Obstajajo pa tudi dokaj preprosta orodja in načini, kako uporabnikom dovoliti le to, kar želimo. Metoda sicer ni hudo »neprebojna«, a manj vešči uporabniki in tisti, ki ne vedo, kateri način omejitve smo uporabili, je ne bodo prehitro zaobšli.
V metodi omejevanja bomo uporabili Group Policy Editor, orodje, ki omogoča vrsto nastavitev, povezanih s tem, kaj uporabniki lahko počnejo. Preko Group Policy Editorja lahko skrbnik na primer določi, da lahko uporabniki uporabljajo le programe, ki so na seznamu, ki ga je sam izdelal. Če na primer skrbnik na seznam vpiše Firefox.exe, to pomeni, da uporabniki lahko zaženejo program Firefox.exe. Žal je tako, da ta metoda ne preprečuje uporabnikom, da bi katero koli izvršno datoteko preimenovali v Firefox.exe in jo potem zagnali, a na to idejo morajo najprej priti, kar verjetno ne bo ravno hitro. In kaj moramo narediti?
Najprej za vsak primer izdelamo varnostno kopijo mape Windows\System32. Čeprav ne bomo po sistemu ravno »mesarili«, je takšna varnostna kopija vseeno dobra ideja. Nikoli se ne ve…
Najprej moramo Group Policy Editor zagnati. To naredimo tako, da v vrstico iskanja v meniju Start vpišemo gpedit.msc in zaženemo program, ko se njegovo ime prikaže na seznamu najdenih elementov. Nato v njem poiščemo oziroma odpremo mapo:
Uporabniška konfiguracija > Administrative Templates > System
V desnem oknu bo na seznamu med drugim tudi možnost Run only specified Windows applications. Že ime pove, da bo prek tega najverjetneje mogoče nastaviti, kaj kdo lahko počne in česa ne. Dvakrat jo kliknemo in odprlo se bo novo okno, kjer možnost najprej vključimo tako, da izberemo Enabled. V okvirčku Options bo s tem postal aktiven gumb Show. Pritisnemo ga, in v novem oknu, ki se odpre, na seznam vpišemo vse izvršne datoteke, za katere menimo, da jih uporabniki lahko zaženejo. O zdaj bodo uporabniki, ki bi radi zagnali program, ki ni na seznamu, dobili opozorilo, da to ne gre, in neželen program se seveda ne bo zagnal.
Pri tej metodi vsekakor ne gre za nekaj, kar bi veljalo za neprebojno ali uporabno v sistemih, kjer je varnost izrednega pomena. Je pa dovolj v primerih, ko računalniki niso na varnostno kritičnih mestih, vseeno pa bi radi delovanje vsaj malo zaščitili.
Moj mikro, September 2010 | Zoran Banovič |
