Wenn Windows NT unter Berücksichtigung der Forderungen der informativen Sicherheit entsprechend den Forderungen des Programms der Einschätzung der Anvertrauten Lebensmittel (Trusted Product Evaluation Program - TPEP) des Nationalen Zentrums der Computersicherheit (National Computer Security Center - NCSA) die USA von vornherein entworfen wurde, so darf man nicht nichts ähnlich leider über die Betriebssysteme Windows 95/98/ME sagen. Bis zum letzten Moment existierten keine Mittel der Beschränkung des Zuganges der Benutzer in ihnen. Die Systeme in der identischen Stufe waren wie für einen beliebigen registrierten Benutzer geöffnet, als auch ließen den Eingang beim Fehlen irgendwelcher Registrierung, im Prinzip zu. Allem ist es bekannt, dass es den Knopf "Esc" anstelle der Einführung namens der Benutzer und der Parole zu drücken ist genügend, und Sie werden ins System ruhig geraten. Tatsächlich betrifft selb auch den Netzzugang. Zwei Typen des Zuganges (voll und die Lektüre) und die Möglichkeit des Zuganges nach der Parole gaben insgesamt keine Beschränkungen für die konkreten Benutzer.

Freilich, hat sich endlich, das Glück von der Person und zu den Benutzern Windows 95/98/ME umgedreht. Haben begonnen, die genug befriedigenden Tools, die in der Praxis zu gewährleisten die Sicherheit der Arbeit ermöglichen, wie auf dem lokalen Computer, als auch im Falle des Zuganges nach dem Netz zu erscheinen. Eines der interessantesten Tools kann erscheinend auf dem Computermarkt ganz vor kurzem (in 2000) das Tool DeviceLock Me nennen. Der Umfang des Archives - 726 Kilobyte, für die Arbeit fordert nicht weniger 8Мбайт den Arbeitsspeicher. Ohne Registrierung arbeiten 30 Tage.

Dieses mächtige Mittel der Kontrolle des Zuganges auf die Discs in den Systemen, die unter der Leitung von Windows 95/98/ME arbeiten. DeviceLock Me hat die ganze Funktionalität anderen breit bekannten Produktes der Gesellschaft SmartLine - DeviceLock, aber im Unterschied von ihm, ist für den Schutz der Workstations, die unter Windows 95/98/ME arbeiten vorbestimmt. Man kann die Laufwerke, die Festplatten, Cd-RoMy und ZIPы kontrollieren, verschiedene Niveaus des Zuganges für die abgesonderten Benutzer feststellend. Das vorliegende Tool lässt zu, die Zugriffsrechte je nach der Zeit der Tage und des Tages der Woche zu ernennen. DeviceLock Me hat das System der entfernten Verwaltung, und der Verwalter des Netzes kann alle Funktionen verwalten, den Arbeitsplatz nicht verlassend.

DeviceLock Me realisiert das Modell der Sicherheit, bei dem der Besitzer des Objektes den Zugang auf das Objekt vollständig verwaltet. Es bedeutet, dass einem beliebigen Benutzer der Zugang auf das Objekt untersagt oder beschränkt sein kann. Der Benutzer, der die Parole vergaß, schon kann den Zugang auf die Ressourcen nicht bekommen. Das System vergleicht die Registrierungsinformationen des Benutzers damit in der Datenbank, und im Falle der Nichtübereinstimmung der Informationen schließt den Zugang.

Ich werde die Hauptprinzipien des Schutzes aufzählen, an denen es festzuhalten ist nötig.

1. Der Besitzer des Computers soll die Möglichkeit haben, den Zugang auf den Computer zu verwalten (man muss nicht die Notwendigkeit der Anlage des vollen Zuganges für sich vergessen).

2. Jeder Benutzer soll sich im System identifizieren. Dazu führt er den einzigartigen Namen und die Parole ein, andernfalls wird ihm im Zugang abgesagt sein. Von anderen Wörtern, der Zugang auf das System wird auf den Druck der Taste “Esc” anstelle der Einführung der Parole bei der Registrierung automatisch zur Vollendung der Arbeit des Systems bringen.

3. Das Kopieren der Dateien und der Kataloge geschieht mit der Erhaltung der Zugriffsrechte (permissions).

Als Voreinstellung stellt in der Ausgangskonfiguration das Tool den vollen Zugang für alle Benutzer fest. Und zwar, für alle Discs und für den einzigen Benutzer Everyone (es bedeutet “alle Benutzer des Systems”) wird die volle Kontrolle festgestellt. Von anderen Wörtern, für den Benutzer Everyone von den Fähnchen werden alles Mögliche des Rechtes gewählt sein. So gewährleistet die Variante keinen Schutz vor dem unbefugten Zugang auf den Computer "als Voreinstellung". Zugleich, DeviceLock Me lässt zu, das ziemlich hohe Niveau des Schutzes der Informationen festzustellen, aber fordert dazu die zusätzlichen Bemühungen nach der Anlage der für den konkreten Fall annehmbaren Konfiguration.

Die Aufmerksamkeit! Wenn bei der Ergänzung der Benutzer und der Abgrenzung des Zuganges für sie Sie vergessen haben, den kollektiven Benutzer Everyone mit dem vollen Zugang zu entfernen, so war Ihre ganze Arbeit tatsächlich umsonst durchgeführt. Ein beliebiger Benutzer kann ins System eingehen, (nach “Esc” registriert geworden) nicht und wird den vollen Zugang haben.

Für die Dateien und die Kataloge kann man die folgenden Zugriffsrechte bestimmen.

