Полное руководство по терминальным службам Windows Server 2003

         

Prevent Task Run or End


  • Hide Hardware Tab (Запретить вкладку Hardware)


  • Prevent Task Run or End (Запретить запуск и завершение задач)


  • Disable New Task Creation (Запретить создание новых задач)


  • Disable and remove links to Windows Update (Запретить и удалить ссылки на Windows Update )


  • Remove common program groups from Start Menu (Удалить группу общих программ из меню Start)


  • Disable programs on Settings Menu (Запретить программы в меню Start)


  • Remove Network and Dial-up Connections from Start Menu (Убрать пункт Network and Dial-up Connections из меню Start)


  • Remove Search menu from Start Menu (Убрать пункт Search из меню Start)


  • Remove Help menu from Start Menu (Убрать пункт Help из меню Start)


  • Remove Run menu from Start Menu (Убрать пункт Run из меню Start)


  • Add Logoff to Start Menu (Добавить понкт Logoff в меню Start)


  • Disable and remove the Shut Down command (Запретить и удалить команду Shut Down )


  • Disable changes to Taskbar and Start Menu Settings (Запретить изменения в панель задач и настройки меню Start)


  • Hide My Network Places icon on desktop (Спрятать иконку My Network Places на рабочем столе)


  • Prohibit user from changing My Documents path (Запретить пользователю менять путь My Documents)


  • Disable Control Panel (Запретить Панель Управления)


  • Disable the command prompt (Set Disable scripts to No) (Запретить командную строку)


  • Disable registry editing tools (Запретить инструменты редактирования реестра)


  • Disable Task Manager (Запретить Task Manager)


  • Disable Lock Computer (Запретить Lock Computer)


    • Очевидно, что если вы используете все эти политики, то получите крайне строгую среду, почти не пригодную к использованию. Например, Microsoft рекомендует удалить команду Map Network Drive, но если вы находитесь в распределенной среде, ваши пользователи могут потребовать этой возможности для доступа к своим документам. Тем не менее этот список может служить хорошей отправной точкой.

    Я рекомендую начать с крайне ограничительной политики, а затем протестировать и при необходимости разрешить отдельные настройки. Вы не должны полагаться только на политики при защите вашего сервера, поскольку они оставляют множество лазеек для злонамеренных пользователей. Например, если вы используете Prevent access to drives in My Computer в качестве единственного метода защиты файлов на сервере, злоумышленник может легко создать пакетный файл. Вместо этого вы должны применить ограничения NTFS для защиты файловой системы и использовать политику Prevent access to drives in My Computer для предотвращения использования диска C сервера в качестве диска C своего клиентского устройства. Если вы запускаете сервер в режиме Full Security, то большинство ключевых областей файловой системы и реестра по умолчанию защищены.

    Вам следует быть осторожными, создавая разные политики для пользователей и системных администраторов. Очевидно, что администраторам требуются некоторые функции, которые не нужны пользователям. Для создания отдельных политик, создайте два объекта GPO, один для пользователей, которые включает все ограничения, которые вы хотите реализовать, а второй - для администраторов, в котором ограничения запрещены. Установите делегирование на пользователскую политику для применения ее к Authenticated Users, а администраторскую политику примените только к доменной группе, содержащей учетные записи администраторов. Наконец, поместите в порядке применения администраторскую политику перед пользовательской.




    Содержание  Назад  Вперед