Компания Microsoft, стремясь к повышению уровня информационной защиты своих продуктов, ввела в операционных системах Windows XP Professional и Windows Server 2003 специальный механизм - политику программных ограничений (Software Restriction Policies), носящий также альтернативное название SAFER и позволяющий манипулировать правами запускаемых приложений. Используя этот инструмент, сетевые администраторы могут довольно гибко настраивать внутреннюю политику сети компании, например, разрешить пользователям запускать только офисные приложения, исключив тем самым использование других, неблагонадежных программ.
Владельцы Windows XP могут сами вдоволь поэкспериментировать с политикой программных ограничений, запустив апплет Local Security Policy (меню "Control panel -> Administrative Tools"). Можно настроить правила таким образом, чтобы другие пользователи компьютера не смогли запустить выбранные вами программы, например, ICQ или, скажем, Windows Media Player.
Политика программных ограничений (Software Restriction Policies).
Кроме того, используя функцию SAFER, можно запускать приложения от имени другого пользователя. Для этого достаточно кликнуть мышью по иконке программы и, выбрав в контекстном меню пункт "Run As...", указать пользователя, под которым мы хотим загрузить приложение. Ясно, что ограничив правами соответствующего пользователя, можно минимизировать произвол запускаемой программы.
Но гораздо эффективнее будет использовать небольшое приложение DropMyRights, позволяющее автоматизировать процесс запуска приложений с ограниченными правами. Для этого достаточно прописать утилиту DropMyRights в свойствах ярлыка нужной нам программы. Например, чтобы запустить файловый менеджер FAR под "ненадежным" пользователем (untrusted users), необходимо откорректировать путь к FAR'у следующим образом (см. скриншот):
D:\Creative\Tools\DropMyRights.exe "D:\Program Files\Far\Far.exe" U
Прописываем DropMyRights в свойствах ярлыка.
И чтобы проверить волшебное действие чудо-таблетки DropMyRights, попробуем сохранить какой-нибудь измененный файл. Безрезультатно...
Результат запуска приложения с ограниченными правами в системе.
Так к чему мы завели весь этот сыр-бор? А все дело в том, что используя вышеописанный механизм и запустив приложение с ограниченными правами, можно сильно урезать его активность и произвол в операционной системе. Программа не сможет записать свою информацию в реестр или в системную директорию, переместить или удалить важные файлы. И, например, прописав в ярлыке Internet Explorer следующий путь D:\Creative\Tools\DropMyRights.exe "c:\program files\internet explorer\iexplore.exe", можно значительно повысить безопасность Internet Explorer - ведь теперь любой деструктивный дочерний процесс (например вирус или троян), запущенный браузером, не сможет произвести каких-либо негативных действий с вашим компьютером. |