Das Zugriffsrecht	Der Kommentar
List Directory	Erlaubt die Durchsicht der Liste der Dateien und der Mappen und die Umstellung nach den Mappen
Create Directory	Erlaubt die Bildung der Mappe mit dem fixierten Namen “Neue Mappe”
Read	Erlaubt die Lektüre der Dateien
Write	Erlaubt die Veränderung, die Aufzeichnung und das Kopieren der Dateien, sowie das Kopieren der Mappen
Execute	Erlaubt den Start der Dateien; es ist die Anlage des gegebenen Rechtes beim Fehlen des Rechtes “Read” unmöglich
Rename	Erlaubt die Umbenennung und die Umstellung der Dateien und der Mappen
Delete	Erlaubt die Entfernung der Dateien und der Mappen
Format/Scan Disk	Erlaubt die Formatierung und das Scannen der Disc

Man kann zwei Richtungen des Schutzes wählen: lokal - für einen Computer und gruppen- - für einige Computer des Netzes.

Der lokale Schutz (Set Permissions) gewährleistet die Beschränkung des Zuganges für die Benutzer des lokalen Computers. Im Prinzip, es ist, zum Beispiel, solche Variante der Abgrenzung des Zuganges möglich, wenn Sie den vollen Zugang nur dem Verwalter (dem Besitzer des Computers) erlauben, und für alle übrigen Benutzer den Zugang beschränken Sie ein wenig, ihnen, zum Beispiel, verbietend, die gefährlichsten Operationen “Delete” und "Format/Scan Disk” zu erfüllen (siehe das Beispiel).

Die Möglichkeit der Anlage des Gruppenschutzes (Batch Permissions) erleichtert die Arbeit des Verwalters wesentlich. Sie gewährleistet das Funktionieren des Systems der entfernten Verwaltung, mit deren Hilfe der Verwalter des Netzes beliebige Rechte für beliebige Benutzer des Netzes auf ihren lokalen Computern von des Arbeitsplatzes feststellen kann.

Das Programm DeviceLock Me auf dem Server gestartet, wird der Verwalter ungefähr solches Bild, wie auf der folgenden Zeichnung sehen. Dabei werden sich die Computer COMPUTER3 und COMPUTER4, bezeichnet vom Kreuzchen, unzugänglich erweisen, und für übrig kann man beliebige Beschränkungen feststellen. Unzugänglich werden jene Computer, auf die davor die Anlage DeviceLock Me nicht durchgeführt war (d.h. das Programm soll auf allen Computern des Netzes installiert sein).

 

Natürlich, dass zunächst Sie die Gruppe der Computer zu schaffen brauchen, und dann, die Benutzer einzuführen, und, für jeden von ihnen die Variante des Zuganges festzustellen. Die Zahl der Benutzer kann mehr Zahlen der Computer sein, doch kann auf jedem Computer nicht ein Mensch arbeiten.

Zum Beispiel, für гр. Бендера wählen Sie die äußerst begrenzte Variante des Zuganges, ihm die Möglichkeit nur die Umstellungen nach den Katalogen und des Starts und der Lektüre der Dateien auf den Festplatten gewährt. Dabei beschränken Sie es in der vorübergehenden Beziehung, jenem verbietend, sonntags zu arbeiten (die vorübergehenden Abstände werden mittels der Manipulation von den rechten-wird verschließen und linken-Lösung Knöpfen der Maus festgestellt).

Und für гр. Воробьянинова verbieten Sie nur die gefährlichsten Operationen der Entfernung und der Formatierung auf den Festplatten.

Die Mängel des Systems DeviceLock Me:

• Im Falle der zufälligen falschen Einführung namens der Benutzer oder der Parole wird die Mitteilung Explorer "das Programm ausgegeben hat den unzulässigen Fehler erfüllt sowohl wird” geschlossen sein als auch es geschieht das Hängen des Computers. Daraufhin zu fallen, die Kombination der Tasten “Ctrl+Alt+Del” zu drücken und, die Arbeit des Systems zu beenden.
  
• Periodisch entstehen die ähnlichen Situationen des Hängens des Computers bei der Vollendung der Arbeitssitzung von einem Benutzer und der Registrierung anderen Benutzers. Deshalb das Neuladen des Computers sicherer durchzuführen.
  
• Im Falle des Eingangs ins System des konkreten Benutzers, für den die Beschränkungen nach der Zeit bestimmt sind, zur untersagten Zeit wird die selbe Situation des Hängens des Computers beobachtet.
  
• Nach der Bestimmung des Zuganges für die neuen Benutzer des Systems geschieht das Verschwinden tatsächlich aller Etikette vom Arbeitstisch für schon existierend früher als die Benutzer. Außerdem werden die grossen Abzeichen im Hauptmenü automatisch festgestellt, und das System vergisst die Liste der letzten sich öffnenden Dokumente.
  
• Im Falle der Registrierung im System nicht des Verwalters (des Besitzers des Computers), und anderen Benutzers ist der Start des Programms DeviceLock Me und die Korrektur in ihr der bestimmten Rechte möglich. Schlecht, dass das Programm bei der Eröffnung die Parole nicht fragt.

Wir werden die Schlussfolgerung ziehen., Obwohl das Programm DeviceLock Me der Mängel nicht entzogen ist (die, wahrscheinlich korrigiert sein werden, in ihrer nächsten Version), stellt sie, gewiß, das große Interesse vom Gesichtspunkt der Abgrenzung der Rechte der Benutzer in den Systemen vor, die unter der Leitung von Windows 95/98/ME arbeiten. DeviceLock Me gewährleistet den genug sicheren Schutz vor dem unbefugten Zugang der nicht allzu vorbereiteten Benutzer. Außerdem, sie garantiert die volle Unmöglichkeit des Treffens ins System der nicht registrierten Benutzer.