Si Windows NT era proyectada primeramente tomando en cuenta las exigencias de la seguridad informativa en concordancia con las exigencias del Programa de la Apreciación de los Productos Se confiados (Trusted Product Evaluation Program - TPEP) el Centro Nacional de la Seguridad Informática (National Computer Security Center - NCSA) los EEUU, de nada semejante no es posible, por desgracia, decir en los sistemas Windows de operaciones 95/98/ME. Hasta el último momento no había ningunos medios de la restricción del acceso de los usuarios en ellos. Los sistemas eran abiertos del mismo modo como para cualquier usuario registrado, y permitían la entrada por falta de registro cualquiera, en general. Todo se saben que basta de presionar el botón "Esc" en vez de la introducción del nombre del usuario y la consigna, y caeréis tranquilamente en el sistema. Prácticamente mismo toca el acceso de red. Dos tipos del acceso (completo y la lectura) y la posibilidad del acceso por la consigna no daban en total ningunas restricciones para los usuarios concretos.

La verdad es que al fin, la fortuna se ha vuelto de cara y a los usuarios Windows 95/98/ME. Han comenzado a aparecer las utilidades bastante no malas que dan a la posibilidad en la práctica abastecer a la seguridad del trabajo, en el ordenador local, así como en caso del acceso por la red. Una de las utilidades más interesantes es posible llamar que ha aparecido en el mercado informático hace poco (en 2000) la utilidad DeviceLock Me. La dimensión del archivo - 726 Kb, para el trabajo exige no menos 8Мбайт la memoria operativa. Sin registro trabajan 30 días.

Este medio potente del control del acceso a los discos en los sistemas que trabajan bajo la dirección Windows 95/98/ME. DeviceLock Me tiene toda la funcionalidad de otro producto ampliamente conocido de la compañía SmartLine - DeviceLock, pero en la diferencia de él, es destinado a la defensa de las estaciones de trabajo que trabajan bajo Windows 95/98/ME. Se Puede controlar las disqueteras, los discos duros, Cd-RoMy y ZIPы, estableciendo los niveles distintos del acceso para los usuarios separados. La utilidad dada permite fijar los derechos de admisión depende del tiempo del día y el día de la semana. DeviceLock Me tiene el sistema de la dirección alejada, y el administrador de la red puede dirigir todas las funciones, sin abandonar el puesto de trabajo.

DeviceLock Me realiza el modelo de la seguridad, a que el propietario del objeto dirige por completo el acceso al objeto. Esto significa que a cualquier usuario el acceso al objeto puede ser prohibido o limitado. El usuario que ha olvidado la consigna, no puede recibir el acceso a los recursos. El sistema iguala la información de registro del usuario con que está en la base de datos, y en caso de la no coincidencia de la información cierra el acceso.

Enumeraré los principios básicos de la defensa, que debe seguir.

1. El propietario del ordenador debe tener la posibilidad dirigir el acceso al ordenador (es necesario no olvidar de la necesidad de la instalación del acceso completo para).

2. Cada usuario debe identificarse en el sistema. Para esto él introduce el nombre único y la consigna, en caso contrario le será renunciado el acceso. Con otras palabras, el acceso al sistema con la presión de la tecla “Esc” en vez de la introducción de la consigna al registro llevará automáticamente a la terminación del trabajo del sistema.

3. La copia de los ficheros y los catálogos pasa con la conservación de los derechos de admisión (permissions).

Por reticencia en la configuración inicial la utilidad establece el acceso completo para todos los usuarios. A saber, para todos los discos y para el único usuario Everyone (esto significa a "los todos usuarios del sistema”) se establece el control completo. Con otras palabras, para el usuario Everyone por los banderines serán distinguidos todos los derechos posibles. Así, la variante no abastece "por reticencia" ninguna defensa del acceso no autorizado al ordenador. Al mismo tiempo, DeviceLock Me permite establecer un bastante alto nivel de la defensa de la información, pero exige para esto los esfuerzos adicionales por la instalación de la configuración, tomada en el caso concreta.

¡La atención! Si a la adición de los usuarios y la diferenciación del acceso para ellos habéis olvidado de quitar al usuario Everyone colectivo con el acceso completo, todo su trabajo era pasado prácticamente en vano. Cualquier usuario puede entrar en el sistema, sin haber registrado (por “Esc”) y tendrá el acceso completo.

Para los ficheros y los catálogos es posible determinar los derechos de admisión siguientes.

