windows NT était projetée initialement en tenant compte des exigences de la sécurité d'information conformément aux exigences du Programme de l'Estimation des Produits Crus (Trusted Product Evaluation Program - TPEP) le Centre National de la Sécurité Informatique (National Computer Security Center - NCSA) les États-Unis, de rien de la chose semblable, malheureusement, on ne peut pas dire sur les systèmes d'exploitation Windows 95/98/ME. Jusqu'au dernier moment il n'y avait pas aucuns moyens de la restriction de l'accès des utilisateurs à eux. Les systèmes dans le degré identique étaient ouverts comme pour n'importe quel utilisateur enregistré, et admettaient l'entrée en l'absence de quelque enregistrement, en principe. Tout savent qu'il suffit d'appuyer sur le bouton "Esc" au lieu de l'introduction du nom de l'utilisateur et le mot d'ordre, et vous vous trouverez tranquillement dans le système. Pratiquement même concerne l'accès de réseau. Deux types de l'accès (complet et la lecture) et la possibilité de l'accès du mot d'ordre ne donnaient pas en tout aucunes restrictions pour les utilisateurs concrets.

À vrai dire, enfin, la fortune s'est mise face et aux utilisateurs Windows 95/98/ME. Il y avait à apparaître des assez non mauvais utilitaires donnant la possibilité pratiquement assurer la sécurité du travail, sur l'ordinateur local, ainsi qu'en cas de l'accès par le réseau. On peut appeler comme un des utilitaires les plus intéressants apparu sur le marché informatique tout à fait récemment (en 2000) l'utilitaire DeviceLock Me. Le montant des archives - 726 kilobyte, pour le travail demande pas moins 8Мбайт la mémoire rapide. Sans enregistrement 30 jours travaillent.

Ce puissant moyen du contrôle de l'accès aux disques dans les systèmes travaillant sous la direction de Windows 95/98/ME. DeviceLock Me a tout le fonctionnement de l'autre produit largement connu de la compagnie SmartLine - DeviceLock, mais dans la différence de lui, est destiné à la protection des postes de travail travaillant sous Windows 95/98/ME. On Peut contrôler les lecteurs de disquettes, les disques durs, Cd-RoMy et ZIPы, en établissant de divers niveaux de l'accès pour les utilisateurs séparés. L'utilitaire donné permet de fixer les droits d'admission en fonction du temps des jours et le jour de la semaine. DeviceLock Me a le système de la gestion exclue, et l'administrateur du réseau peut diriger toutes les fonctions, sans quitter le poste de travail.

DeviceLock Me réalise le modèle de la sécurité, auquel le propriétaire de l'objet dirige entièrement l'accès à l'objet. Cela signifie qu'à n'importe quel utilisateur l'accès à l'objet peut être interdit ou limité. L'utilisateur qui a oublié le mot d'ordre ne peut pas recevoir déjà l'accès aux ressources. Le système compare l'information d'enregistrement de l'utilisateur avec trouvant à la base de données, et en cas de la non-coïncidence de l'information ferme l'accès.

J'énumérerai les principes de base de la protection, à qui il faut se tenir.

1. Le propriétaire de l'ordinateur doit avoir la possibilité de diriger l'accès à l'ordinateur (il faut ne pas oublier la nécessité de l'installation de l'accès complet pour lui-même).

2. Chaque utilisateur doit s'identifier dans le système. Pour cela il introduit le nom unique et le mot d'ordre, dans le cas contraire on lui refusera l'accès. Autrement dit, l'accès au système à la pression de la touche “Esc” au lieu de l'introduction du mot d'ordre à l'enregistrement amènera automatiquement à l'achèvement du travail du système.

3. Le copiage des fichiers et les catalogues se passe avec la préservation des droits d'admission (permissions).

Par défaut dans la configuration initiale l'utilitaire établit l'accès complet pour tous les utilisateurs. À savoir, pour tous les disques et pour le seul utilisateur Everyone (cela signifie “les tous utilisateurs du système”) s'établit le contrôle complet. Autrement dit, pour l'utilisateur Everyone les fanions mettent en relief les droits tous possibles. Ainsi, la variante n'assure pas "par défaut" aucune protection contre l'accès non sanctionné vers l'ordinateur. D'autre part, DeviceLock Me permet d'établir un assez haut niveau de la protection de l'information, mais demande pour cela les efforts supplémentaires selon l'installation de la configuration acceptable dans le cas concret.

L'attention! Si au supplément des utilisateurs et la démarcation de l'accès pour eux vous avez oublié d'éloigner l'utilisateur collectif Everyone avec l'accès complet, tout votre travail était passé pratiquement en vain. N'importe quel utilisateur pourra entrer dans le système, ne s'étant pas fait enregistrer (selon “Esc”) et aura l'accès complet.

Pour les fichiers et les catalogues on peut définir les droits d'admission suivants.

Le droit d'admission	Le commentaire
List Directory	Permet l'affichage de la liste des fichiers et les classeurs et le déplacement selon les classeurs
Create Directory	Permet la création du classeur avec le nom fixé “un Nouveau classeur”
Read	Permet la lecture des fichiers
Write	Permet le changement, l'inscription et le copiage des fichiers, ainsi que le copiage des classeurs
Execute	Permet la mise en marche des fichiers; est impossible l'installation du droit donné en l'absence du droit “Read”
Rename	Permet le changement de nom et le déplacement des fichiers et les classeurs
Delete	Permet l'éloignement des fichiers et les classeurs
Format/Scan Disk	Permet le formatage et le scanning du disque

On peut mettre en relief deux directions de la protection : local - pour un ordinateur et de groupe - pour quelques ordinateurs du réseau.

La protection locale (Set Permissions) assure la restriction de l'accès pour les utilisateurs de l'ordinateur local. En principe, est possible, par exemple, une telle variante de la démarcation de l'accès, quand vous permettez l'accès complet seulement à l'administrateur (le propriétaire de l'ordinateur), mais pour tous d'autres utilisateurs l'accès limitez un peu, en leur interdisant, par exemple, accomplir les opérations les plus dangereuses “Delete” et “Format/Scan Disk” (voir l'exemple).

La possibilité de l'installation de la protection de groupe (Batch Permissions) facilite beaucoup le travail de l'administrateur. Elle assure le fonctionnement du système de la gestion exclue, avec l'aide duquel l'administrateur du réseau peut établir n'importe quels droits pour n'importe quels utilisateurs du réseau sur leurs ordinateurs locaux du poste de travail.

Ayant lancé le programme DeviceLock Me sur le serveur, l'administrateur verra environ un tel tableau, comme sur le dessin suivant. De plus les ordinateurs COMPUTER3 et COMPUTER4, marqué avec le croix, se trouveront inaccessibles, mais pour autre on pourra établir n'importe quelles restrictions. Inaccessible il y aura ces ordinateurs, sur lesquels devant cela on ne passait pas l'installation DeviceLock Me (i.e. le programme doit être installé sur tous les ordinateurs du réseau).

 

Il est naturel qu'au départ il vous faudra créer le groupe des ordinateurs, mais puis introduire les utilisateurs, et établir pour chacun d'eux la variante de l'accès. La quantité d'utilisateurs peut être plus de nombre des ordinateurs, en effet, sur chaque ordinateur non une personne peut travailler.

Par exemple, pour гр. Бендера vous choisissez la variante extrêmement limitée de l'accès, lui ayant accordé la possibilité seulement les déplacements selon les catalogues et la mise en marche et la lecture des fichiers sur les disques durs. Le limitez de plus sous la relation temporaire, en interdisant de travailler tous les dimanches (les intervalles temporaires s'établissent par voie de la manipulation par les gauches-permission boutons droits-fermera et de la souris).

Mais pour гр. Воробьянинова interdisez seulement les opérations les plus dangereuses de l'éloignement et le formatage sur les disques durs.

Les manques du système DeviceLock Me :

• En cas de l'introduction accidentelle incorrecte du nom de l'utilisateur ou le mot d'ordre se présente le message Explorer “le Programme a accompli l'erreur inadmissible sera fermée” et se passe зависание de l'ordinateur. Finalement être venu appuyer sur la combinaison des touches “Ctrl+Alt+Del” et terminer le travail du système.
  
• Apparaissent périodiquement les situations analogues зависания de l'ordinateur à l'achèvement de la session par un utilisateur et l'enregistrement de l'autre utilisateur. C'est pourquoi passer de façon plus certaine перезагрузку de l'ordinateur.
  
• En cas de l'entrée au système de l'utilisateur concret, pour qui on établit les restrictions par temps, au temps interdit on observe la même situation зависания de l'ordinateur.
  
• Après la définition de l'accès pour les nouveaux utilisateurs du système il y a une disparition de pratiquement toutes les étiquettes du bureau pour déjà utilisateurs existant auparavant. En outre s'établissent automatiquement de grands insignes dans le menu principal, mais le système oublie la liste des derniers documents s'ouvrant.
  
• En cas de l'enregistrement dans le système non de l'administrateur (le propriétaire de l'ordinateur), mais un autre utilisateur la mise en marche du programme DeviceLock Me et la correction dans elle est possible aux droits établis. Mal ce que le programme à l'ouverture ne demande pas au mot d'ordre.

Nous ferons la conclusion. Malgré le fait que le programme DeviceLock Me ne soit pas privé les manques (qui, probablement, seront corrigés dans sa version suivante), elle, sûrement, présente l'intérêt considérable du point de vue de la démarcation des droits des utilisateurs dans les systèmes travaillant sous la direction de Windows 95/98/ME. DeviceLock Me assure la protection assez sûre contre l'accès non sanctionné des utilisateurs pas trop préparés. De plus, elle garantit l'impossibilité complète de l'atteinte au système des utilisateurs non enregistrés.