El derecho de admisión	El comentario
List Directory	Permite la presentación de la lista de los ficheros y las carpetas y el traslado por las carpetas
Create Directory	Permite la creación de la carpeta con el nombre fijado “una Nueva carpeta”
Read	Permite la lectura de los ficheros
Write	Permite el cambio, la anotación y la copia de los ficheros, también la copia de las carpetas
Execute	Permite el lanzamiento de los ficheros; es imposible la instalación del derecho dado por falta del derecho “Read”
Rename	Permite el cambio de nombre y el traslado de los ficheros y las carpetas
Delete	Permite la desaparición de los ficheros y las carpetas
Format/Scan Disk	Permite el formateo y el escaneo del disco

Se puede distinguir dos direcciones de la defensa: local - para un ordenador y de grupo - para algunos ordenadores de la red.

La defensa local (Set Permissions) abastece la restricción del acceso para los usuarios del ordenador local. En general, es posible, por ejemplo, tal variante de la diferenciación del acceso, cuando permitís el acceso completo solamente al administrador (el propietario del ordenador), а para todos otros usuarios el acceso limitáis un poco, prohibiendo, por ejemplo, cumplirles las operaciones más peligrosas “Delete” y “Format/Scan Disk” (cm. El ejemplo).

La posibilidad de la instalación de la defensa de grupo (Batch Permissions) facilita esencialmente el trabajo del administrador. Abastece el funcionamiento del sistema de la dirección alejada, con que ayuda el administrador de la red puede establecer cualesquiera derechos para cualesquiera usuarios de la red en sus ordenadores locales del puesto de trabajo.

Habiendo puesto en marcha el programa DeviceLock Me en el servidor, el administrador verá alrededor de tal cuadro, como en el dibujo siguiente. Además los ordenadores COMPUTER3 y COMPUTER4, marcado por la cruz, se encuentran inaccesibles, а para otro será posible establecer cualesquiera restricciones. Inaccesibles habrá aquellos ordenadores, a que ante esto no era pasada la instalación DeviceLock Me (e.d. el programa debe ser instalado en todos los ordenadores de la red).

 

Es natural que al principio como usted será necesario crear el grupo de los ordenadores, а luego introducir a los usuarios, y establecer para cada uno ellos la variante del acceso. La cantidad de los usuarios puede ser más de números de los ordenadores, ya que en cada ordenador puede trabajar no una persona.

Por ejemplo, para гр. Бендера escogéis la variante extremadamente limitada del acceso, habiéndole dado la posibilidad solamente los traslados por los catálogos y el lanzamiento y la lectura de los ficheros sobre los discos duros. Lo limitáis además en la relación temporal, prohibiendo aquel trabajar los domingos (los intervalos temporales se establecen por medio de la manipulación por los botones derechos-cerrará e izquierdos-permiso del ratón).

А para гр. Воробьянинова prohibís solamente las operaciones más peligrosas de la desaparición y el formateo sobre los discos duros.

Las faltas del sistema DeviceLock Me:

• En caso de la introducción casual equivocada del nombre del usuario o la consigna sale el mensaje Explorer “el Programa ha cumplido la falta inadmisible será cerrada” y hay un cuelgue del ordenador. En resultado tener que presionar la combinación de las teclas “Ctrl+Alt+Del” y acabar el trabajo del sistema.
  
• Surgen periódicamente las situaciones análogas del cuelgue del ordenador a la terminación de la sesión del trabajo en un usuario y el registro de otro usuario. Por eso pasar más firmemente la recarga del ordenador.
  
• En caso de la entrada en el sistema del usuario concreto, para que son establecidas las restricciones por el tiempo, en el tiempo prohibido se observa la misma situación del cuelgue del ordenador.
  
• Después de la definición del acceso para los nuevos usuarios del sistema hay una desaparición de prácticamente todas las etiquetas del escritorio para ya usuarios que existían antes. Además, se establecen automáticamente las grandes insignias en el menú principal, а el sistema olvida la lista de los últimos documentos que se abrían.
  
• En caso del registro en el sistema no el administrador (el propietario del ordenador), а de otro usuario es posible el lanzamiento del programa DeviceLock Me y la corrección a ella de los derechos establecidos. Mal lo que el programa a la apertura no pregunta la consigna.

Sacaremos la conclusión. A pesar de que el programa DeviceLock Me no sea privado de las faltas (que, es probable, serán corregidos en su versión siguiente), indudablemente, representa el interés bastante grande desde el punto de vista de la diferenciación de los derechos de los usuarios en los sistemas que trabajan bajo la dirección Windows 95/98/ME. DeviceLock Me abastece la defensa bastante segura del acceso no autorizado de los usuarios no preparados. Además, garantiza la imposibilidad completa del impacto en el sistema de los usuarios no registrados.